Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

AutoRun-gen2 Win32:Kryptik

GeWhite

Przez GeWhite
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

GeWhite

GeWhite

Opublikowano
Opublikowano

Środowisko: Sieć lokalna małej firmy. 10 stanowisk Windows XP + 10 terminali Windows 2000 + serwer Windows 2003 pracujacy tylko jako serwer plików i drukarek.

Całość podłączona do świata przez router. Usługa serwera plików zrobiona jako udostępnienie jednego z folderów dysku systemowego jako dysk sieciowy s:

Wszyscy maja do niego dostęp poprzez wspólne hasło sieciowe. Na wszystkich stanowiskach zainstalowany Avast Pro ver. 4.8.

Serwer bez osłony antywirusowej. Raz dziennie robiony jest zrzut bazy na pendrive.

Pierwsze objawy. Na stanowisku XP pojawił się komunikat o wirusie i propozycja zakupienia programu aby go wyleczyć - typowy fake. To stanowisko jest najbardziej

zagrożone, bo odbiera główną pocztę do firmy. W tym samym dniu na stanowisku terminalowym ostrzeżenia od Avasta o robalu AutoRun-gen2.

Następnie na kilku stanowiskach ostrzeżenia Avasta o trojanach - głownie Win32:Kryptik.Trułem czym się dało: Skaner Avast, MKS skaner online, Anti-Malware, ale ciągle coś zostaje.

Konkretnie plik igfxpx32.exe - nie potrafię pozbyć się go na dobre.

Sformatowałem zarażony autorun.inf pendrive i zaszczepiłem + DisableAutorun. Usunąłem autorun.inf z dysku sieciowego.

Wybrałem przykładowy terminal.

W załączniku "Osłona rezydentna_luty" historia alertów.

Przed Gmerem i OTL odnowiłem SaveBootWin2000, wyczyściłem temporary z przeglądarki internetowej + TFC. Zrobiłem skan Avastem - zał. aswBoot.txt i Anti-Malware - zał. mbam-log

Następne trzy załączniki oczywiste.

Proszę o analizę. Ze względu na fakt, że zagrożenie pojawiło się w działającej sieci, ewentualną pomoc proszę zaopatrzyć także w podpowiedzi jak wykonywać trucie.

W trybie zwykłym czy awaryjnym? W sieci czy w offline?

Osłona rezydentna_luty.txt

aswBoot.txt

mbam-log-2011-02-22 (13-15-53).txt

OTL.Txt

Extras.Txt

rap_gmer.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
Landuss

Landuss

Opublikowano
Opublikowano (edytowane)
W trybie zwykłym czy awaryjnym? W sieci czy w offline?

 

Najlepiej w zwykłym, a sieć może być bo to nie przeszkadza.

 

Usuwanie infekcji - Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
O4 - HKLM..\Run: [intel System Core] C:\WINNT\system32\igfxpx32.exe (Aaydnyk Uymlayclf)
 
:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"C:\WINNT\system32\igfxdkv32.exe"=-
"C:\WINNT\system32\igfxman32.exe"=-
"C:\WINNT\system32\igfxman86.exe"=-
"C:\WINNT\system32\igfxpc32.exe"=-
"C:\WINNT\system32\igfxdp32.exe"=-
"C:\WINNT\system32\igfxpx32.exe"=- 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\WINNT\system32\igfxdkv32.exe"=-
"C:\WINNT\system32\igfxman32.exe"=-
"C:\WINNT\system32\igfxman86.exe"=-
"C:\WINNT\system32\igfxpc32.exe"=-
"C:\WINNT\system32\igfxdp32.exe"=-
"C:\WINNT\system32\igfxpx32.exe"=-
 
:Commands
[emptyflash]
[emptytemp]

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

 

 

 

Edytowane przez picasso
3.04.2011 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...