TOM Opublikowano 27 Lipca 2011 Zgłoś Udostępnij Opublikowano 27 Lipca 2011 Witam po raz pierwszy na forum Mam na tapecie komputer z WinXP Prof Sp2, który został zarażony trojanami. Nie zagłebiajac sie w szczegóły używając róznych narzedzi: Kaspersky Virus Removal Tools, Eset NOD32, MalwareBytes udało mi sie usunąc lub wyleczyć prawie półtoratysiąca plików, głównie: - *.html - *.dll - *.exe według wskazań programów odpowiedzialny za to był Trojan Win32/Ramnit.A Mój Problem wynika jednak z wirusa Trojan Win32.Digle.xgi który zainfekował plik pwordglc.exe znajdujacy sie w C:\ProgramFiles\htwfsdcl\ - pomimo usuniecia tej lokalizacji po jak sie wydaje skutecznej dezynfekcji programem Kaspersky Virus Removal Tools po restarcie umieszcza się ten sam katalog w tym samym miejscu z plikiem pwordglc.exe wewnątrz oraz umieszcza tego exe w Menu Start\Autostart profilu uzytkownika głównego oraz/lub profilu Default User jednoczesnie w latalogu Temp tworzy zawirusowany plik exe o nazwie mającej postac ciagu liter Doszedłem do tego za winny tego zamieszania jest wpis w rejestrze: HKLM\...\Winlogon: [userinit] C:\Program Files\htwfsdcl\pwordglc.exe który oprócz poprawnego odwołania do pliku userinit.exe odwołuje sie do pliku z wirusem Próby zmiany rejestru zakończyły sie fiaskiem ponieważ każdorazowe zamknięcie resjestru powoduje ponowne pojawinie sie tej wartości w kluczu. Przeszukałem cały rejest lecz nic powiązanego z tym wywołanie zarażonego pliku nie znalazłem Po kilku dniach monotonnego siedzenia i skanowania "straciłem na chwile wiare we własne siły" Poniżej log z FRST z prośba o pomoc FRST.txt Odnośnik do komentarza
picasso Opublikowano 27 Lipca 2011 Zgłoś Udostępnij Opublikowano 27 Lipca 2011 Mój Problem wynika jednak z wirusa Trojan Win32.Digle.xgi który zainfekował plik pwordglc.exeznajdujacy sie w C:\ProgramFiles\htwfsdcl\ - pomimo usuniecia tej lokalizacji po jak sie wydaje skutecznej dezynfekcji programem Kaspersky Virus Removal Tools po restarcie umieszcza się ten sam katalog w tym samym miejscu z plikiem pwordglc.exe wewnątrz oraz umieszcza tego exe w Menu Start\Autostart profilu uzytkownika głównego oraz/lub profilu Default User jednoczesnie w latalogu Temp tworzy zawirusowany plik exe o nazwie mającej postac ciagu liter To jest składnik rootkit towarzyszący infekcji plików wykonywalnych Ramnit. Składnik ten powraca, jeśli Ramnit nie jest wcale do końca wyleczony. Porównawczo temat z forum: KLIK. Ze spisu używanych narzędzi wynika, że próby leczenia były podejmowane spod działającego Windows (co jest niestety mało skuteczne). Skorzystaj z bootowalnej płyty Kaspersky Rescue Disk. Poniżej log z FRST Czy system w ogóle nie startuje, że posiłkujesz się FRST? To narzędzie używam wtedy, gdy nie ma żadnego dostępu do Windows. . Odnośnik do komentarza
TOM Opublikowano 27 Lipca 2011 Autor Zgłoś Udostępnij Opublikowano 27 Lipca 2011 Zapomniałem dodać w pierwszym poście, że nie można wejść do trybu awaryjnego ale rozumiem ze na pewno jest to następstwo jakiejś zmiany w rejestrach wywołanych przez wirusa To jest składnik rootkit towarzyszący infekcji plików wykonywalnych Ramnit. Składnik ten powraca, jeśli Ramnit nie jest wcale do końca wyleczony. Porównawczo temat z forum: KLIK. Ze spisu używanych narzędzi wynika, że próby leczenia były podejmowane spod działającego Windows (co jest niestety mało skuteczne). Skorzystaj z bootowalnej płyty Kaspersky Rescue Disk. Tak też zrobiłem: Raport z Kaspersky Rescue Disk. Znalazł w dużej ilości plików które znajdowały się w katalogu TEMP i katalogu RESTORE cztery wirusy: - HEUR: Trojan-Dropper.Script.Generic - Trojan.Win32.Patched.md - Virus.Win32.Nimnul.a - Trojan Win32.Digle.xgi (kierownik zamieszania !!!!) Czy system w ogóle nie startuje, że posiłkujesz się FRST? To narzędzie używam wtedy, gdy nie ma żadnego dostępu do Windows. Nie, system nawet sie odpalał.Uzyłem FRST tylko z powodu Trojana Win32.Digle.xgi który namnazał sie zarażajac i tworząc inne pliki chciałem sprawdzic czy FRST znajdzie jakieś pliki budzące niepokój lub bezpośrednio wskazujące na rzeczonego Trojan Win32.Digle.xgi Po przeskanowaniu systemu bootowalnym KRD, odpaliłem system i uruchomiłem GMER tak dla pełnego obrazu czy Kaspersky coś pomógł poniżej log z GMER GMER.txt Odnośnik do komentarza
picasso Opublikowano 27 Lipca 2011 Zgłoś Udostępnij Opublikowano 27 Lipca 2011 Znalazł w dużej ilości plików które znajdowały się w katalogu TEMP i katalogu RESTORE cztery wirusy:- HEUR: Trojan-Dropper.Script.Generic - Trojan.Win32.Patched.md - Virus.Win32.Nimnul.a - Trojan Win32.Digle.xgi (kierownik zamieszania !!!!) To wszystko pochodna tego samego. Różne nazwy na w zasadzie tę samą infekcję (pliki HTML zarażone Nimnul/Ramnit oraz ów towarzyszący składnik rootkit są wykrywane pod inną nazwą, mimo że stanowią całość, a "Patched" to klasyfikacja plików naruszonych wirusem). Zapomniałem dodać w pierwszym poście, że nie można wejść do trybu awaryjnego ale rozumiem ze na pewno jest tonastępstwo jakiejś zmiany w rejestrach wywołanych przez wirusa Objaśnij to, ponieważ nie mam żadnych danych na ten temat. Co się pokazuje podczas próby przejścia w awaryjny? odpaliłem system i uruchomiłem GMER tak dla pełnego obrazu czy Kaspersky coś pomógł Poproszę o uzupełnienie, czyli logi z OTL. FRST jest limitowany tylko do aspektów związanych z rozruchem, a poza tym czas płynie i muszę mieć widok Windows z teraz a nie sprzed kilku godzin. . Odnośnik do komentarza
TOM Opublikowano 27 Lipca 2011 Autor Zgłoś Udostępnij Opublikowano 27 Lipca 2011 Objaśnij to, ponieważ nie mam żadnych danych na ten temat. Co się pokazuje podczas próby przejścia w awaryjny? Przy próbie wejścia w stan awaryjny ( bez znaczenia na tryb: z obsługą sieci, z wierszem poleceń czy tez sam) wywoływany podczas uruchamiania przez F8 zaczyna wczytywać normalnie pliki po czym po kilku sekundach następuje samoistny restart i tak na okrągło. Oczywiście Windows w trybie normalnym (czyli z wirusami) odpala się bez problemu Poproszę o uzupełnienie, czyli logi z OTL. FRST jest limitowany tylko do aspektów związanych z rozruchem, a poza tym czas płynie i muszę mieć widok Windows z teraz a nie sprzed kilku godzin. Poniżej logi nowe logi OTL i GMER (system nie był restartowany od powstania pierwszego logu GMER z godz 18) Ciekawostką jest tez że jak pierwszy raz skanowałem GMERem system zostawiłem podczas skanowania podpiętego pendriva! Jak podłączyłem go do innego komputera żeby załączyć logi program antywirusowy wykrył mi na nim ponad 500 plików zainfekowanych (SIC!) a także podczas skanowania GMERem w pewnym momencie istniejący na zainfekowanym komputerze program antywirusowy (McAffee Virus Scan Enterprise) zaczyna informować o plikach zarażonych wirusem W32/NGVCK znalezionym w plikach *.exe, w C:\System Volume Information\_restore{} GMER.txt OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 27 Lipca 2011 Zgłoś Udostępnij Opublikowano 27 Lipca 2011 Pierwsze co się rzuca w oczy to tak archaiczny antywirus McAfee VirusScan Enterprise, że aż w to wiary nie daję. Silnik z roku 2003. Tak "zabezpieczony" system = ja się nie dziwię, że mamy katastrofę. Aktualizacja baz nie ma nic do rzeczy. Silnik podstawowy jest kompletnie przestarzały i nieodporny. Tego "antywirusa" może znokautować dziś byle co. PRC - [2003-09-29 07:10:00 | 000,237,657 | ---- | M] (Network Associates, Inc.) -- C:\Program Files\Network Associates\VirusScan\mcshield.exePRC - [2003-09-29 07:10:00 | 000,081,990 | ---- | M] (Network Associates, Inc.) -- C:\Program Files\Network Associates\VirusScan\shstat.exePRC - [2003-09-29 07:10:00 | 000,069,706 | ---- | M] (Network Associates, Inc.) -- C:\Program Files\Network Associates\VirusScan\vstskmgr.exePRC - [2003-09-10 03:11:00 | 000,135,251 | ---- | M] (Network Associates, Inc.) -- C:\Program Files\Network Associates\Common Framework\UpdaterUI.exePRC - [2003-09-10 03:11:00 | 000,127,058 | ---- | M] (Network Associates, Inc.) -- C:\Program Files\Network Associates\Common Framework\naPrdMgr.exePRC - [2003-09-10 03:11:00 | 000,106,586 | ---- | M] (Network Associates, Inc.) -- C:\Program Files\Network Associates\Common Framework\FrameworkService.exeSRV - [2003-09-29 07:10:00 | 000,237,657 | ---- | M] (Network Associates, Inc.) [Auto | Running] -- C:\Program Files\Network Associates\VirusScan\mcshield.exe -- (McShield)SRV - [2003-09-29 07:10:00 | 000,069,706 | ---- | M] (Network Associates, Inc.) [Auto | Running] -- C:\Program Files\Network Associates\VirusScan\vstskmgr.exe -- (McTaskManager)SRV - [2003-09-10 03:11:00 | 000,106,586 | ---- | M] (Network Associates, Inc.) [Auto | Running] -- C:\Program Files\Network Associates\Common Framework\FrameworkService.exe -- (McAfeeFramework)DRV - [2003-09-29 07:10:00 | 000,083,008 | ---- | M] (Network Associates, Inc.) [File_System | On_Demand | Running] -- C:\WINDOWS\system32\drivers\naiavf5x.sys -- (NaiAvFilter1) Przy próbie wejścia w stan awaryjny ( bez znaczenia na tryb: z obsługą sieci, z wierszem poleceń czy tez sam) wywoływany podczas uruchamiania przez F8zaczyna wczytywać normalnie pliki po czym po kilku sekundach następuje samoistny restart i tak na okrągło. Oczywiście Windows w trybie normalnym (czyli z wirusami) odpala się bez problemu Zorientuję się zaraz jaka jest kondycja klucza SafeBoot. (...) zostawiłem podczas skanowania podpiętego pendriva! Jak podłączyłem go do innego komputera żeby załączyć logi program antywirusowy wykrył mi na nim ponad 500 plików zainfekowanych (SIC!) Widzę tu dwie możliwości (które mogły być skombinowane razem): 1. System zainfekowany wirusem wykonywalnych oznacza, że aktywny wirus atakuje wszystkie wykonywalne na wszystkich dyskach, nie wykazując określonego "smaku" na szczególny dysk. Jeśli na Twoim pendrive były jakiekolwiek pliki tego rodzaju (programy / ulubione etc.), to wirus mógł je zacząć załatwiać zaraz po podpięciu USB. 2. Pendrive był podpięty pod system, a to oznacza, że na tym pendrive Windows prawdopodobnie utworzył katalog System Volume Information (Przywracania systemu) + RECYCLER (Kosz), bo takowe są tworzone na każdym dostępnym dysku / partycji, nawet jeśli to jest tylko urządzenie podpięte tymczasowo. System produkował na bieżąco zainfekowane punkty Przywracania (porównaj z podanym wcześniej raportem Kasperskiego notującym kolosalną ilość wyników z C:\System Volume Information), co mogło tenże proces wykonać także dla kolejnego dysku = pendrive. Między tamtym skanem Kasperskym a okresem posiedzenia pendrive przy skanie GMER upłynęło wystarczająco dużo czasu, by nowe pliki zostały zainfekowane, na kolejnym dysku. Twoja ogromna nieostrożność, że nośnik przepinałeś. Raz podpięte urządzenie do kompa z Ramnit/Nimnul to wystarczający krok, by uczynić to urządzenie nośnikiem wirusa i za pomocą tegoż pendrive siać wirusem na kolejnych niewinnych komputerach. Ten pendrive musi by zweryfikowany raz jeszcze. także podczas skanowania GMERem w pewnym momencie istniejący na zainfekowanym komputerze program antywirusowy (McAffee Virus Scan Enterprise) zaczyna informować o plikach zarażonych wirusem W32/NGVCK znalezionym w plikach *.exe, w C:\System Volume Information\_restore{} GMER skanuje system plików, m.in. przechodzi po folderach Przywracania systemu. W takiej sytuacji strażnik rezydentny antywirusa przy próbie odczytu zainfekowanych obiektów się budzi (mimo że wcześniej nic nie notował). W32/NGVCK = Ramnit/Nimnul. To stara nazwa kodowa McAfee pod jaką wykrywa wirusy polimorficzne. Zaprawione katalogi Przywracania systemu są tu planowane do czyszczenia (konkrety: już w punkcie 1 poniżej stosowną komendą). Co widzę teraz w logach: nadal są składniki infekcji i mam silne wątpliwości czy zarażanie wykonywalnych zostało powstrzymane. Zdaj sobie sprawę, że tu może wchodzić w grę format.... Jeśli nie pomogą kolejne zadane instrukcje + kolejne skany, nie widzę sensu w kółko powtarzać tych samych czynności, bo tu już nie ma nic więcej w arsenale ratunkowym (czyszczenie z poziomu boot płyty to najmocniejsze co można dać przy tej infekcji), zapewniam Cię. Prócz Ramnit/Nimnul, jest także (przy infekcji w wykonywalnych wręcz śmiesznie prosta) infekcja operująca przez Harmonogram zadań i tworząca w strefach Internetowych ofensywny klucz dający skutki podobne do zablokowanych ActiveX / skryptów, oraz ślady podpinania zainfekowanego nośnika USB.... 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Program Files\htwfsdcl C:\WINDOWS\tasks\{BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job C:\WINDOWS\tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job C:\WINDOWS\tasks\fedtng.job C:\WINDOWS\System32\rcimlbys.dll C:\Documents and Settings\Biuro\Dane aplikacji\Mozilla\Firefox\Profiles\4zavwtrp.default\extensions\{5c99e1f0-a422-47be-8be3-a38148ed1615} RD /S /Q C:\quarantine /C RD /S /Q C:\FRST /C RD /S /Q "C:\Kaspersky Rescue Disk 10.0" /C :OTL O20 - HKLM Winlogon: UserInit - (C:\Program Files\htwfsdcl\pwordglc.exe) - C:\Program Files\htwfsdcl\pwordglc.exe () O2 - BHO: (no name) - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - No CLSID value found. O2 - BHO: (no name) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - No CLSID value found. O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} "http://www.mks.com.pl/skaner/SkanerOnline.cab" (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0015-0000-0000-ABCDEFFEDCBA} "http://java.sun.com/update/1.5.0/jinstall-1_5_0-windows-i586.cab" (Reg Error: Key error.) FF - prefs.js..extensions.enabledItems: {5c99e1f0-a422-47be-8be3-a38148ed1615}:2.7.2.0 :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\] [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\WINDOWS\explorer.exe"=- [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc] "Start"=dword:00000002 :Commands [clearallrestorepoints] [emptyflash] [emptytemp] Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System będzie restartował. Po restarcie powinien się zgłosić log z wynikami usuwania. 2. Wygeneruj nowy log z OTL na dostosowanym warunku wklejając w oknie Własne opcje skanowania / skrypt poniższą treść i klik w Skanuj. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot /S Dostarcz także świeżutki GMER + log z usuwania z punktu 1. . Odnośnik do komentarza
TOM Opublikowano 28 Lipca 2011 Autor Zgłoś Udostępnij Opublikowano 28 Lipca 2011 Co widzę teraz w logach: nadal są składniki infekcji i mam silne wątpliwości czy zarażanie wykonywalnych zostało powstrzymane. Zdaj sobie sprawę, że tu może wchodzić w grę format.... Jeśli nie pomogą kolejne zadane instrukcje + kolejne skany, nie widzę sensu w kółko powtarzać tych samych czynności, bo tu już nie ma nic więcej w arsenale ratunkowym (czyszczenie z poziomu boot płyty to najmocniejsze co można dać przy tej infekcji), zapewniam Cię. Prócz Ramnit/Nimnul, jest także (przy infekcji w wykonywalnych wręcz śmiesznie prosta) infekcja operująca przez Harmonogram zadań i tworząca w strefach Internetowych ofensywny klucz dający skutki podobne do zablokowanych ActiveX / skryptów, oraz ślady podpinania zainfekowanego nośnika USB.... Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: Witam o poranku zamieszczam log z OTL wykonany z podanym w poprzednim poście skryptem 07282011_093124.txt Wygeneruj nowy log z OTL na dostosowanym warunku wklejając w oknie Własne opcje skanowania / skrypt kolejne log z OTL na ololiczność trybu awaryjnego OTL.Txt Dostarcz także świeżutki GMER + log z usuwania z punktu 1. GMER.txt Odnośnik do komentarza
picasso Opublikowano 28 Lipca 2011 Zgłoś Udostępnij Opublikowano 28 Lipca 2011 System ma całkowicie skasowany klucz Trybu awaryjnego. Zadanie ze skryptem wykonane, niestety infekcja się rekonstruuje, wrócił do Autostartu delikwent tytułowy (co oznacza, że w systemie musi nadal zachodzić proces z wykonywalnymi). Podejmij się kolejnej próby: 1. Uruchom plik dopasowany do XP z paczki Sality_RegKeys: KLIK. 2. Kolejny skrypt do OTL, tym razem o zawartości: :OTL O4 - Startup: C:\Documents and Settings\Biuro\Menu Start\Programy\Autostart\pwordglc.exe () O4 - Startup: C:\Documents and Settings\Default User\Menu Start\Programy\Autostart\pwordglc.exe (Macromedia, Inc.) O20 - HKLM Winlogon: UserInit - (C:\Program Files\htwfsdcl\pwordglc.exe) - File not found :Commands [clearallrestorepoints] [emptytemp] 3. Kolejny skan z płyty Kaspersky Rescue Disk. Nie zapomnij przeskanować obu partycji (C+E). Skan do skutku. 4. Start do Windows i komplet świeżych logów (OTL / GMER). Jeśli to się okaże nieskuteczne, humanitarnym wyjściem jest format całego dysku, przy czym z tego dysku nie wolno zbackupować żadnych plików wykonywanych i HTML. . Odnośnik do komentarza
TOM Opublikowano 29 Lipca 2011 Autor Zgłoś Udostępnij Opublikowano 29 Lipca 2011 Uff jakoś dałem radę z tym wszystkim poniżej w kolejności logi: - z kolejnych skanowań Kaspersky Rescue Disk (zakończonych brakiem jakiejkolwiek infekcji - a przynajmniej tak to wyglądało) KRDv1.txt KRDv2.txt KRDv3.txt - OTL i GMER OTL.Txt GMER.txt ale wydaje mi się, że niestety o końcowym sukcesie można zapomnieć, ech ....... (cały czas ten nieszczęsny plik pwordglc.exe wraca !!!!) Aha co jeszcze dziwnego zauważyłem jak odpalony jest normalnie system co jakiś proces co kilka sekund uruchamia stacje dyskietek - objawia się to tym, że widać jakby komputer chciał sczytać coś z dyskietki chociaż jej tam nie ma. Sprawdziłem jeszcze czy uruchamia sie tryb awaryjny - niestety nie Odnośnik do komentarza
picasso Opublikowano 29 Lipca 2011 Zgłoś Udostępnij Opublikowano 29 Lipca 2011 (edytowane) Tak zapytam: czy to na pewno log z GMER z pełnego skanowania a nie preskan? On jest podejrzanie krótki. Sprawdziłem jeszcze czy uruchamia sie tryb awaryjny - niestety nie Jeśli wykonałeś import do rejestru, widocznie ta infekcja to kasuje i dopóki ona działa nie utrzyma się modyfikacja rejestru. ale wydaje mi się, że niestety o końcowym sukcesie można zapomnieć, ech ....... (cały czas ten nieszczęsny plik pwordglc.exe wraca !!!!) Spróbujmy to usunąć z poziomu zewnętrznego środowiska. Posługiwałeś się FRST, to i narzędzie jest Ci znajome i nim będę usuwać składniki. 1. Wklej do Notatnika poniższy tekst i zapisz pod nazwą fixlist.txt. Plik ten musi być zlokalizowany obok narzędzia FRST. CMD: rd /s /q "C:\Program Files\htwfsdcl" CMD: del /q "C:\Documents and Settings\Default User\Menu Start\Programy\Autostart\pwordglc.exe" CMD: rd /s /q C:\WINDOWS\Temp Reg: reg delete "HKLM\SYSTEM\ControlSet004\Control\Session Manager" /v PendingFileRenameOperations /f 2. Wyłącz komputer i zostaw go na chwilę, dla oczyszczenia pamięci. 3. Bootujesz z płyty, która umożliwia uruchomienie FRST, uruchamiasz FRST i klikasz w Fix. Skrypt powinien zostać przetworzony i tam skąd uruchamiasz FRST powstanie log Fixlog.txt. 4. Wymieniasz płyty i bootujesz Kasperskiego, by przeskanować nim ponownie. 5. Po ukończeniu wszystkich czynności startujesz do Windows, ponawiasz import rekonstruujący Tryb awaryjny. Nowe logi GMER + OTL, dołącz też Fixlog.txt z punktu 3 . Edytowane 30 Sierpnia 2011 przez picasso 31.08.2011 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi