gOOdrams Napisano Maj 20, 2010 Zgłoś Share Napisano Maj 20, 2010 Witam! Mam problem ze złośliwym robakiem. Wydaje mi się, że zlokalizowałem zagrożenie, pytanie jednak co dalej? Najnowsza, zaktualizowana wersja Kasperskiego nie radzi sobie z awarią, a ja nie posiadam tak"specjalistycznej" wiedzy by z robalem walczyć ręcznie. Program antywirusowy identyfikuje zagrożenie jako "wirus Email-Worm.Win32.Brontok.dk", który rozgościł się w systemie dzięki (prawdopodobnie) plikom KesenjanganSosial.exe, RakyatKelaparan.exe, lsass.exe, winlogon.exe. Próba automatycznego usunięcia plików przez Kasperskiego zakończyła się niepowodzeniem. Sierota rozgościła się w rejestrze i automatycznie wyłącza jego dostępność. "Edycja rejestru została wyłączona przez administratora sieci." Nie wiem jak poradzić sobie z problemem. Czy ktoś spotkał się już wcześniej z robakiem kategorii Brontok? Nie mogę pozwolić sobie na format systemu - zbyt cenne informacje mam na dysku. W załączniku zamieszczam log. Będę wdzięczny za każdą pomoc. Pozdrawiamhijackthis.txtraport_GMER.txtOTL.TxtExtras.Txt Link do komentarza Udostępnij na innych stronach More sharing options...
roberto_i Napisano Maj 20, 2010 Zgłoś Share Napisano Maj 20, 2010 Być może pomoże tu Combofix, ale szczerze mówiąc, nie ma żadnej pewności co do skuteczności skanu przeciwko temu świństwu...pierwszy raz widzę takie paskudztwo. Przeskanuj kompa Combofixem w trybie awaryjnym i zamieść log. Dziwne, że nie poradził sobie z nim nawet Kacpersky... Link do komentarza Udostępnij na innych stronach More sharing options...
3m2oo5 Napisano Maj 20, 2010 Zgłoś Share Napisano Maj 20, 2010 http://www.sophos.com/security/analyses/vi...2brontokdo.html To powinno pomóc, w pakiecie rozpoznawanych i usuwalnych przez to narzędzie figurował Twój brontok http://www.dobreprogramy.pl/Kaspersky-Viru...dows,12768.html powodzenia. Link do komentarza Udostępnij na innych stronach More sharing options...
Gofer Napisano Maj 20, 2010 Zgłoś Share Napisano Maj 20, 2010 roberto_i - Combofix to nie narzędzie do kasowania wirusów, a potężny zespół programów aktywnych, które poza generowaniem loga robią dużo rzeczy w systemie, o których pojęcia zapewne nie masz. Ta rada, w najgorszym wypadku, może koledze zniszczyć system. Przyczyna problemu jest znana, wystarczy tylko potraktować śmiecia odpowiednim narzędziem i po robocie. Link do komentarza Udostępnij na innych stronach More sharing options...
roberto_i Napisano Maj 20, 2010 Zgłoś Share Napisano Maj 20, 2010 Masz rację. Patrząc na generowane po każdym skanie logi, byłem przekonany, że Combofix to w głównej mierze program-czyściciel...Świadczyły o tym usunięte wirusy/podejrzane procesy, nieprawidłowe wpisy w rejestrze itd. Dlatego będę wdzięczny, jak dopiszesz inne zastosowania Combofixa. Przyda się na pewno przy przyszłych skanach i diagnozach błędów męczących mojego PC-ta, a i inni też poszerzą swoją wiedzę na temat tego programu. Link do komentarza Udostępnij na innych stronach More sharing options...
gOOdrams Napisano Maj 20, 2010 Autor Zgłoś Share Napisano Maj 20, 2010 Ok, zainstalowałem na kompie konsolę odzyskiwania (na płytce na wszelki wypadek obraz też zapisałem), stworzyłem punkt przywracania systemu i zabrałem się za niemilca ComboFix'em. Efekty skanu (o dziwo bezproblemowego) przedstawiam w załączniku. Na razie zauważalna zmiana do dostęp do rejestru i opcji folderów, komp jakby mniej muli. Nie wiem czy coś jeszcze zostało (byłbym wdzięczny gdybyście przejrzeli raport - ja się na tym nie znam ), ale efekty są zadowalające.ComboFix.txt Link do komentarza Udostępnij na innych stronach More sharing options...
Sevard Napisano Maj 21, 2010 Zgłoś Share Napisano Maj 21, 2010 Ja kogoś zaraz uduszę. Użyj narzędzia, do którego link podał w swoim poście 3m2oo5, oraz narzędzia z tej strony. Następnie wygeneruj nowe logi z OTL i wklej je na forum. Sprawdzę je niestety dopiero jutro. @roberto_i Gofer jest miły, ale ja taki nie będę. Widzę, że pojęcia o usuwaniu wirusów nie masz i tym bardziej nie masz pojęcia do czego służy Combofix. Jeśli będziesz polecał ten program (lub inny podobny, którego działania nie znasz, a który może zniszczyć system) na lewo i prawo na tym forum, to mogę się stać naprawdę niemiły. Konqi goes mad! Ale popieram w całej rozciągłości - Gofer Link do komentarza Udostępnij na innych stronach More sharing options...
roberto_i Napisano Maj 21, 2010 Zgłoś Share Napisano Maj 21, 2010 Moja wina, moja wina, moja bardzo wielka wina...<klęczy w kącie na grochu jednocześnie posypując głowę popiołem>... Z drugiej strony, miałem dobre chęci i w żadnym przypadku nie chciałem nikomu wyrządzić krzywdy...Dzięki za pouczenie ( be cool, man ). Doceniam również powstrzymanie się od dania mi osta, postaram się nie ingerować już w sprawy stricte wirusowe. Link do komentarza Udostępnij na innych stronach More sharing options...
gOOdrams Napisano Maj 21, 2010 Autor Zgłoś Share Napisano Maj 21, 2010 Dziękuję za troskę moderatorów. Wiem "mniej więcej" jak działa narzędzie ComboFix - moja znajomość ogranicza się niestety bardziej do "mniej", więc nie dotykałbym programu bez nadzoru osób kompetentnych. Użyłem ciężkiego kalibru pod nadzorem Moderatora forum www.searchengines.pl, jako że prowadzę drugi równoległy temat (bez urazy dla użytkowników forum www.cdaction.pl - po prostu w ciężkich chwilach jako laik chciałem zwiększyć prawdopodobieństwo sukcesu). Podziękowania ślę Panu 3m2oo5 , nie wpadłem na pomysł na pewno skutecznego skanera Kaspersky Virus Removal Tool albo dedykowanych szczepionek. Na polecenia Pana Landussa dokonałem precyzyjnego uderzenia na pozostałości brontoka w systemie (po pierwszym skanie ComboFixem) wcześniej przygotowanym "skryptem". A ostatecznie dyski przeczyściłem za pomocą Malwarebytes Anti-Malware. Oto co z tego wyszło (patrz załączniki). Drobne sprostowanie do raportu Malwarebytes Anti-Malware. Jakkolwiek głupio to brzmi mam nieoryginalnego windowsa (z mojej oryginalnej, zakupionej płyty). - HackTool.Key.Steal <-- Product Key Viewer (oddałem płytkę "ORYGINALNĄ" bratu - nie spisałem klucza) - Trojan.I.Stole.Windows <-- program maskujący aktywację systemu, przekierowuje w czasie logowania winlogon.exe do antiwpa.dll, tak że system myśli że pracuje w trybie bezpiecznym, program nie wprowadza zamian w pliku winlogon.exe a jedynie poprzedza jego wykonanie przy każdym logowaniu Nie wiem czy są bezpieczne, ale wykorzystałem ilość aktywacji systemu i po zmianie podzespołów musiałem szybko odpalić system, więc poszedłem na skróty i tak zostało. Z tego miejsca przepraszam Pana Billa Gatesa i cały zarząd M$ . Serdecznie polecam przyszłym pokoleniom user'ów borykających się z tym problemem zaznajomienie się z artykułami - Programy antyspyware / antymalware (http://www.searchengines.pl/index.php?showtopic=16762&st=0&p=516506entry516506) -ComboFix (http://www.searchengines.pl/ComboFix-mechanizm-dezynfekcji-t66762.html) - Wykrywanie infekcji typu rootkit, Wytwarzanie raportów do analizy (http://www.searchengines.pl/Wykrywanie-infekcji-typu-rootkit-t58269.html) - Tworzenie ogólnych raportów systemowych (http://www.searchengines.pl/Tworzenie-ogolnych-raportow-systemowych-t86306.html) Mam nadzieję, że nie naruszyłem punktu 9) regulaminu forum (w przeciwnym wypadku pokornie przepraszam i poddaję się uzasadnionej cenzurze). [Edit] Ok, to nie koniec kłopotu (Kaspersky alert)ComboFix2.txt.txtmbam_log_2010_05_21__12_32_04_.txtmbam_log_2010_05_21__12_56_26_.txt Link do komentarza Udostępnij na innych stronach More sharing options...
3m2oo5 Napisano Maj 22, 2010 Zgłoś Share Napisano Maj 22, 2010 przypuszczam, że masz jakiś zainfekowany nośnik.. pendrive, płytkę, może jakieś zainfekowane pliki na innej partycji. chociaż po skanowaniu kompa wszystko powinno być czyste... antimalware w wersji płatnej ma ochrone rezydentą, gdybyś go posiadał poleciłbym sprawdzić ostatnio używane nośniki poprzez wykonywanie typowych dla nich akcji i ewentualne pozbycie się zainfekowanej płytki / dobre wyczysczenie pendrive`a. aha, nie ma za co powodzenia w walce z dinozaurem Link do komentarza Udostępnij na innych stronach More sharing options...
Gofer Napisano Maj 22, 2010 Zgłoś Share Napisano Maj 22, 2010 Spokojnie, nie naruszyłeś punktu 9. regulaminu FA - my również bardzo cenimy sobie Searchengines, jest tam wielu świetnych specjalistów. Złamałeś jednak punkt 16. Zasady na Forum mamy twarde: piratów ościmy i w reperacji nielegalnego softu nie pomagamy. Powodzenia z wirusem. Link do komentarza Udostępnij na innych stronach More sharing options...
