Usuwanie znanych wirusów.

[Fr3shMak3r]

Jedne z najtrudniejszych zagrożeń do usunięcia jakie istnieją w sieci. Nie mają swojej określonej sygnatury. Posiadają zdolność modyfikacji własnego kodu i każde kolejne ich kopie wyglądają inaczej. Utrudnia to wykrycie infekcji, ponieważ program antywirusowy szuka konkretnego fragmentu kodu, który wirus polimorficzny potrafił już zmienić. Takie infekcje są wykrywane za pomocą heurystyki. Ich zadaniem jest wszczepianie szkodliwego kodu do plików wykonywalnych takich jak EXE / DLL / SCR. Obecne warianty infekcji niestety potrafią też zainfekować inne rozszerzenia plikowe takie jak np. JPG / PDF / DOC. Temat opisuje poradę dotyczącą objawów, rodzajów infekcji oraz ewentualnej walki z tymi infekcjami bez formatowania dysku twardego. Są to bardzo ciężkie przypadki i tak naprawdę nie zawsze jest możliwe wyleczenie dysku bez jego całkowitego formatowania. Infekcje te przenoszą się często z plików pobranych za pomocą programów P2P, natomiast obecnie najczęsciej dostają się do systemu poprzez media przenośne (pendrive, karty pamięci, dyski USB etc.)

Win32/Sality

Win32/Sality: (Inne nazwy wirusa : Win32/Sector, Win32/Tanatos!!)



W logach OTL zobaczymy to :
DRV - File not found [Kernel | On_Demand | Running] - - - - (abp470n5)
DRV - File not found [Kernel | On_Demand | Running] - - - -(dpti930)

DRV - File not found [Kernel | On_Demand | Running] - - - -(dac970nt)
C:\Windows\system32\drivers -- -- (abp470n5)
C:\Windows\system32\drivers\amsint32.sys

C:\WINDOWS\system32\drivers\kojkmj.sys -- (MCIDRV_2600_6_0)
Do tego zaszywa się w rejestrze uruchamiając sie wraz ze startem systemu występując pod nazwami:

-AIC32P
-WMI_MFC_TPSHOKER_80
-NDISFILESERVICES32

Przykład :
HKLM\System\CurrentControlSet\Services\NdisFileServices32. Type = 00000001
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WMI_MFC_TPSHOKER_80\Security
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\aic32p\Security

Problemy z pobraniem programu antywirusowego może stwarzać sterownik asc3360pr.

Jeśli takie problemy występują należy napisać temat w dziale komputery ,jeśli nie będę odpowiadał to pisz śmiało na pw.


W Extras:
C:\Windows/explorer.exe'' = C:\Windows\explorer.exe :*:Enabled:ipsec -- (Microsoft Corporation)



Objawy :
-Obecność plików w folderze C:\Windows\system32 wmdrtc32.dl_ oraz wmdrct32.dll
-Gwałtowne spowolnienie pracy komputera (czyli faza zarażania plików z rozszerzeniami .exe i .dll)
-Zmniejszenie ilości wolnego miejsca na dysku.
-Blokada Menedżera zadań oraz edytora rejestru.
-Niektóre programy antywirusowe mogą przestać działać.
-Niemożność uruchomienia systemu w trybie awaryjnym ,ponieważ Sality niszczy i usuwa tryb awaryjny (Klucz SafeBoot)
-Tworzenie się plików tymczasowych z rozszerzeniami .exe w folderze TEMP

 

Niestety tego typu infekcje trudno usunąć gdyż jej usługa naśladuje usługi systemowe z której ciężko usunąć infekcje .

Usuwanie:

Najpierw oczywiście wyłączamy przywracanie systemu na wszystkich dyskach.
PPM na Mój komputer --> Właściwości --> Przywracanie systemu -->Wyłącz przywracanie systemu na wszystkich dyskach. (Dotyczy to wszystkich wirusów co poniżej napisałem)

Szczepionka :

http://www.softpedia.com/get/Antivirus/SalityKiller.shtml

Skaner :

http://www.bitdefender.com/scanner/online/free.html

 

Win32/Jeefo

Win32/Jeefo: (Inna nazwa wirusa : Win32/Hidrag)



Jeefo posiada usługę PowerManager przykład w logach :
-SVR - File nor found [Auto | Stopped] -- -- (PowerManager)
C:\Windows\svchost.exe
Uwaga nie pomylić z systemowym plikiem C:\Windows\system32\svchost.exe
Jeefo modyfikuje także klucz w rejestrze :
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ Current Version \ PowerManager

Objawy:
-Obecność pliku C:\Windows\svchost.exe (waży około 35 bajtów)
-Wyraźnie spowolnienie komputera
-Niemożność uruchomienia się programów
-Blokada Menedżera Zadań oraz Edytora Rejestru.

Tą usługę kasuje Combofix :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Szczepionka :

http://www.softpedia.com/get/Antivirus/Jeefo-Removal-Tool.shtml

https://www.virustotal.com/file/efce2adde42c267b137ff11e03741643ea5c12961b6560ed5ee892b1e83f647a/analysis/1352317815/

 

Win32/Mabezat

Przykładowe wpisy w logach :
%SystemDrive%\Document and Seettings\hook.dl_
%SystemDrive%\Document and Settings\tazebama.dl_
C:\zPharaoh.exe

Objawy:
-Obecność pliku C:\Windows\Salo.exe
-Częste zawieszanie się komputera.
-Modyfikacja klucza: HKLM\Software\WindowsNT\CurrentVersion\Winlogon
-Gwałtowne zmniejszenie miejsca na dysku.

Robak także ustawia klucz rejestru by ukryć pliki systemowe :

HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Zaawansowane \ "ShowSuperHidden" = "0"

Szczepionka :

http://www.softpedia.com/get/Antivirus/Win32-Mabezat-Remover.shtml

https://www.virustotal.com/file/a92fb2ca707dbf561314222af7378d99d8f0dcd93e6f06512b1ec077dd61437c/analysis/1352317711/

 

Win32/Virut

Virut nie tylko infekuje pliki z rozszerzeniem .exe i .dll ale także .jpg oraz .doc
Przykładowe wpisy w logach OTL :

.text C:\Windows\system32\winlogon.exe[832] ntdll.dll!NtCreateProcess 7C90D754 5 Bytes CALL
7FF92835

.text C:\Windows\system32\svchost.exe[832] ntdll.dll!NtOpenFile 7C90D754 5 Bytes CALL 7FF92835

.text C:\Windows\system32\Issac.exe[832] ntdll.dll!NtCreateFile 7C90D754 5 Bytes CALL 7FF92835

.text C:\Windows\system32\winlogon.exe[832] ntdll.dll!NtCreateProcessEx 7C90D754 5 Bytes CALL 7FF92835

Możliwa jest także obecność 2 plików :
C:\services.exe
C:\reader-s.exe

Objawy :
-Nieustanne tworzenie się plików .tmp (tymczasowych) w folderze:
C:\Windows\system32\5.tmp
C:\Windows\system32\9i.tmp

Dr.Web:

http://www.dobreprogramy.pl/Dr.WEB-CureIt,Program,Windows,12976.html

https://www.virustotal.com/file/513761f985b5c6e227b8c9e978115a923d337be8c0dded4baa7425cc1c42314d/analysis/1352317629/

 

Win32/Tenga

Win32/Tenga: (Inne nazwy wirusa : Win32/Licum, Win32/Gael, Win32/Stanit)

W logach widać tylko charakterystyczne piki na dysku:
-dl.exe
-gaelicum.exe
-cback.exe

Robak łączy się również ze stronami i próbuje pobrać pliki :




 

-ute*ti.lycos.it/vx9/CBAC

-uten*ti.lycos.it/vx9/GAELIC

Ten robak infekuje tylko pliki z rozszerzeniem .exe.

Dr.Web :

http://www.dobreprogramy.pl/Dr.WEB-CureIt,Program,Windows,12976.html

 

Win32/Ramnit

Win32/Ramnit to rodzina złośliwych programu wieloskładnikowego ,który infekuje pliki wykonywalne systemu oraz wszystkie pliki .exe znajdujące się na dysku twadym.

W logach widać charakterystyczne pliki na dysku:
RamnitFake.exe
jonimvmg.exe

Oraz taki wpis:
O20 - HKLM Winlogon: UserInit - (c:\program files \microsoft\desktoplayer.exe) - c:\program files \microsoft\desktoplayer.exe

Dr.Web :

http://www.dobreprogramy.pl/Dr.WEB-CureIt,Program,Windows,12976.html

Przykładowy skan virustotal by Fr3shMak3r :

https://www.virustotal.com/file/f712e7d6746560b22da2ceef8b30d8895a4d4f2876969fd520cde63764bce80b/analysis/1352317447/

 

Win32/Alman

Wirus symulujący sterownik NVIDIA.
Uwaga na podobną nazwę NVMINI

W OTL zobaczymy to :

DRV - [2012-07-05 07:00:53 | 000,017,152 | ---- | M] (NVIDIA Corporation) [Kernel | Disabled | Stopped] -- C:\WINDOWS\system32\drivers\nvmini.sys -- (nvmini)

[2012-06-20 22:33:32 | 000,017,152 | ---- | C] (NVIDIA Corporation) -- C:\WINDOWS\System32\drivers\nvmini.sys

To nie jest sterownik firmy NVIDIA!!!

Jak wspomniałem wcześniej jest to wirus symulujący sterownik NVIDII

Szczepionka:
 

http://www.softpedia.com/get/Antivirus/Win32-Alman-Remover.shtml

Przykładowy skan virustotal by Fr3shMak3r :

https://www.virustotal.com/file/4fe69372185f494b96c920c92b60b01bb4ab091cb293d88e111648a3ae570f04/analysis/1352317299/

 

P2P.Worm.Win32.Polip

Ten wirus nie ma wpisów widocznych w OTL ani w innych logach .
Wstrzykuje on swój kod do wszystkich aktywnych procesów i w ten sposób zaraża i niszczy pliki wykonywalne na wszystkich dyskach.
Ten wirus rozprzestrzenia się przeważnie za pośrednictwem sieci P2P (torrenty)
Ale nie tylko .

Narzędzie do usuwania :
 

http://www.dobreprogramy.pl/Dr.WEB-CureIt,Program,Windows,12976.html

Przykładowy skan na virustotal.com by Fr3shMak3r :
 

https://www.virustotal.com/file/b73f78cc272fd555d8f2761ed9b330e9e6e2e2cf4e491371d49598615fbe6a04/analysis/1353007265/

 

Win32/Parite

Przeważnie wirus w logach nie jest wykrywalny po za dziwnymi plikami w folderze :

C:/Windows/Temp

Po uruchomieniu wstrzykuje on złośliwy kod do procesu explorer.exe
I w ten sposób zaraża wszystkie pliki wykonywalne .

Szczepionka :
 

http://free.avg.com/us-en/win32-parite

Przykładowy skan na virustotal.com by Fr3shMak3r :
 

https://www.virustotal.com/file/10234839aae248828db7ee4fe08c9846a1553db525a3b25d319ee93000808ad8/analysis/1353007817/

 

 

 

Win32/Neshta 

 

 

 

Wirus infekujący wszystkie pliki wykonywalne z rozszerzeniem .exe , .dll .

Tworzy on plik :

C:\Windows\svchost.com

W kodzie wirusa widnieje takie coś .

Made in Belarus

Oraz :

Delphi -the best

Za pomocą tego można ustalic że wirus najprawdopodobniej powstał w Białorusi oraz został napisany przy pomocy środowiska programistycznego Delphi .

Ta infekcja nie wymaga tyle roboty ,żeby ją usunąc (tak jak w przypadku Sality ).

Kilkukrotny skan Dr.Webem Oraz szczepionką od AVG - Neshta Removal Tool powinien pomóc .

Jeśli nie pomaga to proszę się zgłosic z logami OTL w dziale Komputery

 

Dr.Web :

http://www.dobreprogramy.pl/Dr.WEB-CureIt,Program,Windows,12976.html

Szczepionka :

http://download.avg.com/filedir/util/avgrem/avg_rem_neshta_all_1_814.exe 

 

 

 

Usuwanie infekcji tego typu często jest trudne i nie zawsze się udaje.Jeśli chcemy uniknąć formatowania dysku należy jak szybko zareagować ,gdyż infekcja się na tyle rozprzestrzeni może być już za późno.

 

 

 

 

Win32/Brontok

 

 

To rodzina masowo rozsyłanych e-mail robaków. Robak rozprzestrzenia się poprzez wysyłanie kopii samego siebie jako załącznik e-mail do adresów e-mail zebraną z plików znajdujących się na zainfekowanym komputerze. Może również przenosić się do USB i pen-drive. Win32/Brontok może wyłączyć oprogramowanie antywirusowe i firewall.Robak może również prowadzić Denial of Service (DoS) ataków na niektórych stronach internetowych.

Obecność robaka w logu:

HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run\TokCirrhatus

C:\Users\admin\Appdata\Local\Update.Email.Bron.tok

C:\Users\admin\Appdata\Local\Bron.tok.A12.em.bin

C:\Users\admin\Appdata\Local\Update.12.Bron.Tok.bin.

 

Worm.Conficker

 

-Jeden z najgroźniejszych robaków komputerowych pojawił się w sieci w 2008 i nadal ma się dobrze.

robak wykorzystuje znane luki w zabezpieczeniach platformy Windows Serwer.

Chociaż firma Microsoft już dawno załatała tę dziurę robak nadal ma się dobrze wynikiem tego jest wskutek niedbalstwa użytkowników

Zamiast pobierać co jakiś czas aktualizacje to tego nie robią.

Objawy:

-wzmożony ruch w portach sieciowych.
-nie działają aktualizacje .
-błąd svchost.exe
-próbuje połączyc się z ze stronami :
*www.aol.com
*www.ebay.com
*www.msn.com

Win32/Bagle ( wariant srosa.sys)

Obecnosc w logach :

C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\drivers\hldrrr.exe
C:\WINDOWS\system32\mdelk.exe
C:\WINDOWS\system32\wintems.exe

Objawy :

-nie działa tryb awaryjny Bagle kasuje klucz SafeBoot z rejestru
-padają programy ochronne (antywirusy ,firewalle , skanery antymalware)
-większosc aplikacji zwraca błąd :




-nie działa siec Wi-fi gdyż Bagle wyłącza sterownik ndisuio.sys.
- w menedżerze zadań procesy numeryczne np 839452.exe itp.

Przykładowy skan virustotal.com by Fr3shMak3r :
 

https://www.virustotal.com/file/3a1f31387a0a1369c9b66f1c1a13e7cd7043100871a1aff5cef587909d2819e2/analysis/1352316019/

 

 

 

 

Trojan.Weelsof

 

 

 

Obecność w logach :

C:\Users\user\wgsdgsdgdsgsd.dll
C:\ProgramData\dsgsdgdsgdsgw.pad
C:\ProgramData\dsgsdgdsgdsgw.js
C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk
 

Zasada jest prosta plik runctf.lnk który jest umieszczony a autostarcie startuje wraz z tymi 3 plikami uniemożliwiając systemowi uruchomienia procesu explorer.exe odpowiedzialnego za  wyświetlanie paska zadań oraz ikon.

 

Objawy to wiadomo przy starcie systemu wyświetla się komunikat :

 

 

 

 

 

 

 

 

[neilnelson]

Dobre, kazdemu lamerowi sie to przyda

[Fr3shMak3r]

Dobre, kazdemu lamerowi sie to przyda

 

Wiesz tak sobie z nudów zrobiłem

Wiesz Metin5 OrientalMt2 oraz Mexilla miały zarażony client wirusem Sality , ile ludzi to za przeproszeniem ,,gów..'' pobierało to poprostu stworzyłem taki temat ,

Będę go aktualizował co jakiś czas dodając inne Infekcje.

[HackNet]

TuTek przydatny. Co do estetyki to przydałyby się większe odstępy pomiędzy kolejnymi opisami danych wirusów. Same nazwy wirusów też przydałoby się jakoś bardziej uwidocznić - podkreśl etc.

[Fr3shMak3r]

Aktualizacja 28-02-2012.

[Sawickas]

-Obecność pliku C:\Windows\

svchost.exe

(waży około 35 bajtów)

Popraw na :

-Obecność pliku C:\Windows\

svchost.exe

(waży około 35 bajtów) [ poprawna to C:\Windows\System32\svchost.exe ]

[Paczuch]

Dobre, kazdemu lamerowi sie to przyda

 

 

Masz na myśli siebie? Z pewnością jak załapiesz jednego z tych insektów to chwila moment tu przyleziesz.

[Fr3shMak3r]

Popraw na :

-Obecność pliku C:\Windows\

 

svchost.exe

(waży około 35 bajtów) [ poprawna to C:\Windows\System32\svchost.exe ]

 

Przecież napisałem jasno.

C:\Windows/svchost.exe to usługa wiusa Jeefo

a C\Windows/system32/svchost.exe to plik systemowy.

 

@Topic Dziś dodam parę infekcji oraz poprawię Win32/Tenga , Win32/Virut ,Win32/Ramnit.

[Gość]

trelelele.

Sry że off-top ale napisałbyś po Polsku a nie po "Polskiemu"/

Tak wgl. to mogłeś napisać jak usunąć trojana itp.

[Fr3shMak3r]

trelelele.

Sry że off-top ale napisałbyś po Polsku a nie po "Polskiemu"/

Tak wgl. to mogłeś napisać jak usunąć trojana itp.

 

Co masz na myśli ,,napisałbyś po polsku a nie po Polskiemu?''

[Gość]

Co masz na myśli ,,napisałbyś po polsku a nie po Polskiemu?''

No ja np. nic nie rozumiem z tego:

 

Win32/Sality: (Inne nazwy wirusa : Win32/Sector, Win32/Tanatos!!

W Extras:

Win32/Jeefo: (Inna nazwa wirusa : Win32/Hidrag)

Win32/Mazebat:

Win32/Virut :

Win32/Tenga: (Inne nazwy wirusa : Win32/Licum, Win32/Gael, Win32/Stanit)

 

 

Win32/Ramnit :

 

Ale może to przez to że jestem zielony w sprawach wirusów (jedyny jaki miałem to był jakiś tam żuczek czy coś takiego.

[rafix151]

To można by podpiąć. Szkoda, żeby tyle pracy zniknęło w SPAM'ie. A na pewno nie jednemu z nas się to przyda (ja się nie uważam za lamera, ale jak będę potrzebował chętnie tu zajrzę).

[Willemo]

Wielkie dzieki temu panu co zalozyl ten temat

Niby poradzilam sobie z wirusem, sprawdzil , czy dobrze zrobilam :P

Wielkie brawa dla tego pana

[Fr3shMak3r]

Aktualizacja 21.04.2012

Drobne poprawki + dodanie Win32/Ramnit

[Gość]

Objawy:

-Obecność pliku C:\Windows\svchost.exe (waży około 35 bajtów)

 

Znalazłem coś takiego. Waży 25kb, ale skanuje zwykłym antywirem i nic. Mam windows 7 64 bit. Czy mam to usunąć? Faktycznie troche wolniej komp działa.

[Fr3shMak3r]

Znalazłem coś takiego. Waży 25kb, ale skanuje zwykłym antywirem i nic. Mam windows 7 64 bit. Czy mam to usunąć? Faktycznie troche wolniej komp działa.

 

Tak na początek prześlij mi loga OTL+EXTRAS.

Napewno jest to lokalizacje Windows/Svchost.exe?

Czy Windows/system32/svchost.exe

[Gość]

@up

W system32

Nie wiem jak loga zrobić Naucz.

[Fr3shMak3r]

Skoro system to usługa Windows.

A co do loga poprostu wszystko zaznaczasz użyj filtrowania i przycisk Skanuj.

Potem pojawią sie 2 logi o nazwie OTL i EXTRAS.

Przy okazji możesz Dac loga .

[Gość]

Nie wiem. nie ogarniam.

W menadżerze zadań znalazłem jakieś dziwne procesy atieclxx.exe , csrss.exe , HControl.exe ,WFC.exe , KBFiltr.exe

Boje się i piszę do Was Windows 7 Home premium

[Fr3shMak3r]

atieclxx.exe-sterownik karty graficznej ATI/AMD

csrss.exe-usługa systemowa.

HControl.exe -Niewiem ,ale podejrzewam że to jakiś sterownik.

WFC.exe -tutaj musiałem z neta zerżnąc bo sam nie wiedziałem.

WFC rezyduje w zasobniku systemowym i jest bardzo poręczny dostęp do wszystkich kontroli zapory.

Więc bezpieczny.

KBFiltr.exe-process od jakiegoś programu.

Masz laptopa firmy ASUS?

[xXPixel]

Mam pytanie co to są za aplikacje jestem zielony w tych tematach więc pytam was

- csrss.exe

- tcbhn.exe

- SSCKbdHk.exe

- nvxdsync.exe to mi się wydaję że jest to coś z nvidii ale nie jestem pewien

Dodam jeszcze że mam windows 7 home (laptop)

Z góry dzięki za odpowiedź oraz pozdrawiam !

[Fr3shMak3r]

Mam pytanie co to są za aplikacje jestem zielony w tych tematach więc pytam was

 

- csrss.exe

 

- tcbhn.exe

 

- SSCKbdHk.exe

 

- nvxdsync.exe to mi się wydaję że jest to coś z nvidii ale nie jestem pewien

 

Dodam jeszcze że mam windows 7 home (laptop)

 

Z góry dzięki za odpowiedź oraz pozdrawiam !

 

 

csrss.exe to usługa systemowa.

tcbhn.exe-podejrzane...

SSCKbdHk.exe -podejrzane...

nvxdsync.exe-proces Nvidii 3D

Pozdrawiam.

[xXPixel]

Dzięki! a wiesz może jak te pliki usunąć podejrzane? mam antywirusa skanowałem i wykrył tylko jakiegoś wirusa że reklamy mi wyświetla ale go usunął a te zostały:/

[Fr3shMak3r]

Najpierw daj loga OTL+EXTRAS.

Ale załóż temat bo tu się robi zbędny spam.

Tu masz instr. http://www.mpcforum.pl/topic/489544-tut-jak-zalozyc-temat/

[xXPixel]

ok założyłem

http://www.mpcforum.pl/topic/639478-usuwanie-wirusa/