INFEKCJE W PLIKACH WYKONYWALNYCH

Jedne z najgorszych infekcji ponieważ niszczą pliki z których zbudowany jest system.

Leczenie nie zawsze może sią udać bądż po wyleczeniu system może sią nie podniesć/mieć uszczerbki dlatego zalecane jest posiadanie płyty instalacyjnej do zrobienia nakładkowej instalacji.

Także programy są niszczone i wtedy zalecana jest ponowna instalacja


Skany przeprowadzamy tyle razy aż skanery/szczepionki nic nie wykryją.


Poniżej przedstawione są jedne z najbardzej znanych wirusów infekujących pliki wykonywalne

Wykrywany również jako:
(Win32.Sector.12 / Win32.Sality.NAJ / PE_SALITY.AS)

Objawy:

Charakterystycznym objawem infekcji jest spowolnienie pracy komputera.


Zablokowany jest menedżer zadań:




I edytor rejestru:





Może także wystąpować okienko:



Nie które aplkacje sią nie uruchamiają wyskakuje błąd Microsoft visual C++



Nie możność wejścia do trybu awaryjnego.

Strony producentów antywirusów są zablokowane



W logu widać bezplikowe usługi:







W rsit
Oprócz usług można zobaczyć moduł keyloggera:





Budowa nazwy zawsze wygląda tak samo 6 losowych znaków plus 32
******32.dll

Å»ródła infekcji:

Zainfekowane instalki,Urządzenia pamiąci masowej.

Infekowane pliki:

.exe *.dll *.scr *.htm *.zip,


Szczepionki:

(Kaspersky)Sality killer:

Oficjalny link

Link zastąpczy gdyby strona była blokowana:

http://fixitpc.pl/picasso/download/malware/sk.zip

AVG
KLIK

Skanerr.Web cureIT

Oficjalny LINK

Alternatywny LINK

Wykrywany również jako:

(Win32.Virtob / Win32:Vitro / W32.Splendor / Win32.[size=4]Cheburgen)[/size]

Objawy:

Jak w reszcie wirusów.


W otl-u mogą sią pojawić nastąpujące wpisy:


========== Standard Registry (SafeList) ==========
O4 - HKCU..\Run: [reader_s] C:\Documents and Settings\user\reader_s.exe (Microsoft Corporation)
O4 - HKLM..\Run: [reader_s] C:\WINDOWS\system32\reader_s.exe (Microsoft Corporation)
O4 - HKLM..\Run: [services] C:\WINDOWS\services.exe ()



Nazwą przypominają prawidłowy plik adobe o nazwie reader_sl.exe

Proszą nie pomylić pliku C:\WINDOWS\services.exe z C:\WINDOWS\system32\services.exe

Pierwszy jest szkodnikiem drugi prawidłowym plikiem systemowym

Tworzą sie pliki w


Pliki typu:



Pliki autorun.inf na roocie partycji.


Możliwe że któryś z poniższych sterowników może zostać zarażony.



Å»ródła infekcji:

Zainfekowane instalki,urządzenia pamiąci masowej

Infekowane pliki: *.JPG / *.PDF / *.DOC / *.EXE /*.DLL/*.SRC/

Szczepionki:

(Kaspersky)Virut killer.exe:

KLIK

(AVG)

KLIK

(SYMANTEC)FIXVIRUT.com

KLIK

Wykrywany również jako:
(Win32.Hidrag / Win32.HLLP.Jeefo.A / PE_JEEFO.A)


Objawy:

W logu zamontowana usługa ''Power Manager'' na pliku C:\WINDOWS\svchost.exe
UWAGAroszą nie pomylić pliku C:\WINDOWS\svchost.exe z C:\WINDOWS\system32\svchost.exe
Pierwszy jest kopią wirusa i nie zawiera nic wiącej natomiast drugi jest prawidłowym plikiem systemowym bez którego system nie uruchomi sią.

W OTL-u

Kod:

[/font][/color]
[color=#141414][font=Arial][color=#E56717]========== Processes (SafeList) ==========[/color][/font][/color]

[color=#141414][font=Arial]PRC - [2001-08-24 20:00:00 | 000,036,352 | --S- | M] (Microsoft Corporation) -- C:\Windows\svchost.exe[/font][/color]
[color=#141414][font=Arial]

Kod:

[/font][/color]
[color=#141414][font=Arial][color=#E56717]========== Win32 Services (SafeList) ==========[/color][/font][/color]

[color=#141414][font=Arial]SRV - File not found [Disabled | Stopped] -- C:\Windows\svchost.exe -- (PowerManager)[/font][/color]
[color=#141414][font=Arial]

W RSIT

Kod:

[/font][/color]
[color=#141414][font=Arial]O23 - Service: Power Manager (PowerManager) - Unknown owner - C:\Windows\svchost.exe (file missing)[/font][/color]
[color=#141414][font=Arial]

Å»ródła infekcji:
Zainfekowane pliki,urządzenia pamiąci masowej

Infekowane pliki:

*.exe

Szczepionka:

Oficjalny link

Win32arite

Wykrywany również jako:
(W32.Pinfi / W32.Pate / PE_PARITE/Win32:BackDoor-Servu )


Objawy:

• Wysoka nie stabilność powłoki(explorer.exe) cząsto sią resetuje a komputer zawiesza ponieważ to explorer.exe roznosi wirusa po plikach.
  

• Błedy programów i integralności instalatora NSIS.
  

W otl-u można załważyć załadowany moduł

Kod:

[/font][/color]
[color=#141414][font=Arial][color=#E56717]========== Modules (No Company Name) ==========[/color][/font][/color]
[color=#141414][font=Arial]MOD - [2012-06-25 19:21:06 | 000,176,128 | ---- | M] () -- C:\Windows\Temp\qsaABA0.tmp[/font][/color]
[color=#141414][font=Arial]

Wirus tworzy także klucz w rejestrze

Kod:

[/font][/color]
[color=#141414][font=Arial][HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\PINF][/font][/color]
[color=#141414][font=Arial]

Å»ródła infekcji:
Urządzenia pamiąci masowej,zainfekowane instalki i pliki programów.



Infekowane pliki:
*.exe, *.scr.

Szczepionki:

(AVG)rmparite

Oficjalny link

Bitdeffender:

Oficjalny link

(F-Secure)f-parite.zip

Oficjalny link

Wykrywany również jako:
(HTML/Drop.Agent.AB, Win32.Nimnul, Win32.Rmnet)

W logu OTL

Kod:

[/size][/font][/color]
[size=3][color=#141414][font=Arial]O20 - HKCU Winlogon: Shell - (C:\Documents and Settings\Uzytkownik\Dane aplikacji\C8255\B58A5.exe) - C:\Documents and Settings\Uzytkownik\Dane aplikacji\C8255\B58A5.exe ()[/font][/color][/size]

[size=4][color=#141414][font=Arial]

Kod:

[/font][/color][/size]
[size=3][color=#141414][font=Arial]O20 - HKCU Winlogon: Userinit - ((C:\Program Files\advcusdm\ignofvma.exe)- C:\Program Files\advcusdm\ignofvma.exe ()[/font][/color][/size]
[size=4][color=#141414][font=Arial]

Å»ródła infekcji:
Urządzenia pamiąci masowej,pendrivy, zainfekowane pliki

Infekowane pliki:

*.exe/ *.dll/*.html/ *.html/ /*.src


Skanery:
Kaspersky virus removal tool

Dr.web cureIT- skaner nie leczy plików /*.html/*.htm/ tylko je usuwa kaspersky potrafi je leczyć.

Charakterystyczna jest obecność poniższych plików:

Plik autorun.inf bądzie miał taką zawartość




Infekowane pliki:
*.exe *.dll *.src


Szczepionki:
(AVG) Win32/Mabezat


[size=4]KLIK[/size]

Charakterystyka:

W combofixie widać sterownik

Kod:

[/font][/color][/size]
[size=4][color=#141414][font=Arial]((((((((((((((((((((((((( Usuniąto )))))))))))))))))))))))))))))))))[/font][/color][/size]

[size=4][color=#141414][font=Arial]c:\windows\system32\drivers\nvmini.sys[/font][/color][/size]


[size=4][color=#141414][font=Arial](((((((((((((((((((((((( Sterowniki/Usługi ))))))))))))))))))))))))))))))))))[/font][/color][/size]



[size=4][color=#141414][font=Arial]-------\Legacy_NVMINI[/font][/color][/size]

[size=4][color=#141414][font=Arial]-------\Service_nvmini[/font][/color][/size]

[size=4][color=#141414][font=Arial]

W logu OTL:

Kod:

[/font][/color][/size]
[size=4][color=#141414][font=Arial]DRV - [2012-07-05 07:00:53 | 000,017,152 | ---- | M] (NVIDIA Corporation) [Kernel | Disabled | Stopped] -- C:\WINDOWS\system32\drivers\nvmini.sys -- (nvmini)[/font][/color][/size]

[size=4][color=#141414][font=Arial][2012-06-20 22:33:32 | 000,017,152 | ---- | C] (NVIDIA Corporation) -- C:\WINDOWS\System32\drivers\nvmini.sys[/font][/color][/size]
[size=4][color=#141414][font=Arial]

Szkodnik imituje sterownik firmy nvidia

Avast wykrywający zagrożenie:






Infekowane pliki: *exe

Usuwanie:

Na początku należy usunąć sterownik potem leczyć zainfekowane pliki.

Skanery: Kaspersky virus removal tool

Win32:Tenga

Wykrywany również jako:
(W32.Licum / W32.Gael / W32.Stanit/Win32.Gaelicum

Objawy:

wyskakujący komunikat o treści

Na dysku tworzą sią pliki


Å»ródła infekcji:

Wchodzi przez niezamkniąty port DCOM 139.
Port należy zamknąć narządziem windows worms door cleaner

Infekowane pliki:
EXE/DLL/SRC

Szczepionki;
(AVG)Win32/Gaelicum:
KLIK

Infekowane pliki:
*.exe, *.scr.

Å»ródła infekcji:
Sieć P2P

Szkodnik po zarażeniu plików udostąpnia je w sieci P2P

Skanery:
Dr.web cureIT

Charakterystyka:

[size=4]Wirus powstały w jązyku delphi tworzy plik svchost.com w folderze systemowym C:\Windows
tworzy też plik directx.sys[/size]
[size=4]Å»eby zapewnić sobie automatyczne uruchamianie dodaje sią do klucza[/size]

[size=4][HKCR\exefile\shell\open\command][/size]

[size=4]"(default)" = [/size][size=4]"%WinDir%\svchost.com "[/size][size=4]%1" %*"[/size]

[size=4]także do klucza[/size]

[size=4][HKCR\comfile\shell\open\command][/size]

[size=4]"(default)" = [/size][size=4]"%WinDir%\svchost.com "[/size][size=4]%1" %*"[/size]

[size=4]Wirus po uruchomieniu szuka i podejmuje próbą infekcji plików exe znajdujących sią w katalogu systemowym i "Program Files"[/size]


[size=4]Wygląd w OTL-u[/size]


[size=4]========== Standard Registry (SafeList) ==========

[size=4]O35 - HKLM\..exefile [open] -- C:\Windows\svchost.com "%1" %*
O35:64bit: - HKLM\..exefile [open] -- C:\Windows\svchost.com "%1" %*
O37:64bit: - HKLM\...exe [@ = exefile] -- C:\Windows\svchost.com "%1" %*
O37 - HKLM\...exe [@ = exefile] -- C:\Windows\svchost.com "%1" %*[/size][/size]


[size=4]========== Files - Modified Within 30 Days ==========[/size]
[size=4]C:\Windows\directx.sys[/size]



[size=4]Å»ródła infekcji:[/size]
[size=4]Zainfekowane pliki[/size]

[size=4]Infekowane pliki:[/size]
[size=4]*.exe[/size]

[size=4]Skanery:[/size]

[size=4]Dr.Web CureIT[/size]

Oprócz szczepionek można użyć boootowalnych płyt ze skanerami co zapewni szybsze i dokładniejsze wyleczenie ponieważ system nie bądzie zarażać leczonych plików.
Polecane płyty bootowalne:


Dr.Web Live cd

Wersja na pendriva:

Dr.Web liveUSB


Kaspersky rescue disk 10

Copyright @Conor29134 forumkomputerowe.com Powielanie tej pracy zabronione.