Nejspise trojan; cerna obrazovka po startu
Napsal: 21 bře 2014 07:46
Ahoj,
Na uvod bych chtel rici, ze za 15 let moji pocitacove kariery jsem v zivote nebyl infikovan. Ani nyni mi neni zatim znam duvod jak se to stalo, zatim proto mam vysvetleni souvisejici se zneuzitim java frameworku a injectnuti kodu do prislusnych knihoven. Presto je to zvlastni protoze mam stroj radne zkonfigurovan, a java by nemela byt webrowseru vubec pristupna (coz opravdu neni). Dle logu antivirus nezaznamenal zadne bezpecnostni riziko, do te doby nez zapnul toho dne pocitac, coz je zvlastni do te doby rezidentni stity nic nezachytili.
Stranky ktere jsou pro me nezname navic vzdy prohlizim v sandbox rezimu.
Nicmene co se stalo, stalo se ...
Projevuje se to tak ze system nabehne normalne (post, nacitani kernelu, zavedeni registru, driveru ...) az se dostanu na logon page. Samotne prihlaseni k uctu trva 3 sekundy, momentalne 20. Ovsem po teto dobe nabehne jen cerna obrazovka, kurzor normalne vidim a muzu jej ovladat. Pocitac zjevne na pozadi bezi, pokud zavolam klavesnici tasklist - zobrazi se, je videt ze se nezavedou nektere sluzby, startup apps, a predevsim explorer.exe diky kteremu bezpochyb nevidim prostredi. Pokud jej zkusim spustit manualne z konzole, dostavam error program is corrupt: virus found.
Vzhledem k tomu ze do te doby nez nadesel tento stav, antivirus nic nezaznamenal. Chtel bych upozornit, ze pri vypnutem stroji dochazelo k zapojeni noveho HW a to konkretne USB wifi modulu. Je tedy mozne ale malo pravdepodobne, ze samotne knihovny si poskodil sam system ...
V nouzovem rezimu jsem zkusil:
TDSSkiller
Avast antivirus full scan
Eset remove rootkit
Junkware remover
------------ nic nenalezeno ---------
Jen aswMBR nalezlo toto
aswMBR version 0.9.9.1771 Copyright© 2011 AVAST Software
Run date: 2014-03-19 08:53:57
-----------------------------
08:53:57.587 OS Version: Windows 6.1.7601 Service Pack 1
08:53:57.587 Number of processors: 2 586 0xF02
08:53:57.588 ComputerName: WARLOCKER-PC UserName: WarLocker
08:53:58.214 Initialize success
08:54:00.291 AVAST engine defs: 14031802
08:54:43.192 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-4
08:54:43.195 Disk 0 Vendor: ST3320620AS 3.AAK Size: 305244MB BusType: 3
08:54:43.275 Disk 0 MBR read successfully
08:54:43.279 Disk 0 MBR scan
08:54:43.765 Disk 0 Windows 7 default MBR code
08:54:43.792 Disk 0 Partition 1 80 (A) 07 HPFS/NTFS NTFS 99998 MB offset 63
08:54:44.295 Disk 0 Partition 2 00 07 HPFS/NTFS NTFS 205244 MB offset 204796620
08:54:44.542 Disk 0 scanning sectors +625137345
08:54:45.007 Disk 0 scanning C:\Windows\system32\drivers
08:54:57.858 Service scanning
08:55:12.217 Modules scanning
08:55:15.759 Module: C:\Windows\System32\user32.dll **SUSPICIOUS**
08:55:17.139 Disk 0 trace - called modules:
08:55:17.155 ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys halmacpi.dll ataport.SYS intelide.sys PCIIDEX.SYS atapi.sys
08:55:17.155 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x858f8030]
08:55:17.155 3 CLASSPNP.SYS[8bd9a59e] -> nt!IofCallDriver -> [0x84b17918]
08:55:17.155 5 ACPI.sys[8b89b3d4] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP0T0L0-4[0x8545f610]
08:55:17.545 AVAST engine scan C:\Windows
08:55:17.992 File: C:\Windows\explorer.exe **INFECTED** Win32:Dropper-gen [Drp]
08:55:19.945 AVAST engine scan C:\Windows\system32
08:57:12.079 AVAST engine scan C:\Windows\system32\drivers
08:57:19.917 AVAST engine scan C:\Users\WarLocker
08:58:12.085 AVAST engine scan C:\ProgramData
08:58:26.269 Scan finished successfully
08:59:03.398 Disk 0 MBR has been saved successfully to "C:\Docasne\MBR.dat"
08:59:03.406 The log file has been saved successfully to "C:\Docasne\aswMBR.txt"
Coz je bezpochyb duvod proc neni nacten account. Jak expolorer.exe, tak user32.dll maji toto na starost.
Otazkou je, myslite ze by je stacilo v nouzaku prepsat nativnim ? Nebo je to opravdu infekce jako takova ? Pripadne mohl by nekdo poskytnout tyto dva soubory z windows 7 SP1 32bit ?
Dekuju za pomoc a rady
Na uvod bych chtel rici, ze za 15 let moji pocitacove kariery jsem v zivote nebyl infikovan. Ani nyni mi neni zatim znam duvod jak se to stalo, zatim proto mam vysvetleni souvisejici se zneuzitim java frameworku a injectnuti kodu do prislusnych knihoven. Presto je to zvlastni protoze mam stroj radne zkonfigurovan, a java by nemela byt webrowseru vubec pristupna (coz opravdu neni). Dle logu antivirus nezaznamenal zadne bezpecnostni riziko, do te doby nez zapnul toho dne pocitac, coz je zvlastni do te doby rezidentni stity nic nezachytili.
Stranky ktere jsou pro me nezname navic vzdy prohlizim v sandbox rezimu.
Nicmene co se stalo, stalo se ...
Projevuje se to tak ze system nabehne normalne (post, nacitani kernelu, zavedeni registru, driveru ...) az se dostanu na logon page. Samotne prihlaseni k uctu trva 3 sekundy, momentalne 20. Ovsem po teto dobe nabehne jen cerna obrazovka, kurzor normalne vidim a muzu jej ovladat. Pocitac zjevne na pozadi bezi, pokud zavolam klavesnici tasklist - zobrazi se, je videt ze se nezavedou nektere sluzby, startup apps, a predevsim explorer.exe diky kteremu bezpochyb nevidim prostredi. Pokud jej zkusim spustit manualne z konzole, dostavam error program is corrupt: virus found.
Vzhledem k tomu ze do te doby nez nadesel tento stav, antivirus nic nezaznamenal. Chtel bych upozornit, ze pri vypnutem stroji dochazelo k zapojeni noveho HW a to konkretne USB wifi modulu. Je tedy mozne ale malo pravdepodobne, ze samotne knihovny si poskodil sam system ...
V nouzovem rezimu jsem zkusil:
TDSSkiller
Avast antivirus full scan
Eset remove rootkit
Junkware remover
------------ nic nenalezeno ---------
Jen aswMBR nalezlo toto
aswMBR version 0.9.9.1771 Copyright© 2011 AVAST Software
Run date: 2014-03-19 08:53:57
-----------------------------
08:53:57.587 OS Version: Windows 6.1.7601 Service Pack 1
08:53:57.587 Number of processors: 2 586 0xF02
08:53:57.588 ComputerName: WARLOCKER-PC UserName: WarLocker
08:53:58.214 Initialize success
08:54:00.291 AVAST engine defs: 14031802
08:54:43.192 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-4
08:54:43.195 Disk 0 Vendor: ST3320620AS 3.AAK Size: 305244MB BusType: 3
08:54:43.275 Disk 0 MBR read successfully
08:54:43.279 Disk 0 MBR scan
08:54:43.765 Disk 0 Windows 7 default MBR code
08:54:43.792 Disk 0 Partition 1 80 (A) 07 HPFS/NTFS NTFS 99998 MB offset 63
08:54:44.295 Disk 0 Partition 2 00 07 HPFS/NTFS NTFS 205244 MB offset 204796620
08:54:44.542 Disk 0 scanning sectors +625137345
08:54:45.007 Disk 0 scanning C:\Windows\system32\drivers
08:54:57.858 Service scanning
08:55:12.217 Modules scanning
08:55:15.759 Module: C:\Windows\System32\user32.dll **SUSPICIOUS**
08:55:17.139 Disk 0 trace - called modules:
08:55:17.155 ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys halmacpi.dll ataport.SYS intelide.sys PCIIDEX.SYS atapi.sys
08:55:17.155 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x858f8030]
08:55:17.155 3 CLASSPNP.SYS[8bd9a59e] -> nt!IofCallDriver -> [0x84b17918]
08:55:17.155 5 ACPI.sys[8b89b3d4] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP0T0L0-4[0x8545f610]
08:55:17.545 AVAST engine scan C:\Windows
08:55:17.992 File: C:\Windows\explorer.exe **INFECTED** Win32:Dropper-gen [Drp]
08:55:19.945 AVAST engine scan C:\Windows\system32
08:57:12.079 AVAST engine scan C:\Windows\system32\drivers
08:57:19.917 AVAST engine scan C:\Users\WarLocker
08:58:12.085 AVAST engine scan C:\ProgramData
08:58:26.269 Scan finished successfully
08:59:03.398 Disk 0 MBR has been saved successfully to "C:\Docasne\MBR.dat"
08:59:03.406 The log file has been saved successfully to "C:\Docasne\aswMBR.txt"
Coz je bezpochyb duvod proc neni nacten account. Jak expolorer.exe, tak user32.dll maji toto na starost.
Otazkou je, myslite ze by je stacilo v nouzaku prepsat nativnim ? Nebo je to opravdu infekce jako takova ? Pripadne mohl by nekdo poskytnout tyto dva soubory z windows 7 SP1 32bit ?
Dekuju za pomoc a rady
