Zainfekowany "Internet Security Suite"

[afc85]

witam

windowsowy security suite wywala komunikaty o wirusach, trojanach, zainfekowanych mailach (komunikaty takie jak ten http://tinypic.com/r/2ij3x8z/7 żadnego z tych adresów e mail nie mam w kontaktach dlatego wygląda to na fake) opcjonalnych aktualizacjach, po czym kieruje na stronę z płatnymi aktualizacjami, spybot faktycznie wykrył i pousuwal częśc trojanów, ale problem dalej jest, ponadto pojawiają się błedy:

svchost.exe błąd aplikacji instrukcja spod "0x6fe217c2" odwołuje sie do pamięci pod adresem "0x6fe217c2" pamięć nie może być "written"

memory acces problem windows error form has encoutered a problem at addres 0x1FC408

 

system to win xp ale chyba jakiś modyfikowany (na ekranie ładowania systemu oznaczony jest jako windows mx)

po pojawieniu sie błędu svchost.exe nie działa dźwięk i generalnie system działa jakby wolniej

c windows system 32 drivers etc hosts.txt

OTL.Txt

Extras.Txt

gmer.txt

[picasso]

Log z GMER robiony w nieprawidłowych warunkach = działa w tle sterownik emulacji napędów wirtualnych (KLIK):

 

DRV - [2008-06-08 20:54:59 | 000,717,296 | ---- | M] () [Kernel | Boot | Running] -- C:\WINDOWS\System32\Drivers\sptd.sys -- (sptd)

Nie podałeś raportu ze Spybota, który ma pokazać co niby było usuwane.

 

 

1. Pobierz plik FIX.TXT:

 

FIX.TXT

 

2. Uruchom OTL i wybierz opcję Wykonaj skrypt, a gdy spyta o plik skryptu, wskaż FIX.TXT. Komputer będzie restartował, a po restarcie otrzymasz z tego log.

 

3. Następnie zrób porządki w programach. Odinstaluj śmieciarskie paski narzędziowe (MediaBar 2.0 (BearShare), Winamp Toolbar for Internet Explorer i Firefox) oraz przestarzały program Ad-Aware 2007

 

4. Generujesz nowe logi z OTL opcją Skanuj. Prezentujesz i log powstały z usuwania w punkcie 1.

 

 

 

.

[afc85]

zalecenia wdrożone

security suite już nie wariuje ale błąd svchost.exe nadal występuje

załączam raport otl po wykonanym skrypcie i nowe logi otl i gmer

logi otl po skrypcie.txt

OTL.Txt

Extras.Txt

gmer.txt

[picasso]

W debugerze figurował systemowy svchost.exe (z markerem Microsoftu), co nie jest normalne i świadczy to o jednym z dwóch: plik MS został naruszony lub do tego pliku jest wstrzyknięty jakiś moduł.

 

 

1. Załaduj drobną poprawkę do OTL (to nie powinno usunąć błędu). Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
SRV - File not found [Auto | Stopped] -- C:\Program Files\CyberLink\Shared files\RichVideo.exe -- (RichVideo)
IE - HKU\S-1-5-21-1292428093-1177238915-682003330-500\..\URLSearchHook: {0579B4B6-0293-4d73-B02D-5EBB0BA0F0A2} - Reg Error: Key error. File not found
O2 - BHO: (no name) - {0579B4B1-0293-4d73-B02D-5EBB0BA0F0A2} - No CLSID value found.
O3 - HKU\S-1-5-21-1292428093-1177238915-682003330-500\..\Toolbar\WebBrowser: (no name) - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - No CLSID value found.
O4 - HKU\S-1-5-21-1292428093-1177238915-682003330-500..\Run: [internet Security Suite]  File not found
O7 - HKU\S-1-5-21-1292428093-1177238915-682003330-500\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: DisallowRun = 1
[2008-08-17 14:58:15 | 000,000,000 | ---D | M] (Winamp Toolbar) -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\2f7l4prw.default\extensions\{0b38152b-1b20-484d-a11f-5e04a9b0661f}

 

Wybierz opcję Wykonaj skrypt. Nie będzie restartu. Wynikowo otrzymasz log.

 

 

2. Wykonaj dostosowany skan. W OTL Procesy i Usługi ustaw na Wszystko, a w polu Własne opcje skanowania / skrypt wklej:

 

netsvcs
/md5start
svchost.exe
/md5stop

 

Wybierz opcję Skanuj (a nie Wykonaj skrypt!) i przedstaw wyniki końcowe.

 

 

 

.

[afc85]

wykonane dodaję logi wyskoczył tylko jeden log ze skanowania otl, (bez extras.txt) poprawnie?

log po skrypcie 2.txt

OTL.Txt

[picasso]

Nie widzę tu żadnych dodatkowych oznak. W takim układzie wykonaj:

 

1. Zamknięcie portów via Windows Worms Doors Cleaner.

 

2. Aktualizację systemu (to i tak krok obowiązkowy, bo jest kiepsko = sito i podatność na ataki):

 

Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 7.0.5730.11)

Zainstaluj Service Pack 3 + Internet Explorer 8. Instalacja SP3 może być prowadzona z poziomu Trybu awaryjnego, dla uniknięcia potencjalnych błędów. Po master aktualizacji przejdź na stronę Windows Update i załaduj wszystkie krytyczne aktualizacje.

 

 

Po wykonaniu wszystkich zaleceń zgłoś się tutaj i przedstaw sytuację, czy po załataniu Windows nadal zgłaszają się błędy svchost.exe.

 

 

wyskoczył tylko jeden log ze skanowania otl, (bez extras.txt) poprawnie?

 

OTL uruchomiony więcej niż raz ma przestawioną opcję "Rejestr - skan dodatkowy" na Brak. By Extras został wygenerowany ponownie, należy przełączyć opcję na "Użyj filtrowania".

 

 

.

[afc85]

zalecenia wprowadzone i nie ma już żadnych niepokojących komunikatów

wielkie dzięki za pomoc

[picasso]

Na koniec jeszcze:

 

1. W OTL wywołaj funkcję Sprzątanie. To usunie kwarantannę i program.

 

2. Softy o kwalifikacji aktualizacyjnej:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{3248F0A8-6813-11D6-A77B-00B0D0160020}" = Java™ 6 Update 2
"{AC76BA86-7AD7-1045-7B44-A92000000001}" = Adobe Reader 9.2 - Polish
"Gadu-Gadu" = Gadu-Gadu 7.7
"KLiteCodecPack_is1" = K-Lite Mega Codec Pack 3.5.7
"Nowe Gadu-Gadu" = Nowe Gadu-Gadu

• Java i Adobe Reader do deinstalacji i zastąpienia najnowszymi załatanymi wersjami: INSTRUKCJE.
  
• Gadu-Gadu 7.7 i Nowe Gadu-Gadu: nie warto się tak męczyć z duplikatami, a stare Gadu mało sprawne i mało bezpieczne. Proponuję wgląd w Darmowe komunikatory i rozważenie chudego zastępstwa (WTW / Miranda).
  
• Stare kodeki. Opcjonalnie do aktualizacji.
  

3. Po ukończeniu wszystkich instalacji wyczyść foldery Przywracania systemu: INSTRUKCJE.

 

 

 

.

Edytowane 17 Października 2011 przez picasso
16.01.2011 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso