Skocz do zawartości

Infekcja InternetSecurity2011


Rekomendowane odpowiedzi

Złapałem infekcje, a to za sprawą aplikacji InternetSecurity2011, którą że tak powiem świadomie zainstalowałem, ale narobiła więcej szkody niż się spodziewałem.

Nie uruchamia mi się Explorer, cały czas działa nowy szkodliwy proces svchost.exe, wyłączane są aplikacje OTL, Autoruns, Malwarebytes zaraz po rozpoczęciu skanowania. Pliki OTL.exe, OTL.com, pliki GMERa nie można już kolejny raz uruchomić, pokazuje się komunikat Odmowa dostępu.

Chciałem usunąć to świństwo Malwarebytes, ale po rozpoczęciu skanowania się wyłącza. Nie pomaga też uprzednie użycie RKill - generuje taki log:

 

Processes terminated by Rkill or while it was running:

\\.\globalroot\Device\svchost.exe\svchost.exe

 

Działa też nowa usługa Antiwirus 2010

 

54uicj.jpg

 

Log OTL jest wytworzony z OTL PE uruchomiony na własnej płycie Barta. GMER też się wyłącza, ale RootRepeal poszedł.

OTL.Txt

Extras.Txt

RootRepeal report 01-01-11 (16-28-47).txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Usługa startuje na systemowym userinit co może znaczyć, że sam plik też jest zaprawiony choć po tych logach nie jestem w stanie tego jednoznacznie stwierdzić a są to jedynie przypuszczenia. Plik pójdzie na wymianę a wszystko to zrobisz z zewnątrz.

 

PRZYGOTOWANIA

 

1. Pobierz oryginalny userinit pod XP SP3 zgodnie z twoim systemem: KLIK

 

2. Stwórz w Notatniku plik tekstowy o następującej treści:

 

:Services
userinit
vbmaca0d
UnlockerDriver5
 
:OTL
O20 - Winlogon\Notify\WgaLogon: DllName - Reg Error: Value error. - Reg Error: Value error. File not found
[2009/10/03 00:26:14 | 000,735,680 | ---- | C] () -- C:\WINDOWS\System32\msitttmp.dll
[2009/10/03 00:25:25 | 000,037,376 | ---- | C] () -- C:\WINDOWS\System32\drivers\vbmaca0d.sys
 
:Commands
[emptytemp]

 

Plik zapisz pod nazwą FIX.TXT

 

3. Pobrany plik userinit.exe + plik FIX.TXT umieść na pendrive lub innym urządzeniu przenośnym, które może być podpięte do komputera.

 

 

OPERACJA Z POZIOMU OTLPE

 

Podpinasz urządzenie przenośne z plikami + startujesz z płyty OTLPE i wykonujesz:

 

1. Z Pulpitu płyty OTLPE uruchamiasz Mój komputer. Z urządzenia przenośnego przenosisz plik userinit.exe i wklejasz go do C:\WINDOWS\system32 oraz C:\WINDOWS\system32\dllcache

 

2. Uruchamiasz z Pulpitu program OTLPE zgodnie ze wskazówkami montując rejestr. Klikasz w Run Fix. Zostanie zgłoszony komunikat o braku skryptu i wtedy wskazujesz plik o nazwie FIX.TXT. OTLPE wykona zadanie i poda log, który zachowasz bo będziesz go prezentował.

 

3. Restart komputera.

 

 

Jeśli wszystko pójdzie dobrze spróbuj zrobić normalnie logi z OTL + Gmer spod systemu. Możesz też załączyć log powstały z usuwania OTLPE.

 

 

 

Odnośnik do komentarza

Poradziłem sobie z ta infekcją w inny sposób:

- przywróciłem rejestr wykonamy programem Erunt wczoraj rano, przed instalacją tej aplikacji . System uruchomił się normalnie, więc wpisy w rejestrze mam z głowy.

- po restarcie ręcznie usunąłem pliki podane w instrukcji usuwania na stronie

http://www.bleepingcomputer.com/virus-removal/remove-internet-security-2011

oraz

[2009/10/03 00:26:14 | 000,735,680 | ---- | C] () -- C:\WINDOWS\System32\msitttmp.dll

[2009/10/03 00:25:25 | 000,037,376 | ---- | C] () -- C:\WINDOWS\System32\drivers\vbmaca0d.sys

 

Wg artykułu tu był tez rootkit w pliku vbmaca0d.sys (wykryty w RootRepeal), który zmieniał uprawnienia plików i uniemożliwiał ich uruchamianie. Musiałem użyć DirectoryFixer aby te pliki usunąć.

 

- dzisiaj wykonałem skrypt w OTL

 

:Services

UnlockerDriver5

 

:OTL

O20 - Winlogon\Notify\WgaLogon: DllName - Reg Error: Value error. - Reg Error: Value error. File not found

IE - HKU\S-1-5-21-1957994488-299502267-725345543-1006\..\URLSearchHook: {00A6FAF6-072E-44cf-8957-5838F569A31D} - Reg Error: Key error. File not found

 

- plik userinit nie był zaprawiony: ma 26KB, suma MD5: 2A5B37D520508BE6570A3EA79695F5B5

 

- zrobiłem restart i wykonałem logi, które załączam. Chyba wszystko jest OK.

OTL.Txt

Extras.Txt

defogger_disable.txt

gmer.txt

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...