Skocz do zawartości

Infekcja pendrive'a


Rekomendowane odpowiedzi

System to Win Vista Home Basic 32bit.

Próbowałem zainstalować internet z iPlusa, który jest na USB.Miałem z tym duży problem więc zacząłem grzebać. O tym że coś jest nie tak kapnąłem się jak włożyłem do portu swojego pendriv'a. Przy lewokliku wyskoczył komunikat o braku dostępu. Można było go tylko explorować. Tu użyłem Fresh Desinfectora i USBVaccine co pomogło doraźnie. Odinstalowałem też starą wersję Avasta i po deinstalacji nie wyskoczył komunikat o braku zabezpieczeń. Przy próbie włączenia Centrum zabezpieczeń wyskakuje komunikat o braku możliwości uruchomienia usługi. Poniżej daję logi z Gmera i OTL. Przeskanuję komputer też MBAMem i dam wyniki. Na komputerze był zainstalowany Daemon Tools. Niestety udało mi się go tylko odinstalować. Sposób ze strony podanej w opisie do usunięcia sterownika SPTD nie działa. Mam komunikat że ... exe nie jest prawidłową aplikacją systemu win32.

Gmer.txt

OTL.Txt

Extras.Txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
Na komputerze był zainstalowany Daemon Tools. Niestety udało mi się go tylko odinstalować. Sposób ze strony podanej w opisie do usunięcia sterownika SPTD nie działa. Mam komunikat że ... exe nie jest prawidłową aplikacją systemu win32.

 

Ten komunikat jest związany z niepełnym / nieprawidłowym pobraniem pliku deinstalatora SPTD. Nie wiem dlaczego tak się dzieje, ale czasem rzeczywiście ten plik się źle ściąga. Widać u Ciebie, że plik jest "urwany":

 

[2011-01-13 22:10:28 | 000,186,888 | ---- | M] () -- C:\Users\kasia\Desktop\SPTDinst-v176-x86.exe

Plik powinien ważyć 581 KB (bajtów: 595 000).

 

Przy próbie włączenia Centrum zabezpieczeń wyskakuje komunikat o braku możliwości uruchomienia usługi.

 

Konkrety: jaki błąd?

 


 

Infekcja jest obecna w systemie.

 

PRC - [2008-10-06 20:29:48 | 000,094,288 | ---- | M] (Sver) -- C:\Windows\System32\ommarmcc.exe

SRV - [2008-10-06 20:29:48 | 000,094,288 | ---- | M] (Sver) [Auto | Running] -- C:\Windows\System32\ommarmcc.exe -- (fezerlvfwslirm)

 

[2009-09-05 05:14:22 | 000,135,168 | ---- | C] () -- C:\Windows\System32\mssic-ocd.dll

[2009-07-10 20:30:16 | 000,135,168 | ---- | C] () -- C:\Windows\System32\mssAn-ern.dll

[2007-11-03 12:28:24 | 000,009,845 | ---- | C] () -- C:\Windows\System32\mswin-oce.dll

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Services
fezerlvfwslirm
 
:Files
C:\Windows\System32\ommarmcc.exe
C:\Windows\System32\mssic-ocd.dll
C:\Windows\System32\mssAn-ern.dll
C:\Windows\System32\mswin-oce.dll
C:\Users\kasia\AppData\Local\Temp*.html
C:\Program Files\Mozilla Firefox\searchplugins\BearShareWebSearch.xml
C:\Users\kasia\AppData\Roaming\Mozilla\Firefox\Profiles\xoyskti5.default\searchplugins\askcom.xml
C:\Users\kasia\AppData\Roaming\Mozilla\Firefox\Profiles\xoyskti5.default\searchplugins\BearShareWebSearch.xml
 
:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
 
:OTL 
FF - prefs.js..browser.search.defaultengine: "Ask.com"
FF - prefs.js..browser.search.defaultenginename: "Ask.com"
FF - prefs.js..browser.search.order.1: "Ask.com"
FF - prefs.js..browser.search.useDBForOrder: true
O3 - HKU\S-1-5-21-518432049-2676681056-226125985-1000\..\Toolbar\WebBrowser: (no name) - {CF418B05-72F5-4CCA-96D5-D39EA22BE927} - No CLSID value found.
O3 - HKU\S-1-5-21-518432049-2676681056-226125985-1000\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
 
:Commands
[emptyflash]
[emptytemp]

 

Uruchom przez Wykonaj skrypt.

 

2. Po operacji usuwania wytwórz nowe logi z OTL, z tym że na dostosowanym warunku: w sekcji Własne opcje skanowania / skrypt wklej słowo netsvcs i klik w Skanuj. Dołącz także log z usuwania OTL.

 

O tym że coś jest nie tak kapnąłem się jak włożyłem do portu swojego pendriv'a. Przy lewokliku wyskoczył komunikat o braku dostępu.

 

Podepnij to urządzenie i podaj także log z USBFix z opcji Listing.

 

 

 

 

.

Odnośnik do komentarza

Ok udało mi się ściągnąć za któryś tam razem programik do STPD i odinstalować sterownik. Daję też logi z OTL. Co do Centrum Zabezpieczeń to może się wygłupiłem bo system jest nieaktywny w sensie klucza więc może to jest blokowane z automatu przez Microsoft ;) USBFixa niestety nie udało mi się uruchomić. Komunikat w załączniku...

01142011_214130.txt

OTL.Txt

post-135-0-45975500-1295039647_thumb.jpg

post-135-0-12107500-1295039656_thumb.jpg

Odnośnik do komentarza

Wg raportów infekcja została usunięta i nie nastąpił powrót szkodliwych elementów. Jeszcze mam pytanie w kwestii tego:

 

O4 - HKLM..\Run: [incmd]  File not found

O4 - HKLM..\Run: [incmdnnt] D:\incmdnnt\incmdnnt.exe (MM Studio)

Patrząc na znak producenta "MM Studio", czy było tu instalowane coś w tym rodzaju: KLIK.

 

Co do Centrum Zabezpieczeń to może się wygłupiłem bo system jest nieaktywny w sensie klucza więc może to jest blokowane z automatu przez Microsoft

 

Nie powinno, to infekcja raczej to uziemiła. Sprawdź czy usługa nie została wyłączona: Start > w polu szukania wpisz services.msc > z prawokliku Uruchom jako Administrator > na liście wyszukaj Centrum zabezpieczeń. Dwuklik na usługę i jej start ma być ustawiony na Automatycznie (opóźnione uruchomienie) a status usługi Uruchomiona.

 

USBFixa niestety nie udało mi się uruchomić. Komunikat w załączniku...

 

Stwórz zamiennie listę z poziomu SystemLook. W oknie wklej poniższy tekst podstawiając pod X literę pod jaką jest zmapowane urządzenie i kliknij w Look.

 

:dir
X:\

 

Ok udało mi się ściągnąć za któryś tam razem programik do STPD i odinstalować sterownik.

 

To ma znaczenie dla raportu z GMER a nie OTL.

 

 

.

Odnośnik do komentarza

"Usługa zależności nie istnieje lub została oznaczona do usunięcia" = Centrum zabezpieczeń ma w zależnościach dwie usługi (Instrumentacja zarządzania Windows + Zdalne wywoływanie procedur) i wydaje mi się nieprawdopodobne, by te usługi były nieobecne (w przeciwnym wypadku miałbyś poważniejsze problemy w systemie). Nasuwa się więc dodana dodatkowa zależność dla Centrum.

 

Start > w polu szukania wpisz regedit > wejdź do klucza:

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wscsvc

 

Co widzisz w wartości DependOnService?

 

 

 

 

.

Odnośnik do komentarza

Czekając na odpowiedź zacząłem grzebać w systemie w celu jego aktywacji. Przy okazji zauważyłem też, że system posiada SP1 więc zainstalowałem SP2. Oczywiście nie bez problemów i z pomocą pomocy technicznej microsoftu ale zainstalowałem. Po restarcie okazało się, że mam centrum zabezpieczeń. Nie wiem czy to zbieg okoliczności ale temat jest do zamknięcia. I oczywiście wielkie dzięki za pomoc;)

Odnośnik do komentarza

Raczej sądzę, że instalacja SP2 przepisała ustawienia zmodyfikowane infekcją, bo nieaktywowany system ma działającą usługę Centrum zabezpieczeń, właśnie oglądam taki system Vista w maszynie wirtualnej. Dokończ:

 

 

1. W OTL wywołaj Sprzątanie.

 

2. Programy do aktualizacji:

 

Internet Explorer (Version = 7.0.6001.18000)

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{26A24AE4-039D-4CA4-87B4-2F83216011FF}" = Java™ 6 Update 20

"{AC76BA86-7AD7-1033-7B44-A91000000001}" = Adobe Reader 9.1

"Mozilla Firefox (3.5.11)" = Mozilla Firefox (3.5.11)

Szczegóły aktualizacyjne w tym temacie: INSTRUKCJE.

 

3. Na koniec wypróżnij foldery Przywracania systemu.

 

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...