htw Opublikowano 7 Maja 2011 Zgłoś Udostępnij Opublikowano 7 Maja 2011 Witam tym razem pod nóż poszedł Wujek Wiec jak zwykle sprawę zacząłem od programiku do wywalania tempów i innych ( TFC ) pozniej odpaliłem Malwarebytes' Anti-Malware i na koncu Kaspera ( Remolval Tool ) ktory notabene nic nie znalazł. Malwarebytes' Anti-Malware Wywalił troche dziadowstwa. Później załądowałem HijackThis'a i poodhaczałem podejrzane wpisy ( tyle te których byłem pewien ). Generalnie jest już duzo lepiej ale dalej nie moge zaisntalować SP#, probowalem tez metody o ktorej pisze MS na swojej stronie ale nic to nie dało, siedzi chyba na tym kompie jakiś syf jeszcze. Generalnie wyglada to tak, ze komputer podczas instalacji SP3 wywala błąd " odmowa dostępu " i isie wszystko cofa. Dodam do tego, ze podczas wyłączania mam mały komunikat o jakiś parients friends cokolwiek to znaczy nie wiem wiec o tym pisze. Jak zawsze daje obowiazkowe logi : OTL OTL 2 GMER Demon wywalony zadna aplikacja chroniaca nie jest wlączona. Proszę o pomoc fachowcy Odnośnik do komentarza
picasso Opublikowano 8 Maja 2011 Zgłoś Udostępnij Opublikowano 8 Maja 2011 Nie podałeś danych: jakie "podejrzane wpisy" usuwałeś HijackThis + jakie były wyniki w MBAM. Prócz "tradycyjnych" wpisów wygenerowanych podpięciem zarażonego USB, infekcja jest m.in. tu (każde EXE otwierane przez plik szkodnika): PRC - [2007-01-08 11:48:14 | 001,134,592 | -H-- | M] (Müller) -- C:\WINDOWS\system32\winadm.exePRC - [2006-01-09 14:55:04 | 000,032,768 | -H-- | M] (-) -- C:\WINDOWS\system32\winadmd.exeO4 - HKLM..\Run: [_winadm] C:\WINDOWS\system32\winadm.exe (Müller)O37 - HKLM\...exe [@ = xefile] -- "C:\WINDOWS\system32\Regsvr16.exe" "%1" %* podczas wyłączania mam mały komunikat o jakiś parients friends cokolwiek to znaczy nie wiem wiec o tym pisze I to należy do tej infekcji. Opis podobnego wariantu do tu widzianego w bazie Avira: KLIK. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\WINDOWS\System32\winadm.exe C:\WINDOWS\System32\Regsvr16.exe C:\WINDOWS\System32\winprogdel.exe C:\WINDOWS\System32\comsysh.exe C:\WINDOWS\System32\Mswinmask32.dll C:\autorun.PNF :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "_winadm"=- :OTL O37 - HKLM\...exe [@ = xefile] -- "C:\WINDOWS\system32\Regsvr16.exe" "%1" %* () O3 - HKU\S-1-5-21-1383899346-1881932254-3062596676-1006\..\Toolbar\ShellBrowser: (no name) - {C4069E3A-68F1-403E-B40E-20066696354B} - No CLSID value found. O3 - HKU\S-1-5-21-1383899346-1881932254-3062596676-1006\..\Toolbar\WebBrowser: (no name) - {0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} - No CLSID value found. O3 - HKU\S-1-5-21-1383899346-1881932254-3062596676-1006\..\Toolbar\WebBrowser: (no name) - {74A49269-9779-48B4-A0E6-3A5AF2A3ADE6} - No CLSID value found. O3 - HKU\S-1-5-21-1383899346-1881932254-3062596676-1006\..\Toolbar\WebBrowser: (no name) - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - No CLSID value found. O3 - HKU\S-1-5-21-1383899346-1881932254-3062596676-1009\..\Toolbar\ShellBrowser: (no name) - {C4069E3A-68F1-403E-B40E-20066696354B} - No CLSID value found. O3 - HKU\S-1-5-21-1383899346-1881932254-3062596676-1009\..\Toolbar\WebBrowser: (no name) - {0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} - No CLSID value found. O16 - DPF: {0000000A-0000-0010-8000-00AA00389B71} "http://download.microsoft.com/download/d/4/4/d446e8a9-3a86-4b59-bb19-f5bd11b40367/wmavax.CAB" (Reg Error: Key error.) O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} "http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB" (Reg Error: Key error.) O20 - Winlogon\Notify\AtiExtEvent: DllName - Reg Error: Value error. - Reg Error: Value error. File not found O20 - Winlogon\Notify\dimsntfy: DllName - Reg Error: Value error. - Reg Error: Value error. File not found SRV - File not found [On_Demand | Stopped] -- -- (SandraTheSrv) :Commands [resethosts] [emptyflash] [emptytemp] Znasz tę sekwencję: Wykonaj skrypt - restart systemu - log z usuwania. 2. Otwórz menedżer rozszerzeń Firefox i odmontuj Searchhub Toolbar + MediaBar (to po Miśku) + Winamp Toolbar. W pasku adresów wklep about:config, wyszukaj zakreślone poniżej wartości i z prawokliku zresetuj do poziomu domyślnego. FF - prefs.js..browser.search.defaultenginename: "Winamp Search"FF - prefs.js..browser.search.defaulturl: "http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampie7&query="FF - prefs.js..browser.search.selectedEngine: "Searchhub"FF - prefs.js..browser.startup.homepage: "http://searchhub.eu?hl=en&fh="FF - prefs.js..keyword.URL: "http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampab&query=" 3. Wygeneruj nowy zestaw logów. Nie zapomnij dołączyć tego z usuwania. Potwierdź mi: [2009-03-17 10:59:16 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\10232[2009-03-13 18:01:19 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\13177[2009-03-12 18:13:22 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\166D[2009-03-16 14:56:23 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\17213[2009-03-11 19:32:26 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\1A251[2009-03-11 23:14:38 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\2530D[2010-02-21 12:09:39 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\273E[2009-03-12 21:51:41 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\290[2009-03-16 23:20:45 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\2DAB[2009-03-13 13:47:47 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\2F1F[2009-03-14 18:24:48 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\30399[2009-03-11 14:29:49 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\311D4[2009-03-13 01:26:03 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\3138[2009-03-12 11:37:56 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\38251[2009-03-11 23:07:56 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\382DE[2009-03-13 13:21:04 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\4157[2009-03-16 19:34:04 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\4222[2009-03-12 20:19:07 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\7109[2009-03-15 13:08:15 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\F1A5[2009-03-13 10:38:16 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\F37A Tych katalogów nie jestem do końca pewna. Już kiedyś prosiłam kogoś o sprawdzenie co w nich jest, podobno to savy z jakiejś gry. probowalem tez metody o ktorej pisze MS na swojej stronie ale nic to nie dało, siedzi chyba na tym kompie jakiś syf jeszcze. Generalnie wyglada to tak, ze komputer podczas instalacji SP3 wywala błąd " odmowa dostępu " i isie wszystko cofa Czy masz na myśli KB949377? . Odnośnik do komentarza
htw Opublikowano 8 Maja 2011 Autor Zgłoś Udostępnij Opublikowano 8 Maja 2011 dokładnie chodzi o KB949377 te katalogi powyżej to pliki typu Shockwave Flash i maja nazwe {A025FC38-31DB-4301-97BA-81EEFD649560}.swf czyli pewnie jakiś shit. Nie powiedziałem co wywaliłem w HijackThis bo szczerze mówiąc zrobiłem to na oko ale wywalałem tylko to co bylem pewny że niepotrzebne. co do brakującego logu to proszę bardzo zapisałem bo wiedziałem, ze może sie przydać ale myślałem ze skan z OTL Ci wszystko pokaże. SKANY dodałem tym razem jako załącznik pardon mbam-log-2011-05-07 (17-27-57).txt ze sprzątania.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 8 Maja 2011 Zgłoś Udostępnij Opublikowano 8 Maja 2011 te katalogi powyżej to pliki typu Shockwave Flash i maja nazwe {A025FC38-31DB-4301-97BA-81EEFD649560}.swf czyli pewnie jakiś shit. Nie mam pojęcia co to za pliki. Tu wypadałoby je uruchomić w jakimś izolowanym środowisku i podpatrzyć jaka jest treść owych SWF (nie wykluczam jeszcze, że to coś nieszkodliwego). Zapakuj mi je do ZIP i wyślij na PW, a przepuszczę je przez wirtualną maszynę. zapisałem bo wiedziałem, ze może sie przydać ale myślałem ze skan z OTL Ci wszystko pokaże Logicznym jest, że skoro program coś usuwa, w OTL mogą być niewidoczne te informacje, a ponadto OTL nie pokazuje wszystkich miejsc systemowych które skanuje MBAM (np. klas w rejestrze). I tak oceniając raport, 99% informacji niemożliwych do wykoncypowania z OTL. Z kolekcji wprawdzie domyśliłam się "Hacked by Godzilla" (usuwałam wpisy tego z MountPoints2), ale to za mało. . Odnośnik do komentarza
htw Opublikowano 8 Maja 2011 Autor Zgłoś Udostępnij Opublikowano 8 Maja 2011 proponuję te podejrzane pliki wywalić i się nimi nie zajmować, szkoda Twojego czasu ? no w tym HijackThis bylo paręnaście wpisów pewnych do zaznaczenia ale jak sama wspomnialas to za mało ..... a OTL jest trochę skomplikowany, muszę się nim kiedyś pobawić w miare wolnego czasu ... Odnośnik do komentarza
picasso Opublikowano 8 Maja 2011 Zgłoś Udostępnij Opublikowano 8 Maja 2011 proponuję te podejrzane pliki wywalić i się nimi nie zajmować, szkoda Twojego czasu ? Ale pełnia wiedzy mi pomoże przy innych tematach. Nie jesteś jedynym u którego widziałam ten model folderów i tylko jedna osoba mi potrafiła coś na ten temat powiedzieć (jak mówiłam: o grze była mowa, ale nie uzyskałam nawet danych jaka....). Zapakuj co mówię, ja w wolnej chwili to sobie zanalizuję, a Ty po przesłaniu mi usuwaj te foldery skoro ich nie wiążesz z niczym. Co do logów - co zaplanowane skryptem, usunięte. 1. Pozostały preferencje Firefox, nie wyresetowałeś ich: FF - prefs.js..browser.search.defaultenginename: "Winamp Search"FF - prefs.js..browser.search.defaulturl: "http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampie7&query="FF - prefs.js..keyword.URL: "http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampab&query=" I skasuj z dysku te trzy pliki: [2009-12-03 11:54:24 | 000,002,476 | ---- | M] () -- C:\Documents and Settings\Roli\Dane aplikacji\Mozilla\Firefox\Profiles\so589f2b.default\searchplugins\BearShareWebSearch.xml[2011-01-07 23:35:34 | 000,001,789 | ---- | M] () -- C:\Documents and Settings\Roli\Dane aplikacji\Mozilla\Firefox\Profiles\so589f2b.default\searchplugins\searchhub.xml[2010-12-17 14:05:22 | 000,000,358 | ---- | M] () -- C:\Documents and Settings\Roli\Dane aplikacji\Mozilla\Firefox\Profiles\so589f2b.default\searchplugins\winamp-search.xml 2. Nie zauważyłam poprzednio usługi-odpadka po Symantec: DRV - [2006-11-30 11:00:00 | 000,387,384 | ---- | M] (Symantec Corporation) [Kernel | System | Running] -- C:\Program Files\Common Files\Symantec Shared\EENGINE\eeCtrl.sys -- (eeCtrl) Start > Uruchom > CMD i wpisz: SC STOP eeCtrl SC DELETE eeCtrl Na dysku wyszukaj katalogi Symantec i skasuj. 3. Zaktualizuj Java do najnowszej wersji KLIK. 4. Tradycyjnie: Sprzątanie w OTL + czyszczenie folderów Przywracania systemu. I przejdź do próby instalacji SP3 raz jeszcze. Sytuacja jest teraz inna = usunięta czynna infekcja. . Odnośnik do komentarza
htw Opublikowano 8 Maja 2011 Autor Zgłoś Udostępnij Opublikowano 8 Maja 2011 wykonane, wszystko dziala super płynnie uzupelnilem wszystkie Sterowniki do najnowszych i podczas instalacji ograniczyłem usługi do minimum wgrlalem fixa od M$ na nowo ale dalej wywala odmowa dostępu ....... Odnośnik do komentarza
picasso Opublikowano 8 Maja 2011 Zgłoś Udostępnij Opublikowano 8 Maja 2011 Ten plik SWF - nie wiem co to jest. Jest bardzo mały i tam wyświetla się tylko logo YouTube i nic więcej.... wgrlalem fixa od M$ na nowo ale dalej wywala odmowa dostępu ....... Dostarcz więc logi z instalacji SP3: C:\WINDOWS\setupapi.log C:\WINDOWS\svcpack.log . Odnośnik do komentarza
htw Opublikowano 8 Maja 2011 Autor Zgłoś Udostępnij Opublikowano 8 Maja 2011 proszę Pliki wysyłam na sendfile bo spore te pliki ....... i na wklej.org sie to przetwarza i przetwarza PLIK Odnośnik do komentarza
picasso Opublikowano 8 Maja 2011 Zgłoś Udostępnij Opublikowano 8 Maja 2011 Svcpack.log pokazuje dokładnie wynik przedstawiający odmowę dostępu do rejestru (a opisany na spodzie artykułu): 909.453: DoRegistryUpdates:UpdSpInstallFromInfSection Failed for ProductInstall.GlobalRegistryChanges.Install error: 0x5 909.453: INF_REGISTRY Failed909.453: DoInstallation:DoRegistryUpdates failed914.422: Unregistration of sprecovr successful914.750: Odmowa dostępu.927.110: Message displayed to the user: Odmowa dostępu.927.110: User Input: OK927.110: Instalacja produktu Service Pack 3 nie została ukończona. Wybierz przycisk OK, aby cofnąć dokonane zmiany.930.031: Message displayed to the user: Instalacja produktu Service Pack 3 nie została ukończona. Wybierz przycisk OK, aby cofnąć dokonane zmiany.930.031: User Input: OK Mówiłeś, że Fix-it MS już trenowałeś. A spróbuj najprostszej w świecie metody: instalacja SP3 z poziomu Trybu awaryjnego Windows. . Odnośnik do komentarza
htw Opublikowano 8 Maja 2011 Autor Zgłoś Udostępnij Opublikowano 8 Maja 2011 (edytowane) zadziałało dopiero po ręcznym wprowadzeniu zmian plus reset ustawień zabezpieczeń no i oczywiscie tryb awaryjny. Wszystko elegancko śmiga po wgraniu SP i wszystkich łatkach :-)picasso oczywiscie jak zwykle pełna profeska i za to bardzo dziękuję :-) Edytowane 8 Maja 2011 przez picasso OK, temat zamykamy. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi