Trojany 35 szt + nie można zalogować się do Windows XP

[Oleguest]

Witam,

 

Nie jestem bardzo zaawansowanym użytkownikiem i mam dość poważny problem a mianowicie w firmie na jednym z komputerów skończył się antywirus i Pani zamiast o tym powiadomić, go sprytnie odinstalowała bo coś zawsze alarmował po uruchomieniu kompa....

 

W każdym razie efekt dzisiaj był zgłoszenia po uruchomieniu dziwacznego komunikatu o błędzie i konieczności skontaktowania się z jednym z podanych numerów tel. (numery na madagaskar i kilka innych równie ciepłych krajów) celem otrzymania kodu odblokowującego.

Ktoś na ten stan rzeczy uruchomił avira - płytkę CD z System RESCUE, która wykryła 35 trojanów, którym zmieniła nazwę. Kilka nazw zapisanych na kartce to:

VBKrypt.bwjs.1

TR/Spy.8192.333

TR/Spy.187904.18

IRCBOT.1.3

TR/Diple.ruv

Crypt.XPACK.Gen

TR/IRCbrute.A.459

Crypt.FKM.Gen

 

System (XP sp3) aktualnie się nie uruchamia nawet w trybie awaryjnym. Po uruchomieniu pokazuje się okno logowania.. po kliknięciu w użytkownika "Trwa ładowanie ustawień użytkownika" i po kilku sekundach odrazu "trwa zapisywanie ustawień" i wylogowuje.

 

Po zamknięciu windowsa i ponownym uruchomieniu tej płytki avira rescue - znowu znajduje te trojany.

Nie wiem czy jest o co walczyć, czy jest sposób na naprawę/ zrobieniem logów z jakiejś bootowalnej płytki czy coś innego

 

prosze o poradę.

pozdrawiam

[picasso]

W każdym razie efekt dzisiaj był zgłoszenia po uruchomieniu dziwacznego komunikatu o błędzie i konieczności skontaktowania się z jednym z podanych numerów tel. (numery na madagaskar i kilka innych równie ciepłych krajów) celem otrzymania kodu odblokowującego.

 

Czyżby Ransom?

 

 

System (XP sp3) aktualnie się nie uruchamia nawet w trybie awaryjnym. Po uruchomieniu pokazuje się okno logowania.. po kliknięciu w użytkownika "Trwa ładowanie ustawień użytkownika" i po kilku sekundach odrazu "trwa zapisywanie ustawień" i wylogowuje.

 

Ten efekt jest typowy dla zmodyfikowanej wartości Userinit, o ile nie nastąpiło uszkodzenie konta. Mówisz, że uruchomiono płytę ze skanerem Avira i jakieś trojany były usuwane = jeśli skaner usunął plik trojana, ale nie przywrócił prawidłowego wyglądu wartości Userinit w rejestrze, system się nie zaloguje wpadając w pętlę natychmiastowego wylogowania. Konieczna zewnętrzna edycja rejestru.

 

 

Nie wiem czy jest o co walczyć, czy jest sposób na naprawę/ zrobieniem logów z jakiejś bootowalnej płytki czy coś innego

 

Pobierz płytę WinRE oraz narzędzie FRST. Uruchom całość zgodnie ze wskazówkami i przedstaw log. Płyta WinRE, mimo że przeznaczona dla Windows Vista i Windows 7, pasuje tu, gdyż daje dostęp do linii komend (wystarczające dla XP).

 

 

 

.

[Oleguest]

Dziękuję za nadzieję )

 

ekran był niestety dokładnie taki jak przy RANSOMie.. tyle, że po "polsku" był ten tekst "system plugin pod adresem 0xc....... jeszcze krytycznego błędu..."

płyta WinRe niestety z uwagi na wielkiego brata nie jest już dostępna pod podanym linkiem i zajęło mi trochę czasu poszukiwanie Visty wśród znajomych i ostatecznie zmuszony byłem do pobrania programu z chomikuj.

 

W załączeniu log.

 

Pozdrawiam

FRST.txt

[picasso]

Dziękuję za nadzieję

 

Damy radę.

 

 

płyta WinRe niestety z uwagi na wielkiego brata nie jest już dostępna pod podanym linkiem

 

Nie zauważyłam tego. Rzeczywiście, usunęli linki, choć może kiedyś wrócą (nadzieję daje słówko "It's been temporarily withdrawn while we negotiate licensing issues with Microsoft"). Gdybym o tym wiedziała, dostałbyś instrukcję pobrania płyty OTLPE i stworzenia loga z OTL. Wyszłoby na to samo w rozumieniu analizy tematu.

 

 

---

Zgodnie z moimi przypuszczeniami, wartość Userinit jest ustawiona na plik infekcji (Ransom):

 

HKLM\...\Winlogon: [userinit] C:\Documents and Settings\gx520\Dane aplikacji\svchost.exe

Jest więcej zapisów infekcji. Nie jest dla mnie wiadome ile plików Avira znokautowała (objaw z wylogowaniem sugeruje, że pliku trojana już nie ma). Mówiłeś "35 sztuk" (doliczyć się tylu nie mogę), dlatego zadaję tylko usuwanie wpisów rejestru i tego co widzę na dysku, omijając usuwanie plików które są punktowane wpisami rejestru.

 

1. Otwórz Notatnik i wklej w nim:

 

HKLM\...\Winlogon: [userinit] C:\Documents and Settings\gx520\Dane aplikacji\svchost.exe
HKLM\...\Winlogon: [shell] explorer.exe, svdhalp.exe [x x] ()
HKLM\...\Run: [Mircosoft Explorer] C:\Documents and Settings\gx520\Dane aplikacji\teskmgrs.exe
HKU\gx520\...\Run: [Mircosoft Explorer] C:\Documents and Settings\gx520\Dane aplikacji\teskmgrs.exe
HKU\gx520\...\Run: [Kypips] C:\Documents and Settings\gx520\Dane aplikacji\Kypips.exe [153600 2011-06-22] ()
HKU\gx520\...\Run: [ju7bd] C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-2734\ju7bd.exe
HKU\gx520\...\Run: [12CFG214-K641-12SF-N85P] C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe [110592 2011-06-22] ()
HKU\gx520\...\Winlogon: [shell] C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-2734\ju7bd.exe,C:\Documents and Settings\gx520\Dane aplikacji\lwzy.exe,C:\Documents and Settings\gx520\Dane aplikacji\hgfrhf.exe,C:\Documents and Settings\gx520\Dane aplikacji\sbqh.exe,explorer.exe,C:\Documents and Settings\gx520\Dane aplikacji\mzrp.exe
C:\RECYCLER
2011-06-22 05:52 - 2011-06-22 05:53 - 0187904 ____A C:\Windows\System32\svdhalp.exe.vir
2011-06-22 05:52 - 2011-06-22 05:53 - 0187904 ____A C:\Windows\System32\svdhalp.exe.ini.vir
2011-06-22 05:52 - 2011-06-22 05:52 - 0802816 ____A (Microsoft Corporation) C:\Windows\System32\wwwycdcx.dll.vir
2011-06-22 05:52 - 2011-06-22 05:52 - 0187904 ____A C:\Windows\System32\svdhalp.exe984.vir
2011-06-22 05:52 - 2011-06-22 05:52 - 0187904 ____A C:\Windows\System32\svdhalp.exe247.vir
2011-06-22 05:52 - 2011-06-22 05:52 - 0187904 ____A C:\Windows\System32\svdhalp.exe.ini648.vir
2011-06-22 05:52 - 2011-06-22 05:52 - 0187904 ____A C:\Windows\System32\svdhalp.exe.ini267.vir
2011-06-22 05:52 - 2011-06-22 05:52 - 0000017 ____A C:\Windows\syskey2i.drv
2011-06-21 00:30 - 2011-06-21 00:30 - 0000009 ___SH C:\Windows\System32\windows.acm
2011-06-21 00:30 - 2011-06-21 00:30 - 0000009 ___SH C:\Windows\System32\systeme.acm
2011-06-21 00:29 - 2011-06-21 00:29 - 0000000 ____A C:\winnit.acm

Plik zapisz pod nazwą fixlist.txt. Połóż ten plik na pendrive obok narzędzia FRST.exe.

 

2. Podpinasz pendrive z tymi materiałami do uszkodzonego XP. Startujesz z płyty WinRE i uruchamiasz narzędzie FRST, w którym wybierasz opcję Fix. Narzędzie wygeneruje log Fixlog.txt na pendrive.

 

3. Windows już powinien się logować poprawnie. Wytwórz więc normalne logi z OTL + GMER. Dołącz Fixlog.txt.

 

 

 

.

[Oleguest]

windows odpala, więc jest już dobrze )

 

raporty z operacji:

 

pozdrawiam

Fixlog.txt

OTL.Txt

Extras.Txt

gmerlog.txt

[picasso]

Skrypt elegancko się przetworzył i wszystko zostało wykonane. Teraz możemy przejść do kolejnych prac, bo są tu jeszcze jednak pliki infekcji na dysku, wpisy mapowania zainfekowanego USB, Taskman i drobne śmieci.

 

1. Przez SHIFT+DEL skasuj folder C:\FRST (tam jest m.in. kwarantanna narzędzia).

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Taskman"=-
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search]
"SearchAssistant"=-
 
:Files
C:\Documents and Settings\gx520\Dane aplikacji\3AE8.tmp.vir
C:\Documents and Settings\gx520\Dane aplikacji\Kypips.exe
C:\Documents and Settings\gx520\Dane aplikacji\svchost.exe.vir
C:\Documents and Settings\gx520\Dane aplikacji\lwzy.exe
C:\Documents and Settings\gx520\Dane aplikacji\hgfrhf.exe.vir
C:\Documents and Settings\gx520\Dane aplikacji\qghumeaylnlfdxfircvs85.exe.vir
 
:Commands
[emptyflash]
[emptytemp]

Klik w Wykonaj skrypt. System zostanie zresetowany i automatycznie otworzy się log z wynikami.

 

3. Otwórz menedżer rozszerzeń Firefox i odinstaluj Babylon Toolbar.

 

4. Wygeneruj nowy log z OTL do oceny. Extras już nie potrzebuję. Dorzuć log z usuwania z punktu 2.

 

 

 

.

[Oleguest]

przy uruchamianiu ff wyskoczyła aktualizacja i błąd "[aplikacja javascript] Reference Error: bbyln is not defined

za moment błąd pobierania pliku

Plik C:\Docume~1\gx520\Ustawi`1\Temp\mQtaioGS.pdf.part nie może zostać zapisany, ponieważ nie można odczytać kodu źródłowego.

Należy spróbować później lub skontaktować się z administratorem serwera.

 

dalej bez zaskoczeń...

 

a przy wgrywaniu tego załącznika wyskakuje że nie mam uprawnien by wgrywać ten rodzaj pliku, więc wkleję go

 

All processes killed

========== REGISTRY ==========

Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\Taskman deleted successfully.

Registry key HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2\ deleted successfully.

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\\"Start Page"|"about:blank" /E : value set successfully!

Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search\\SearchAssistant deleted successfully.

========== FILES ==========

C:\Documents and Settings\gx520\Dane aplikacji\3AE8.tmp.vir moved successfully.

C:\Documents and Settings\gx520\Dane aplikacji\Kypips.exe moved successfully.

C:\Documents and Settings\gx520\Dane aplikacji\svchost.exe.vir moved successfully.

C:\Documents and Settings\gx520\Dane aplikacji\lwzy.exe moved successfully.

C:\Documents and Settings\gx520\Dane aplikacji\hgfrhf.exe.vir moved successfully.

C:\Documents and Settings\gx520\Dane aplikacji\qghumeaylnlfdxfircvs85.exe.vir moved successfully.

========== COMMANDS ==========

 

[EMPTYFLASH]

 

User: Administrator

 

User: All Users

 

User: Default User

 

User: gx520

->Flash cache emptied: 31107 bytes

 

User: LocalService

 

User: NetworkService

 

Total Flash Files Cleaned = 0,00 mb

 

 

[EMPTYTEMP]

 

User: Administrator

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33170 bytes

 

User: All Users

 

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33170 bytes

 

User: gx520

->Temp folder emptied: 750409586 bytes

->Temporary Internet Files folder emptied: 570886240 bytes

->Java cache emptied: 1542173 bytes

->FireFox cache emptied: 119417233 bytes

->Flash cache emptied: 0 bytes

 

User: LocalService

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 32902 bytes

 

User: NetworkService

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33170 bytes

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 2352022 bytes

%systemroot%\System32 .tmp files removed: 2596 bytes

%systemroot%\System32\dllcache .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 34920800 bytes

RecycleBin emptied: 0 bytes

 

Total Files Cleaned = 1 411,00 mb

 

 

OTL by OldTimer - Version 3.2.24.1 log created on 06242011_170717

 

Files\Folders moved on Reboot...

 

Registry entries deleted on Reboot...

OTL.Txt

[picasso]

a przy wgrywaniu tego załącznika wyskakuje że nie mam uprawnien by wgrywać ten rodzaj pliku, więc wkleję go

 

Dopuszczam tylko rozszerzenie *.TXT a nie *.LOG. Zmieniłbyś nazwę pliku, dołączyłoby się.

 

---

1. Została w Firefox jeszcze przejęta wartość keyword.URL:

 

FF - prefs.js..keyword.URL: "http://search.babylon.com/?babsrc=SP_ss&mntrId=a40f4b6600000000000000265a070054&tlver=1.4.19.19&instlRef=sst&affID=17160&q="

W Firefox w pasku adresów wklep about:config, wyszukaj keyword.URL i z prawokliku zresetuj do poziomu domyślnego.

 

2. Uruchom Sprzątanie w OTL, co usunie kwarantannę z trojanami oraz program OTL z dysku.

 

3. Wyczyść foldery Przywracania systemu: INSTRUKCJE.

 

4. Przeskanuj system przez Kaspersky Virus Removal Tool i pokaż raport wynikowy.

 

 

.

[Oleguest]

Musiałem wyjść i po sciągnięciu syn zadzwonił, nie wiedziałem co powiedzieć i skanowanie było nie tylko systemu ale z zaznaczonymi wszystkimi ptaszkami (mam nadzieję, że to nie problem) i znalazł jeden plik:

 

Automatyczne skanowanie: zakończono 16 min temu   (zdarzeń: 4, obiektów: 147192, czas: 01:01:51)	

2011-06-24 19:18:41 Zadanie zostało uruchomione

2011-06-24 19:20:35 Zagrożenie: Trojan.Win32.Diple.rvu C:\Documents and Settings\gx520\Dane aplikacji\3AE3.tmp

2011-06-24 20:01:44 Usunięty: Trojan.Win32.Diple.rvu C:\Documents and Settings\gx520\Dane aplikacji\3AE3.tmp

2011-06-24 20:20:32 Zadanie zostało zakończone

[picasso]

Sprawa infekcji wygląda na w pełni ukończoną. Możesz odinstalować Kaspersky Removal Tool. Do wykonania aktualizacje:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{1871FE54-36AA-478F-B374-A46BA54474CC}" = ESET NOD32 Antivirus
"{26A24AE4-039D-4CA4-87B4-2F83216022FF}" = Java™ 6 Update 22
"{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.4 - Polish
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"KLiteCodecPack_is1" = K-Lite Mega Codec Pack 6.6.6
"Mozilla Firefox (3.6.17)" = Mozilla Firefox (3.6.17)
"PROR" = Microsoft Office Professional 2007

• Zainstalowane wszystkie łatki z Window Update, również dla Office?
  
• Jest tu antywirus, ESET w sfatygowanej wersji. Komputer firmowy (utożsamiam to z wymogami licencyjnymi), toteż sprawę zrzucam już na Ciebie.
  
• Do aktualizacji przeglądarka Firefox, Java i aplikacje Adobe: INSTRUKCJE
  
• (Opcjonalnie) Kodeki też można zaktualizować.
  

Jakieś pytania?

 

 

 

.

[Oleguest]

ok, aktualizacje są w trakcie a antywirus - nowy ESSET leżał na biurku przy tym komputerze od marca... zainstaluje w poniedziałek jak zawiozę go do firmy.

 

Mam pytanie o ten plik do którego przyczepił się kaspersky, bo uruchomiłem pełny scan MBAM i to samo mi znalazł przed chwilą:

 

mbam-log-2011-06-24 (21-38-03).txt

 

a także pendrivy, które były każdego dnia wkładane do tego komputera i w tym mój prywatny... czy jakimś konkretnym narzędziem nie byłoby dobrze ich sprawdzić? na pozostałych wszystkich komputerach jest aktualny ESSET i nic więcej.

 

Pozdrawiam

[picasso]

Mam pytanie o ten plik do którego przyczepił się kaspersky, bo uruchomiłem pełny scan MBAM i to samo mi znalazł przed chwilą

 

To nie ten sam plik. W Kasperskym był 3AE3.tmp, w MBAM jest 3AE5.tmp. Mam nadzieję, że to jest tylko kwestia detekcji skanerów i te pliki tam były w grupie. Wejdź do ścieżki c:\documents and settings\gx520\dane aplikacji i popatrz czy nie ma więcej takich alfanumerycznych plików *.tmp. Jeśli by były, przez SHIFT+DEL skasuj z dysku. Po kasacji zaś obserwuj czy to nie wraca. Ja nie widzę już nic więcej w logach i byłoby dla mnie zagadką skąd to się robi.

 

 

a także pendrivy, które były każdego dnia wkładane do tego komputera i w tym mój prywatny... czy jakimś konkretnym narzędziem nie byłoby dobrze ich sprawdzić?

 

Zablokuj odczyt autorun.inf posiłkując się opcją Computer Vaccination w Panda USB Vaccine. Zresetuj system. Następnie podepnij max ilość penów jaka może wejść pod ten komputer i wygeneruj log z USBFix z opcji Listing. Ponadto, będzie je można przeskanować całościowo antywirusem.

 

 

.

Edytowane 19 Października 2011 przez picasso
25.07.2011 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso