74BE16 worm..

[gohik]

'74BE16' worm + program files/my applications/windows defender itp. znane chyba wszystkim wormy/wirusy, nie dam rady usunąć ;>

 

proszę o pomoc i ewentualnie wyjaśnienie co te wirusy mogą zrobić

 

#chwilachwila zły plik dodałem.

 

/

już zmieniony - godzina 18:48

OTL.Txt

[picasso]

Temat napisany bałaganiarsko. Brak kompletu logów, podałeś jedynie jeden OTL (brak Extras - opcja "Rejestr - skan dodatkowy" nie została ustawiona na "Użyj filtrowania") oraz zabrakło obowiązkowego raportu z GMER. Widać też na dłoni, że (bezskutecznie) przymierzałeś się do uruchomienia ComboFix, czego nie powinieneś robić na własną rękę w domu.

 

 

'74BE16' worm + program files/my applications/windows defender itp.

 

Sfałszowany "windows defender" to infekcja, która przekierowuje folder Autostart na My applications infekcji. Mamy i keyloggera pochodzącego z paczek Tibia:

 

O20 - Winlogon\Notify\LogonInit: DllName - (logonInit.dll) - C:\Program Files\Common Files\logonInit.dll ()

 

Co gorsza, jest tu para plików insynuująca o wiele poważniejszą infekcję, czyli wirusa Sality:

 

[2011-10-26 16:00:10 | 000,040,960 | ---- | C] () -- C:\Windows\System32\wmdrtc32.dll
[2011-10-26 16:00:10 | 000,026,066 | -H-- | C] () -- C:\Windows\System32\wmdrtc32.dl_

 

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
SRV - File not found [Auto | Stopped] --  -- (eycgl)
DRV - File not found [Kernel | On_Demand | Running] --  -- (cpuvis)
O4 - HKLM..\Run: [74BE16] C:\Windows\System32\ACF7EF\74BE16.EXE ()
O20 - Winlogon\Notify\LogonInit: DllName - (logonInit.dll) - C:\Program Files\Common Files\logonInit.dll ()
IE - HKCU\..\URLSearchHook: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - No CLSID value found
O3 - HKLM\..\Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found.
 
:Files
C:\Program Files\My applications
C:\Windows\System32\ACF7EF
C:\Windows\System32\76682F
C:\Windows\System32\5A8DCC
C:\Windows\System32\0F6226
C:\Windows\System32\wmdrtc32.dll
C:\Windows\System32\wmdrtc32.dl_
C:\Windows\System32\hhcicraq.dll
C:\Windows\System32\mshic-ocd.dll
C:\Windows\System32\mswin-oce.dll
C:\Users\gohik\AppData\Roaming\Mozilla\Firefox\Profiles\ni7e3t67.default\searchplugins\daemon-search.xml
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders]
"Startup"=hex(2):"%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup"
 
:Commands
[emptytemp]

 

Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System zostanie zrestartowany i automatycznie otworzy się log z wynikami usuwania.

 

2. Przejdź do Panelu sterowania i odinstaluj wątpliwą wtyczkę vShare. Powtórz usuwanie tego w menedżerze rozszerzeń Firefox.

 

3. Wygeneruj nowe logi: OTL z opcji Skanuj (przypominam o Extras) oraz zaległy GMER. Dodaj także log z usuwania uzyskany w punkcie 1.

 

 

 

 

.

[gohik]

zdaję sobie z tego sprawę, ale musiałem wyjść z domu więc robiłem to wszystko na szybko - przepraszam. hm, nie widziałem tam tej opcji, a co do GMER to zaraz dodam. tak próbowałem, wydawało się, że wszystko będzie ok, ale po dojściu do 100% vista się zacięła i bum. a keylogger to tam mały pikuś, bo siedzi już tutaj pewnie ze 2 lata

GMER.txt

log z usuwania.txt

OTL.Txt

Extras.Txt

[picasso]

Log z GMER zrobiłeś w nieprawidłowym środowisku (KLIK), przy czynnym emulatorze napędów:

 

DRV - [2009-12-24 12:30:40 | 000,721,904 | ---- | M] () [Kernel | Boot | Running] -- C:\Windows\System32\Drivers\sptd.sys -- (sptd)

 

Skrypt wykonany poprawnie, usunięte wszystkie zaplanowane obiekty infekcji, a folder My applications nie powinien już się odtwarzać (rekonfig wartości Startup pomyślnie wykonany). W aktualnym logu z OTL nie widzę już nic do usuwania, ale tu jest znacznie poważniejszy problem niż dotychczas usuwane obiekty: wszystko wskazuje na to, że jest tu czynny wirus w plikach wykonywalnych (niszczenie wszystkich plików tego rodzaju na wszystkich dyskach). Mówi o tym log z GMER, wytapetowany w sekcji User code sections podejrzanymi hookami (niepokojące także "size mismatch" w dolnej partii) plus jest ewidentny patch powłoki explorer.exe:

 

.reloc    C:\Windows\Explorer.EXE[3232] C:\Windows\Explorer.EXE    section is executable [0x012C7000, 0xCC00, 0xE0000060]
.reloc    C:\Windows\Explorer.EXE[3232] C:\Windows\Explorer.EXE    entry point in ".reloc" section [0x012D33AD]
wpytzkc   C:\Windows\Explorer.EXE[3232] C:\Windows\Explorer.EXE    unknown last section [0x012D4000, 0x1000, 0xC0000000]

 

Od razu ostrzegam, tu może okazać się konieczny format całego dysku (bez kopiowania danych do kopii zapasowych!). Zniszczenia mogą być zbyt wielkie, a system nawet jeśli wyleczony może już nie odzyskać pierwotnej sprawności. Format to jedyna metoda na takie wirusy, gwarantująca wykończenie tego do zera (przy założeniu, że żaden gen wirusa nie zostanie gdzieś ocalony przez kopiowanie na inny nośnik).

 

 

---

Kolejna faza czyszczenia:

 

1. Mikro poprawka na puste wpisy. W OTL wklej do Własne opcje skanowania / skrypt co podane poniżej i klik w Wykonaj skrypt. Tym razem obejdzie się bez restartu.

 

:OTL
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {043C5167-00BB-4324-AF7E-62013FAEDACF} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.

 

Po ukończeniu tego skasuj przez SHIFT+DEL z dysku kwarantannę C:\_OTL, by nie wchodziła w zakres detekcji:

 

2. Przeskanuj system za pomocą Kaspersky Virus Removal Tool. W konfiguracji skanera zaznacz do skanowania wszystkie obszary.

 

3. Do prezentacji wyniki Kasperskiego z wykrytymi zagrożeniami (jeśli log będzie bardzo obszerny, rzucaj na wklej.org). Nie przeklejaj odczytów typu OK/Archive/Packed/Password protected. Wykonaj również nowy log z GMER (zrobiony po wymontowaniu sterownika SPTD narzędziem SPTDinst + restart systemu)

 

 

 

 

.

[gohik]

format nie wchodzi w grę, zbyt dużo ważnych dokumentów i zdjęć.

a tak w ogóle to co ten wirus powoduję? wykrada jakieś dane, pliki czy coś?

 

punkt 1. wykonany,

kasperskiego nie da rady ściągnąć, nie działa strona - 'Ups! Przeglądarka Google Chrome nie znalazła strony support.kaspersky.com', z innych źródeł to samo, z żadnego źródła nie mogę tego ściągnąć.

 

log z GMER w załączniku

[picasso]

format nie wchodzi w grę, zbyt dużo ważnych dokumentów i zdjęć.

 

Przygotuj się na to psychicznie. Przy tym rodzaju infekcji wóz albo przewóz. Leczyłam tę infekcję na cudzych komputerach wiele razy i czasem nie ma wyboru przy postępującym spustoszeniu i użytkownik musiał zmieniać zdanie na temat "nie wchodzi w grę". Na razie nie wiadomo jak daleko są posunięte szkody (brak odczytu ze skanera).

 

 

a tak w ogóle to co ten wirus powoduję? wykrada jakieś dane, pliki czy coś?

 

Niszczy pliki (modyfikacja body plików), aż w końcu Windows może już zupełnie się nie uruchomić i nie zrobisz z tym nic bez formatu.

 

 

kasperskiego nie da rady ściągnąć, nie działa strona - 'Ups! Przeglądarka Google Chrome nie znalazła strony support.kaspersky.com', z innych źródeł to samo, z żadnego źródła nie mogę tego ściągnąć.

 

Infekcja blokuje. Z innej strony: na dowolnym innym komputerze (nie zainfekowanym!) pobierz i wypal płytę Kaspersky Rescue Disk i za jej pomocą przeprowadź kompleksowy skan wszystkich dysków (wirus idzie po całości, ignoruje umowne bariery typu "partycje").

 

 

log z GMER w załączniku

 

Teraz log z GMER zbędny teraz (usuwam). On pokaże przecież to samo co było. GMER masz zrobić po (niezbędnym) skanowaniu antywirusem, by było wiadome czy skaner coś pomógł.

 

 

 

.

[gohik]

hm, a w inny sposób się nie da? bo wypalić to już dzisiaj nie mam jak. udało mi się ściągnąć 'Kaspersky Virus Removal Tool 2010 Portable', ale gorzej z uruchomieniem.

 

tak w ogóle to da się określić od kiedy mam tego wirusa? bo wydaję mi się, że od wczoraj, z zawirusowanego pendrive'a..

[picasso]

hm, a w inny sposób się nie da? bo wypalić to już dzisiaj nie mam jak. udało mi się ściągnąć 'Kaspersky Virus Removal Tool 2010 Portable', ale gorzej z uruchomieniem.

 

W to portable nie wierz, ten typ skanerów nie jest czystym portable, bo narzędzie ekstraktuje driver i montuje go w rejestrze (co jest zaprzeczeniem ideologii portable w rozumieniu nie zostawiania śladów w systemie). Poza tym, skąd pobrane to cudo (nie dowierzam żadnym kanałom nieoficjalnym) oraz jaki błąd uruchomienia? I to stara edycja 2010 a nie najnowsza 2011. Można wątpić też w świeżość baz.

 

To może z innej strony, pobierz z mojego serwera SalityKiller i sprawdź jaką diagnozę wystawi .... A jeśli coś wykryje, skany muszą być powtarzane do skutku (infekcja ma nawroty, jedno wyleczone, drugie już w toku...). Nie jestem pewna czy narzędzie obejmuje ten wariant.

 

 

tak w ogóle to da się określić od kiedy mam tego wirusa? bo wydaję mi się, że od wczoraj, z zawirusowanego pendrive'a..

 

Wzorując się na dacie w OTL pliki charakterystyczne dla infekcji w wykonywalnych (wmdrtc32.dll + wmdrtc32.dl_) powstały 26 października. Ale to nie oznacza, że jest przyjemnie, bo tu wystarczająco dużo czasu system działa, by zasiało w wielu plikach. A im dłużej system na chodzie, tym gorzej. Zobaczymy co powie skaner ...

 

 

 

.

[gohik]

rozumiem, czyli takie pseudo portable. pobrane z czyjegoś chomika, a dokładnie stąd - http://chomikuj.pl/mateuszfc/Programy+PC/Kaspersky+Virus+Removal+Tool (o ile mogę wstawić tutaj tego linka).

błędu uruchomienia brak, nic się nie dzieję, po prostu po odpaleniu 'Start.exe' tworzy się nowy folder o nazwie '[7sky.AT.ua & Noby.uCoz.Ru]' z plikami o nazwie 'Registry.rw.lck', 'Registry.rw.tvr' i 'Registry.tvr.backup' oraz z pustym folderem o nazwie 'TEMP' i drugim o nazwie '4000001000002i' z plikiem startup.exe w środku.

 

 

saltykiller znalazł 1skrypt, nic więcej

[picasso]

Pobrałam najnowszy Kaspersky Virus Removal Tool 2011 i przehostowałam: KLIK. Oby się uruchomił.

[gohik]

a więc tak.. udało się go ściągnąć, uruchomiłem, przeskanowało około 6000-7000 plików (100%), znalazło ok. 500 'active threats' większość poszła pod kwarantannę, ale paru plików się nie dało więc skasowałem ję no i tu pojawił się problem.. po restarcie nie dało rady odpalić lapka, przy uruchamianiu się okienka z użytkownikami wyskakiwał jakiś error i nijak nie dało się go zlikwidować. jaki - nie pamiętam, bo zapomniałem zapisać. musiałem przywracać system poprzez chyba HP restore do dnia 26.10 + jakieś tam naprawy się robiły. co dalej? tamte usunięte wirusy chyba znowu powróciły skoro przywróciłem system do stanu sprzed 2dni, nie wiem.

[picasso]

500 = idzie szybko.

 

 

paru plików się nie dało więc skasowałem ję no i tu pojawił się problem.. po restarcie nie dało rady odpalić lapka, przy uruchamianiu się okienka z użytkownikami wyskakiwał jakiś error i nijak nie dało się go zlikwidować

 

I tu prawdopodobnie popełniłeś błąd. Mogły to być pliki systemowe, których nie wolno usuwać, należy je leczyć, a jeśli czegoś się nie da = tworzysz raport, skok na forum, a ja daję pliki spod prasy do wymiany.

 

 

musiałem przywracać system poprzez chyba HP restore do dnia 26.10 + jakieś tam naprawy się robiły. co dalej? tamte usunięte wirusy chyba znowu powróciły skoro przywróciłem system do stanu sprzed 2dni, nie wiem.

 

Zapewne wszystko zostało odtworzone.... Niestety powtórka, ale zaczynaj od skanowania Kasperskym.

 

Mam pytanie: czy systemu nie da się cofnąć poza datę 26? Być może da się część infekcji w wykonywalnych odkręcić tym sposobem... Założeniem jest, że kopie HP restore są intactum.

 

 

 

.

[gohikk]

nie, nie da sie. teraz to juz w ogole nie da sie cofnac do zadnej daty.. poczulem sie zbyt pewnie i zapomnialem zgrac zdjec.. po ponownym skanie kasperskym jest znowu to samo, po dojsciu do okienka z uzytkownikami blad - 'interactive logon process initialization has failed.' tym razem NICZEGO nie usuwalem wiec nie wiem o co chodzi.. drugie konto, bo pisze z komorki i nie pamietam hasla. trace nadzieje, da rade odzyskac zdjecia/pliki? co robic

 

nie ma opcji edytuj wiec - mam dostep jedynie do cmd i do przywrocenia lapka do oryginalu 'original factory condition', to drugie to raczej nie przywroci mi plikow.. a moze jakis program po tym?

 

w jaki sposob moge sprawdzic czy w ogole cos jeszcze zostalo na dysku? /post pod postem, bo brak opcji edytuj

[picasso]

po ponownym skanie kasperskym jest znowu to samo, po dojsciu do okienka z uzytkownikami blad - 'interactive logon process initialization has failed.' tym razem NICZEGO nie usuwalem wiec nie wiem o co chodzi..

 

Całkiem możliwe, że jest zainfekowany taki plik, którego leczenie jest równe jego uszkodzeniu. Lub coś innego się tam dzieje .... By to zdiagnozować, muszę mieć precyzyjne logi. Ale o tym potem. Najpierw ratowanie danych:

 

 

poczulem sie zbyt pewnie i zapomnialem zgrac zdjec..

 

Musisz wykombinować alternatywny komputer, na którym pobierzesz i wypalisz na CD płytę OTLPE. Za pomocą tej płyty można zdziałać wiele: przekopiować ważne pliki (nie wolno jednak kopiować plików wykonywalnych! wirusa rozniesiesz po postawieniu systemu na nowo) + zrobić log z OTL.

 

Mam też pytanie: czy podczas startu przez F8 nie masz przypadkiem w menu startowym opcji Repair Computer? W normalnych okolicznościach Vista nie ma lokalnego WinRE (to cecha Windows 7), ale tu jest brandowany komp HP i może to wstawili?

 

 

post pod postem, bo brak opcji edytuj

 

Opcja jest. Możliwe, że na mobilnej skórze coś inaczej wygląda.

 

 

.

[gohikk]

ok, mam już drugiego lapka więc spróbuję.

mam pobrać tę wersję 'Gotowa kompleksowa płyta (edycja standardowa) ~93MB:' i wypalić? kurde, może być problem, bo tutaj chyba nie ma nera ani nic na tym XP.

 

po wciśnięciu F8 wyskakuję komunikat: 'BOOTMGR is missing, Press Ctrl+Alt+Del to restart'

ten lapek jest dość stary (2008rok) i 'wadliwy' - przegrzewa się, po krótkim użytkowaniu temperatury z kosmosu po 90stopni..

 

a co do tej opcji edytuj to naprawdę jej nie ma (n95 8GB)

 

ta opcja repairu była, ale nic nie dała i dalej wyskakiwał ten sam błąd przy ładowaniu się okienka z użytkownikami

[picasso]

mam pobrać tę wersję 'Gotowa kompleksowa płyta (edycja standardowa) ~93MB:' i wypalić? kurde, może być problem, bo tutaj chyba nie ma nera ani nic na tym XP.

 

Tak, tę płytę. Brak Nero to nie problem, przecież ta paczka OTLPE to jest automat, nie wczytałeś się:

 

Jest to EXE wykonane w technice 7-Zip, które zawiera skompresowane ISO i kopię ImgBurn. Wystarczy włożyć czystą CD do napędu i uruchomić EXE, a nastąpi automatyczne wyekstraktowanie składników i nagranie na płytę.

 

 

ta opcja repairu była, ale nic nie dała i dalej wyskakiwał ten sam błąd przy ładowaniu się okienka z użytkownikami

 

Nie o to mi chodzi, by próbować autonaprawy. Mnie chodzi o dostęp do środowiska WinRE, linię komend w której można wiele zdziałać. Pytam: jakie opcje widzisz w tym menu naprawczym?

 

 

 

.

[gohikk]

ok, wybacz, ale siedzę już nad tym parę godzin i jest to męczące, bo zależy mi na plikach..

 

płyta nagrana, zobaczymy co dalej będzie

[picasso]

Te obrazki: niestety to jest system Recovery HP a nie WinRE w czystej postaci. To tu odpada do prac ręcznych. Czyli teraz jest akcja z płytą i ratowaniem najcenniejszych plików (przypominam: nie można skopiować żadnego EXE i innych typów wykonywalnych, tam może być wirus, który załatwi Ci kolejne komputery). Gdy zabezpieczysz co należy, wygeneruj z poziomu płyty log z OTL i zobaczymy czy da się naprawić Windows w stopniu podstawowym, byle wstał.

[gohikk]

a więc.. rozumiem, że to co jest w moim komputerze z tej płytki to są realne pliki z mojego dysku? więc z tego co widzę wszystko zostało usunięte................ 222gb wolnego miejsca, załamka. w jaki sposób mogę to odzyskać? o ile mogę.. MUSZĘ to odzyskać.

 

jeżeli ma to jakieś znaczenie to najważniejsze pliki były w folderach na pulpicie, eh.

[picasso]

więc z tego co widzę wszystko zostało usunięte................ 222gb wolnego miejsca

 

Przedstaw problem wyraźniej, co w zasadzie widzisz / gdzie / w jaki sposób, bo jest możliwe, że OTLPE nie widzi po prostu dysku SATA, co jest problemem OTLPE i niestety musielibyśmy szukać innej plyty naprawczej. Ten cytat wskazuje, że na dysku nadal jest Windows:

 

 

po ponownym skanie kasperskym jest znowu to samo, po dojsciu do okienka z uzytkownikami blad - 'interactive logon process initialization has failed.'

 

 

 

.

[gohikk]

chodzi o to, że są tak jakby same podstawowe programy typu HP games, IE, jakieś microsofty itp. pokazuję mi 222GB wolnego miejsca, 99.9MB zajętego .. nie wiem jak to się stało, ale najprawdopodobniej wszystko zostało usunięte?

[picasso]

Pokaż mi na zdjęciu jak to widać, z jakiego punktu sprawdzasz.

[gohikk]

teraz pytanie czy jeżeli na pewno się usunęły to czy dam rade je odzyskać.. jeśli tak to czy z poziomu tej płytki,i czy może po opcji przywrócenia ustawień fabrycznych..

 

 

'Proces odtwarzania systemu usuwa wszystkie istniejące pliki i programy, w związku z czym firma HP zaleca wykonanie następujących czynności przed przystąpieniem do odtwarzania systemu' eh, czy jest jeszcze jakaś nadzieja?

[picasso]

Nie wiem jakim cudem wymazało zawartość dysku i który proces to zrobił. Nabliżej to można podejrzewać próbowane przez Ciebie kilkukrotnie restore HP, może przy ostatnim z podejść coś poszło nie tak ("teraz to juz w ogole nie da sie cofnac do zadnej daty..") i niestety ogłociło systemową partycję.

 

W takiej sytuacji to ja widzę tylko oprogramowanie do odzyskiwania poprzedniego wyglądu partycji, zakładając że chcesz ratować pliki, o ile taki odzysk jest tu w ogóle możliwy. Konkretniej mam na uwadze TestDisk. Narzędzie może działać z poziomu płyt startowych, a gotowym distro posiadającym tę integrację jest: GParted LiveCD. Pobierasz ISO, rzucasz na CD (do wypalenia możesz użyć darmowy Active ISO Burner - nie zaznaczaj instalacji Complete i omiń montaż sterownika SPTD), bootujesz z tego i w menu narzędziowym uruchamiasz program.

 

 

 

.

[gohikk]

nie jestem pewien, ale chyba robiło mi kopię różnych plików po czym wyskoczył błąd, że nie ma podłączonego dysku do USB i zrestartowało lapka.. może wtedy wszystko się skasowało..

czyli lepiej znowu użyć płytki i nie przywracać windowsa do ustawień fabrycznych? czy lepiej przywrócić i wtedy ściągnąć jakiegoś gotowego .exe'ka ?