Runetime error + TrueCrypt

[Asia]

hej

 

Mam problem. Po restarcie komputera wyskoczył błąd:

 

Microsoft Visual C++ Runetime Library

Runetime error!

Program: C:\WINDOWS\system32\TureCrypt.exe

 

R6002

- floating point support not loaded

 

Nic nie idzie zrobić. Na google strasznie malo informacji. Prosze o pomoc

[picasso]

Ten błąd to podejrzenie wirusa Sality. Rozumiem, że nie można się do systemu w ogóle dostać? Czy dysk z Windows był szyfrowany?

[Asia]

Nie idzie się dostać.Tak windows jest szyfrowany

[picasso]

Czy posiadasz płytę odzyskiwania TrueCrypt Rescue Disk, która umożliwi odszyfrowanie dysku? Z KLIK:

 

If Windows is damaged and cannot start, the TrueCrypt Rescue Disk allows you to permanently decrypt the partition/drive before Windows starts. In the Rescue Disk screen, select Repair Options > Permanently decrypt system partition/drive. Enter the correct password and wait until decryption is complete. Then you can e.g. boot your MS Windows setup CD/DVD to repair your Windows installation. Note that this feature cannot be used to decrypt a hidden volume within which a hidden operating system resides.

 

Zdjęcie szyfrowania umożliwi diagnostykę Windows, nawet jeśli Windows nie startuje. Przy zaszyfrowanym dysku brak dostępu do danych.

 

 

.

[Asia]

Posiadam płytę ale udało mi się wejść do systemu z trybu awaryjnego

[picasso]

Skoro Tryb awaryjny wchodzi, to zrób raporty OTL + GMER.

[Asia]

Postaram się dołączyć drugi plik za niedługo

OTL.Txt

[picasso]

To niepełny log OTL, brakuje pliku Extras (opcja "Rejestr - skan dodatkowy" nie została ustawiona na "Użyj filtrowania"). Oczekuję na resztę logów. Temat przenoszę do działu leczenia infekcji, bo:

 

Wstępnie na szybko, jest tu definitywnie infekcja. Po pierwsze ten delikwent:

 

O4 - HKU\S-1-5-21-1123561945-1580818891-1801674531-500..\Run: [svhost] C:\WINDOWS\system32\svhost.exe ()

 

To nie wszystko. Są tu również pośrednie znaki rootkita w MBR dysku. Bardzo charakterystyczne ślady widać w postaci tych dwóch sterowników:

 

DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\xpsec.sys -- (xpsec)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\xcpip.sys -- (xcpip)

 

I tu będzie problem. Dysk jest szyfrowany TrueCryptem, a to oznacza, że MBR ma loader TruCrypt. Usuwanie infekcji z MBR będzie oznaczać nadpisanie MBR i konieczność reinstalacji loadera TrueCrypt z poziomu płyty Rescue.

 

 

.

[Asia]

Po skanowaniu OTLem musiałam zrestartować komputer i teraz wyskakuje mi "Logowanie do systemu windows" login: administrator hasło: brak i nie moge się zalogować. Nigdy hasło nie było ustawiane a jak próbuje wejść bez hasła to niby wchodzi do pulpitu ale zaraz pojawia się znów logowanie i tak w kółko.

 

edit:

dołączam extras.txt

ten svhost to jest mój pliczek

 

Wobec tego co teraz? Odszyfrowywać dysk?

[picasso]

musiałam zrestartować komputer i teraz wyskakuje mi "Logowanie do systemu windows" login: administrator hasło: brak i nie moge się zalogować. Nigdy hasło nie było ustawiane a jak próbuje wejść bez hasła to niby wchodzi do pulpitu ale zaraz pojawia się znów logowanie i tak w kółko.

 

W Twoim raporcie OTL jest ten wpis:

 

O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) -  File not found

 

Brakuje pliku userinit.exe. Bez niego jest niemożliwe zalogowanie. Plik należy uzupełnić. Tylko problem w tym, że nie da się tu wykorzystać narzędzi bootujących do wstawienia pliku, bo dysk jest zaszyfrowany. Niestety musisz zdjąć szyfrowanie dysku Windows przez TrueCrypt Rescue, a dopiero po tym jest możliwy dostęp i naprawa.

 

 

ten svhost to jest mój pliczek

 

Konkrety: od czego?

 

 

dołączam extras.txt

 

Nie widzę żadnego pliku...

 

 

 

.

[Asia]

Robi się deszyfracja jedak to trochę potrwa. Czy mogę prosić o instrukcję jak skopiować ten plik userinit.exe aby zrobić drugi skan GMER

 

Przepraszam nie załączył się.

svhost przechwytuje znaki i zapisuje do txt

deszyfracja potrwa jakieś 10h

Extras.Txt

[picasso]

Plik Extras również potwierdza, że tu był rootkit MBR, są w zaporze systemowej autoryzacje Zdalnego Pulpitu i Services:

 

========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"3389:TCP" = 3389:TCP:*:Enabled:Remote Desktop
"65533:TCP" = 65533:TCP:*:Enabled:Services
"52344:TCP" = 52344:TCP:*:Enabled:Services
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"3389:TCP" = 3389:TCP:*:Enabled:Remote Desktop
"65533:TCP" = 65533:TCP:*:Enabled:Services
"52344:TCP" = 52344:TCP:*:Enabled:Services

 

Tak więc teraz oczekuję na dane. Wiem, że deszyfracja potrwa, więc diagnostyka za kilka godzin dopiero.

 

 

Robi się deszyfracja jedak to trochę potrwa. Czy mogę prosić o instrukcję jak skopiować ten plik userinit.exe aby zrobić drugi skan GMER

 

Gdy dysk zostanie odszyfrowany:

 

1. Startujesz z płyty OTLPE na ten system i wstawiasz plik userinit.exe do C:\WINDOWS\system32. Plik w wersji zgodnej z Twoim systemem XP SP3: KLIK.

 

2. Zrób nowe logi OTL (włącznie z Extras) i GMER.

 

 

 

.

[Asia]

System odszyfrowany. Wgrałam userinit.exe, idzie wejsc do systemu.

W załączniku pliki.

OTL.Txt

Extras.Txt

gmer.txt

[picasso]

Zastrzeżenia do logów:

- Zrobiłaś log z poziomu płyty OTLPE. Tam jest bardzo stary OTL. Skoro system już startuje po uzupełnieniu pliku userinit.exe, należy zrobić raporty za pomocą klasycznego OTL uruchamianego spod Windows, bo jest znacznie nowszy i ma dodatkowe skany. O te raporty poproszę potem, gdy zadam stosowne instrukcje usuwające śmieci z systemu.

- Log z GMER został zrobiony w nieprawidłowych warunkach, przy czynnych sterownikach emulacji napędów wirtualnych (KLIK):

 

DRV - [2012-02-27 11:54:07 | 000,443,448 | ---- | M] () [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\sptd.sys -- (sptd)
DRV - [2012-02-11 15:46:25 | 000,232,512 | ---- | M] (DT Soft Ltd) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\dtsoftbus01.sys -- (dtsoftbus01)

 

 

Wracając do wątku infekcji, w logu z GMER jest widzialny kod rootkita MBR:

 

---- Disk sectors - GMER 1.0.15 ----
 
Disk            \Device\Harddisk0\DR0            malicious Win32:MBRoot code @ sector 976752003
Disk            \Device\Harddisk0\DR0            PE file @ sector 976752025

 

Nie wiadomo czy rootkit jest czynny. Wykonaj skan za pomocą Kaspersky TDSSKiller. Jeśli coś wykryje, przyznaj akcję Skip i log do oceny zaprezentuj. Jeśli wykryje tylko sterownik SPTD emulatora napędów wirtualnych, to log zbędny.

 

 

 

.

[Asia]

coś wykryło jednak

 

edit:

czy ten log gmera robić ponownie? trwa to około 2h

 

Chyba zrobie kopie plików i format gdyz z tego co widze kasperski usuwa pliki z \system32 wiec ta praca mija się z celem.

Mam pytanie czy jak zrobie format c: to partycje zaszyfrowane d: i e: będą działać po podłączeniu ?

kaspersky.txt

[picasso]

Rootkit jest czynny. Przechodzimy do właściwego usuwania infekcji oraz adware:

 

1. Uruchom TDSSKiller i tym razem dla wyniku Rootkit.Boot.Sinowal.b przyznaj akcję Cure. Zresetuj system. Po restarcie uruchom ponownie TDSSKiller i sprawdź czy wykrywa bootkita.

 

2. Przeinstaluj TrueCrypt ze świeżego instalatora, bo ten błąd, od którego się zaczął temat, jest podejrzany. Na razie nie wykonuj żadnego szyfrowania dysku.

 

3. Odinstaluj adware:

• Przez Dodaj/Usuń Programy usuń Astroburn Toolbar, uTorrentControl2 Toolbar, V9 Homepage Uninstaller. Od razu pozbądź się też COMODO GeekBuddy, to zbędnik.
  
• Google Chrome: W zarządzaniu wyszukiwarkami przestaw domyślną z v9 na Google, po tym v9 usuń z listy. W Rozszerzeniach odinstaluj uTorrentControl2.
  
• Firefox: wyczyść z adware poprzez menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.
  

4. Doczyść inne ślady rootkita MBR / adware / wpisy puste. Uruchom OTL (nie OTLPE) i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Documents and Settings\Administrator\Dane aplikacji\Babylon
C:\Documents and Settings\All Users\Dane aplikacji\Babylon
C:\Program Files\mozilla firefox\searchplugins\v9.xml
netsh firewall reset /C
 
:OTL
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\xpsec.sys -- (xpsec)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\xcpip.sys -- (xcpip)
DRV - File not found [Kernel | Boot | Stopped] --  -- (mv64xx)
DRV - File not found [Kernel | Boot | Stopped] --  -- (mv61xx)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (GEARAspiWDM)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleXNt.sys -- (EagleXNt)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\cx__l1.sys -- (cx__l1.sys)
IE - HKU\S-1-5-21-1123561945-1580818891-1801674531-500\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = "http://search.v9.com/web/?q={searchTerms}"
IE - HKU\S-1-5-21-1123561945-1580818891-1801674531-500\..\SearchScopes\{5F970FDE-702B-4ef9-920C-5F2848A5AF26}: "URL" = "http://www.daemon-search.com/search/web?q={searchTerms}"
IE - HKU\S-1-5-21-1123561945-1580818891-1801674531-500\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3072253"
FF - HKLM\Software\MozillaPlugins\@foxitsoftware.com/Foxit Reader Plugin,version=1.0,application/pdf: C:\Program Files\Foxit Software\Foxit Reader\plugins\npFoxitReaderPlugin.dll File not found
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

 

5. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania.

 

6. W katalogu Moje Dokumenty masz plik o wadliwej nazwie, ta końcowa kropka czyni go niekasowalnym (błąd "plik nie istnieje"):

 

========== Files Created - No Company Name ==========
 
File not found -- C:\Documents and Settings\Administrator\Moje dokumenty\Administrator.

 

Skasuj go posługując się narzędziem Delete FXP Files.

 

7. Zrób nowe logi OTL z opcji Skanuj oraz dołącz logi TDSSKiller z leczenia + AdwCleaner z usuwania. Tylko się upewnię, czy od Twojego pliczków svhost.exe pochodzą także te pliki:

 

 

 

[2012-12-16 10:11:54 | 000,384,311 | ---- | C] () -- C:\WINDOWS\system322012-12-16.cfg

[2012-12-15 00:06:11 | 000,339,554 | ---- | C] () -- C:\WINDOWS\system322012-12-15.cfg

[2012-12-14 20:30:52 | 000,357,858 | ---- | C] () -- C:\WINDOWS\system322012-12-14.cfg

[2012-12-13 17:43:40 | 000,357,204 | ---- | C] () -- C:\WINDOWS\system322012-12-13.cfg

[2012-12-12 00:04:51 | 000,249,296 | ---- | C] () -- C:\WINDOWS\system322012-12-12.cfg

[2012-12-11 18:08:39 | 000,204,474 | ---- | C] () -- C:\WINDOWS\system322012-12-11.cfg

[2012-12-10 00:00:31 | 000,181,121 | ---- | C] () -- C:\WINDOWS\system322012-12-10.cfg

[2012-12-09 02:21:40 | 000,103,992 | ---- | C] () -- C:\WINDOWS\system322012-12-09.cfg

[2012-12-08 00:46:07 | 000,056,978 | ---- | C] () -- C:\WINDOWS\system322012-12-08.cfg

[2012-12-07 00:00:00 | 000,014,163 | ---- | C] () -- C:\WINDOWS\system322012-12-07.cfg

[2012-12-06 08:34:59 | 000,890,905 | ---- | C] () -- C:\WINDOWS\system322012-12-06.cfg

[2012-12-05 00:08:43 | 000,853,261 | ---- | C] () -- C:\WINDOWS\system322012-12-05.cfg

[2012-12-04 09:34:40 | 000,989,640 | ---- | C] () -- C:\WINDOWS\system322012-12-04.cfg

[2012-12-03 00:04:07 | 000,926,104 | ---- | C] () -- C:\WINDOWS\system322012-12-03.cfg

[2012-12-02 10:55:03 | 000,860,208 | ---- | C] () -- C:\WINDOWS\system322012-12-02.cfg

[2012-12-01 01:38:38 | 000,807,709 | ---- | C] () -- C:\WINDOWS\system322012-12-01.cfg

[2012-11-30 00:00:06 | 000,767,547 | ---- | C] () -- C:\WINDOWS\system322012-11-30.cfg

[2012-11-29 00:02:14 | 000,732,514 | ---- | C] () -- C:\WINDOWS\system322012-11-29.cfg

[2012-11-28 00:00:19 | 000,701,933 | ---- | C] () -- C:\WINDOWS\system322012-11-28.cfg

[2012-11-27 00:00:00 | 000,662,602 | ---- | C] () -- C:\WINDOWS\system322012-11-27.cfg

[2012-11-26 00:00:10 | 000,629,354 | ---- | C] () -- C:\WINDOWS\system322012-11-26.cfg

[2012-11-25 10:10:39 | 000,573,966 | ---- | C] () -- C:\WINDOWS\system322012-11-25.cfg

[2012-11-24 00:00:02 | 000,512,486 | ---- | C] () -- C:\WINDOWS\system322012-11-24.cfg

[2012-11-23 00:00:19 | 000,486,261 | ---- | C] () -- C:\WINDOWS\system322012-11-23.cfg

[2012-11-22 13:07:31 | 000,435,167 | ---- | C] () -- C:\WINDOWS\system322012-11-22.cfg

[2012-11-21 14:59:20 | 000,380,997 | ---- | C] () -- C:\WINDOWS\system322012-11-21.cfg

[2012-11-20 08:08:02 | 000,347,521 | ---- | C] () -- C:\WINDOWS\system322012-11-20.cfg

[2012-11-19 00:00:25 | 000,295,995 | ---- | C] () -- C:\WINDOWS\system322012-11-19.cfg

[2012-11-18 00:15:54 | 000,236,090 | ---- | C] () -- C:\WINDOWS\system322012-11-18.cfg

[2012-11-17 00:00:03 | 000,191,726 | ---- | C] () -- C:\WINDOWS\system322012-11-17.cfg

 

[2012-02-27 15:07:22 | 000,444,416 | ---- | C] () -- C:\WINDOWS\System32\svhost.exe

[2012-02-27 15:07:16 | 000,622,050 | ---- | C] () -- C:\WINDOWS\svh.exe

[2012-02-27 14:53:35 | 000,629,716 | ---- | C] () -- C:\WINDOWS\system.exe

 

 

 

I na wszelki wypadek podaj zawartość tego ukrytego pliku autorun.inf:

 

O32 - AutoRun File - [2012-12-16 16:44:10 | 000,000,558 | RHS- | M] () - J:\autorun.inf -- [ FAT32 ]

 

Plik jest gruby = zawartość umieść na wklej.org.

 

 

 

EDIT:

 

Chyba zrobie kopie plików i format gdyz z tego co widze kasperski usuwa pliki z \system32 wiec ta praca mija się z celem.

Mam pytanie czy jak zrobie format c: to partycje zaszyfrowane d: i e: będą działać po podłączeniu ?

 

Dopisałaś. Zaraz ... Jakie "usuwanie plików"? Kaspersky nic nie usuwa bez poinstruowania, nic nie robi samodzielnie. Co tu się dzieje? Czy to oznacza, że pliki Ci same znikają? Skąd? Czy tu aby nie ma jakiegoś dodatkowego backdoora / wirusa, który pliki kasuje? Raportowałaś już po uruchomieniu OTL problem, wtedy zniknął plik userinit.exe. Na pewno tego nie zrobił OTL.

 

 

 

 

.

[Asia]

wszystko leci do kwarantanny

[picasso]

Nie rozumiem. Opisz mi dokładniej co się dzieje.

[Asia]

kasperski wykrył 175 zagrożeń i przeniósł je do kwarantanny. Wirus zaraza pliki .exe ( pliki systemowe, aplikacje itd.)

[picasso]

Ja nadal nie wiem o czym mówimy. Podałaś mi log z Kaspersky TDSSKiller i tam są tylko dwa wyniki: zablokowany sterownik SPTD + rootkit Sinowal w MBR. O jakim Kasperskym mówisz teraz: TDSKiller czy Kaspersky Virus Removal Tool? Poza tym, skoro było "175 zagrożeń" to pokaż mi przykładowe wyniki ze skanu co to w ogóle było, bo jak mogę to ocenić.

 

 

 

.

[Asia]

Przepraszam najmocniej, miałam na myśli Comodo internet serurity premium. Nie mogę tutaj wydostac żadnego loga, screena nie idzie zrobić bo paint, word, photoshop wszystkie pliki exe od tych aplikacji uszkodzone ;/

[picasso]

Czy w oknie COMODO widzisz chociaż pod jaką nazwą wykrywa zagrożenia? Jeśli COMODO cały czas wykrywa exe jako zainfekowane i usuwa pliki, to nasuwa się mój pierwszy post, w którym na podstawie błędu TrueCrypt typowałam infekcję:

 

Ten błąd to podejrzenie wirusa Sality.

 

Ten wirus jest okropny i atakuje pliki wykonywalne na wszystkich dyskach. Zwalczyć to bez formatu duża sztuka. Tu nie mam potwierdzenia co za wirus siedzi, bo nie jesteś w stanie podać mi danych COMODO, ale zachowanie wskazuje na katastrofę.

 

Czyli mamy tu dwie bardzo poważne infekcje: rootkit w MBR + infekcja w plikach wykonywalnych. W takiej sytuacji bez zastanowienia: format. Tylko uwaga: z dysków nie wolno zrobić kopii zapasowej plików wykonywalnych, bo po formacie rozwalą system i infekcja zacznie się od początku. I jest tu też problem:

 

Mam pytanie czy jak zrobie format c: to partycje zaszyfrowane d: i e: będą działać po podłączeniu ?

 

Nie wiadomo co jest na tych partycjach, czy wirus tam miał dostęp.

 

 

 

.

[Asia]

Miał dostęp ;/

 

edit: nazwa zagrozeń:

Virus.Win32.Partie.gen@83478388

[picasso]

Czyli to wirus Parite. To ten sam model infekcji co Sality, czyli infekcja plików wykonywalnych na wszystkich dyskach. Asia niestety ja w tym momencie mogę zalecić tylko skan, by odwirusować ile się da, a po tym format (a kopia zapasowa plików wykonywalnych wykluczona). Może zrób tak:

 

1. Usuń tego rootkita w MBR za pomocą Kaspersky TDSSKiller.

 

2. W Trybie awaryjnym uruchom rmparite.

 

3. Zrób skan dysku C z poziomu płyty Kaspersky Rescue Disk. Jest problem z pozostałymi partycjami, mówisz że są zaszyfrowane = nie można się do nich dostać, a tam też może być wirus.

 

4. Następnie format...

 

 

 

.

[Asia]

Skopiuje najpotrzebniejsze dane na dysk zewnętrzy a później będę się martwiła. Czy jak sformatuje wszystkie 3 partycje to powyższe skanowania i usuwania wirusów mają sens?