Traxter Opublikowano 1 Stycznia 2011 Zgłoś Udostępnij Opublikowano 1 Stycznia 2011 Złapałem infekcje, a to za sprawą aplikacji InternetSecurity2011, którą że tak powiem świadomie zainstalowałem, ale narobiła więcej szkody niż się spodziewałem. Nie uruchamia mi się Explorer, cały czas działa nowy szkodliwy proces svchost.exe, wyłączane są aplikacje OTL, Autoruns, Malwarebytes zaraz po rozpoczęciu skanowania. Pliki OTL.exe, OTL.com, pliki GMERa nie można już kolejny raz uruchomić, pokazuje się komunikat Odmowa dostępu. Chciałem usunąć to świństwo Malwarebytes, ale po rozpoczęciu skanowania się wyłącza. Nie pomaga też uprzednie użycie RKill - generuje taki log: Processes terminated by Rkill or while it was running: \\.\globalroot\Device\svchost.exe\svchost.exe Działa też nowa usługa Antiwirus 2010 Log OTL jest wytworzony z OTL PE uruchomiony na własnej płycie Barta. GMER też się wyłącza, ale RootRepeal poszedł. OTL.Txt Extras.Txt RootRepeal report 01-01-11 (16-28-47).txt Odnośnik do komentarza
Landuss Opublikowano 2 Stycznia 2011 Zgłoś Udostępnij Opublikowano 2 Stycznia 2011 Usługa startuje na systemowym userinit co może znaczyć, że sam plik też jest zaprawiony choć po tych logach nie jestem w stanie tego jednoznacznie stwierdzić a są to jedynie przypuszczenia. Plik pójdzie na wymianę a wszystko to zrobisz z zewnątrz. PRZYGOTOWANIA 1. Pobierz oryginalny userinit pod XP SP3 zgodnie z twoim systemem: KLIK 2. Stwórz w Notatniku plik tekstowy o następującej treści: :Services userinit vbmaca0d UnlockerDriver5 :OTL O20 - Winlogon\Notify\WgaLogon: DllName - Reg Error: Value error. - Reg Error: Value error. File not found [2009/10/03 00:26:14 | 000,735,680 | ---- | C] () -- C:\WINDOWS\System32\msitttmp.dll [2009/10/03 00:25:25 | 000,037,376 | ---- | C] () -- C:\WINDOWS\System32\drivers\vbmaca0d.sys :Commands [emptytemp] Plik zapisz pod nazwą FIX.TXT 3. Pobrany plik userinit.exe + plik FIX.TXT umieść na pendrive lub innym urządzeniu przenośnym, które może być podpięte do komputera. OPERACJA Z POZIOMU OTLPE Podpinasz urządzenie przenośne z plikami + startujesz z płyty OTLPE i wykonujesz: 1. Z Pulpitu płyty OTLPE uruchamiasz Mój komputer. Z urządzenia przenośnego przenosisz plik userinit.exe i wklejasz go do C:\WINDOWS\system32 oraz C:\WINDOWS\system32\dllcache 2. Uruchamiasz z Pulpitu program OTLPE zgodnie ze wskazówkami montując rejestr. Klikasz w Run Fix. Zostanie zgłoszony komunikat o braku skryptu i wtedy wskazujesz plik o nazwie FIX.TXT. OTLPE wykona zadanie i poda log, który zachowasz bo będziesz go prezentował. 3. Restart komputera. Jeśli wszystko pójdzie dobrze spróbuj zrobić normalnie logi z OTL + Gmer spod systemu. Możesz też załączyć log powstały z usuwania OTLPE. Odnośnik do komentarza
Traxter Opublikowano 2 Stycznia 2011 Autor Zgłoś Udostępnij Opublikowano 2 Stycznia 2011 Poradziłem sobie z ta infekcją w inny sposób: - przywróciłem rejestr wykonamy programem Erunt wczoraj rano, przed instalacją tej aplikacji . System uruchomił się normalnie, więc wpisy w rejestrze mam z głowy. - po restarcie ręcznie usunąłem pliki podane w instrukcji usuwania na stronie http://www.bleepingcomputer.com/virus-removal/remove-internet-security-2011 oraz [2009/10/03 00:26:14 | 000,735,680 | ---- | C] () -- C:\WINDOWS\System32\msitttmp.dll [2009/10/03 00:25:25 | 000,037,376 | ---- | C] () -- C:\WINDOWS\System32\drivers\vbmaca0d.sys Wg artykułu tu był tez rootkit w pliku vbmaca0d.sys (wykryty w RootRepeal), który zmieniał uprawnienia plików i uniemożliwiał ich uruchamianie. Musiałem użyć DirectoryFixer aby te pliki usunąć. - dzisiaj wykonałem skrypt w OTL :Services UnlockerDriver5 :OTL O20 - Winlogon\Notify\WgaLogon: DllName - Reg Error: Value error. - Reg Error: Value error. File not found IE - HKU\S-1-5-21-1957994488-299502267-725345543-1006\..\URLSearchHook: {00A6FAF6-072E-44cf-8957-5838F569A31D} - Reg Error: Key error. File not found - plik userinit nie był zaprawiony: ma 26KB, suma MD5: 2A5B37D520508BE6570A3EA79695F5B5 - zrobiłem restart i wykonałem logi, które załączam. Chyba wszystko jest OK. OTL.Txt Extras.Txt defogger_disable.txt gmer.txt Odnośnik do komentarza
Landuss Opublikowano 2 Stycznia 2011 Zgłoś Udostępnij Opublikowano 2 Stycznia 2011 Tak wykonałem jeszcze edycje skryptu, ale jeśli sobie poradziłeś to w porządku. W obecnych logach nie widać już śladu aktywnej infekcji. Użyj jeszcze opcji Sprzątanie z OTL i wyzeruj stan przywracania systemu poprzez chwilowe jego wyłączenie. Odnośnik do komentarza
Traxter Opublikowano 3 Stycznia 2011 Autor Zgłoś Udostępnij Opublikowano 3 Stycznia 2011 Landuss dzięki za wskazówki. Odnośnik do komentarza
Rekomendowane odpowiedzi