Infekcja pendrive'a

[3MOON]

System to Win Vista Home Basic 32bit.

Próbowałem zainstalować internet z iPlusa, który jest na USB.Miałem z tym duży problem więc zacząłem grzebać. O tym że coś jest nie tak kapnąłem się jak włożyłem do portu swojego pendriv'a. Przy lewokliku wyskoczył komunikat o braku dostępu. Można było go tylko explorować. Tu użyłem Fresh Desinfectora i USBVaccine co pomogło doraźnie. Odinstalowałem też starą wersję Avasta i po deinstalacji nie wyskoczył komunikat o braku zabezpieczeń. Przy próbie włączenia Centrum zabezpieczeń wyskakuje komunikat o braku możliwości uruchomienia usługi. Poniżej daję logi z Gmera i OTL. Przeskanuję komputer też MBAMem i dam wyniki. Na komputerze był zainstalowany Daemon Tools. Niestety udało mi się go tylko odinstalować. Sposób ze strony podanej w opisie do usunięcia sterownika SPTD nie działa. Mam komunikat że ... exe nie jest prawidłową aplikacją systemu win32.

Gmer.txt

OTL.Txt

Extras.Txt

[picasso]

Na komputerze był zainstalowany Daemon Tools. Niestety udało mi się go tylko odinstalować. Sposób ze strony podanej w opisie do usunięcia sterownika SPTD nie działa. Mam komunikat że ... exe nie jest prawidłową aplikacją systemu win32.

 

Ten komunikat jest związany z niepełnym / nieprawidłowym pobraniem pliku deinstalatora SPTD. Nie wiem dlaczego tak się dzieje, ale czasem rzeczywiście ten plik się źle ściąga. Widać u Ciebie, że plik jest "urwany":

 

[2011-01-13 22:10:28 | 000,186,888 | ---- | M] () -- C:\Users\kasia\Desktop\SPTDinst-v176-x86.exe

Plik powinien ważyć 581 KB (bajtów: 595 000).

 

Przy próbie włączenia Centrum zabezpieczeń wyskakuje komunikat o braku możliwości uruchomienia usługi.

 

Konkrety: jaki błąd?

 

---

 

Infekcja jest obecna w systemie.

 

PRC - [2008-10-06 20:29:48 | 000,094,288 | ---- | M] (Sver) -- C:\Windows\System32\ommarmcc.exe
SRV - [2008-10-06 20:29:48 | 000,094,288 | ---- | M] (Sver) [Auto | Running] -- C:\Windows\System32\ommarmcc.exe -- (fezerlvfwslirm)
 
[2009-09-05 05:14:22 | 000,135,168 | ---- | C] () -- C:\Windows\System32\mssic-ocd.dll
[2009-07-10 20:30:16 | 000,135,168 | ---- | C] () -- C:\Windows\System32\mssAn-ern.dll
[2007-11-03 12:28:24 | 000,009,845 | ---- | C] () -- C:\Windows\System32\mswin-oce.dll

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Services
fezerlvfwslirm
 
:Files
C:\Windows\System32\ommarmcc.exe
C:\Windows\System32\mssic-ocd.dll
C:\Windows\System32\mssAn-ern.dll
C:\Windows\System32\mswin-oce.dll
C:\Users\kasia\AppData\Local\Temp*.html
C:\Program Files\Mozilla Firefox\searchplugins\BearShareWebSearch.xml
C:\Users\kasia\AppData\Roaming\Mozilla\Firefox\Profiles\xoyskti5.default\searchplugins\askcom.xml
C:\Users\kasia\AppData\Roaming\Mozilla\Firefox\Profiles\xoyskti5.default\searchplugins\BearShareWebSearch.xml
 
:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
 
:OTL 
FF - prefs.js..browser.search.defaultengine: "Ask.com"
FF - prefs.js..browser.search.defaultenginename: "Ask.com"
FF - prefs.js..browser.search.order.1: "Ask.com"
FF - prefs.js..browser.search.useDBForOrder: true
O3 - HKU\S-1-5-21-518432049-2676681056-226125985-1000\..\Toolbar\WebBrowser: (no name) - {CF418B05-72F5-4CCA-96D5-D39EA22BE927} - No CLSID value found.
O3 - HKU\S-1-5-21-518432049-2676681056-226125985-1000\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
 
:Commands
[emptyflash]
[emptytemp]

 

Uruchom przez Wykonaj skrypt.

 

2. Po operacji usuwania wytwórz nowe logi z OTL, z tym że na dostosowanym warunku: w sekcji Własne opcje skanowania / skrypt wklej słowo netsvcs i klik w Skanuj. Dołącz także log z usuwania OTL.

 

O tym że coś jest nie tak kapnąłem się jak włożyłem do portu swojego pendriv'a. Przy lewokliku wyskoczył komunikat o braku dostępu.

 

Podepnij to urządzenie i podaj także log z USBFix z opcji Listing.

 

 

 

 

.

[3MOON]

Ok udało mi się ściągnąć za któryś tam razem programik do STPD i odinstalować sterownik. Daję też logi z OTL. Co do Centrum Zabezpieczeń to może się wygłupiłem bo system jest nieaktywny w sensie klucza więc może to jest blokowane z automatu przez Microsoft USBFixa niestety nie udało mi się uruchomić. Komunikat w załączniku...

01142011_214130.txt

OTL.Txt

[picasso]

Wg raportów infekcja została usunięta i nie nastąpił powrót szkodliwych elementów. Jeszcze mam pytanie w kwestii tego:

 

O4 - HKLM..\Run: [incmd]  File not found
O4 - HKLM..\Run: [incmdnnt] D:\incmdnnt\incmdnnt.exe (MM Studio)

Patrząc na znak producenta "MM Studio", czy było tu instalowane coś w tym rodzaju: KLIK.

 

Co do Centrum Zabezpieczeń to może się wygłupiłem bo system jest nieaktywny w sensie klucza więc może to jest blokowane z automatu przez Microsoft

 

Nie powinno, to infekcja raczej to uziemiła. Sprawdź czy usługa nie została wyłączona: Start > w polu szukania wpisz services.msc > z prawokliku Uruchom jako Administrator > na liście wyszukaj Centrum zabezpieczeń. Dwuklik na usługę i jej start ma być ustawiony na Automatycznie (opóźnione uruchomienie) a status usługi Uruchomiona.

 

USBFixa niestety nie udało mi się uruchomić. Komunikat w załączniku...

 

Stwórz zamiennie listę z poziomu SystemLook. W oknie wklej poniższy tekst podstawiając pod X literę pod jaką jest zmapowane urządzenie i kliknij w Look.

 

:dir
X:\

 

Ok udało mi się ściągnąć za któryś tam razem programik do STPD i odinstalować sterownik.

 

To ma znaczenie dla raportu z GMER a nie OTL.

 

 

.

[3MOON]

MMStudio nie ma w dodaj usuń programy. Był zato folder z deinstalatorem tego czegoś na D: więc to odinstalowałem. To co się nie odinstalowało wyrzuciłem ręcznie. Zresztą niby było to jakieś demo. W załącznikach reszta.

SystemLook.txt

[picasso]

Zawartość urządzenia nie stanowi problemu, nie widzę żadnych obiektów od infekcji.

 

Na temat usługi Centrum zabezpieczeń: czy próba uruchomienia przyciskiem zwraca jakiś bardziej szczegółowy błąd niż komunikat pokazany wcześniej? Nie pokazują się żadne dodatkowe detale?

[3MOON]

Słuszna uwaga w sumie jest różnica

[picasso]

"Usługa zależności nie istnieje lub została oznaczona do usunięcia" = Centrum zabezpieczeń ma w zależnościach dwie usługi (Instrumentacja zarządzania Windows + Zdalne wywoływanie procedur) i wydaje mi się nieprawdopodobne, by te usługi były nieobecne (w przeciwnym wypadku miałbyś poważniejsze problemy w systemie). Nasuwa się więc dodana dodatkowa zależność dla Centrum.

 

Start > w polu szukania wpisz regedit > wejdź do klucza:

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wscsvc

 

Co widzisz w wartości DependOnService?

 

 

 

 

.

[3MOON]

Czekając na odpowiedź zacząłem grzebać w systemie w celu jego aktywacji. Przy okazji zauważyłem też, że system posiada SP1 więc zainstalowałem SP2. Oczywiście nie bez problemów i z pomocą pomocy technicznej microsoftu ale zainstalowałem. Po restarcie okazało się, że mam centrum zabezpieczeń. Nie wiem czy to zbieg okoliczności ale temat jest do zamknięcia. I oczywiście wielkie dzięki za pomoc;)

[picasso]

Raczej sądzę, że instalacja SP2 przepisała ustawienia zmodyfikowane infekcją, bo nieaktywowany system ma działającą usługę Centrum zabezpieczeń, właśnie oglądam taki system Vista w maszynie wirtualnej. Dokończ:

 

 

1. W OTL wywołaj Sprzątanie.

 

2. Programy do aktualizacji:

 

Internet Explorer (Version = 7.0.6001.18000)
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216011FF}" = Java™ 6 Update 20
"{AC76BA86-7AD7-1033-7B44-A91000000001}" = Adobe Reader 9.1
"Mozilla Firefox (3.5.11)" = Mozilla Firefox (3.5.11)

Szczegóły aktualizacyjne w tym temacie: INSTRUKCJE.

 

3. Na koniec wypróżnij foldery Przywracania systemu.

 

 

 

.

[3MOON]

Ok jeszcze raz dzięki za pomoc