Worm:Win32/sirefef.gen!A oraz [cmz vmkd] Virtual Bus

[Marton]

Witam.

Problem, który mnie dotyczy szczególowo został opisany w wątku:

 

http://www.[szukaj]/WormWin32sirefefgenA-t142303.html

 

Przypadkiem dowiedziałem się o nowym forum z Panią Picasso w roli głownej z wiedzy której korzystałem wielokrotnie przeglądając forumsearchengines

(Wielkie ukłony !!!!!)

 

 

Na założenie powyższego tematu zdecydowałem się z nastepujących przesłanek:

 

1,Problem który zgłaszałem na forum searchengines nie do końca został rozwiązany.

 

2.Po zamknięciu tematu na searchengines pojawiły się nowe okoliczności mogące rzutować na całość problemu.

 

 

Dzisiaj rano pogrzebałem trochę w systemie Visty, z którą jak do tej pory nie miałem do czynienia i stwierdziłem, iż w menadżerze

urządzeń, w zakładce "urządzenia systemowe" znajduje oznaczony żółtym kolorem wpis "[cmz vmkd] Virtual Bus" w opsie

 

Typ urządzenia: Urządzenia systemowe

Producent: [cmz vmkd] Technologies Inc

Lokalizacja: on Microsoft ACPI-Compliant System

Sterownik: Nieznany,niedostepny, nie podpisany cyfrowo

Urządzenie to obecnie wyłączyłem,

 

Z informacji uzyskanych w internecie wynika, iż może to być związane z infekcją Antivirus 2010, którą wcześniej usunięta została

przy pomocy aplikacji rKill i Malwarebytes' Anti-Malware wspomaganej przez MSSE.

 

 

Przeszukałem rejestr systemowy Visty, gdzie znalazłem kilka podobnych do siebie wpisów dotyczących [cmz vmkd] Virtual Bus:

 

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\*PNP0296\0000

 

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\*PNP0296\0000

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\*PNP0296\0000

 

W zakładce service w powyszych wpisach wymieniony jest mvb35316 sterownik usunięty wcześniej przez przez Malwarebytes.

 

Następnie zlokalizowałem również 3 wpisy dotyczące mvb35316 tj.:

 

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\mvb35316

 

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\mvb35316

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mvb35316

 

 

Nadmieniam, iż w chwili obecnej system funkcjonuje w miarę normalnie. Zdarzają jednak samoczynne restarty z niebieskim ekranem podczas przeglądania internetu

jak również przy skanowaniu niektórymi aplikacjami antywirusowymi. No i problem podstawowy to alerty MSSE o Worm:Win32/sirefef.gen!A, wystepujące z reguły po

nagłym restarcie i ponownym załadowaniu systemu.

 

 

W związku z powyższym zwracam sie z gorącą prośbą o określenie dalszego toku postępowania.

Zamieszczam aktualny log z OTL jednak Demonem i Sptd z powodów, które opisałem w wątku na searchengines,

 

 

http://wklej.org/id/457001/

 

http://wklej.org/id/457002/

[picasso]

Mam komentarze do prowadzenia tematu na poprzednim forum:

 

1. Nieprawidłowo odczytany log z TDSSKiller, który nic "nie pokręcił":

 

2011/01/12 20:55:33.0954    Suspicious file (Forged): C:\Windows\system32\drivers\Npfs.sys. Real md5: 4caeaecf911c8a0bb5db043799c2ebf2, Fake md5: d36f239d7cce1931598e8fb90a0dbc26
2011/01/12 20:55:33.0970    Npfs - detected Forged file (1)

Forged = Fałszerstwo. Plik pokazany w logu ma rozbieżne sumy kontrolne.

Fake MD5 = Sfałszowana suma kontrolna, podrobiona na prawidłową, czyli to co rootkit chce by było widziane i ta suma jest równa sumie czystego pliku

Real MD5 = Prawdziwa suma kontrolna, rzeczywista modyfikacja = tylko ta suma kontrolna się liczy.

 

2. Dane o sterowniku w OTL nie mogą być brane pod uwagę przy infekcjach rootkit. OTL nie pracuje na poziomie rootkitów, nie pokaże prawdziwej modyfikacji pliku i zmienionej sumy kontrolnej (zwykle widać plik o starej dacie i rzekomo prawidłowej sumie kontrolnej). Tego się tak nie sprawdza. Sumę kontrolną dla plików naruszonych rootkitem można przeliczyć tylko w takich okolicznościach: program poziomu kernel pracujący "równo" z rootkitem (czyli: TDSSKiller) lub przeliczenie sumy z poziomu zewnętrznego środowiska gdy nie działa Windows czyli i infekcja (z OTL wbudowanego w środowisko boot PE OTLPE czy skopiowanie pliku np. z poziomu WinRE / Konsoli Odzyskiwania i skan pliku w izolacji). Odpada: OTL / OTS / SystemLook i inne programiki tego poziomu uruchomione spod Windows, gdy działa rootkit.

W Twoim logu widać ten plik, co nie jest prawidłowe, bo nie powinien się pokazać wcale. Zapewne dlatego, bo OTL nie widzi w nim sygnatury MS. Tylko co dziwne świeży log z OTL tego już nie pokazuje...

 

3. Sterownik ten nie ma opcji "Cure", ponieważ nie został wykryty jako znana narzędziu infekcja tylko jako "podejrzany plik" z fałszowaniem sumy. Kaspersky nie jest ogólnym "dezynfektorem" wszystkich infekcji kernel jak leci.

 

4. To nie może być fałszywy alarm, ścieżki takie istnieją w systemie: file:GLOBAL??\acpi#PNP0303#2&da1a3ff&0\00000001.sym. Jest to symlink do \Device i formuła zapisu urządzenia.

 

Nadmieniam, iż w chwili obecnej system funkcjonuje w miarę normalnie. Zdarzają jednak samoczynne restarty z niebieskim ekranem podczas przeglądania internetu

jak również przy skanowaniu niektórymi aplikacjami antywirusowymi. No i problem podstawowy to alerty MSSE o Worm:Win32/sirefef.gen!A, wystepujące z reguły po

nagłym restarcie i ponownym załadowaniu systemu.

 

Moim zdaniem sterownik Npfs.sys jest zainfekowany i wymaga ręcznej podmiany z zewnątrz. Typ sterownika pasuje do objawów m.in. do BSOD. Wg historii tematu na SE nie widzę, by w ogóle coś z tym sterownikiem robiono. Wyprodukuj nowy odczyt z Kasperskiego i zaprezentuj co on teraz widzi.

 

Próbowalem odinstalować Demona i sterownik sptd ale po tych operacjach nie

mogłem uruchomić systemu.Pomogło przywracanie systemu w trybie awaryjnym.

 

Dopóki działa ten parszywy emulator, będzie poważny problem ze startem wszystkich rootkit detektorów (a jeśli dodatkowo siedzi rootkit, tym gorzej) oraz leczeniem na poziomie kernel. Odczyt z GMER uważam za niezbędny. Czyli emulacja musi być zdjęta. Opisz dokładnie co się stało po próbie deinstalacji Daemona i SPTD.

 

Dzisiaj rano pogrzebałem trochę w systemie Visty, z którą jak do tej pory nie miałem do czynienia i stwierdziłem, iż w menadżerze

urządzeń, w zakładce "urządzenia systemowe" znajduje oznaczony żółtym kolorem wpis "[cmz vmkd] Virtual Bus" w opsie

 

Typ urządzenia: Urządzenia systemowe

Producent: [cmz vmkd] Technologies Inc

Lokalizacja: on Microsoft ACPI-Compliant System

Sterownik: Nieznany,niedostepny, nie podpisany cyfrowo

Urządzenie to obecnie wyłączyłem,

 

Z informacji uzyskanych w internecie wynika, iż może to być związane z infekcją Antivirus 2010, którą wcześniej usunięta została

przy pomocy aplikacji rKill i Malwarebytes' Anti-Malware wspomaganej przez MSSE.

Tak, to od infekcji: KLIK. MBAM już się rozprawiał z pewnymi składnikami tego miotu. Zółty wykrzyknik w menedżerze = to sugeruje, że urządzenie nie działa prawidłowo (może brak pliku na skutek operacji z MBAM). Spróbuj urządzenie odinstalować (to jest bardziej kompletna droga niż grzebanie w rejestrze). Od tej grupy jest jeszcze ten plik na dysku:

 

[2011-01-08 20:57:27 | 000,020,372 | ---- | M] () -- C:\ProgramData\.wtav

Widzę na dysku też jakiś "luźny" sterownik, do którego nie ma "pary":

 

[2011-01-13 17:56:28 | 000,054,016 | ---- | C] () -- C:\Windows\System32\drivers\rvwqlili.sys

 

Natomiast to się nie liczy (to sterownik tymczasowy Avenger):

 

[2011-01-13 20:11:19 | 000,000,000 | ---- | C] () -- C:\backup.reg
[2011-01-13 20:11:18 | 000,061,440 | ---- | C] () -- C:\Windows\System32\drivers\umrhjsm.sys
[2011-01-13 20:09:46 | 000,731,136 | ---- | C] () -- C:\Users\Mario\Desktop\avenger.exe

Poza tym, są jeszcze naruszenia w Winsock:

 

O10 - Protocol_Catalog9\Catalog_Entries\000000000001 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000002 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000003 -  File not found

 

Oraz bzdury spoza tematu infekcji, czyli toolbar oparty o Conduit, niegodny uwagi na tym etapie diagnostyki.

 

 

 

Podsumowując: czekam na nowy odczyt z TDSSKiller oraz dokładny opis problemu ze zdejmowaniem emulacji.

 

 

.

[Marton]

Więc po kolei:

 

Odinstalowałem "[cmz vmkd] Virtual Bus" - wpisy w rejestr5ze, które wymieniałem

znikły. Ręcznie wywliłem plik C:\ProgramData\.wtav.

Po rerstarcie miałem problemy z połączeniem do internetu na wszystkich przeglądarkach, później

zacząło świrować połączenie internetowe na drugim(moim) laptopie. W końcu jednak doprowadziłem wszystko do porządku -

Net mam na jednym i na drugim.

 

Kontrolnie zresetowałem "podejrzanego"laptopa poprzez odcięcie zasilania - po załadowaniu systemu MSSE kazał usunąć

WormWin32sirefefgenA ( a miałem nadzieję że da już spokój).

 

Aktualny log z TDSSKiller załączam - chyba bez zmian.

 

 

Co do Demona, SPTD i poniekąd Npfs.sys sprawa wygląda tak:

 

Jeszcze przed założeniem wątku na "starym" forum próbowałem różnych aplikacji do zlokalizowania i ewentualnego usunięcia infekcjii.

Między innymi przeskanowałem wtedy system TDSS, który o ile dobrze pamiętam za pierwszym razem wyświetił mi jako Suspicious file tylko SPTD.

Odinstalowałem wtedy Demona i przy następnym skanowaniu, w ferworze walki wpadłem na głupi pomysł(biję sie w piersi) wywalenia SPTD - zaznaczyłem

w opcjach TDSS "delete".

Po restarcie komputer uruchomił się ponownie ale w kolejnym skanie TDSS pokazał mi już Suspicious file Npfs i SPDT. Nie dotykałem już tego.

Uruchomiłem jeszcze raz komputer a tu kicha,,,,,,,,,,,,,nie dało rady załadować systemu.W trybie awaryjnym użyłem opcji przywracania systemu.

Na swoje usprawiedliwienie mogę podać jedynie to, że do tej pory nie miałem kontaktu z emulacją napędów i nie sądziłem że to taki problem,

 

Dzisiaj liznąłem trochę wiedzy i zaopatrzyłem się SPDTinst. Ale i tutaj zonk!!!

Po odinstalowaniu demona i próbie uruchomienie Spdtinst wyskakuje komunikat: c:\Users\Mario\Desktop\SPTDinst-v176-x86.exe nie jest prawidową aplikacją systemu Win32

 

Robić Gmera tak jak jest?

 

http://wklej.org/id/457789/

 

Doczytałem na innym wątku o problemach z plikami pobaranymi przez IE. Ściągnąłem Firefoxem i poszło - Sptd odinstalowany'

Biorę sie za gmera.

 

EDYCJA:

 

Gmer po prescanie i minucie scanu ponad godzinę stoi w miejscu. Nie wygląda żeby coś robił .Zegar sysytemowy stoi od 22.59 myszka ani touchpad nie reagują.

Restartować? Doradzi ktoś?

 

No dobra, zakończyłem tą nierówną walkę guzikiem. Rano spróbuję ponownie.

[picasso]

Rozpoczniemy od podmiany pliku Npfs.sys. Wstępnie podaj listę kopii pliku npfs.sys. Lista ta nie ma na celu weryfikacji który plik jest zarażony (przeliczeniom MD5 nie można wierzyć w aktualnej sytuacji), tylko orientację czy są kopie zamienne (takie być może nie są zainfekowane). Uruchom OTL, ustaw wszystkie opcje skanu na Brak / Żadne, zaś w sekcji Własne opcje skanowania / skrypt wklej co niżej podane i kliknij w Skanuj.

 

/md5start
Npfs.sys
/md5stop

Jeśli nie będzie żadnych kopii, plik z edycji Vista SP2 dostarczę. Podam również instrukcje jak plik zamienić, gdyż nie będzie to zadanie wykonywane spod systemu.

 

 

 

 

.

[Marton]

Skan OTL :

OTL logfile created on: 2011-01-16 10:21:58 - Run 2

OTL by OldTimer - Version 3.2.20.2 Folder = C:\Users\Mario\Desktop

Windows Vista Home Premium Edition Service Pack 2 (Version = 6.0.6002) - Type = NTWorkstation

Internet Explorer (Version = 8.0.6001.18999)

Locale: 00000415 | Country: Polska | Language: PLK | Date Format: yyyy-MM-dd

 

2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 53,00% Memory free

4,00 Gb Paging File | 3,00 Gb Available in Paging File | 75,00% Paging File free

Paging file location(s): ?:\pagefile.sys [binary data]

 

%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files

Drive C: | 92,77 Gb Total Space | 49,53 Gb Free Space | 53,39% Space Free | Partition Type: NTFS

Drive E: | 92,07 Gb Total Space | 57,06 Gb Free Space | 61,98% Space Free | Partition Type: NTFS

 

Computer Name: MARIO-PC | User Name: Mario | Logged in as Administrator.

Boot Mode: Normal | Scan Mode: Current user

Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days

 

========== Custom Scans ==========

 

 

 

< MD5 for: NPFS.SYS >

[2006-11-02 09:30:57 | 000,034,816 | ---- | M] (Microsoft Corporation) MD5=4F9832BEB9FAFD8CEB0E541F1323B26E -- C:\Windows\winsxs\x86_microsoft-windows-npfs_31bf3856ad364e35_6.0.6000.16386_none_a43ac2e12000223b\npfs.sys

[2009-04-11 05:14:01 | 000,035,328 | ---- | M] (Microsoft Corporation) MD5=D36F239D7CCE1931598E8FB90A0DBC26 -- C:\Windows\System32\drivers\npfs.sys

[2009-04-11 05:14:01 | 000,035,328 | ---- | M] (Microsoft Corporation) MD5=D36F239D7CCE1931598E8FB90A0DBC26 -- C:\Windows\winsxs\x86_microsoft-windows-npfs_31bf3856ad364e35_6.0.6002.18005_none_a85cfde91a0cfe5b\npfs.sys

[2008-01-19 06:28:10 | 000,034,816 | ---- | M] (Microsoft Corporation) MD5=ECB5003F484F9ED6C608D6D6C7886CBB -- C:\Windows\winsxs\x86_microsoft-windows-npfs_31bf3856ad364e35_6.0.6001.18000_none_a67184dd1ceb330f\npfs.sys

 

< End of report >

 

 

 

Gmer niestety dziś rano 2 razy się wyłożył po prescanie i ok minuty skanowania właściwego.

Zapisałem wyniki prescanu:

GMER 1.0.15.15530 - http://www.gmer.net

Rootkit quick scan 2011-01-16 09:00:58

Windows 6.0.6002 Service Pack 2 Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-0 TOSHIBA_ rev.DK02

Running: p1y8z7fn.exe; Driver: C:\Users\Mario\AppData\Local\Temp\fwlcypod.sys

 

 

---- Devices - GMER 1.0.15 ----

 

AttachedDevice \FileSystem\fastfat \Fat fltmgr.sys (Menedżer filtrów systemu plików firmy Microsoft/Microsoft Corporation)

AttachedDevice \Driver\kbdclass \Device\KeyboardClass0 Wdf01000.sys (Dynamiczna struktura WDF/Microsoft Corporation)

AttachedDevice \Driver\kbdclass \Device\KeyboardClass1 Wdf01000.sys (Dynamiczna struktura WDF/Microsoft Corporation)

 

---- Threads - GMER 1.0.15 ----

 

Thread System [4:400] 90FCCD68

Thread System [4:404] 90FCCD68

Thread System [4:408] 90FC4CEA

Thread System [4:412] 90FC4CEA

 

---- EOF - GMER 1.0.15 ----

 

 

Wczoraj, jak Gmer się powiesił spisałem też z okna to co się wyświetliło przed zwisem (niektóre zapisy z prawej strony mogą być obcięte):

 

 

 

text C\windows\system32\DRIVERS\tos_sps32sys section is writeable {0x88F4F000 0x4...

dsrt C\windows\system32\DRIVERS\tos_sps32sys unknown last section {0x88F98000 0

text Npts SYS 90BF3000 75 Bytes {00 00 00 00

text Npts SYS 90BF304D 77 Bytes {8D 4F 30 8B

text Npts SYS 90BF309B 143 Bytes {45 0F 01 75

text Npts SYS 90BF312B 48 Bytes {D6 8B 45 F0

text Npts SYS 90BF315C 121 Bytes {OC OF B6 46

text

IAT \systemRoot\system32\Drivers\Npfs.SYS{HAL.dll!KeGetCurrrentlrgl} FF90BF50

AttachedD... \Driver\kbdclass\Device\KeyboardClass0 Wdf01000sys {Dynamiczna struktura

AttachedD... \Driver\kbdclass\Device\KeyboardClass1 Wdf01000sys {Dynamiczna struktura

AttachedD... \FileSystem\fastfat\Fat fltmgr.sys {Menedżer filtrów systemu pl..

Device \Driver\disk\GLOBAL??\ACPI#PNP0303#2&da1a3ff&0 90DCF134

 

 

 

[picasso]

GMER urwany i nie mam całości, ale tam widać tę ścieżkę, do której się odnosi antywirus. Npts = nie pomyliłeś się przy przepisywaniu (?), może to hooki Npfs właśnie.

 

1. Do zamiany wezmę ten plik z WinSxS, gdyż być może to czysta replika pliku docelowego w wersji SP2 (nie patrz na MD5 pliku w drivers = to jest sfałszowane):

 

[2009-04-11 05:14:01 | 000,035,328 | ---- | M] (Microsoft Corporation) MD5=D36F239D7CCE1931598E8FB90A0DBC26 -- C:\Windows\System32\drivers\npfs.sys
[2009-04-11 05:14:01 | 000,035,328 | ---- | M] (Microsoft Corporation) MD5=D36F239D7CCE1931598E8FB90A0DBC26 -- C:\Windows\winsxs\x86_microsoft-windows-npfs_31bf3856ad364e35_6.0.6002.18005_none_a85cfde91a0cfe5b\npfs.sys

 

Skopiuj ten plik w inne łatwo dostępne miejsce: C:\Windows\winsxs\x86_microsoft-windows-npfs_31bf3856ad364e35_6.0.6002.18005_none_a85cfde91a0cfe5b\npfs.sys. Np. bezpośrednio na C:\.

 

2. Zastartuj z płyty do środowiska WinRE i wykonaj ręczną zamianę plików posiłkując się tym trikiem z Notatnikiem: KLIK.

 

3. Po zamianie plików zastartuj normalnie do Windows i ponownie uruchom Kaspersky TDSSKiller w celu wytworzenia raportu. Dołącz też standardowe logi z OTL. Może się uda też zrobić GMER.

 

 

 

 

.

[Marton]

Z tym Npts to oczywiście pomyłka raz zapisałem źle i później kopiowałem z błędem. Powinno być Npfs.

Od 15 minut leci Gmer mam nadzieję że dotrwa do końca.

Na wszelki wypadek przepisałem wpis w kolorze czerwonym:

 

Module (noname}(***hidden***) 915D6000-915DD000 (28672bytes)

 

pojawił się jako następny po ostatniej pozycji jaką zapisałem wczoraj

 

Gmer właśnie skończył

 

http://wklej.org/id/458177/

[picasso]

Czy to GMER po zamianie plików npfs.sys? Jeśli tak, nie wygląda na to by zostały pliki zamienione.

[Marton]

No nie, do podmiany jeszcze nie podchodziłem - czekałem aż Gmer skończy.

[picasso]

OK, to już się zabieraj do roboty. GMER potwierdza infekcję w tym pliku.

[Marton]

A mogę zamienić pliki z poziomu UltimateCD lub PE Bulider??? Byłoby chyba prościej............

[picasso]

A mogę zamienić pliki z poziomu UltimateCD lub PE Bulider??? Byłoby chyba prościej............

 

Może być użyta dowolna płyta typu Live, co masz pod ręką i co jest dla Ciebie wygodniejsze.

[Marton]

Ręce opadają...............wygląda na to, że franca mutuje się i przy likwidacji zarażonego sterownika przełazi na inny.

Tym razem padło na kbdclass.sys, Ciekawe, gdzie jest źródło?

 

Gmer i TDSS:

 

http://wklej.org/id/458260/

 

http://wklej.org/id/458262/

[picasso]

Hmmm ... i się zastanawiam czy naruszenie w Winsock też nie wchodzi w zakres infekcji:

 

O10 - Protocol_Catalog9\Catalog_Entries\000000000001 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000002 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000003 -  File not found

 

1. Start > w polu szukania wklep regedit > wyeksportuj do wglądu klucz:

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2

 

2. Jak poprzednio, pokaż listę plików kbdclass.sys poprzez skan w OTL:

 

/md5start
kbdclass.sys
/md5stop

 

 

.

[Marton]

OTL logfile created on: 2011-01-16 16:07:29 - Run 3

OTL by OldTimer - Version 3.2.20.2 Folder = C:\Users\Mario\Desktop

Windows Vista Home Premium Edition Service Pack 2 (Version = 6.0.6002) - Type = NTWorkstation

Internet Explorer (Version = 8.0.6001.18999)

Locale: 00000415 | Country: Polska | Language: PLK | Date Format: yyyy-MM-dd

 

2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 46,00% Memory free

4,00 Gb Paging File | 3,00 Gb Available in Paging File | 71,00% Paging File free

Paging file location(s): ?:\pagefile.sys [binary data]

 

%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files

Drive C: | 92,77 Gb Total Space | 49,43 Gb Free Space | 53,28% Space Free | Partition Type: NTFS

Drive E: | 92,07 Gb Total Space | 57,06 Gb Free Space | 61,98% Space Free | Partition Type: NTFS

 

Computer Name: MARIO-PC | User Name: Mario | Logged in as Administrator.

Boot Mode: Normal | Scan Mode: Current user

Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days

 

 

========== Custom Scans ==========

 

 

< MD5 for: KBDCLASS.SYS >

[2006-11-02 10:49:57 | 000,032,872 | ---- | M] (Microsoft Corporation) MD5=1A48765F92BA1A88445FC25C9C9D94FC -- C:\Windows\System32\DriverStore\FileRepository\keyboard.inf_93b1c41f\kbdclass.sys

[2008-01-19 08:41:52 | 000,035,384 | ---- | M] (Microsoft Corporation) MD5=37605E0A8CF00CBBA538E753E4344C6E -- C:\Windows\System32\drivers\kbdclass.sys

[2008-01-19 08:41:52 | 000,035,384 | ---- | M] (Microsoft Corporation) MD5=37605E0A8CF00CBBA538E753E4344C6E -- C:\Windows\System32\DriverStore\FileRepository\keyboard.inf_da7e599e\kbdclass.sys

[2008-01-19 08:41:52 | 000,035,384 | ---- | M] (Microsoft Corporation) MD5=37605E0A8CF00CBBA538E753E4344C6E -- C:\Windows\System32\DriverStore\FileRepository\keyboard.inf_f55d5e51\kbdclass.sys

[2008-01-19 08:41:52 | 000,035,384 | ---- | M] (Microsoft Corporation) MD5=37605E0A8CF00CBBA538E753E4344C6E -- C:\Windows\winsxs\x86_keyboard.inf_31bf3856ad364e35_6.0.6001.18000_none_974e6dd8d8f8ec7e\kbdclass.sys

[2008-01-19 08:41:52 | 000,035,384 | ---- | M] (Microsoft Corporation) MD5=37605E0A8CF00CBBA538E753E4344C6E -- C:\Windows\winsxs\x86_keyboard.inf_31bf3856ad364e35_6.0.6002.18005_none_9939e6e4d61ab7ca\kbdclass.sys

[2008-12-25 02:39:36 | 000,035,384 | ---- | M] (Microsoft Corporation) MD5=B076B2AB806B3F696DAB21375389101C -- C:\Windows\System32\DriverStore\FileRepository\keyboard.inf_a81145df\kbdclass.sys

[2008-12-25 02:39:36 | 000,035,384 | ---- | M] (Microsoft Corporation) MD5=B076B2AB806B3F696DAB21375389101C -- C:\Windows\winsxs\x86_keyboard.inf_31bf3856ad364e35_6.0.6000.16609_none_957131ccdbca3f9c\kbdclass.sys

[2008-12-25 02:39:35 | 000,035,384 | ---- | M] (Microsoft Corporation) MD5=C9B0CF786D5F151A43C7BE8E243F2819 -- C:\Windows\winsxs\x86_keyboard.inf_31bf3856ad364e35_6.0.6000.20734_none_95d55d61f504b486\kbdclass.sys

 

< End of report >

 

 

 

http://www.speedyshare.com/files/26291386/WinSock2.reg

 

jakby było z hasłem to : sakifaxozixe

 

 

Nie wiem czy to może mieć związek, ale chyba wczoraj używałem ściągniętego od Was Net-Loga i on mi wyrzucił komunikat : nie znaleziono porządkowej 1108 w bibliotece dołaczanej dynamicznie wysock32.dll

a dzisiaj to samo tylko wsock32.dll. Na 100 procent nie jestem pewien wysock32 ale tak zapisałem i raczej tak było.

MSEE monituje teraz co kilka minut

[picasso]

Nie wiem czy to może mieć związek, ale chyba wczoraj używałem ściągniętego od Was Net-Loga i on mi wyrzucił komunikat : nie znaleziono porządkowej 1108 w bibliotece dołaczanej dynamicznie wysock32.dll

a dzisiaj to samo tylko wsock32.dll. Na 100 procent nie jestem pewien wysock32 ale tak zapisałem i raczej tak było.

Jestem przekonana, że to ma związek z infekcją i jest parą do odczytów z Winsock w OTL. I raczej sądzę, że źle przepisałeś, czyli że chodzi o ten sam plik wsock32.dll, bo biblioteka wysock32.dll nie istnieje. Zaś błąd świadczy, że plik jest naruszony. Podaj mi tu listę kopii plików, czyli skan w OTL o formule:

 

/md5start
mswsock.dll
wsock32.dll
/md5stop

 

 

.

[Marton]

OTL logfile created on: 2011-01-16 16:36:12 - Run 4

OTL by OldTimer - Version 3.2.20.2 Folder = C:\Users\Mario\Desktop

Windows Vista Home Premium Edition Service Pack 2 (Version = 6.0.6002) - Type = NTWorkstation

Internet Explorer (Version = 8.0.6001.18999)

Locale: 00000415 | Country: Polska | Language: PLK | Date Format: yyyy-MM-dd

 

2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 46,00% Memory free

4,00 Gb Paging File | 3,00 Gb Available in Paging File | 70,00% Paging File free

Paging file location(s): ?:\pagefile.sys [binary data]

 

%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files

Drive C: | 92,77 Gb Total Space | 49,43 Gb Free Space | 53,28% Space Free | Partition Type: NTFS

Drive E: | 92,07 Gb Total Space | 57,06 Gb Free Space | 61,98% Space Free | Partition Type: NTFS

 

Computer Name: MARIO-PC | User Name: Mario | Logged in as Administrator.

Boot Mode: Normal | Scan Mode: Current user

Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days

 

========== Custom Scans ==========

 

 

 

< MD5 for: MSWSOCK.DLL >

[2006-11-02 10:46:10 | 000,227,328 | ---- | M] (Microsoft Corporation) MD5=54E9576169A248AD62A1EB9773225826 -- C:\Windows\winsxs\x86_microsoft-windows-w..-infrastructure-bsp_31bf3856ad364e35_6.0.6000.16386_none_b61c950a3060adba\mswsock.dll

[2009-04-11 07:28:22 | 000,223,232 | ---- | M] (Microsoft Corporation) MD5=8617350C9B590B63E620881092751BCB -- C:\Windows\System32\mswsock.dll

[2009-04-11 07:28:22 | 000,223,232 | ---- | M] (Microsoft Corporation) MD5=8617350C9B590B63E620881092751BCB -- C:\Windows\winsxs\x86_microsoft-windows-w..-infrastructure-bsp_31bf3856ad364e35_6.0.6002.18005_none_ba3ed0122a6d89da\mswsock.dll

[2008-01-19 08:35:15 | 000,223,232 | ---- | M] (Microsoft Corporation) MD5=89FD0595EEA4E505CABEFCF7008F2612 -- C:\Windows\winsxs\x86_microsoft-windows-w..-infrastructure-bsp_31bf3856ad364e35_6.0.6001.18000_none_b85357062d4bbe8e\mswsock.dll

 

< MD5 for: WSOCK32.DLL >

[2006-11-02 10:46:14 | 000,014,848 | ---- | M] (Microsoft Corporation) MD5=7870FB37A74418E55B0A7DE4776D9E75 -- C:\Windows\winsxs\x86_microsoft-windows-winsock-legacy_31bf3856ad364e35_6.0.6000.16386_none_e12e74ad149badfc\wsock32.dll

[2008-01-19 08:37:11 | 000,015,360 | ---- | M] (Microsoft Corporation) MD5=E582816A4855914DEFFC212E12B3B744 -- C:\Windows\System32\wsock32.dll

[2008-01-19 08:37:11 | 000,015,360 | ---- | M] (Microsoft Corporation) MD5=E582816A4855914DEFFC212E12B3B744 -- C:\Windows\winsxs\x86_microsoft-windows-winsock-legacy_31bf3856ad364e35_6.0.6001.18000_none_e36536a91186bed0\wsock32.dll

 

< End of report >

[picasso]

Spróbujmy raz jeszcze, tym razem będziesz zamieniał z poziomu płyty trzy pliki.

 

1. Pobierz materiały:

 

• Na wszelki wypadek przesyłam pliki od siebie, wyekstraktowane z obrazu Vista SP2: KLIK. Rozpakuj to archiwum w podręcznym miejscu np. na C:\
  
• Pobierz Fixit Microsoftu resetujące Winsock + TCP/IP: KLIK + KLIK.
  

2. Zastartuj z płyty Live i wymień punktowane tu 3 pliki kopiami ode mnie.

 

3. Zresetuj z powrotem do Windows i użyj Fixit Microsoftu.

 

4. Ponowny reset i standardowa seria: GMER, TDSSKiller i OTL.

 

 

 

 

.

[Marton]

Zaczynam od mswsok.dll i krzyczy że odmowa dostępu. Z Ultimate nie daje mi dostępu????

Próbować następne?

[picasso]

Z poziomu płyty Live "Odmowa dostępu" to rzadkość, odpada przyczyna zajęcia procesem oraz prawa dostępowe nie powinny chyba stanowić problemu (o ile nie nastąpiła jakaś dziwna rekonfiguracja). Hmmm, nie pomyliłeś katalogów? Alternatywnie można spróbować podmieniać pliki z WinRE, w końcu to jest silnik znacznie nowszy niż Ultimate, bo oparty na Vista / Windows 7. Ultimate to silnik XP.

[Marton]

No w system32 jestem....

Dobra będę próbował z F8

[picasso]

No w system32 jestem....

 

Mnie chodzi o to czy we właściwym system32 Windows na HDD a nie tym płyty.

 

Dobra będę próbował z F8

 

Nie o to mi chodzi. Proszę o start do WinRE z poziomu bootowalnej płyty a nie lokalnie z F8 (masz zresztą Vista i jeśli producent tego nie wstawił to i tak nie ma takiej opcji).

 

 

 

.

[Marton]

F8 mam. Natomiast płyta instalacyjna jest 100km ode mnie i tu jest mały problem. Jestem z pewnością na C Visty. W zabezpieczeniach mswsock Administratorzy nie mają pełnej kontroli

[picasso]

W zabezpieczeniach mswsock Administratorzy nie mają pełnej kontroli

 

To normalne, na Vista i Windows 7 kluczowe obszary są chronione i Pełny dostęp ma tylko konto TrustedInstaller. I to nie powinno mieć znaczenia, jeśli bootujesz całkowicie z zewnątrz.

 

Natomiast płyta instalacyjna jest 100km ode mnie i tu jest mały problem. Jestem z pewnością na C Visty.

 

Nie przeczytałeś linka dokładnie. Tam jest gotowa płyta z WinRE do pobrania. Proszę skorzystaj z tej opcji. Opcja "Napraw komputer" w F8 bootuje z dysku twardego i jest logowanie przez konto użytkownika. Jest tu rootkit i takie operacje najlepiej robić w całkowitej izolacji.

 

 

 

.

[Marton]

OK rozumiem.

 

Plytka powinna zabotować sama???? Bo coś nie chce.......

Wypalałem w Nero. Może spróbuję Active ISO Burner

Edytowane 16 Stycznia 2011 przez picasso
Posty połączone. //picasso