Brak PL znaków, blokada komputera i blokada usługi - infekcja Backdoor.Xyligan

kurzel131 (kurzel131) 2014-03-12 01:08:13 UTC #1

Dziś po robocie zastałem niespodziankę w postacie kwarantanny w mbam z backdorem o nazwie Backdoor. Xyligan

DO objaw należą: brak polskich znaków (brak było polskiego języka, ale ani polski ani angielski nie mogą się załadować), wyłączenie usługi Pomoc i Obsługa Techniczna i blokada komputera (nie ukaszek) opis jest w poście http://searchengines.pl/topic/24311-windows-xp-zablokowanie-komputera/ hasła brak wiec mogę normalnie wchodzić, logowanie trochę przypomina logowanie w szkole na zasadzie domeny, ale bez hasła wic wchodzić można.

grzebałem w rejestrze i nie ma tego pliku dll, o którym mowa w temacie

Z logu ochronnego mbam wklejam listę infekcji/bogów z godzin 15:53:14 - 16:36:28

DETECTION C:\Program Files\Google\Update\1.3.22.5\GoogleCrashHandler.exe Backdoor.Xyligan QUARANTINE
DETECTION D:\Program Files\Malwarebytes Anti-Malware 1.75.0.1300\mbampt.exe Backdoor.Xyligan QUARANTINE
DETECTION d:\program files\malwarebytes anti-malware 1.75.0.1300\mbampt.exe Backdoor.Xyligan QUARANTINE
DETECTION c:\program files\google\update\1.3.22.5\googlecrashhandler.exe Backdoor.Xyligan QUARANTINE
ERROR Quarantine failed: SDKQuarantine failed with error code 2
ERROR Quarantine failed: SDKQuarantine failed with error code 2
DETECTION C:\WINDOWS\system32\mswsock.dll Backdoor.Xyligan QUARANTINE
DETECTION d:\program files\malwarebytes anti-malware 1.75.0.1300\mbampt.exe Backdoor.Xyligan QUARANTINE
ERROR Quarantine failed: SDKQuarantine failed with error code 2
ERROR Quarantine failed: DeleteFile failed with error code 5
DETECTION d:\program files\malwarebytes anti-malware 1.75.0.1300\mbampt.exe Backdoor.Xyligan QUARANTINE
ERROR Quarantine failed: SDKQuarantine failed with error code 2
DETECTION C:\WINDOWS\system32\mstask.dll Backdoor.Xyligan QUARANTINE
DETECTION d:\program files\malwarebytes anti-malware 1.75.0.1300\mbampt.exe Backdoor.Xyligan QUARANTINE
ERROR Quarantine failed: SDKQuarantine failed with error code 2
DETECTION d:\program files\malwarebytes anti-malware 1.75.0.1300\mbampt.exe Backdoor.Xyligan QUARANTINE
ERROR Quarantine failed: SDKQuarantine failed with error code 2
DETECTION c:\windows\system32\mstask.dll Backdoor.Xyligan QUARANTINE
DETECTION d:\program files\malwarebytes anti-malware 1.75.0.1300\mbampt.exe Backdoor.Xyligan QUARANTINE
ERROR Quarantine failed: SDKQuarantine failed with error code 2
ERROR Quarantine failed: SDKQuarantine failed with error code 2
DETECTION C:\WINDOWS\system32\dllcache\mstask.dll Backdoor.Xyligan QUARANTINE
DETECTION d:\program files\malwarebytes anti-malware 1.75.0.1300\mbampt.exe Backdoor.Xyligan QUARANTINE
DETECTION C:\WINDOWS\system32\dciman32.dll Backdoor.Xyligan QUARANTINE
ERROR Quarantine failed: SDKQuarantine failed with error code 2
DETECTION c:\windows\system32\dciman32.dll Backdoor.Xyligan QUARANTINE
DETECTION d:\program files\malwarebytes anti-malware 1.75.0.1300\mbampt.exe Backdoor.Xyligan QUARANTINE
ERROR Quarantine failed: SDKQuarantine failed with error code 2
ERROR Quarantine failed: SDKQuarantine failed with error code 2
DETECTION C:\WINDOWS\system32\dllcache\dciman32.dll Backdoor.Xyligan QUARANTINE
DETECTION C:\WINDOWS\system32\wuaueng.dll Backdoor.Xyligan QUARANTINE
DETECTION d:\program files\malwarebytes anti-malware 1.75.0.1300\mbampt.exe Backdoor.Xyligan QUARANTINE
ERROR Quarantine failed: SDKQuarantine failed with error code 2
DETECTION C:\WINDOWS\system32\mswsock.dll Backdoor.Xyligan QUARANTINE
DETECTION d:\program files\malwarebytes anti-malware 1.75.0.1300\mbampt.exe Backdoor.Xyligan QUARANTINE
ERROR Quarantine failed: SDKQuarantine failed with error code 2
ERROR Quarantine failed: DeleteFile failed with error code 5
DETECTION c:\windows\system32\wuaueng.dll Backdoor.Xyligan QUARANTINE
DETECTION d:\program files\malwarebytes anti-malware 1.75.0.1300\mbampt.exe Backdoor.Xyligan QUARANTINE
ERROR Quarantine failed: SDKQuarantine failed with error code 2
ERROR Quarantine failed: SDKQuarantine failed with error code 2
DETECTION C:\WINDOWS\system32\dllcache\wuaueng.dll Backdoor.Xyligan QUARANTINE
DETECTION C:\WINDOWS\system32\logonui.exe Backdoor.Xyligan QUARANTINE
DETECTION c:\windows\system32\logonui.exe Backdoor.Xyligan QUARANTINE
DETECTION d:\program files\malwarebytes anti-malware 1.75.0.1300\mbampt.exe Backdoor.Xyligan QUARANTINE
ERROR Quarantine failed: SDKQuarantine failed with error code 2
ERROR Quarantine failed: SDKQuarantine failed with error code 2
DETECTION C:\WINDOWS\system32\dllcache\logonui.exe Backdoor.Xyligan QUARANTINE
DETECTION C:\WINDOWS\system32\wscntfy.exe Backdoor.Xyligan QUARANTINE
DETECTION C:\WINDOWS\system32\cryptnet.dll Backdoor.Xyligan QUARANTINE
DETECTION d:\program files\malwarebytes anti-malware 1.75.0.1300\mbampt.exe Backdoor.Xyligan QUARANTINE
ERROR Quarantine failed: SDKQuarantine failed with error code 2
DETECTION C:\WINDOWS\system32\es.dll Backdoor.Xyligan QUARANTINE
ERROR Quarantine failed: DeleteFile failed with error code 5
DETECTION c:\windows\system32\wscntfy.exe Backdoor.Xyligan QUARANTINE
DETECTION d:\program files\malwarebytes anti-malware 1.75.0.1300\mbampt.exe Backdoor.Xyligan QUARANTINE
ERROR Quarantine failed: SDKQuarantine failed with error code 2
ERROR Quarantine failed: SDKQuarantine failed with error code 2
DETECTION C:\WINDOWS\system32\dllcache\wscntfy.exe Backdoor.Xyligan QUARANTINE
DETECTION c:\windows\system32\cryptnet.dll Backdoor.Xyligan QUARANTINE
ERROR Quarantine failed: SDKQuarantine failed with error code 2
DETECTION C:\WINDOWS\system32\dllcache\cryptnet.dll Backdoor.Xyligan QUARANTINE
DETECTION C:\WINDOWS\system32\rasapi32.dll Backdoor.Xyligan QUARANTINE
DETECTION d:\program files\malwarebytes anti-malware 1.75.0.1300\mbampt.exe Backdoor.Xyligan QUARANTINE
ERROR Quarantine failed: DeleteFile failed with error code 5
ERROR Quarantine failed: SDKQuarantine failed with error code 2
DETECTION C:\WINDOWS\system32\kbdpl1.dll Backdoor.Xyligan QUARANTINE
DETECTION C:\WINDOWS\system32\kbdus.dll Backdoor.Xyligan QUARANTINE
DETECTION C:\WINDOWS\system32\kbdpl.dll Backdoor.Xyligan QUARANTINE
DETECTION d:\program files\malwarebytes anti-malware 1.75.0.1300\mbampt.exe Backdoor.Xyligan QUARANTINE
DETECTION C:\WINDOWS\system32\wuapi.dll Backdoor.Xyligan QUARANTINE
ERROR Quarantine failed: SDKQuarantine failed with error code 2

OTL

http://wklej.to/zwWyc

http://wklej.to/e99cW

MBAM

//rano

Atis (Atis) 2014-03-12 01:22:23 UTC #2

Nie widać infekcji.

Jeżeli rzeczywiście przenosi do kwarantanny pliki systemowe, to ten system nie będzie prawidłowo działać.

W logu widać dwa brakujące pliki:

Czy pomyślałeś o tym, że to może być błąd skanera?

Wyłącz MBAM i przeskanuj jakimś innym programem.

Dr.Web CureIt

Kaspersky Virus Removal Tool 2011

kurzel131 (kurzel131) 2014-03-12 08:12:43 UTC #3

skan mbam został przerwany, jak mi pójdzie ten dr web to mogę dać ,może nie ma infekcji ale są szkody.

Atis (Atis) 2014-03-12 08:36:44 UTC #4

Nawet jeśli ten wirus infekuje pliki wykonywalne, to i tak nie można usunąć plików systemowych.

Jeżeli skanery nie potrafią leczyć plików, to pozostaje reinstalacja systemu.

kurzel131 (kurzel131) 2014-03-12 08:40:26 UTC #5

Jak dany plik ma zły kod to nie będzie się w ten sposób rozprzestrzeniał?

Atis (Atis) 2014-03-12 09:34:46 UTC #6

Jeżeli wirus infekuje pliki wykonywalne to będzie coraz więcej zainfekowanych plików.

kurzel131 (kurzel131) 2014-03-13 08:30:01 UTC #7

Total 39729177233 bytes in 162602 files scanned (281100 objects)
Total 162499 files (280532 objects) are clean
Total 11 files are infected
Total 1 file are suspicious
Total 96 files (552 objects) are raised error condition
Scan time is 11:27:33.719

-----------------------------------------------------------------------------
Start curing
-----------------------------------------------------------------------------
C:\Documents and Settings\Kurzel\Pulpit\Devastation_spolszczenie_instalator_sciagnij.exe - quarantined
C:\Documents and Settings\Kurzel\Ustawienia lokalne\Dane aplikacji\DM\install.exe - quarantined
C:\Program Files\RightSurf\RightSurfBHO.dll - quarantined
C:\Program Files\RightSurf\updateRightSurf.exe - quarantined
D:\Program Files\ChomikBox\tsplugins\integration\npcbplugin.dll - quarantined
D:\Program Files\Warblade 1.2y6\CrashReportSender.exe - quarantined
D:\Program Files\Warblade 1.2y6\warblade.exe - quarantined
E:\MOJE PLIKI\2011-05-25\Chicken Invaders\Chicken Invaders 2 The Next Wave Xmas\ChickenInvaders2Xmas.exe - quarantined
E:\MOJE PLIKI\2011-05-25\Soft do PC\DirectX 11.exe - quarantined
E:\MOJE PLIKI\2011-05-25\Soft do PC\Konsola odzyskiwania\recovery_console_cd\splitter.exe - quarantined
E:\MOJE PLIKI\Soft do PC\DirectX 11.exe - quarantined
E:\MOJE PLIKI\Soft do PC\Konsola odzyskiwania\recovery_console_cd\splitter.exe - quarantined

Total 39729177233 bytes in 162602 files scanned (281100 objects)
Total 162499 files (280532 objects) are clean
Total 11 files are infected
Total 1 file are suspicious
Total 12 files are neutralized
Total 96 files (552 objects) are raised error condition
Scan time is 11:27:33.719

Atis (Atis) 2014-03-13 09:34:02 UTC #8

Niewiele wykrył i żadnych plików systemowych.

Jeżeli MBAM nadal wykrywa zainfekowane pliki, to jeden z wykrytych plików sprawdź na VirusTotal:

https://www.virustotal.com/pl/

Najpierw wyłącz MBAM, bo będzie blokował wysyłanie.

kurzel131 (kurzel131) 2014-03-14 09:37:28 UTC #9

Klawiatura jest już ok 2 plików brakowało, usługa jest off i to logowanie domenowe. Gdzie w dr web jest kwarantanna to podejrzę.

Atis (Atis) 2014-03-14 20:32:38 UTC #10

Kliknij w ikonę klucza w prawym górnym rogu okna programu.

kurzel131 (kurzel131) 2014-03-16 23:48:06 UTC #11

Menager kwarantanny? teraz nieaktywne, wcześniej chyba też, moze ta blokada to brak jakichś plików systemowych i tylko wkleić z płyty.

-- Dodane --

Jakieś sugestie co z tym zrobić?

Atis (Atis) 2014-03-18 12:27:41 UTC #12

Włóż płytę z Windows i wierszu polecenia wpisz: sfc /scannow

Wszystkie programy > Akcesoria > Wiersz polecenia

Ewentualnie spróbuj ponownie zainstalować Service Pack 3, bo instalator powinien przywrócić brakujące pliki.

Oparte na Discourse, najlepiej oglądać z włączonym JavaScriptem