Pierniczony TTR/Crypt.XPACK.Gen cakiem rozlozyl system


(Adam Powazka) #1

Witam, mam spory problem z trojanem TR/Crypt.XPACK.Gen, który wyczyścił mi menedżer urządzeń i pozmieniał ścieżki dostępu w usługach przez co nie mam sterowników do niczego i niewiele jestem w stanie zrobić, nawet neta nie mam, ale od początku.

http://www.fotosik.pl/pokaz_obrazek/1e1 ... 0f1ae.html -

rzut oka na procesy z wczoraj, kiedy wszystko grało. Od tego czasu zainstalowałem program Notebook Hardware Control, Super C, Movavi Video Converter 6 i All Video Spliter.

Wszystko zaczęło się od ściągnięcia keygena do tego ostatniego ze strony http://www.keys.ws, który przeskanowałem avirą, a po braku alarmu zezwoliłem w Comodo Firewall na dostęp do svchost.exe, po czym avira wykrył wirusa w katalogu temp (VRT1AB.tmp), którego nie potrafił usunąć.

Ja też nie więc zrestartowałem system. Usunąłem plik i instalkę lecz okazało się że nie mam sterowników, Comodo wymagał fixa a w avirze nie da włączyć się funkcji guard i nie mam dostępu do uruchomienia usług, gdyż wyświetla się to –

http://www.fotosik.pl/pokaz_obrazek/d54 ... 47e52.html (i to tylko w awaryjnym):

http://www.fotosik.pl/pokaz_obrazek/a50 ... 27553.html - rzut oka na procesy,

logi zdarzeń z comodo - http://www.wklejto.pl/28219

log i skan aviry po zawirusowaniu - http://www.wklejto.pl/28220

http://www.wklejto.pl/28221

Potem stwierdziłem że nie mam nic do stracenia i przywróciłem trojana i pozwoliłem mu działać - otworzył kilkanście procesów svchost, po czym wszystkie się zamknęły, a plik z wirusem zniknął! (moja wina, moja wina, moja BWW)

Zainstalowałem Spyboot, trzy razy trzeba go było uruchomić, zanim wszystko wyczyścił, lecz żaden z plików nie był "tym moim."

Zaczęły pojawiać się takie błędy przy logowaniu (którego to panelu nie miałem nigdy włączonego):

spoolsv.exe - błąd aplikacji pamięć nie może być ''written''

StarWindServiceAE.exe - błąd aplikacji pamięć nie może być "written"

a potem jeszcze

mpnotify.exe - błąd aplikacji pamięć nie może być "written"

a po SDFixie, który nie dał się dokończyć w normalnym trybie i znów trzeba było w awaryjnym uruchomić, w normalnym trybie pokazuje się tylko tapeta a uruchomienie explorer.exe skutkuje komunikatem - zapobieganie wykonywaniu danych, system Windows zamknął ten program (ilość procesów 16) i trzeba znów wchodzić w awaryjny, żeby cokolwiek zrobić.

log SDFixa - http://www.wklejto.pl/28222

Comodo - http://www.wklejto.pl/28223

Aviry (uruchamianych z wiersza poleceń) - http://www.wklejto.pl/28224

I mam za swoje, avira wykryła wirusy nawet w SDFixie, tylko format został?

Po combofix pojawia się:

spoolsv.exe - błąd aplikacji pamięć nie może być ''written''

i jeszcze isass.exe - błąd systemu nie odnaleziono nazwy obiektu

oraz HelpSvc.exe - błąd aplikacji pamięć nie może być ''written''

StarWindServiceAE.exe - błąd aplikacji pamięć nie może być "written"

mpnotify.exe - błąd aplikacji pamięć nie może być "written"

system zrestartował się i teraz nawet w awaryjnym muszę ctrl+alt+delete, żeby coś zrobić, a log był w c:\combofix\ zamiast c:\ i w dodatku jakby niezapisany choć pokasowało pliki tak skutecznie, że nawet notatnika nie mogę otworzyć:

http://www.wklejto.pl/28225

w awaryjnym trybie log z hijacka - http://www.wklejto.pl/28226

Mam wrażenie, że co usiłuję coś zrobić, to jest coraz gorzej, przedtem przynajmniej jakoś się system uruchamiał, a teraz nawet nie wiem, czy da się z niego jakieś pliki odzyskać, po całej nocy ślęczenia jestem zrozpaczony...

Jest jakiś sposób choć, żeby przenieść niezawirusowane pliki (które się same replikują bo avira guard jest na disable i nie można tego zmnienić – stąd drugi log jest kilka razy większy) :((


(Spandau) #2

Wyłącz przywracanie systemu na wszystkich dyskach. Instrukcja

Spróbuj pobrać Dr.WEB CureIt!

Już w trakcie pobierania zapisz go pod zmienioną nazwą np 125.com i spróbuj uruchomić Jeśli sie uda wykonaj pełne skanowanie


(Adam Powazka) #3

Najpier skan avirą przed dalszą pracą:

http://www.wklejto.pl/28264

potem przeleciałem hijackiem

http://wklejto.pl/28263

a potem usunąłęm to, co mi poradzono:

skrypt Combo

i logi po tym Combo

http://www.wklejto.pl/28265

i hijack

http://www.wklejto.pl/28266

później fixwareout log

http://www.wklejto.pl/28267

i OTMoveIT3

a na końcu dr Web

http://odsiebie.com/pokaz/1764773---7174.html

i hijack

http://www.wklejto.pl/28268

niestety Web nie usunął wszystkich wirusów (głównie Win32.Virut.56), kilka plików przeniósł, ale nie wiem co robić

z tymi plikami, które w kwarantannie umieściła Avira - są systemowe, a jak je tak wyniosę z tej kwarantanny to

znowu zanim Web zacznie działać może coś się zacząć

http://www.fotosik.pl/pokaz_obrazek/8e6 ... 4cb56.html

http://www.fotosik.pl/pokaz_obrazek/397 ... afec7.html

W dodatku znalazło się trochę wirusów na recovery - czy będzie można kiedyś z niej bezpiecznie przywrócić system? I

paru plikom zmieniłem rozszerzenie na .ex_ (tym z pendrive - bo na nim przenoszę logi na inny komp) - czy jest

możliwość, że przez to dr Web nie znalazł tam wirusów?

Po tym wszystkim znów explorer zaczął uruchamiać się w awaryjnym. Poza tym jakimś cudem włączyło się przywracanie

systemu, choć do tej pory było nieaktywne - zauważyłem to podczas skanowania Webem i wyłączyłem - wystarczy?

Dalej nie mam menedżera urządzeń - nie działa wi-fi, ani modem Playa (nie wiem jakim cudem wykrywa pena) teraz

nawet w awaryjnym nie mogę spróbować zmieniać usług lokalnych przez msconfig, choć w nocy jeszcze mogłem (ale i tak

wyskakiwał błąd z plug and play).

Z błędów przy uruchamianiu został

isass.exe - błąd systemu nie odnaleziono nazwy obiektu

w normalnym trybie co powoduje restart i konieczność urochomienia w awaryjnym.

I co teraz powinienem zrobić?


(Ciuci) #4

Format wszystkich partycji!!!Wirus Virut infekuje pliki exe.Usunąć go udaje sie bardzo bardzo rzadko.


(Adam Powazka) #5

nawet recovery mam usunąć?

mam go dwa miesiące i koleś, od którego go kupiłem mi nie przysłał do niego płyt, gwarancji ani nic takiego

-- Dodane 10.03.2009 (Wt) 23:18 --

WSZYSTKO OPISUJE CHRONOLOGICZNIE

zacząłem dr Webem - znalazł dwa wirusy, z tym że jeden w programie do

usuwania trojanów, a drugi to wirus, który wykrył i zmnieł nazwę avira

  • dałem go do avirowej kwarantanny

http://www.wklejto.pl/28463

zrobiłem fix.reg

potem uruchomiłem OTMoveIT, ale nie było chyba żadnego loga po, a

qooboxa usunąłem już wcześniej - wystarczyło shift + del w awaryjnym?

combo

http://www.wklejto.pl/28470

pojawia się dalej isass.exe - błąd systemu nie odnaleziono nazwy

obiektu

co wymaga cały czas pracy w awaryjnym

z ms config mogę już odhaczyć procesy i usługi, ale nie mogę uruchomić

zatrzymanych - nie da się wejść we właścowości

natomiast z panelu sterowania - narzędzia administracyjne - usługi, jak

klikam dwa razy, to pojawia się komunikat

Menedżer konfiguracji: usługa Plug and Play lub inna jest niedostępna.

Klikam OK i wchodzę we właścowości - większość jest zatrzymana, a jak

próbuje uruchomić, to pojawia się komunikat

Nie można uruchomić usługi ..., na komputerze Komputer Lokalny, a potem

różne np.

błąd 1075 usługa zależności nie istnieje, lub została przeznaczona do

usunięcia,

błąd 1084 tej usługi nie można uruchomić w trybie awaryjnym

http://www.fotosik.pl/pokaz_obrazek/8f6 ... df665.html

http://www.fotosik.pl/pokaz_obrazek/e2a ... d8e6d.html

dodatkowo na czerwono oznaczyłem te, które w zakładce logowania mają

ustawione jakieś hasło - nie pamiętam,żeby tak było wcześniej, a sam

niczego nie ustawiałem

http://www.fotosik.pl/pokaz_obrazek/e4f ... a2783.html

chdsk log

http://www.wklejto.pl/28466

potem resztę optymalizacji

http://forum.programosy.pl/optymalizacj ... 89133.html

ale OODefragmentator, nie chciał się zainstalowac - w trybie awaryjnym

komunikat:

administrator ograniczył dostęp (oczywiście nic takiego nie robiłem)

tryb normalny uruchomił się, gdy nie kliknąłem ok na komunikacje

lsass.exe - błąd pliku, i tam pisało, że nie mam Windows instaler

ściągnąłem, lecz się nie zaistalował - wyskoczył jakiś komunikat z

brakiem możliwości uwierzytelnienia?, na necie wyszukałem, że

powinienem włączyć usługę kryptograficzną - nie mam takiej!

defragmentacja windowsa nie chce się uruchomić

potem program Odkurzacz - zainstalował się i uruchomił

ATF-cleaner uruchomione

potem chciałem zrobić porządek z lsass.exe - od kumpla dostałem plik i

zgodnie z poradami uruchomiłem replacera - skopiował do system32, ale

przy kopiowaniu do dllcache wyskoczył komunikat, że nie można skopiować

do folderu bo jest zabezpieczony ( odbezpieczanie we właściwościach nic

nie daje)

skan dr Webem live CD zawiesił się na folderze download/amigaemu... a

wcześniej wychwycił dwa pliki - w folderze własnej kwarantanny

dalem pod windowsem

log dr web koniec i usunąłem pliki system volume - choć nie wiem skąd

się wzięły - wyłączyłem przywracanie

http://www.wklejto.pl/28467

jeszcze raz combofix skryptem

combo2

http://www.wklejto.pl/28468

hijack log

http://www.wklejto.pl/28469

silent runners - błąd can't iterate Win32_OperatingSystem!

wyłączem przywracanie systemu, nie wiem jak się włączyło, wyrzuciłem

coboox.exe

pojawia się dalej isass.exe - błąd systemu nie odnaleziono nazwy

obiektu

ale wystraczy nie klikać ok i system się uruchomi (w miarę) normalnie

pojawia sie cpqset.exe - apliakcja wykonała nieprawidłową operację

-- Dodane 13.03.2009 (Pt) 15:07 --

Usunąłem archiwum, które blokowało dr Weba i tym razem poszedł z płyty - brak wirusów, poza tymi w programach do walki z nimi

zrobiłem

i daje to, co wyskakuje mi na Pulpicie + pojawia się jeszcze konsola DOS-owa (chyba COMMAND), wyskakuje jakis błąd wczytywania i zaraz znika (trochę za szybko, żeby było wiadomo o co chodzi)

http://www.fotosik.pl/pokaz_obrazek/a48 ... 719cd.html

log z hijacka

http://www.wklejto.pl/28640

Combo fixa

http://www.wklejto.pl/28641

zrobiłem instalację nakładkową, ale kumpel podrzucił mi jakąś modyfikacje XP (Vista) i teraz mam dwa systemy i dostaje kręćka bo nie wiem, w którym co

skanować.

Próbowałem ponownie replacerem, tym razem z nowego XP, przy wklejaniu ścieżki dllcache/lsass.exe konsola wyłącza się bez niczego i dalej wyskakuje błąd w

starym XP, jeśli się go za wcześnie kliknie (albo dymek Avira Uptade) to się komp restartuje.

FixIEDef - na nowym się uruchomił

http://www.wklejto.pl/28642

ściągnąłem aktualizacje do Avasta i zeskanowałem

http://www.wklejto.pl/28643

i Kaspersky Virus Removal Tool (oba pod nowym, bo w starym cały czas brak netu i sterowników)

http://www.wklejto.pl/28644

Spyboot - czysto

jeszcze raz dr Web - tym razem OS-owo - tylko w programach typu Combofix - na wszelki wypadek usunąłem

Jak mam przywrócić stery w starym? I które? Mam folder WINDOWS 0, i tam wszystko jest, ale nie wiem jak je podmienić

I była rada, żeby usunąć wszystkie wpisy w rejestr, które mają "askbara" - gdy instalowałem na nowym Comodo, to tam był ptaszek do zahaczenia właśnie z

paskiem wyszukiwania ask.com - to jakiś trojan, czy coś bo nie bardzo rozumiem, czemu miałem usunąć?