Podejrzenie infekcji rootkitem Bagle

onczylija · 5 Czerwiec 2009 08:14

Cześć, mam spory problem. Otóż “coś” w dużym stopniu ogranicza mi korzystanie z komputera. Tj. nie mogę zainstalować programów, korzystać z wielu opcji windowsa, np. z regedita. To “coś” generuje mi błąd o następującej treści:

" (nazwa programu) nie jest prawidłową aplikacją systemu Win32 "

Czytałem o tym błędzie w internecie i dowiedziałem się, że może to być skutek infekcji rootkitem Bagle. W związku z tym zrobiłem następujące czynności:

Wyłączyłem Przywracanie systemu ,
Zleciłem naprawę partycji programem SafeBootKeyRepair.exe.
W trybie awaryjnym przeskanowałem komputer Combofixem i Kaspersky Removal Tool i zleciłem wykonanie logów po ich skanowaniu:

log Combo:

http://wklejto.pl/35201

log Kaspersky Removal Tool:

Jeśli moglibyście to sprawdźcie, czy logi są czyste i co ewentualnie mam dalej robić…

Z góry dzięki, pozdrawiam

.

ciemnowidz · 5 Czerwiec 2009 09:00

Nic tutaj nie ma.

Start => Uruchom => wpisz Combofix /u

Jedynie coś takiego

Wchodzisz do rejestru i modyfikujesz wartości, bo żadnych innych restrykcji tutaj nie ma.

Jak do rejestru się nie dostaniesz to zobacz jeszcze tą stronę

http://www.searchengines.pl/index.php?s … ntry495933

Wykonaj dokładny skan Malwarebytes Anti-Malware. Jeśli rzeczywiście coś było to programy które wyświetlają taki błąd są do przeinstalowania.

onczylija · 5 Czerwiec 2009 09:14

No więc tak:

czytam cały czas o zaistniałym na moim komputerze błędzie i dowiedziałem się nawet, że może mi grozić wirus, który blokuje wszystkie rozszerzenia .exe. Znalazłem też poradę, żeby odinstalować Allplayera, bo na dysku może być zbyt dużo kodeków i one się kłócą czy coś i wyskakują podobne błędy. Odinstalowałem Allplayera i rejestr zaczął chodzić. Ile…minęło pół godziny, chcę wejść do rejestru, jak wskazał Ciemnowidz i ■■■■- znowu błąd.

A właśnie, nie mogę zainstalować żadnych rozszerzeń .exe , bo wyskakuje mi zaraz błąd “… niepoprawna aplikacja Win32”.

I żaden antywirus, antymalware, antytrojan nie pokazuje infekcji.

Jednym słowem- nie mogę nic zainstalować i nie mogę wejść w rejestr.

Wspomnę, że w trybie awaryjnym wszystko chodzi ładnie, pięknie

ciemnowidz · 5 Czerwiec 2009 09:24

No to na myśl przychodzą mi te wpisy w winlogon ładujące te pliki przy starcie Windows

Nie wiem czemu ładowane są ze startem systemu, wyglądają na coś od kodeków. W awaryjnym spróbuj wejść do klucza

I usunąć z niego te dziwne podklucze.

Myślałem też nad uszkodzonymi rozszerzeniami ale skoro w awaryjnym działa to raczej nie to.

Przed usunięciem tych kluczy wyeksportuj je na pulpit, gdyby coś poszło nie tak to dwuklikiem je przywrócisz.

To nie jest żaden wirusowy problem. Usuń resztki po kodekach i tyle.

onczylija · 5 Czerwiec 2009 10:00

Hmm, nie wiem czy dobrze zrobiłem, ale usunąłem cały folder NOTIFY w ścieżce

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify

Nie mogłem znaleźć tychże podkluczy

Ale wspomniałeś właśnie o dziwnych kluczach:

c:\windows\system32\ac3acm.acm

c:\windows\system32\lameACM.acm

Zauważyłem przed chwilą w RegCleanerze, że mam jakieś dziwne “programy” poinstalowane, których wcześniej na oczy nie widziałem i których, przynajmniej z nazwy, nie kojarze:

http://img198.imageshack.us/my.php?image=44302228.jpg

Może to też są jakieś kodeki? Ich ścieżki rejestru wyglądają następująco: (np. pierwsze pięć z nich)

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\mCore

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\mDriver

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\mDrWiFi (chyba sieć bezprzewodowa?)

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\mEoU.msi

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\mHelp

.

ciemnowidz · 5 Czerwiec 2009 10:10

Miałeś poszperać w wartościach, a jakbyś znalazł odnośnik do tych podanych przeze mnie plików to miałeś usunąć podklucz.

Akurat klucz notify jest ważny. Radzę skorzystać z przywracania systemu by cofnąć tą zmianę lub przywrócić przez dwuklik jego kopię jeśli była robiona.

Nie wiem co to za dziwne programy ale wydaje mi się, że niegroźne, a czy powodują taki błąd to nie wiem.

onczylija · 5 Czerwiec 2009 10:20

Tak, zrobiłem kopię folderu Notify, ale… hahaha, jak chcę teraz go przywrócić to wyskakuje błąd:

" … notify.reg nie jest prawidłową aplikacją Win32 "

Jakby jestem w kropce. Usunąłem z dysku wszystkie pozostałości po Allplayerze, po K-lite pack (też kodeki) i nadal występuje ten błąd.

Może jednak skuszę się na odinstalowanie programów, które określiłeś jako ‘niegroźne’, co?

.

ciemnowidz · 5 Czerwiec 2009 11:12

No to jedyne co mi przychodzi do głowy to

wkładasz płytę z Windows

start => uruchom => wpisz sfc /scannow

onczylija · 5 Czerwiec 2009 11:42

a co to jest za komenda? co uruchamia?

.

ciemnowidz · 5 Czerwiec 2009 11:48

Porównuje pliki systemowe z tymi na płycie Windows, jeśli są uszkodzone lub jakichś nie ma to zostają uzupełnione/zamienione.

onczylija · 5 Czerwiec 2009 11:52

ok, dzięki. niedługo pobawię się w “odzyskiwanie utraconego windowsa” :lol:

.

– Dodane 05.06.2009 (Pt) 14:08 –

“sfc nie jest prawidłową aplikacją Win32”

ale zauważyłem, że jak przeczyszczę dyski CCleanerem to przez chwilę po restarcie komputera wszystko chodzi jak należy. To już coś