Win32/Bagle.KM - problem, prosba o pomoc


(C14ch0) #1

Witam;

Win32/Bagle.KM to chyba jakis nowy parch ktory pojawil sie w ciagu ostatnich dni... sciagnalem z netu plik exe - mialo to byc demo... poniewaz nie jestem samobojca sprawdzilem go programem NOD32 z aktualna baza wirusow i otrzymalem komunikat ze plik jest czysty... no to "klik"... Cos mnie tknelo gdy ekran mignal - mysle puszcze tego NODA jeszcze raz - ale NOD juz nie zyl bo exe'ka gdzies wcielo, szybka proba zainstalowania spybota - ale zanim sie skonczyl instalowac to jego "exe" zdazylo zniknac... centrum zabezpieczen i windows defender sie wylaczyly i niedawaly wlaczyc, etc - masakra po prostu.

Pomogl ComboFix i wscsvcfix.exe - teraz niby jest czysto - przynajmniej NOD32 i Spyboot nie znajduja nic, ale system jakos kiepsko dziala - co jakis czas raczy mnie komunikatami w stylu "Program Usługa bram warstwy aplikacji przestał działać" i sypia sie rozne uslugi - bardzo bym prosil o sprawdzenie logow (na mysl ze bede musial reinstalowac calego sysa przechodza mnie ciarki...):

Druga kwestia - cos mi od jakiegos czasu blokuje rejestr (od czasow "sprzed" virusa) a przynajmniej niektore jego kawalki: chcialem poprawic wpis HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Discardable\PostSetup\ShellNew bo mnie kontekstowe menu myszki draznilo (za duzo tam dziadostwa) i nie moge wprowadzic zmian - albo raczej moge ale na max 30 sekund - potem wyglada jakby sie "samoczynnie" odswierzal - nic nie pomaga tryb administartora, awaryjny, reset uprawnien programem RegAssasin... ktos ma jakis pomysl moze? Pytam bo mam kopie sprzed paru tygodni (kopie moge zrobic - tylko zaladowac jej nie idzie - komunikta ze zmiany zostaly wprowadzone sie pojawia a efektu nie widac) i moze jakbym ja przeladowal to by pomoglo.


(jessica) #2

Log z Hijacka - czysty.

Pierwszy raz widzę, by komuś udało się uruchomić ComboFixa na VIŚCIE!

Czyżby ComboFix wreszcie dostosował się do VISTY?

W logu jest ten wpis, który normalnie kojarzy się z infekcją na pendrive.

Ale u Ciebie nie jest to skojarzone z kluczem rejestru pendrive.

Tak więc nie wiem, co to za cudo?

Może ComboFix jednak coś przekłamał?

Poszukaj, czy gdzieś na dysku nie ma: Recycled**** ctfmon.exe (nie pomyl z C:\Windows\system32\ctfmon.exe!).

Zrób też to:

Nic więcej podejrzanego nie widzę.

jessi


(C14ch0) #3

Nie wiem... sciagnałem plik przez link podany w jakims innym topiku na tym forum - odpalil sie bez problemu i zadzialal - wiec pewnie jakas nowa wersja kompatybilna w vista.

Postapilem zgodnie z twoimi radami - komp wyglada na czysty tylko... nie wiem czy sam virus czy raczej te "lekarstwa" na niego (np wscsvcfix.exe ktorego uzylem a ktory jest na XP nie na viste i ktory musialem odpalic kilka razy by "zaskoczyl") cos napsuly w systemie - non stop po kilku max kilkunastu minutach pracy mam komunikaty w stylu:

-"Program Usługa bram warstwy aplikacji przestał działać"

-"Program pomoc IP przestał działać"

Po kazdym takim wypadku net przestaje dzialac i konieczny jest restart kompa - tak sie po prostu nie da pracowac...

Co z tym rejestrem? - da sie z tym cos zrobic - tj sa jakies programy ktore "odblokowuja rejestr"? Jak juz wspomnialem probowalem RegAssasin do wyzerowania praw ale nie pomaga. Nie ma jakiegos programu ktory by mozna odpalic w trybie awaryjnym czy nawet z plyty/dyskietki i zaladowac nim kopie rejestru?!


(jessica) #4

Nie wiem, o czym mówisz.?

Z logów wynika, że nie masz zablokowanego rejestru.

Możesz dać jeszcze log z Sillent Runner, by się o tym upewnić.

jessi


(C14ch0) #5

Hej Jessi; dzięki za odpowiedź. Loga z Silen Runera wkleje pózniej - w tej chwili ściagam demo Crysis i nie chciałbym przerywać.

Udało mi się przywrócic stabilność systemu poprzez przywrócenie go do stanu sprzed paru tygodni - nigdy nie tworzyłem ręcznie zadnego punktu przywracania wiec bylem zaskoczony że on istnieje (prawdę mówiąc byłem przekonany że takowego nie posiadam i nic mnie nie uchroni przed formatem, całe szczeście że w ostatniej chwili postanowiłem tam zerknąć)- przysiaglbym ze wylaczylem gdzies zaraz po instalacji visty opcje automatycznego tworzenia punktow przywracania - zreszta byl właśnie tylko ten jeden jedyny; nie wiem skąd się tam wziął ale nie bede darowanemu koniowi zagladal w zęby :slight_smile: Jestem po prostu szczęsliwy że nie muszę sysa i masy softu instalowac, konfigurowac i aktualizowac od nowa bo to by było 2 dni roboty jak nic. /tu dygresja - w moim przypadku samo usunięcie wirusa wiele nie pomoglo bo albo po nim albo po usuwających go programach zrobil sie taki syf że system całkowicie utracil stabilność i gdyby nie ten punkt przywracania to bym po prostu musial zrobic format c: pomimo tego że system byl czysty/

Wracając do moich problemów z rejestrem o których wspomniałem niejako przy okazji, sprawa wyglada tak: chce przeedytowac wpis odpowiadający za menu kontekstowe myszki. Odpalam w trybie administratora konsolę, pisze sobie "regedit" i wchodze do rejestru do HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Discardable\PostSetup\ShellNew. W "Classes" mam coś takiego:

.accdb

.as

.CDR

.cpt

.docx

.fla

.jnt

.lnk

.mpp

.pptx

.psd

.pub

.rar

.txt

.xlsx

.zip

Briefcase

Folder

Ponieważ np tworzenie skrótu nie jest mi do niczego potrzebne kasuje ".lnk". W tym momęcie gdy klikne prawym myszy na pulpicie i dam "Nowy" nie ma juz opcji "skrót" - znikla... problem w tym że wystarczy odczekac 30 sekund kliknac prawym na pulpicie jeszcze raz i "skrot" pojawia sie na powrót - wyglada jakby wpis sie sam odświerzył i cofnał wprowadzone przezemnie zmiany... jesli teraz chce jeszcze raz wejsc w "classes" (regedit otwarty i zminimalizowany do paska był) dostaje komunikat "Bład przy edycji wartosci; Nie mozna edytowac Classes: bład przy czytaniu zawartości wartosci". Zamykam regedita, odpalam go ponownie - znowu moge wejsc w classes i edytować zawartość więc wprowadzam zmiane jeszcze raz... i historia sie powtarza. Nie mam pojecia co jest tego przyczyna i jak to odfiksowac - nie żeby to byl jakis wielki problem, niemniej chętnie bym zrobił porządek w tym menu a nie moge i nie mam pojecia dlaczego.


(Kaka') #6

Vin przypominam, że na forum należy pisać także z polskimi literkami (ą, ę, ź, ż, ć, ó, ł, ń), dlatego proszę o poprawienie swoich postów. W przypadku zignorowania prośby, temat poleci do śmietnika.