TR/Crypt.XPACK.Gen i po systemie...

[hasek]

Witam, mam spory problem z trojanem TR/Crypt.XPACK.Gen, który wyczyścił mi menedżer urządzeń i pozmieniał ścieżki dostępu w usługach przez co nie mam sterowników do niczego i niewiele jestem w stanie zrobić, nawet neta nie mam, ale od początku.

http://www.fotosik.pl/pokaz_obrazek/1e1 ... 0f1ae.html -

rzut oka na procesy z wczoraj, kiedy wszystko grało. Od tego czasu zainstalowałem program Notebook Hardware Control, Super C, Movavi Video Converter 6 i All Video Spliter.

Wszystko zaczęło się od ściągnięcia keygena do tego ostatniego ze strony http://www.keys.ws, który przeskanowałem avirą, a po braku alarmu zezwoliłem w Comodo Firewall na dostęp do svchost.exe, po czym avira wykrył wirusa w katalogu temp (VRT1AB.tmp), którego nie potrafił usunąć.
Ja też nie więc zrestartowałem system. Usunąłem plik i instalkę lecz okazało się że nie mam sterowników, Comodo wymagał fixa a w avirze nie da włączyć się funkcji guard i nie mam dostępu do uruchomienia usług, gdyż wyświetla się to –

http://www.fotosik.pl/pokaz_obrazek/d54 ... 47e52.html (i to tylko w awaryjnym):

http://www.fotosik.pl/pokaz_obrazek/a50 ... 27553.html - rzut oka na procesy,

logi zdarzeń z comodo - http://www.wklejto.pl/28219

log i skan aviry po zawirusowaniu - http://www.wklejto.pl/28220

http://www.wklejto.pl/28221

Potem stwierdziłem że nie mam nic do stracenia i przywróciłem trojana i pozwoliłem mu działać - otworzył kilkanście procesów svchost, po czym wszystkie się zamknęły, a plik z wirusem zniknął! (moja wina, moja wina, moja BWW)

Zainstalowałem Spyboot, trzy razy trzeba go było uruchomić, zanim wszystko wyczyścił, lecz żaden z plików nie był "tym moim."
Zaczęły pojawiać się takie błędy przy logowaniu (którego to panelu nie miałem nigdy włączonego):

spoolsv.exe - błąd aplikacji pamięć nie może być ''written''
StarWindServiceAE.exe - błąd aplikacji pamięć nie może być "written"
a potem jeszcze
mpnotify.exe - błąd aplikacji pamięć nie może być "written"

a po SDFixie, który nie dał się dokończyć w normalnym trybie i znów trzeba było w awaryjnym uruchomić, w normalnym trybie pokazuje się tylko tapeta a uruchomienie explorer.exe skutkuje komunikatem - zapobieganie wykonywaniu danych, system Windows zamknął ten program (ilość procesów 16) i trzeba znów wchodzić w awaryjny, żeby cokolwiek zrobić.

log SDFixa - http://www.wklejto.pl/28222

Comodo - http://www.wklejto.pl/28223

Aviry (uruchamianych z wiersza poleceń) - http://www.wklejto.pl/28224

I mam za swoje, avira wykryła wirusy nawet w SDFixie, tylko format został?
Po combofix pojawia się:

spoolsv.exe - błąd aplikacji pamięć nie może być ''written''

i jeszcze isass.exe - błąd systemu nie odnaleziono nazwy obiektu

oraz HelpSvc.exe - błąd aplikacji pamięć nie może być ''written''

StarWindServiceAE.exe - błąd aplikacji pamięć nie może być "written"

mpnotify.exe - błąd aplikacji pamięć nie może być "written"

system zrestartował się i teraz nawet w awaryjnym muszę ctrl+alt+delete, żeby coś zrobić, a log był w c:\combofix\ zamiast c:\ i w dodatku jakby niezapisany choć pokasowało pliki tak skutecznie, że nawet notatnika nie mogę otworzyć:
http://www.wklejto.pl/28225

w awaryjnym trybie log z hijacka - http://www.wklejto.pl/28226


Mam wrażenie, że co usiłuję coś zrobić, to jest coraz gorzej, przedtem przynajmniej jakoś się system uruchamiał, a teraz nawet nie wiem, czy da się z niego jakieś pliki odzyskać, po całej nocy ślęczenia jestem zrozpaczony...

Jest jakiś sposób choć, żeby przenieść niezawirusowane pliki (które się same replikują bo avira guard jest na disable i nie można tego zmnienić – stąd drugi log jest kilka razy większy)

[hasek]

Najpier skan avirą przed dalszą pracą:
http://www.wklejto.pl/28264

potem przeleciałem hijackiem
http://wklejto.pl/28263

a potem usunąłęm to, co mi poradzono:

O4 - HKCU\..\RunOnce: [SpybotDeletingB5501] command.com /c del "C:\Program Files\AskSBar\bar\1.bin\A2HIGHIN.EXE"
O23 - Service: AgereModemAudio - Unknown owner - C:\WINDOWS\TEMP\VRT1AB.tmp (file missing)
O23 - Service: AntiVirScheduler - Unknown owner - C:\WINDOWS\TEMP\VRT1AB.tmp (file missing)
O23 - Service: AntiVirService - Unknown owner - C:\WINDOWS\TEMP\VRT1AB.tmp (file missing)
O23 - Service: AudioSrv - Unknown owner - C:\WINDOWS\TEMP\VRT1AB.tmp (file missing)
O23 - Service: btwdins - Unknown owner - C:\WINDOWS\TEMP\VRT1AB.tmp (file missing)
O23 - Service: clr_optimization_v2.0.50727_32 - Unknown owner - C:\WINDOWS\TEMP\VRT1AB.tmp (file missing)
O23 - Service: COMSysApp - Unknown owner - C:\WINDOWS\TEMP\VRT1AB.tmp (file missing)
O23 - Service: CryptSvc - Unknown owner - C:\WINDOWS\TEMP\VRT1AB.tmp (file missing)
O23 - Service: DcomLaunch - Unknown owner - C:\WINDOWS\TEMP\VRT1AB.tmp (file missing)
O23 - Service: Dhcp - Unknown owner - C:\WINDOWS\TEMP\VRT1AB.tmp (file missing)
O23 - Service: dmadmin - Unknown owner - C:\WINDOWS\TEMP\VRT1AB.tmp (file missing)
O23 - Service: Dot3svc - Unknown owner - C:\WINDOWS\TEMP\VRT1AB.tmp (file missing)
O23 - Service: EapHost - Unknown owner - C:\WINDOWS\TEMP\VRT1AB.tmp (file missing)
O23 - Service: Eventlog - Unknown owner - C:\WINDOWS\TEMP\VRT1AB.tmp (file missing)
O23 - Service: EventSystem - Unknown owner - C:\WINDOWS\TEMP\VRT1AB.tmp (file missing)
O23 - Service: FastUserSwitchingCompatibility - Unknown owner - C:\WINDOWS\TEMP\VRT1AB.tmp (file missing)
O23 - Service: gupdate1c99d951a4ff84a - Unknown owner - C:\WINDOWS\TEMP\VRT1AB.tmp (file missing)
O23 - Service: gusvc - Unknown owner - C:\WINDOWS\TEMP\VRT1AB.tmp (file missing)
O23 - Service: hkmsvc - Unknown owner - C:\WINDOWS\TEMP\VRT1AB.tmp (file missing)
O23 - Service: HTTPFilter - Unknown owner - C:\WINDOWS\TEMP\VRT1AB.tmp (file missing)
O23 - Service: IDriverT - Unknown owner - C:\WINDOWS\TEMP\VRT1AB.tmp (file missing)
O23 - Service: idsvc - Unknown owner - C:\WINDOWS\TEMP\VRT1AB.tmp (file missing)
O23 - Service: JavaQuickStarterService - Unknown owner - C:\WINDOWS\TEMP\VRT1AB.tmp (file missing)
O23 - Service: MDM - Unknown owner - C:\WINDOWS\TEMP\VRT1AB.tmp (file missing)
O23 - Service: mnmsrvc - Unknown owner - C:\WINDOWS\TEMP\VRT1AB.tmp (file missing)
O23 - Service: napagent - Unknown owner - C:\WINDOWS\TEMP\VRT1AB.tmp (file missing)
O23 - Service: Netman - Unknown owner - C:\WINDOWS\TEMP\VRT1AB.tmp (file missing)
O23 - Service: Nla - Unknown owner - C:\WINDOWS\TEMP\VRT1AB.tmp (file missing)
O23 - Service: ose - Unknown owner - C:\WINDOWS\TEMP\VRT1AB.tmp (file missing)
O23 - Service: PCA - Unknown owner - C:\WINDOWS\TEMP\VRT1AB.tmp (file missing)
O23 - Service: PlugPlay - Unknown owner - C:\WINDOWS\TEMP\VRT1AB.tmp (file missing)
O23 - Service: RasAuto - Unknown owner - C:\WINDOWS\TEMP\VRT1AB.tmp (file missing)
O23 - Service: RasMan - Unknown owner - C:\WINDOWS\TEMP\VRT1AB.tmp (file missing)

skrypt Combo

Folder::
C:\WINDOWS\Temp

i logi po tym Combo
http://www.wklejto.pl/28265

i hijack
http://www.wklejto.pl/28266

później fixwareout log
http://www.wklejto.pl/28267

i OTMoveIT3

a na końcu dr Web
http://odsiebie.com/pokaz/1764773---7174.html

i hijack
http://www.wklejto.pl/28268


niestety Web nie usunął wszystkich wirusów (głównie Win32.Virut.56), kilka plików przeniósł, ale nie wiem co robić

z tymi plikami, które w kwarantannie umieściła Avira - są systemowe, a jak je tak wyniosę z tej kwarantanny to

znowu zanim Web zacznie działać może coś się zacząć
http://www.fotosik.pl/pokaz_obrazek/8e6 ... 4cb56.html

http://www.fotosik.pl/pokaz_obrazek/397 ... afec7.html

W dodatku znalazło się trochę wirusów na recovery - czy będzie można kiedyś z niej bezpiecznie przywrócić system? I

paru plikom zmieniłem rozszerzenie na .ex_ (tym z pendrive - bo na nim przenoszę logi na inny komp) - czy jest

możliwość, że przez to dr Web nie znalazł tam wirusów?

Po tym wszystkim znów explorer zaczął uruchamiać się w awaryjnym. Poza tym jakimś cudem włączyło się przywracanie

systemu, choć do tej pory było nieaktywne - zauważyłem to podczas skanowania Webem i wyłączyłem - wystarczy?
Dalej nie mam menedżera urządzeń - nie działa wi-fi, ani modem Playa (nie wiem jakim cudem wykrywa pena) teraz

nawet w awaryjnym nie mogę spróbować zmieniać usług lokalnych przez msconfig, choć w nocy jeszcze mogłem (ale i tak

wyskakiwał błąd z plug and play).
Z błędów przy uruchamianiu został
isass.exe - błąd systemu nie odnaleziono nazwy obiektu

w normalnym trybie co powoduje restart i konieczność urochomienia w awaryjnym.


I co teraz powinienem zrobić?

[hasek]

WSZYSTKO OPISUJE CHRONOLOGICZNIE
zacząłem dr Webem - znalazł dwa wirusy, z tym że jeden w programie do

usuwania trojanów, a drugi to wirus, który wykrył i zmnieł nazwę avira

- dałem go do avirowej kwarantanny

http://www.wklejto.pl/28463

zrobiłem fix.reg

Windows Registry Editor Version 5.00

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\

mountpoints2\{d728e54d-ccf9-11dd-a81a-806d6172696f}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\

mountpoints2\{f257a55e-ce3d-11db-9450-0018debec359}]

[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\AgereModemAudio]

[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\AntiVirScheduler]

[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\AntiVirService]

[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\AudioSrv]

[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\btwdins]

[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\clr_optimization_v2.

0.50727_32]

[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\COMSysApp]

[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\CryptSvc]

[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\DcomLaunch]

[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Dhcp]

[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\dmadmin]

[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Dot3svc]

[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\EapHost]

[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Eventlog]

[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\EventSystem]

[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\FastUserSwitchingCom

patibility]

[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\gupdate1c99d951a4ff8

4a]

[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\gusvc]

[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\HidServ]

[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\hkmsvc]

[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\HTTPFilter]

[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\IDriverT]

[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\idsvc]

[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\JavaQuickStarterServ

ice]

[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MDM]

[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\mnmsrvc]

[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\napagent]

[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\NetDDE]

[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\NetDDEdsdm]

[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Netman]

[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Nla]

[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ose]

[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\PCA]

[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\PlugPlay]

[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\RasAuto]

[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\RasMan]

potem uruchomiłem OTMoveIT, ale nie było chyba żadnego loga po, a

qooboxa usunąłem już wcześniej - wystarczyło shift + del w awaryjnym?

combo

http://www.wklejto.pl/28470

pojawia się dalej isass.exe - błąd systemu nie odnaleziono nazwy

obiektu
co wymaga cały czas pracy w awaryjnym

z ms config mogę już odhaczyć procesy i usługi, ale nie mogę uruchomić

zatrzymanych - nie da się wejść we właścowości

natomiast z panelu sterowania - narzędzia administracyjne - usługi, jak

klikam dwa razy, to pojawia się komunikat
Menedżer konfiguracji: usługa Plug and Play lub inna jest niedostępna.

Klikam OK i wchodzę we właścowości - większość jest zatrzymana, a jak

próbuje uruchomić, to pojawia się komunikat
Nie można uruchomić usługi ..., na komputerze Komputer Lokalny, a potem

różne np.

błąd 1075 usługa zależności nie istnieje, lub została przeznaczona do

usunięcia,
błąd 1084 tej usługi nie można uruchomić w trybie awaryjnym

http://www.fotosik.pl/pokaz_obrazek/8f6 ... df665.html

http://www.fotosik.pl/pokaz_obrazek/e2a ... d8e6d.html

dodatkowo na czerwono oznaczyłem te, które w zakładce logowania mają

ustawione jakieś hasło - nie pamiętam,żeby tak było wcześniej, a sam

niczego nie ustawiałem

http://www.fotosik.pl/pokaz_obrazek/e4f ... a2783.html

chdsk log

http://www.wklejto.pl/28466

potem resztę optymalizacji
http://forum.programosy.pl/optymalizacja-windowsa-xp-vt89133.html

ale OODefragmentator, nie chciał się zainstalowac - w trybie awaryjnym

komunikat:
administrator ograniczył dostęp (oczywiście nic takiego nie robiłem)

tryb normalny uruchomił się, gdy nie kliknąłem ok na komunikacje

lsass.exe - błąd pliku, i tam pisało, że nie mam Windows instaler
ściągnąłem, lecz się nie zaistalował - wyskoczył jakiś komunikat z

brakiem możliwości uwierzytelnienia?, na necie wyszukałem, że

powinienem włączyć usługę kryptograficzną - nie mam takiej!

defragmentacja windowsa nie chce się uruchomić

potem program Odkurzacz - zainstalował się i uruchomił

ATF-cleaner uruchomione

potem chciałem zrobić porządek z lsass.exe - od kumpla dostałem plik i

zgodnie z poradami uruchomiłem replacera - skopiował do system32, ale

przy kopiowaniu do dllcache wyskoczył komunikat, że nie można skopiować

do folderu bo jest zabezpieczony ( odbezpieczanie we właściwościach nic

nie daje)

skan dr Webem live CD zawiesił się na folderze download/amigaemu... a

wcześniej wychwycił dwa pliki - w folderze własnej kwarantanny

dalem pod windowsem

log dr web koniec i usunąłem pliki system volume - choć nie wiem skąd

się wzięły - wyłączyłem przywracanie

http://www.wklejto.pl/28467

jeszcze raz combofix skryptem

Folder::
C:\Windows\Temp

Driver::
gupdate1c99d951a4ff84a

Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\

mountpoints2\{d728e54d-ccf9-11dd-a81a-806d6172696f}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\

mountpoints2\{f257a55e-ce3d-11db-9450-0018debec359}]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\AgereModemAudio]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\AntiVirScheduler]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\AntiVirService]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\AudioSrv]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\btwdins]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\clr_optimization_v2.

0.50727_32]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\COMSysApp]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\CryptSvc]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\DcomLaunch]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Dhcp]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\dmadmin]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Dot3svc]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\EapHost]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Eventlog]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\EventSystem]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\FastUserSwitchingCom

patibility]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\gupdate1c99d951a4ff8

4a]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\gusvc]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\HidServ]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\hkmsvc]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\HTTPFilter]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\IDriverT]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\idsvc]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\JavaQuickStarterServ

ice]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MDM]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\mnmsrvc]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\napagent]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\NetDDE]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\NetDDEdsdm]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Netman]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Nla]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ose]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\PCA]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\PlugPlay]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\RasAuto]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\RasMan]

combo2

http://www.wklejto.pl/28468

hijack log

http://www.wklejto.pl/28469

silent runners - błąd can't iterate Win32_OperatingSystem!

wyłączem przywracanie systemu, nie wiem jak się włączyło, wyrzuciłem

coboox.exe


pojawia się dalej isass.exe - błąd systemu nie odnaleziono nazwy

obiektu
ale wystraczy nie klikać ok i system się uruchomi (w miarę) normalnie

pojawia sie cpqset.exe - apliakcja wykonała nieprawidłową operację

[hasek]

Usunąłem archiwum, które blokowało dr Weba i tym razem poszedł z płyty - brak wirusów, poza tymi w programach do walki z nimi

zrobiłem

Windows Registry Editor Version 5.00


[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Eventlog]

i daje to, co wyskakuje mi na Pulpicie + pojawia się jeszcze konsola DOS-owa (chyba COMMAND), wyskakuje jakis błąd wczytywania i zaraz znika (trochę za szybko, żeby było wiadomo o co chodzi)

http://www.fotosik.pl/pokaz_obrazek/a48 ... 719cd.html

log z hijacka

http://www.wklejto.pl/28640

Combo fixa

http://www.wklejto.pl/28641

zrobiłem instalację nakładkową, ale kumpel podrzucił mi jakąś modyfikacje XP (Vista) i teraz mam dwa systemy i dostaje kręćka bo nie wiem, w którym co

skanować.

Próbowałem ponownie replacerem, tym razem z nowego XP, przy wklejaniu ścieżki dllcache/lsass.exe konsola wyłącza się bez niczego i dalej wyskakuje błąd w

starym XP, jeśli się go za wcześnie kliknie (albo dymek Avira Uptade) to się komp restartuje.

FixIEDef - na nowym się uruchomił

http://www.wklejto.pl/28642

ściągnąłem aktualizacje do Avasta i zeskanowałem

http://www.wklejto.pl/28643


i Kaspersky Virus Removal Tool (oba pod nowym, bo w starym cały czas brak netu i sterowników)

http://www.wklejto.pl/28644

Spyboot - czysto

jeszcze raz dr Web - tym razem OS-owo - tylko w programach typu Combofix - na wszelki wypadek usunąłem

Jak mam przywrócić stery w starym? I które? Mam folder WINDOWS 0, i tam wszystko jest, ale nie wiem jak je podmienić

I była rada, żeby usunąć wszystkie wpisy w rejestr, które mają "askbara" - gdy instalowałem na nowym Comodo, to tam był ptaszek do zahaczenia właśnie z

paskiem wyszukiwania ask.com - to jakiś trojan, czy coś bo nie bardzo rozumiem, czemu miałem usunąć?