Trojan?? - zablokowany rejestr i menedżer. LOG

[Gość: Nightforce]

Witam, mam problem jakich wiele.
Otóż podejrzewam że dostępu do rejestru i menedżeru zadan blokuje mi
jakiś trojan. Menedzeru zadań nie mogę włączyć bo jak wspomniałem
nie mogę też włączyć rejestru. Nic też nie daje pcja "konfiguracja
użytkownika". Ponadto mam problem z zainstalowaniem Directx'a -
wysakuje mi taki oto komunikat:
www.fotosik.pl/pokaz_obrazek/c268db2ca4987e20.html
Podejrzewam tez że zagnieździł się kilka miesięcy temu jakiś
rootkit, którego jak wiadomo ciężko usunąć. Przed formatem miałem
tez chyba jakieś malware. Teraz znowu jestem swieżo po formacie.
Log:
wklej.org/id/33367/txt
Podejrzany jest plik SYSTMEM.EXE, którego po pierwsze nie da się
usunąć a po drugie po włączeniu kompa wyskakuje mi błąd typu: "Nie
można odnaleźć pliku SYSTEM.EXE. Czyżby te wirus go nadpisał?

[Gość: Kolobos]

Daj log z combofix. Mam nadzieje, ze nie skonczy sie tak jak tutaj:
forum.gazeta.pl/forum/72,2.html?f=430&w=89026122

[Gość: Nightforce]

wklej.org/id/33397/txt
Nie mam zainstalowanej tej konsoli, nawet o tym nie wiedziałem..
Trzeba to?
Mała poprawka: o tym pliku SYSTMEM.EXE jednak był taki
komunikat: "system windows nie znalazł pliku (programfiles)
\SYSTMEM.EXE.
Kiedyś też czytałem że rootkit (a jestem na 90% pewien ze go mam)
mógł zniszczyć usługę (jesli tak to mozna nazwać) winlogon.exe

[Gość: Kolobos]

Utworz na pulpicie plik CFScript.txt i wklej do niego:

Driver::
srwsvc

File::
C:\t9m2t3u6v3s9.exe
c:\windows\system32\SET15.tmp
c:\windows\_dsA.tmp
c:\windows\system32\SET648.tmp
c:\windows\system32\SET625.tmp
c:\windows\system32\SET61B.tmp
c:\windows\system32\SET5E2.tmp
c:\windows\system32\SET5D1.tmp
c:\windows\system32\drivers\srwsvc.sys
c:\windows\system32\mzo.exe
c:\windows\system32\SYSTMEM.EXE
c:\windows\system32\amu.exe
c:\program files\SYSTMEM.EXE
c:\windows\SET15.tmp
c:\windows\system32\yzt.exe
c:\windows\SET14.tmp
c:\windows\SET20.tmp
c:\windows\system32\qur.exe

Folder::
C:\Recycled\
c:\recycler\
C:\FOUND.000

Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Video Drivers"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SYSTMEM.EXE"=-

Zapisz i przeciagnij go na ikone combofix.exe, daj nowy log.
Uzyj tez SDFix w trybie awaryjnym i daj log z niego.

[Gość: Nightforce]

log z combofix:
wklej.org/id/33435/txt
log z SDfix:
wklej.org/id/33436/txt
Pod koniec, kiedy combofix konczył prace zauważyłem jakiś dziwny
proces, który brzmiał coś tak: SDV~... (cos tam dalej). Zakończyłem
go i nie wiem czy dobrze zrobiłem.
PS. dziwne pliki wciąż są na dysku C.
Aha i jeszcze od czasu do czasu pojawia mi się komunikat o
zamknięciu systemu i którego nie da się wyłączyć ( ja wpisuje
w 'uruchom' shutdown -a i to pomaga). Ten komunikat dotyczy jakiejś
strukturze bądź usłudze RCP.

[Gość: Kolobos]

Zle zrobiles. O jakie dziwne pliki Ci chodzi?

Zamknij porty przy pomocy wwdc.exe (netbios mozesz zostawic otwarty).

Sprawdz plik c:\windows\system32\sfc_os.dll na stronie www.virustotal.com/ i wklej wynik skanowania.

Nowy CFScript.txt:

File::
c:\windows\system32\vay.exe
c:\windows\SET21.tmp
c:\program files\SYSTMEM.EXE

Registry::
[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\system]
"DisableTaskMgr"=-
"DisableRegistryTools"=-

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Shell"="Explorer.exe"
"SFCDisable"=-

[Gość: Nightforce]

pliki z dziwną nazwą, np. C:\t9m2t3u6v3s9.exe
wynik:
wklej.org/id/33467/txt
Nie wiem czy o to chodziło.
Log Combofix:
wklej.org/id/33468/txt
Teraz coś znowu o komunikatach:
Przy otwieraniu wwdc mam coś takiego:
"Error while calling GetTcpTable API with the lenght required. The
Program so cannot see what ports are opened and closed, and will so
only rely on the registry to check what services are enabled on your
system.
Porty zamknięte z wyjątkiem netbios.
Znowu wyskakuje komunikat o zamknięciu system wywołane przez cośtam
costam.. wywoływanie procedur RPC - tak to jakoś brzmi dokładniej.
I ciągle jeszcze mam komunikat o którym nie wspominałem związany
z 'aplikacją Explorer.EXE i zostanie ona zamknięta'. Kiedy zostaje
zamknięta pulpit się wyłancza, zostaje tylko tapeta. Mogę ją włączyc
ale tylko wtedy kiedy mam dostęp do menedżera (dostep ten mam
czasami, nie zawsze)

[Gość: Kolobos]

> wklej.org/id/33467/txt

O to tylko, ze to sam naglowek, skopiuj i wklej dopiero po zakonczonym skanowaniu przez wszystkie antywirusy. Jezeli masz z tym problem to napisz tylko czy ktorys cos wykryl.

> pliki z dziwną nazwą, np. C:\t9m2t3u6v3s9.exe

To tylko jeden plik (widac go w najnowszym logu), czy jest ich wiecej?

Nowy CFScript.txt:

File::
C:\t9m2t3u6v3s9.exe

Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Video Drivers"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SYSTMEM.EXE"=-

Po wykonaniu daj nowy log.

[Gość: Nightforce]

wykryły wykryły, jakiegoś bankera:
www.virustotal.com/pl/analisis/b7030d7388d6104bb0811b4fa7157e95
Log:
wklej.org/id/33487/txt
Takie pliki, o ile dobrze mniemam, tworzą się po każdym resecie.

[Gość: Kolobos]

Uzyj konsoli odzyskiwania, wypakuj z plyty instalacyjnej XP plik sfc_os.dll i podmien z tym zainfekowanym. Mozesz tez uzyc Replacer'a do podmiany. Pamietaj zeby plik mial taka sama wersje jak system tzn jak masz SP2 to plyta z ktorej go wypakujesz tez musi miec zintegrowany SP2. Plik wypakujesz przy pomocy polecenia expand np:
expand X:\i386\sfc_os.dll C:\ nastepnie przy pomocy konsoli podmieniasz plik lub replacer'a podmieniasz plik.

Po podmianie usun: c:\program files\SYSTMEM.EXE

Uruchom: sfc /scannow

Nastepnie daj nowy log z combofix, sdfix oraz z gmera z zakladki rootkit -> szukaj, skopiuj to co znajdzie, wklej na wklej.org i podaj link.

[Gość: Nightforce]

Combofix:
wklej.org/id/33626/txt
SDFix:
wklej.org/id/33625/txt
Gmer:
wklej.org/id/33629/txt
Plik podmieniłem, zrobiłem skan, usunąłem SYSTMEM.EXE. Jednak..
Wszystko było ok ale kiedy pisałem tego posta znowu włączyło się
zamykanie systemu wywołane tą procedurą RPC (ja automatycznie
wpisałem komendę shutdown -a zeby to przerwać) i znowu pojawił się
SYSTMEM.EXE i ten dziwny plik na C:\. Być moze w logach tego nie
bedzie widać ponieważ to wszystko zrobiło się po przeskanowaniu
systemu.

[Gość: Nightforce]

PS. Nie wiem czy pytam w porę ale mam usunąć folder C:\Qoobox ???

[Gość: Kolobos]

Jeszcze ktorys z plikow systemowych musi byc zainfekowany, sprawdz te na jotti:
c:\windows\system32\spoolsv.exe
c:\windows\explorer.exe
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\nvsvc32.exe

[Gość: Nightforce]

wklej.org/id/33678/
zainfekowane są jakimś malware: spoolsv.exe, explorer.exe,
msmsgs.exe, rundll32.exe, nvsvc32.exe.
PS. services.exe czysty a ctfmon.exe zainfekowany tymi Win32.virtob
i W32/Virut.AG czyli tymi samymi paskudztwami co reszta.
Mam usunąć ten folder Qoobox z tymi plikami w kwarantannie. Będe
musiał jeszcze raz powtarzać operację z podmienianiem?

[Gość: Kolobos]

Ten wirus infekuje wszystkie pliki exe, scr.. raczej nie ma szans zebys to usunal, czeka Cie format partycji systemowej + usuniecie plikow wykonywalnych z innych partycji. Mozesz probowac go usunac tak jak to masz opisane tutaj: www.searchengines.pl/lofiversion/index.php/t99973.html ale moim zdaniem nie warto, wystarczy, ze przegapisz jeden plik i znowu bedzie to samo.

[Gość: Nightforce]

O ile się nie mylę z virutem jako tako sobie poradziłem.
Przeskanowałem cały system rmvirutem i oczyścił pliki z tego wirusa.
Potem przeleciałem system jeszcze Dr. Webbem i tez co nieco
oczyścił. Na jotti, w procesach virut zostaje wykryty tylko przez
dwa antywirusy: A-squareda i Ikarusa. Reszta mówi ze nic nie
znaleziono. Proszę Kolobos, poradź coś jeszcze, bo ja nie chce
formatować windowsa poraz n-ty. Zresztą mój dysk i tak juz jest na
wyczerpaniu to tak bardzo mi na nim nie zależy. Ale szkoda mi
danych. Przynajmniej spróbuj usunąć tego Bankera (podmienianie pliku
sfc_os.dll nic juz nie daje).
Najnowszy log:
wklej.org/id/33755/

[Gość: Nightforce]

Dobra, ostatnia wiadomość i idę swietować nowy rok. Ale musze to
napisać: poradziłem sobie z zablokowanym menedżerem i rejestrem.
Najpierw za pomocą HT usunąłem wpisy dotyczące pliku SYSTMEM.EXE i
zablokowanego regeditu. To mi dało dostęp do rejestru. Potem
włączyłem menedżer i zakończyłem proces SYSTMEM.EXE. Następnie za
pomocą killboxa usunąłem ten plik. I odtad, jak narazie (odpukać)
już się nie pojawił. Problem został jedynie z procesem DWWIN.EXE -
da radę go podmienić za pomocą konsoli (poza tym pokazuje się tez
jakiś proces USERNIT.EXE, sporadycznie)? Wywołuje on błąd IE przez
co wiesza się na chwilę system. Daje się zakonczyc jego proces w
menedżerze ale to nie pomaga zupełnie. Udało się równiez
zainstalować DirectX'a. Jutro dam nowy Log. Do siego Kolobos!

[Gość: Kolobos]

Wszystkie pliki systemowe da sie podmienic przy pomocy konsoli.
Zrob skan przy pomocy AVPTool i daj raport ze skanowania, wystarczy tylko sekcja Detected, caly log nie jest potrzebny.

[Gość: Nightforce]

Sorry Kolobos, że dopiero teraz odpowiadam, ale zupełnie nie
zauważyłem twojego poostu. A ja z ciągłymi prześladowaniami błędu
explorer.exe postanowiłem znowu tu zawitać.
Zrobiłem skan AVPTool i o dziwo nic a nic nie wykrył (przy
skanowaniu zaznaczone były pierwsze trzy opcje).
Moze podmienienie pliku DWWIN.EXE coś da, a jak nie to może reinstal
IE z 6 wersji na 7.
Jak narazie, to dzięki Kolobos za wszystkie te rady, pomoc, bo
oczywiście bez tej pomocy nie usunąłbym tych wszystkich śmieci. Jak
narazie nie ma (oprócz tego błędu) po nich śladu.

[Gość: Kolobos]

Sprawdz jeszcze wszystkie uruchomione procesy na jotti.
Wpisz w uruchom: sfc /scannow o ile jeszcze tego nie zrobiles.

Skoro sa bledy to dalej jest infekcja lub uszkodzone pliki.

Zrob skan panda online, dr.web, BitDefender i zobacz czy cos wykryja.

[Gość: Nightforce]

wklej.org/id/35307/
Dwa antywirusy (A-squared i Ikarus) wykrywają infekcję w: spoolsv,
explorer, msmsgs, rundll32. Reszta procesów jest czysta. I co dziwne
większość antywirusów nic nie wykrywa.
A skan sfc /scannow robiłem wtedy jak mi kazałeś i nic nie wykryło.
Błąd IE dalej jest tak samo jak proces DWWIN.EXE, który go wywołuje.

[Gość: Kolobos]

Dwwin.exe to debugger, ktory jest uruchamiany w przypadku bledu aplikacji.

Skoro A-squared cos wykrywa to zrob nim skan:
www.emsisoft.com/en/software/free/
Jak juz pisalem wczesniej nie warto naprawiac systemu po takiej infekcji, co zreszta sam widzisz.

[Gość: Nightforce]

Po prostu nie chcę dobijać dysku kolejnymi formatami (w jego
historii było już ich setki).
Wykonałem szybkie skanowanie A-squaredem i oprócz jakichś
zainfekowanych ciasteczek nic nie wykrył. Moze jak czas pozwoli
wykonam pełne skanowanie. A ten błąd wygląda tak (pewnie i tak wiesz
o co chodzi):
img383.imageshack.us/my.php?image=25388941jw4.png
W mendzerze zadan właśnie dwwin.exe znika po kliknięciu na "nie
wysyłaj". Raziem z dwwin.exe pojawia się równiez USERINIT.EXE i tak
samo znika po zamknięciu. Poza tym nic nie dzieje się z systemem ale
ten błąd jest troche wkurzający. Moze reinstal IE pomoże?

[Gość: Kolobos]

Na screenie masz "Kliknij tutaj" czy masz tam podane jakies istotne szczegoly?

[Gość: Nightforce]

Po kliknięciu mam taki opis:
AppName: explorer.exe AppVer: 6.0.2600.0 ModName: unknown
ModVer: 0.0.0.0 Offset: 71a541da
Dalej jest sygnatura błędu.
Wygląda na to że plik explorer.exe jest uszkodzony. Moze go
wypadałoby podmienić? Zresztą nie musisz sobie już zawracać tym
głowy Kolobos. Pisze to dlatego bo chcę mieć w pełni sprawny
komputer, choć, jak widać jest to trudna sztuka.

[Gość: Kolobos]

> Wygląda na to że plik explorer.exe jest uszkodzony.

Watpie ale mozesz go przywrocic. Kiedy dokladnie blad wystepuje? Jak w chodzisz do jakiegos katalogu czy sam z siebie po starcie?

> Pisze to dlatego bo chcę mieć w pełni sprawny
> komputer, choć, jak widać jest to trudna sztuka.

Na to jest juz troche za pozno po takiej infekcji. Powinienes sie cieszyc, ze w ogole dziala.

[Gość: Nightforce]

> Watpie ale mozesz go przywrocic. Kiedy dokladnie blad wystepuje?
Jak w chodzisz
> do jakiegos katalogu czy sam z siebie po starcie

Z sam siebie po starcie (po napisie 'zapraszamy')wyskakuje okno z
tymże błędem.

> Na to jest juz troche za pozno po takiej infekcji. Powinienes sie
cieszyc, ze w
> ogole dziala.

Bardzo sie ciesze. Zdążyłem troche oblecieć internet i rzeczywiście,
zdałem sobie sprawe z jakim dziadostwem wygrałem walkę. No
oczywiście nie ja, bo to Ty mi tu najbardziej pomagałeś. Twoja
wiedza na takie tematy jest naprawde wielka i za to dziex. Co do
infekcji, to przyszła ona tuż po formacie i to też głównie dlatego
podjąłem walkę (teraz tak fajnie sobie to przypomnieć - trzy dni
użerania się i to przed samym sylwestrem). Pozdr

[Gość: Taim]

Witam
mam bardzo podobny problem i po przeczytaniu tego wszystkiego nie jestem
pocieszony , bo przede mną jeszcze długa droga do pozbycia się tego dziadostwa :/

pzdr

[Gość: Nightforce]

Jeśli masz problem z Trojanem bankerem i plikiem SYSTMEM.EXE to moge
Ci opisać w skrócie jak się tego pozbyłem. A walkę z Virutem
rozpocznij od skanowania systemu programem rmvirut (czyści kod
wirusa większości zainfekowanych plików). U mnie zajęło to góra
1,5godz (dysk 40gb ;)). A potem jeszcze mozesz Dr Webbem (tu już
więcej - ok. 2,5godz.)