[trojan] TR/Crypt.XPACK.Gen

[Areecki]

Witam
Ostatnio po podłączeniu mojego pendriva znowu zaczęły dziać się dziwne rzeczy.
Avira coś tam wykryła ale dalej wyskakuje błąd przy uruchomieniu :

Komputer jakieś pauzy w działaniu łapie, tzn np. internet działa wolno mimo iż sam download i ping jest ok.
Zdjęcia na necie wczytują się jak by etapami. Partycję też wolniej chodzą i czasami wszystko co włączę
się zawiesi i nie da się tego wyłączyć ani zminimalizować.
Standardowo zestaw dla zaawansowanych :

Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników
---------------------------------
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników

[deFco247]

Log z DDS to ja pojęcia nie mam po co tu jest, skoro OTL pokazuje te same informacje...

Przede wszystkim system jest dziurawy jak sito:

Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.2180)

I na dodatek z jakiegoś powodu brak jest usługi Aktualizacje automatyczne:

SRV - File not found [Auto | Stopped] -- C:\WINDOWS\system32\wuauserv.dll -- (wuauserv)

Czy to jest jakaś własnoręczna przeróbka? Obcinanie systemu z tak krytycznego komponentu jest doprawdy niemądre... Konieczne by było uzupełnienie braku tego pliku np. poprzez instalację Service pack 3 dla XP, gdyż niższe wersje tego systemu już nie otrzymują wsparcia od MS.


W białe dolne okno Własne opcje skanowania/skrypt w OTL wklej:

:OTL
DRV - File not found [Kernel | On_Demand | Stopped] -- D:\WINDOWS\System32\DRIVERS\ewusbdev.sys -- (hwusbdev)
DRV - File not found [Kernel | On_Demand | Stopped] -- D:\DOCUME~1\Areecki\USTAWI~1\Temp\catchme.sys -- (catchme)
IE - HKU\S-1-5-21-746137067-113007714-839522115-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKU\S-1-5-21-746137067-113007714-839522115-1003\..\URLSearchHook: {08C06D61-F1F3-4799-86F8-BE1A89362C85} - Reg Error: Key error. File not found
FF - prefs.js..browser.search.defaultengine: "Ask.com"
FF - prefs.js..browser.search.defaultenginename: "Ask.com"
FF - prefs.js..browser.search.order.1: "Ask.com"
[2010-10-23 17:22:03 | 000,002,565 | ---- | M] () -- D:\Documents and Settings\Areecki\Dane aplikacji\Mozilla\Firefox\Profiles\fo9h9iup.default\searchplugins\askcom.xml
O3 - HKU\S-1-5-21-746137067-113007714-839522115-1003\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O4 - HKLM..\Run: [Intel Device Driver] D:\WINDOWS\system32\igfxdwx86.exe ()
O4 - HKLM..\Run: [Intel Driver Manager] D:\WINDOWS\system32\igfxdr32.exe ()

:Commands
[emptytemp]
[emptyflash]

Uruchom to poprzez Wykonaj skrypt i zatwierdź restart.
Po restarcie wykonaj nowy zestaw logów OTL oraz pokaż raport z usuwania OTL powstały po wykonaniu powyższego skryptu.

[Areecki]

Wykonałem skrypt, przed wykonaniem nie mogłem zainstalować SP3.
Komputer już chodzi szybciej. Internet również.
Jak się pozbędziemy całego dziadostwa , to po sprzątaniu ściągnę SP3 i spróbuje zainstalować.
Raport :
Dostępne tylko dla zarejestrowanych użytkowników
Nowego loga z OTL nie mogę zrobić bo w trakcie dostaję bluescreena.
Zresztą bluescreeny to już od dłuższego czasu mam co jakiś tam czas.
Daję logi z DDS :
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników

P.S Zestaw logów z OTL i DDS jest wymagany wg.regulaminu.
Więc może wypadało by go zmienić, skoro logi pokazują te same informacje.
Zawsze wrzucałem logi z tych dwóch programów.
Internet Explorera w ogóle nie używam, tylko mozilli.
Wrzucam jeszcze log z Aviry za ostatnie kilka dni ( wszystko przed wykonaniem skryptu)

Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników

Widzę, że ten trojan zaraża pliki .exe głównie w
D:\Documents and Settings\Areecki\Ustawienia lokalne\temp\...

[djkamil09061991]

Zresztą bluescreeny to już od dłuższego czasu mam co jakiś tam czas.

Może warto byłoby znaleźć ich przyczynę

[deFco247]

Internet Explorera w ogóle nie używam, tylko mozilli

Mimo wszystko należy go zaktualizować, gdyż ma on wpływ na dużą część systemu i niektóre programy (np. AQQ, GG, MediaInfo), a wiadomo ile IE6 ma dziur i niedorobień...

Na razie sprawdziłbym, czy instalacja Dostępne tylko dla zarejestrowanych użytkowników naprawi brak pliku wuauserv.dll. Jak nie, to trzeba będzie plik ręcznie wstawić na miejsce.

W wynikach Aviry może niepokoić to znalezisko:

Type: File
Source: D:\Program Files\Trojan Remover\Trjscan.exe
Status: Infected
Quarantine object: 4f64f697.qua
Restored: NO
Uploaded to Avira: NO
Operating System: Windows 2000/XP/VISTA Workstation
Search engine: 8.02.04.84
Virus definition file: 7.10.13.27
Detection: Contains code of the W32/Sality.Patched Windows virus
Date/Time: 2010-10-25, 12:10

Plik zapewne poszkodowany i niewyleczony po infekcji wirusem Sality. Jeśli będziesz chciał go używać, to go zainstaluj na nowo.
Jego kopia była również w folderze przywracania systemu:

Type: File
Source: D:\System Volume Information\_restore{A6E08BA6-3EB3-4FCB-81CB-CBBD7A7FEC59}\RP6\A0008554.exe
Status: Infected
Quarantine object: 4ebef6a6.qua
Restored: NO
Uploaded to Avira: NO
Operating System: Windows 2000/XP/VISTA Workstation
Search engine: 8.02.04.84
Virus definition file: 7.10.13.27
Detection: Contains code of the W32/Sality.Patched Windows virus
Date/Time: 2010-10-25, 12:10

Dla bezpieczeństwa wyłącz i włącz przywracanie systemu na wszystkich dyskach.

Widzę, że ten trojan zaraża pliki .exe głównie w
D:\Documents and Settings\Areecki\Ustawienia lokalne\temp\...

OTL już wypróżnił ten folder, więc teoretycznie infekcji już tam być nie powinno.

W OTL użyj opcji Sprzątanie.

[Areecki]

Wyłączyłem i włączyłem, rozumiem, że tak jest włączone przywracanie systemu na wszystkich dyskach

Sprzątanie wykonane.

[deFco247]

No skoro system jest taki jaki jest, no to chyba się domyślasz co można polecić na taką sytuację...
Tak czy siak praca na tak niełatanym systemie jest skrajnie niebezpieczna.

[Areecki]

Wczoraj po moim wpisie Avira jeszcze coś znalazła :
Dostępne tylko dla zarejestrowanych użytkowników

Edit 1
Przeskanuje całego kompa avirą, usunę co znajdzie.
Niech ktoś poleci jeszcze jakiś jeden program online lub do ściągnięcia - taki, żeby wypełnił
szukanie tego czego Avira nie znajdzie, może Dr. Web lub coś innego.