Restrikovani svi useri na Windows XP, Virtumundo muka...

[ apesic @ 29.03.2008. 09:37 ] @

Napecao sam Virtumundo prekjuce.

NOD32 ga je detektovao (baze od tog dana), ali je nekako prosao, VundoFIX ga nije ni detektovao (poslednja verzija sa sajta proizvodjaca), a SpyBOT S&S ga je i detektovao i odradio ciscenje (promenio mu je extenziju na JKHHF.DLL_OLD i ocetkao ga je na sledeci reboot, s tim sto je pre i posle reboota sve vreme nesto i dalje upisivalo hidden fajlove sa imenom FHHKJ.INI i FHHKJ.INI2 u System32). E, sad sam se ja napravio pametan i resio da ocistim i registry od upisa vezanim za ovaj fajl (JKHHF.DLL) da ne bi i sledeci put kad se pojavi ponovo krenuo da mi pravi probleme, medjutim tu sam napravio glupost. Kljuc HKLM\SYSTEM\CONTROL\LSA je imao polje "Authentication Packages" (drugo trece sa vrha) cija vrednost mi je bila sumnjiva, odnosno umesto da pise samo "msv1_0" na tom mestu je stajalo msv1_0 i neka redirekcija u fajl JKHHF.DLL. Pretpostavljam da na ovom mestu Virtumundo salje passworde usera u sebe samog, te sam obrisao citavo polje "Authentication Packages" sa sve tim Value koji je tu stajao. Mislim da mi je ovo presudilo, jer na sledeci reboot samo sam dobio poruku na svim userima (i Admin naravno) da ne mogu da se logujem "due to account restrictions"?! Uzeo sam Hiren i probao sam da blankiram passworde, pa da upisem novi pass za usere, pa da se logujem na Last Good Known Configuration, ali nista nije pomoglo. Otkacio sam hard i polako instaliram novi sistem na drugom hardu, ali nikako da mi dopre do mozga da je security prso i da ne postoji nacin da ovo ispravim. Generalno razmisljam da mozda postoji neka kombinacija da pristupim tom polju registrija i upisem rucno ovu vrednost, ali nisam uspeo. Sada, iako mi je Win ceo i uslovno receno funkcionalan, ne mogu da mu pristupim.

Jel' neko imao slican problem ili ima resenje za ovu situaciju?

[ Danijel Krmar @ 29.03.2008. 10:57 ] @

Vidi da li ti moze pomoci ovo http://support.microsoft.com/kb/307545. Bitno je da tacno pratis uputstva, mozda i uspes da vratis sistem.

[ Binary Mind @ 29.03.2008. 12:10 ] @

Hm... Ovde smo resavali Virtumonde zaraze bez ikakvih problema, uz neka mala pravila kao sto je iskljucivanje system Restore-a itd. a ti si isao onom logikom "Sto jednostavno kad moze komplikovano." Sto si prckao po registima. Multi-String vrednosti se ne brisu. Obicno se otvore se i edituju. Prvo putanja HKLM\SYSTEM\CONTROL\LSA ne postoji jer fali neki ControlSet (pretpostavljam CurrentControlSet). Tu Multi-string vrednost koju si obrisao bi po logici trebalo da dadas i sve bi radilo kao pre. Znaci desni klik > New > Multi-String Value koju bi posle preimenovao u Authentication Packages > i u Value Data upisao samo msv1_0 restartovao racunar i to bi onda po nekoj logici trebalo ponovo da radi.

[ apesic @ 29.03.2008. 12:27 ] @

@Binary Mind

Citat:

...Prvo putanja HKLM\SYSTEM\CONTROL\LSA ne postoji...

Da, u pitanju je putanja "HKLM\SYSTEM\ControlSet001\Control\Lsa" kao i putanja "HKLM\SYSTEM\CurrentControlSet\Control\Lsa". Omaskom sam ispustio deo putanje. Ja sam ih nazalost obe obrisao.

Citat:

...Tu Multi-string vrednost koju si obrisao bi po logici trebalo da dadas i sve bi radilo kao pre...

Citat:

...i u Value Data upisao samo msv1_0 restartovao racunar i to bi onda po nekoj logici trebalo ponovo da radi...

Upravo to, toliko je i meni jasno, samo sto mi ne pada na pamet kako da to izvedem i kojom alatkom, kada ne mogu vise ni na koji nacin da pristupim Windowsu...

[ Danijel Krmar @ 29.03.2008. 13:16 ] @

Izgleda da ne postoji nacin da se iz Recovery Console-a pristupi registru, barem ja jos nisam nasao nacin.

Jesi probao onaj link sto sam ti dao? Naime, tamo je napisano upustvo kako vratiti registry iz System Restore-a, tj. prvo se vrati defaultni registry kako bi uopste mogao pristupiti Windowsu, samo su onda naravno sve postavke i setapovi koje si ti izvrsio nakon instalacije windowsa izbrisane. Ali kad jednom dodjes do windowsa, postoji nacin da se iz System Restore-a vrati neki prijasnji registry sa kojim je sistem jos funkcionisao. To sve naravno ide ako ti je System Restore bio ukljucen.

Evo jos jednog slicnog clanka sa mozda jednim jednostavnijim nacinom za vracanje registrya http://searchwincomputing.tech...89483,sid68_gci1167895,00.html

[ Binary Mind @ 29.03.2008. 17:14 ] @

Nacin postoji preko live Windows XP verzija (Windows PE) koje se mogu skinuti s' neta ili mogu da se naprave po zelji. Na vec napravljenim verzijama postoji program koji se zove Registry Editor PE i preko njega sam nekoliko puta uspeo da popravim registry na palim Windows XP sistemima. Ima jos alata ali ovaj mi je prvi pao na pamet.

[ apesic @ 31.03.2008. 12:57 ] @

Posteno imao sam i ja Live Windows XP (Bart PE), ali sa njime nisam umeo da importujem posrnuli Registry Editor sa harda, a alatke iz Hirena mi nisu davale nikakve rezultate. Do juce, kada sam dobio malo stariji, ali isto tako dobar Winternals CRD Commander 2005, koji je na sebi imao Registry editor, a koji je iz taka ucitao zlikovacki Registry i resio stvar

Hvala na pomoci anyway

[ Binary Mind @ 31.03.2008. 13:18 ] @

Valjda se zove Winternals ERD Commander 2005. I on je dobar za te stvari

E sad skini ComboFix i skeniraj racunar njime i naravno posle okachi log da vidimo da li jenesto ostalo od malware-a... Dok Combofix skenira nista ne radi sa racunarom. Takodje skini i HiJackThis, skeniraj i okachi njegov log.