[Zwierzak]

Witam.

Zazwyczaj sobie radzę sam ze swoim piecykiem, ale z wirusami do czynienia jeszcze nie miałem...ale ostatnio zaczęły dziać się dziwne rzeczy. Najpierw zauważyłem, że zepsuł mi się boot.ini - przy uruchamianiu systemu pojawia się napis "Nieprawidłowy boot.ini, rozruch z C:\Windows\". Gdy chciałem samemu zajrzeć co z tym pliczkiem okazało się, że mi się wyłączył podgląd plików ukrytych i systemowych. Gdy chciałem to zmienić w opcjach folderów, okazało się, że się nie da, tzn. zaraz po zatwierdzeniu z powrotem wyłącza się podgląd ukrytych plików. Kilka dni zostawiłem to w spokoju, jednak dzisiaj po włożeniu pendrive'a kolegi, gdzieś po minucie nie dało się uruchomić z eksploratora okienka pendrive'a. Uruchamiał się tylko DOS-owy program "wbj.exe", od razu się zamykał jak to zwykle bywa, a okno z plikami z pendrive się nie uruchamiało. Oprócz tego zauważyłem też, że nie mogę zaktualizować Aviry...niby miała się automatycznie uaktualniać, ale mimo to pojawiło się okienko upominające się o aktualizację. Kliknąłem "Update", a wtedy pojawił się komunikat z informacją o jakimś problemie z uruchomieniem programu...nie pamiętam, po reinstalacji Aviry było OK. Później, jeszcze przed ponowną jej instalacją (wywaliłem chyba Avirę i miałem restartować, ale w tym czasie skanowałem coś dla kolegi i zeszło mi z godzinę), problem z dyskiem osiągnął następny poziom - nie dało się w ogóle uruchomić dysku - pojawiało się okienko wyboru programu do otwarcia pliku C:\. Z resztą - jest tak do tej pory.

Po ponownej instalacji Aviry zrobiłem całogodzinny skan systemu, i oto log:
http://wklej.org/hash/5feb9cd561/ (jest dość długi)
Ponoć przydadzą się też logi z Hijacka i SilentRunners:
http://wklej.org/hash/596dc4bb4e/ - Hijack
http://wklej.org/hash/826bd08cdd/ - Log z Silenta

Oczywiście, Avirze kazałem wszystkie błędy naprawić, i - oczywiście - nie podziałało :-) Ja się już w tym wszystkim gubię, a i logów nie umiem czytać, poza tym na malware się nie znam, więc mógłby mi ktoś powiedzieć co zrobić, żeby wyleczyć swój komputer? Format nie odpada, ale chyba można go uniknąć Tongue

Pozdrawiam.

[mati8898]

Uruchom Hijackthis :arrow: Do a system scan only :arrow: w okienku programu pokaże się log :arrow: zaznacz kratki przy podanych wpisach :arrow: klikasz Fix checked

O4 - HKLM\..\Run: [nwiz] C:\Program Files\NVIDIA Corporation\nView\nwiz.exe /install
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKCU\..\Run: [cdoosoft] C:\DOCUME~1\Ja\USTAWI~1\Temp\herss.exe

Wylecz pamięci przenośne Flash Disinfector lub sformatuj

Pobierz Combofix ale nie uruchamiaj (podczas pobierania i skanu Combofixem wyłącz wszelkie antywirusy i firewalle)
Wklej do notatnika:

File::
C:\DOCUME~1\Ja\USTAWI~1\Temp\herss.exe

Plik -> zapisz jako -> CFScript.txt
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe


Rozpocznie się usuwanie i powstanie log, który dajesz na forum.

Użytkownik mati8898 edytował ten post 17 sierpień 2009, 20:31

[morys]

Z terminologii jakiej używasz wyglada na to, że znasz się dość dobrze na windowsie.
Jeśli nie radzisz sobie z Avira AntiVir (darmowym - jak sądze) to przesiądż sie na Avasta
System masz chyba tak spaprany ( nie wiadomo czy tylko przez wirusa czy jest po prostu już "zamulony"), ze chyba nie ma sensu go ratować.

[mati8898]

Cytat

System masz chyba tak spaprany ( nie wiadomo czy tylko przez wirusa czy jest po prostu już "zamulony"), ze chyba nie ma sensu go ratować.

No daj spokój, tu jest tylko prosta infekcja z pendrive, więc nie opyla się robić z takiego powodu formata (a nawet jakby go zrobił to podpiąłby zainfekowaną pamięć przenośną i wirus by wrócił, trochę bez sensu, nie?)

[Zwierzak]

Użytkownik morys dnia 17.08.2009 21:29 napisał

Z terminologii jakiej używasz wyglada na to, że znasz się dość dobrze na windowsie.
Jeśli nie radzisz sobie z Avira AntiVir (darmowym - jak sądze) to przesiądż sie na Avasta
System masz chyba tak spaprany ( nie wiadomo czy tylko przez wirusa czy jest po prostu już "zamulony"), ze chyba nie ma sensu go ratować.

Heh No co nieco się znam, kiedyś z nudów jak nie miałem internetu, a gry na blaszaka z 32 MB RAM i Celeronem 300 MHZ ciężko było znaleźć, grzebałem sobie w Windowsie ME, ScanDisc'em się bawiłem itd ;D

Nie wiem z czym miałbym sobie nie radzić w Avirze - sądziłem, że to normalne, po antywirusie zawsze trzeba poprawiać, bo wirusy się podłączają pod autorun.

Swoją drogą - z dyskami problem wiem skąd był już, i się tym już właśnie ComboFix zajął. Na obu dyskach był...autorun.inf ;D Poza tym, widzę już ukryty pliki i foldery. A co do tego, że wina pamięci - bardzo możliwe, bo mi Avira piszczała zawsze jak wkładałem pamięć kolegi..wtedy jeszcze widziałem ukryte pliki. Miał sformatować tego Pendrive, ale chyba tego nie zrobił...mam w sumie nadal u siebie tą pamięć, nie wiem, może mu ją sformatować? Nic się chyba nie stanie od samego włożenia? (wyświetla się opcja wyboru akcji - przeglądaj, odtwórz itd)

mati8898 - usunąłem te a nawet więcej, bo spytałem na paru forach żeby mieć szybszą odpowiedź. A teraz w sumie nie nadążam... :P Zrobiłem z CF jak kazałeś, a oto log: http://wklej.org/id/136356/

Pozdrawiam.

EDIT: Zrobić restarta, czy jeszcze poczekać, zrobić coś, żeby zło nie wróciło? :] Przeszukam jeszcze ręcznie AutoStart w rejestrze...można coś jeszcze zrobić?

[morys]

No to chyba coś ten jego Avira AntiVir sobie nie radzi.
Spali obaj jak podpinany był pendrive ?

Z problemów jakie ma z systemem nie wyglada to na taki sobie "drobiazg"

[Zwierzak]

Komputer mój, pendrive kolegi On nie wiem co za syf ma u siebie, pewnie nie ma antywirusa, jak wielu ostatnio (moda jakaś).

Spać nie spali, a Avira darmowa przynajmniej. Wyświetlała się informacja o jakimś wirusie na Pendrive, brałem "deny access" bodaj, i kazałem koledze u siebie sformatować, bo mu się śpieszyło. Teraz, drugi raz mam ten pendrive, i czy tego chce czy nie, sformatuję mu go i ponownie skopiuję pliki.

A co masz na myśli pisząc o tych problemach? Te są/były spowodowane wirusem/ami, i chwilowo objawy zlikwidowane :] Jeśli chodzi o syf to ja zawsze mam syf, format był miesiąc temu gdzieś, więc chyba tak tragicznie nie jest.

Pozdro.

[mati8898]

Nic tu więcej nie widzę.

Pobierz OTC uruchom i wciśnij CleanUp

Przeczyść system oraz rejestr CCleaner

Wyłącz i włącz przywracanie systemu na wszystkich dyskach Instrukcja

Wykonaj pełne skanowanie Dr. Web CureIt - jeśli coś znajdzie usuń i daj raport
(Plik Zapisz Listę Raportu)

Cytat

Najpierw zauważyłem, że zepsuł mi się boot.ini - przy uruchamianiu systemu pojawia się napis "Nieprawidłowy boot.ini, rozruch z C:\Windows\"

Zobacz: http://www.searchengines.pl/lofiversion/in...php/t95541.html

[spodek]

Pozwolicie że się podepnę pod temat bo mam ten sam problem z trojanem tr/crypt.zpack.gen

http://wklej.org/id/208981/ log hijack
http://wklej.org/id/208982/ log combofix

Użytkownik spodek edytował ten post 18 listopad 2009, 09:49

[mati8898]

Uruchom HijackThis -> Do a system scan only -> w okienku programu pokaże się log -> zaznacz kratki przy podanych wpisach -> klikasz Fix checked

O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\MSMSGS.EXE" /background

Combofix usunął infekcję, więcej nic nie widać.

Pobierz OTC uruchom i kliknij CleanUp

Przeczyść dysk oraz rejestr CCleaner

Wyłącz i włącz przywracanie systemu na wszystkich dyskach :arrow: Instrukcja

Wykonaj pełne skanowanie Dr.Web CureIt - jeśli coś znajdzie usuń i daj raport (Plik :arrow: Zapisz Listę Raportu)

[Zwierzak]

Witam.
Temat dałem na kilku forach, tu akurat zapomniałem odpisać. Ale użyłem tylu fajnych programów ile się dało do usuwania świństw i się udało Nazw już nie pamiętam dokładnie, bo było to dawno.

Pozdrawiam.

edit: Użyłem chyba OTC, z Hijackiem i ComboFixem chyba dały radę, nie kojarzę nic więcej.

Użytkownik Zwierzak edytował ten post 18 listopad 2009, 17:45

[spodek]

mati8898 dzięki za podpowiedź zrobię to co napisałeś,

Czy to możliwe żeby od tego trojan pozmieniało mi coś w ustawieniach? Np. 1) jak klikam "mój komputer" potem obojętnie jaki dysk chce otworzyć to pyta mnie jakim programem otworzyć - na szczęście po combofixie przeszło. 2) jak chcę otworzyć jakikolwiek folder to wyskakuje mi okno do wyszukiwania plików czy folderów, jak kliknę prawym to pierwsze polecenie jest wyszukaj, na trzeciej dopiero otwórz i w ten sposób mogę otworzyć. Przed wykryciem infekcji avirą było dobrze, avira wrzuciła to do kwarantanny i zaczęły się te problemy.

Zrobiłem co mi podałeś, HJ, OTC i CCleaner poszło ok,
drweb znalazł coś:

ComboFix.exe\32788R22FWJFW\FIND3M.bat;C:\Documents and Settings\PAXPOL\Pulpit\ComboFix.exe;Prawdopodobnie BATCH.Virus;;
ComboFix.exe\32788R22FWJFW\List-C.bat;C:\Documents and Settings\PAXPOL\Pulpit\ComboFix.exe;Prawdopodobnie BATCH.Virus;;
ComboFix.exe;C:\Documents and Settings\PAXPOL\Pulpit;Archiwum zawierające zainfekowane obiekty;;
ComboFix.exe\32788R22FWJFW\FIND3M.bat;D:\instalki\ComboFix.exe;Prawdopodobnie BATCH.Virus;;
ComboFix.exe\32788R22FWJFW\List-C.bat;D:\instalki\ComboFix.exe;Prawdopodobnie BATCH.Virus;;
ComboFix.exe;D:\instalki;Archiwum zawierające zainfekowane obiekty;;
e2demo2(stomatologia).exe\data014;D:\instalki\instalki stomatologiczne\e2demo2(stomatologia).exe;Program.RemoteAdmin;;
e2demo2(stomatologia).exe;D:\instalki\instalki stomatologiczne;Archiwum zawierające zainfekowane obiekty;Przeniesiony.;
A0044193.exe\data014;D:\System Volume Information\_restore{A5A268BB-08EC-48BD-A976-1CFAA0C178B8}\RP378\A0044193.exe;Program.
RemoteAdmin;;
A0044193.exe;D:\System Volume Information\_restore{A5A268BB-08EC-48BD-A976-1CFAA0C178B8}\RP378;Archiwum zawierające zainfekowane obiekty;Przeniesiony.;

wywaliłem wszystko oprócz combofix'a.

[Zwierzak]

Masz tego dziada co ja :D Też dyski psuł. Jeszcze usunął boot.ini po pewnym czasie, ale rozruch szedł i tak domyślnie z C:\Windows, więc nie było problemu.

Nie chce mi się szukać dokładnie tamtych tematów, ale użyłem OTC, ComboFixa i Hijacka chyba. Nie pamiętam, żeby czegoś jeszcze.

Zdrówko.

[mati8898]

Dr.Web znalazł tylko resztki Combofixa i w punktach przywracania, jeśli usunięte to ok

[spodek]

Wielkie dzięki mati8898
a na to miał byś jakąś radę, stało się to po zainfekowaniu i nie mogę se z tym poradzić:
Jak chcę otworzyć jakikolwiek folder 2 x LPM to wyskakuje mi okno do wyszukiwania plików czy folderów, jak kliknę prawym to pierwsze polecenie jest wyszukaj, na trzeciej dopiero otwórz i w ten sposób mogę otworzyć, no ale wydłuża to czas.

[mati8898]

Spróbuj tak:
start -> uruchom ->wpisz: regsvr32 /i shell32.dll i kliknij OK

[spodek]

Użytkownik mati8898 dnia 19.11.2009 19:45 napisał

Spróbuj tak:
start -> uruchom ->wpisz: regsvr32 /i shell32.dll i kliknij OK

Dzięki wielkie za pomoc - pomogło.