Komputer został zaatkowany przez jakiegoś trojana, który powoduje zawieszenie po podłączeiu do internetu. Skan antywirusem nic nie daje, co wiecej infekcja prawdodobnie zablokowała możliwość zaktualizowania bazy danych antywirusa. Ponadto komputer zawirusuje peny. Poniżej wklejam logi z OTL:
Będe bardzo wdzięczny za pomoc…
Zastosuj Combofix.
Przed uruchomieniem odinstaluj wszelkie programy tworzące wirtualne napędy (Daemon Tools, Alcohol itp.) oraz usuń sterownik SPTD narzędziem SPTDInst z opcji Uninstall (jeśli będzie zszarzałe, to OK).
Podczas pobierania i skanowania Combofixem należy wyłączyć wszelkie antywirusy i firewalle.
Pokaż log.
hmm… nie jest dobrze 
Podczas pracy combofix poprosil o zainstalowanie konsoli odsyzkiwania systemu i poinformowal ze jest do tego potrzebne polaczenie z internetem. Z racji tego, że nie mam dostępu do internetu to kliknalem na nie… Zakonczylo sie to bluescreenem. Co gorsza próba uruchomienia komputera w trybie awaryjnym, nawet z wierszem poleceń, również kończy się bluscreenem Troche to dla mnie niezrozumiale czemu, w trybie normalnym dziala a w trybie awaryjnym nie… Co robić?
Na pewno winien temu jest podmieniony sterownik ndis.sys:
Normalnie ten plik powinien mieć rozmiar ok. 180KB.
Należałoby najpierw spróbować go podmienić czystą kopią, gdyż to on wpływa na działanie internetu.
Pobierz SystemLook i uruchom.
Wklej w niego:
Klikasz Look i pokazujesz powstały raport.
Log z system looka:
SystemLook v1.0 by jpshortstuff (11.01.10)
Log created at 17:37 on 25/07/2010 by Admin (Administrator - Elevation successful)
========== filefind ==========
Searching for "ndis.sys"
C:\WINDOWS\$NtServicePackUninstall$\ndis.sys -----c 168192 bytes [15] [07] (Unable to calculate MD5)
C:\WINDOWS\$NtUninstallKB826942$\ndis.sys --a--c 167552 bytes [08] [11] (Unable to calculate MD5)
C:\WINDOWS\ServicePackFiles\i386\ndis.sys ------ 182912 bytes [15] [22] (Unable to calculate MD5)
C:\WINDOWS\SoftwareDistribution\Download\51fc2b55c6deef38fc801319336cdbc7\ndis.sys --a--- 182656 bytes [07] [19] (Unable to calculate MD5)
C:\WINDOWS\system32\dllcache\ndis.sys --a--c 211072 bytes [07] [07] (Unable to calculate MD5)
C:\WINDOWS\system32\drivers\ndis.sys --a--- 211072 bytes [07] [07] (Unable to calculate MD5)
-=End Of File=-Skopiuj dwukrotnie plik: C:\WINDOWS\SoftwareDistribution\Download\51fc2b55c6deef38fc801319336cdbc7\ ndis.sys bezpośrednio na dysk C:
Nazwy pierwszej kopii nie zmieniaj, natomiast druga ma się nazywać ndis1.sys
Czyli masz mieć pliki:
C:\ndis.sys
C:\ndis1.sys
Pobierz The Avenger i uruchom.
Wklej w niego ten tekst:
Execute i zgadzasz się na restart.
Po restarcie kasujesz plik C:\Avenger\backup.zip i dajesz tutaj do sprawdzenia raport C:\avenger.txt
Jeśli podmiana zakończy się sukcesem, to spróbuj ponownie połączyć się z internetem.
Jeśli internet będzie działał, to pobierz Combofix na nowo i go uruchom.
kłopot - nie chce skopiowac pliku ndis.sys, pojawia sie informacja ze dysk chroniony jest przed zapisem / w uzyciu…
Czy jest mozliwosc aby kopiowanie wykonac bezposrednio za pomoca avengera?
A mógłbyś skopiować te dwa pliki w inne miejsce? Koniecznie muszą się znajdować na partycji systemowej C:.
zrobilem jak mowisz, ale Avengerowi nie udalo sie podmienić plików…
Ponizej log:
Co teraz?
Niestety ale oprócz infekcji na sterownikach systemowych jest infekcja wirusem Sality:
Sytuacja jest b. ciężka, więc proponuję tylko jedną metodę bez formatowania.
Do ponownego postawienia systemu może być potrzebna płytka z systemem.
Pobierz i nagraj na płytkę na niezainfekowanym komputerze DR Web LiveCD.
Włóż płytkę do zainfekowanego komputera, zakładając, że wcześniej ustawiłeś w BIOS-ie na startowanie kompa z CD/DVD, więc po restarcie powinien się uruchomić się skaner.
Wykonujesz pełny skan, leczysz co się da, reszta do usunięcia.
Skanujesz tyle razy, aż skaner nic nie znajdzie.
Jeśli po usuwaniu system się nie uruchomi, wkładasz do komputera płytkę z systemem i wykonujesz instalację nakładkową Windows.
Po ewentualnej instalacji nakładkowej wyłącz i włącz Przywracanie systemu na wszystkich dyskach. Instrukcja XP/Vista.
Następnie wykonaj nowy log z Combofix (pobierz go na nowo) i wyłącz ponownie przywracanie systemu włączone przez Combofixa.
W porządku mam tylko jedno pytanie. Do ewentualnej instalacji nakładkowej niezbędny jest płyta instalacyjna XP z Service Pack 2, czy wystarczy jakikolwiek instalator?
Co miałoby być tym “jakimkolwiek instalatorem”?
Potrzebna jest płyta z XP SP2.
No np płytka windowx XP bez service packa, albo z Service Packiem 3… ale ok, rozumiem o co chodzi, postaram sie zoorganizować…
– Dodane 29.07.2010 (Cz) 23:26 –
Tragedia, nawet ten Dr.Web LiveC nie chce sie odpalic
W trybie normalnym zatrzymuje sie na tym ekranie z informacja ze jak sie wcisnie alt + f1 to costam Verbose. W trybie awaryjnym zatrzymuje sie w momencie ładowania modułu ohci1394 masakra jakas… CZy to moze byc wina tego ze laptop jest dosc stary?
Najpewniej tak.
Ewentualnie możesz użyć innej płytki z antywirusem: http://www.fixitpc.pl/index.php?/topic/ … skanerami/