Prawdopodobnie mam jakiegoś wirusa, a może nawet kilka bo praca na komputerze stała się niemal niemożliwa. Objawy jakie zaobserwowałem niemal lawinowo się pojawiły w ciągu dwóch tygodni.
Po uruchomieniu systemu, przez jakieś 5 minut nie mogę otworzyć dysków - otwieram mój komputer i pojawia się latarka taka jak przy wyszukiwaniu plików. Po pewnym czasie pojawiają się wszystkie nośniki, startuje reszta programów typu gadu-gadu i innych. Do tego czasu również nie jest możliwe wyłączenie systemu.
Kilka dni temu pojawiła się w trayu czerwona ikonka “Aktualizacje automatyczne zostały wyłączone”. Gdy próbuje je włączyć system nie reaguje albo wyświetla okienko że nie może teraz dokonać zmiany ustawień. W panelu sterowania natomiast aktualizacje są jak gdyby nigdy nic włączone…
W ustawieniach Plików i folderów zmieniam ustawienie na “pokarz ukryte pliki i foldery” klikam zastosuj - wszystko ok. Zamykam okienko włączam ponownie i znowu jest zaznaczona opcja “nie pokazuj ukrytych plików”. Ale to nie jest wina amvo bo już go usunąłem ręcznie…
Nie wiem czy to tylko zmiana ustawień jakichś czy coś głębszego ale zamiast niebieskiego ekranu z wyborem użytkownika do logowania pojawia się okienko jakie chyba było przed pierwszym service packiem.
Czasami nie mogę w ogóle włączyć windowsa - po zalogowaniu pokazuje się tapeta i okienko " Aby pomóc w ochronie tego komputera system windows zamknął następujący program: Aplikacja Userinit Logon" Gdy klikam ok wyskakuje okienko o raportowaniu błędu, potem takie same okienko odnośnie explorer a gdy klikam ctr+alt+del w celu ochrony komputera zostaje zamknięty menadżer zadań… I tu ciekawostka, jak zignoruje te okienka i nie klikam ok, wcisnę kilka razy ctr+alt+del startuje menadżer zadań, wybiorę z uruchom “explorer.exe” to system wystartuje…
Gdy zamykam system wyskakuje niebieski ekran “wystapił błąd krytyczny. proces Windows Logon Proces zakończył się z niespodziewanym stanem. system zostanie zatrzymany” i koniec… odłączam zasilanie i włączam ponownie.
A i po uruchomieniu Combofix przy zamykaniu systemu uruchomiło się “odzyskiwanie systemu z ostatniej działąjacej konfiguracji” czy coś takiego.
Dodam, że mam zainstalowanego Spybota, nie wiem czy to nie koliduje jakoś z pracą Combofix.
Zrobiłem tak jak w opisie ale pojawiły się problemy - combofix poinformował mnie o wykryciu rootkita i zrestartował komputer (tak jak za pierwszym razem) ale za to teraz się nie uruchomił a przywitało mnie tradycyjnie okienko o “zapobieganiu wykonywania danych” i “aby pomóc w ochronie komputera system Windows zamknął userinit logon” i się zatrzymał. Gdy zignorowałem okienka i z menadżera zadań uruchomiłem “proces explorera” razem z nim wystartował combofix. Analogicznie było przy ponownym uruchomieniu tylko wtedy uruchomiłem po prostu powłokę “explorer.exe”. Moim zdaniem ten wirus jest bardziej cwany od combofix i startuje wcześniej, albo cholernie w czymś namieszał bo uruchomienie każdego programu jest zatrzymywane w zarodku przez “zapobieganie wykonywaniu danych” i dopiero dwukrotna próba uruchomienia przynosi skutek. Dodam, że combofix przy pierwszym jak i ponownym uruchomieniu z CFScript poinformował mnie o braku konsoli przywracania i konieczności jej zainstalowania - co zrobiłem…
zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe
Z uruchamianiem programów/systemu dalej takie same akcje “zapobieganie wykonywaniu danych” itd. Podczas usuwania trojana przez Malwarebytes’ Anti-Malware 1.30 wyskoczyło okienko “aby pomóc w ochronie komputera (…) zamknięto regedit”, więc prawdopodobnie się nie usunął chociaż wskazanego klucza HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\rdfa nie znalazłem w rejestrze. System się wyłącza normalnie - nie ma już błędu krytycznego i zatrzymania po wylogowaniu. Aktualizacje działają - pobrały się i zainstalowały. Okno logowania dalej takie jak w starych windowsach XP (wpisywana nazwa użytkownika a nie jak wcześniej wybierana z listy).
Raport z Kaspersky: http://www.wklej.org/id/13707/. Skanowałem tylko obszary krytyczne. Teraz uruchomiłem pełne skanowanie. W gadu gadu tam gdzie wyświetlają się normalnie reklamy mam teraz coś takiego “.pl/iraq.jpg” width=1 height=1 style=“border:0”> " i “//ZieF.pl/iraq.jpg”. Jak obejrzałem pod linuxem w hexedit plik “Facegame.exe” zawierał właśnie taki adres “http://ZieF.pl/iraq.jpg”, serwer wpisany na “czarną listę” (http://www.robtex.com/dns/ircd.zief.pl.html).
Edit 14:14 29.10.2008
Wykonałem pełny skan Kaspersky’m: http://www.wklej.org/id/13742/. Dlaczego on kwalifikuje tyle programów jako podejrzane? I na dodatek większość to popularne programy użytkowe… Te wpisy z C:\RECYCLER\ oznaczone jako zainfekowane to zapewne kwarantanna którą wygenerował ComboFix i którą usunąłem ale nie opróżniłem kosza?
