Infekcja: Tanatos, Heur i inne. Logi HijackThis. Pomożecie?


(Paprocki) #1

Witam.

Mam poważny problem. Komputer, na którym pracuję, jest bardzo poważnie zainfekowany przeróżnymi świństwami - głównie: Tanatos.M i Heur.

Problem zauważyłem jakiś czas temu. Nie łączyłem go jednak z wirusami - były to głównie typowe zwiechy, które, jak błędnie wtedy przypuszczałem, związane są z ogólnym syfem na kompie. Wczoraj jednak komp zaczął się juz naprawdę dziwnie zachowywać, więc zdecydowałem się na porządki. Podejrzewałem jakiś problem z wirusem - ale nie przypuszczałem, że skala problemu jest tak wielka.

W ciągu mojej pracy używałem na tym kompie kilku anti-virów, których nawet nie pamiętam: ostatnio Avast, potem PC Tools AntiVirus. Te programy nic nie pokazywały. Okazało się, że trojany wlazły również na nie (!) - choć może się mylę - zakłócając pracę. Nawet nie dało się ich odinstalować!

Dziś zainstalowałem 30-dniowego triala AVG. Komp zwariował. AVG zgłasza się co minutę z czymś nowym. Komp pracuje w tempie kulawego ślimaka. Próbowałem coś walczyć z tym, co AVG znalazł, jednak nic nie da się usunąć/wyleczyć itd... Ciągłe resety, BSOD-y, półminutowe zwieszki - kaplica, masakra.

Chciałbym Was prosić o jakąkolwiek pomoc. (Na końcu zamieszczam loga z HijackThis.) W grę wchodzi równiez leczenie pendrive'a.

http://wklejto.pl/35004

dzięki z góry za wszelkie wskazówki.


(Gnom 24) #2

Temat pokrewny z Twoim, zastosuje się do tego co napisał Landuss , to wygląda na infekcję plików wykonywalnych, czyli sprawa jest poważna.

http://www.searchengines.pl/Komputer-za … 25647.html


(Paprocki) #3

Rzeczywiście, sprawa dotyczy plików wykonywalnych - przynajmniej tak twierdzi AVG podczas skanów i traya. W zasadzie wszystko co odpalam, jest wychwytywane przez AVG jako zagrożenie. Serio: prawie wszystko. A większości z tych aplikacji ostatecznie nawet nie mogę otworzyć.

Korzystam teraz z IE, bo nie moge odpalić FF. Nie działa Java. Nie mogę nic odinstalować. Nie moge nagrać płyty. ComboFix, którego dziś dopiero co na nowo pobrałem, zdążyłem użyć raz - potem lipa, jak z resztą execów. Żeby rozpakować pobranego HijackThisa musiałem ściągnąć rara, bo ani zip, ani 7z juz nie działał.

I tak dalej. Masakra.

Co ciekawe, dopiero po instalacji AVG komp zaczął wariować w ten sposób. Wcześniej był uciążliwy, ale dało się pracować - teraz już dużo gorzej.

Przejrzałem podane mi linki. Ale ja się nie znam na tych wirusach. Prosiłbym o poprowadzenie mnie za rękę, jeśli to nie problem. Z góry dzięki.


(Henio Mazurek) #4

Masz wkleić log z ComboFix, bo HT jest za słaby

viewtopic.php?p=1170959#p1170959


(Gnom 24) #5

Podstawą jest to abyś miał dostęp do drugiego niezainfekowanego komputera na który pobierasz płytę LiveCD http://www.freedrweb.com/livecd/ i krok po kroku wykonujesz polecanie które tam są zawarte.

To co pobierasz jest obrazem, aby zadziałało należy nagrać program na płytę za pomocą np. http://dobreprogramy.pl/index.php?dz=2& … rn+2.4.4.0.

Najistotniejsze jest to abyś zrobił tę płytę na innym, czystym systemie.

Okej ale ja jestem tylko laikiem, załóż temat w http://www.searchengines.pl/ i Oni tam już Cię poprowadzą.

PS. A przepraszam co pomoże Combo na infekcję plików wykonywalnych?


(Henio Mazurek) #6

Zobaczymy co dokładnie tutaj jest. Wyglada na Sality + inne dziadostwa ale dobrze mieć pewność.


(Gnom 24) #7

Skoro zainfekowane są pliki exe. to od razu należy przejść do “zabawy” z ratowaniem tego co się da.

A swoją drogą to ostatnio infekcje tego typu rozprzestrzenią się w zastraszającym tempie i to gównie przez pendrive’y a tak niewiele trzeba aby się od tego uchronić.


(Spandau) #8

Proszę Wyłączyć przywracanie systemu na wszystkich dyskach

Następnie proszę pobrać Dr. Web CureIt! Już w trakcie pobierania proszę zmienić mu nazwę na losową np 123.com ( rozszerzenie com nie exe ) Uruchamiamy, wykonujemy pełne skanowanie, leczymy co się da, reszta do usunięcia.Skanujemy do skutku aż skaner nic nie znajdzie.

Następnie proszę pobrać Kaspersky Virus Removal Tool Wykonujemy pełne skanowanie usuwamy wszystko co znajdzie skaner. Bardzo ważne jest aby użyć dwóch skanerów takiej kolejności jak została tutaj podana.

Jak skaner nic nie znajdzie pobieramy Combofix skanujemy system i dajemy nowego loga na forum - jest to konieczne!

Jeśli okaże się że po wykonanym skanowaniu nie che się uruchomić windows to wkładamy do napędu płytkę instalacyjną windowsa i wykonujemy instalacje nakładkową windows bez utraty danych


(Paprocki) #9

Proszę oto log z ComboFixa: http://wklejto.pl/35007

Dodam jeszcze, że nie mogę odpalać również ani menedżera zadań, ani regedita… msconfig co prawda chodzi, ale wyłączenie tam czegokolwiek i tak nie daje żadnego efektu. (Nie wiem zatem czy log z CF będzie poprawny.)

Co moge zrobić, by się tego ustrzec?

Spandaupol, Twoi koledzy sugerowali wcześniej LiveCD - tutaj natomiast proponujesz inną drogę? A może mam zrobić i to, i to? Czy tak? W jakiej kolejności?

Dzięki za rady.


(Spandau) #10

Tak mamy Sality. Do te metody z Live CD potrzebny jest drugi nie zainfekowany komputer. Jeśli go masz to OK możesz tak zrobić Na razie możesz spróbować tego co napisałem i zobaczymy jakie będą efekty. Jeśli skaner DrWeb się uruchomi i przeskanuje system to może się uda i wyleczysz większość plików exe Jeśli żaden program nie będzie chciał się uruchomić to wtedy metoda z Live CD lub format


(dethloe123) #11

Wklej do notatnika:

Zapisz plik jako CFScript.txt najlepiej aby ikonka tego pliku znajdowała się obok ikonki ComboFix.exe

Przeciągnij i upuść plik CFScript.txt na ikonkę ComboFix.exe powinno rozpocząć się usuwanie po tym daj log na forum.

Loga wklej na http://www.wklej.org/ a w poście daj linka.


(Paprocki) #12

Na razie zrobiłem motyw z tym skryptem dla ComboFixa. Jak mi dziś starczy czasu to spróbuję pociągnąć z DrWeb itd. A w domu, na czystym kompie, poczytam o LiveCD.

Wklejam log z CF: http://wklejto.pl/35008


(Spandau) #13

To była tylko strata czasu jeśli chcesz uratować system to napisałem Ci co masz zrobić.


(Gnom 24) #14

Co do zabezpieczenia się przed infekcjami z mediów przenośnych przeczytaj to http://www.searchengines.pl/Infekcje-z- … 94761.html.


(Paprocki) #15

W końcu się udało, oto log z Combo: http://wklejto.pl/35541

Generalnie było mnóstwo problemów. Komp cały czas się wieszał i resetował, nie dając programom dokończyć skanów. Jakoś się w końcu udało. Zrobiłem pomyślnie wszystkie cytowane kroki - aż do logów z CF.


(Spandau) #16

Rozumie że skanery już nic nie wykrywają, więc teraz to

wklej do notatnika:

Zapisz plik jako CFScript.txt najlepiej aby ikonka tego pliku znajdowała się obok ikonki ComboFix.exe

Przeciągnij i upuść plik CFScript.txt na ikonkę ComboFix.exe powinno rozpocząć się usuwanie po tym daj log na forum.

Loga wklej na http://www.wklejto.pl lub http://www.wklej.org/ a w poście daj linka


(Paprocki) #17

Tak.

Oto log: http://wklejto.pl/35544


(Spandau) #18

Teraz jest OK

Log wygląda na czysty.

usuń ręcznie folder C: \Qoobox oraz instalkę Combofix z dysku.

Przeczyść system oraz rejestr CCleaner

Ponownie wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Możesz dla pewności przeskanować ponownie Dr.WEB CureIt!


(Paprocki) #19

Zrobione.

Skana (pełnego) Dr Webem też zrobiłem… ale jakoś tak dziwnie szybko się zakończył. Nie wiem czy to dobrze, czy coś znowu nie tak.

Aha, wygląda jednak na to, że komp wciąż się wiesza, resetuje i BSODuje - mimo dezynfekcji…