KIS7, Sektor dysku fizycznego zawiera konia trojańskiego


(Bigkoras) #1

Witam.

Zrobiłem foramta i instalowałem oryginalnego Win XP ze zintegrowanym SP3. Przed instalacją odłączyłem kabel od sieci.

Po zainstalowaniu systemu podłączyłem kabel i aktywowałem XP, natychmiast potem zainstalowałem KIS 7.0.0.125.

Prawdopodobnie w czasie aktywacji systemu złapałem jakiegoś syfa i teraz kaspersky zawsze po skanowaniu "obszarów krytycznych" znajduje trojana. Nie da się go usunąć, jest tylko opcja leczenia, ale nic ona nie daje bo po ponownym skanowaniu wykrywa tego samego trojana...

Na zdjęciu jest pokazana tablica która się wyświetla...

07f09e5980662b73.jpg

Proszę o pomoc...


(Kolmar) #2

Użyj programu [Trojan Remover].


(Bigkoras) #3

Program niczego nie znajduje...


(Leon$) #4

jednocześnie Kasperski pisze

Wylecz >> Koń trojański zostanie usunięty z sektora dysku

czy ta opcja nie działa?

:slight_smile:


(Bigkoras) #5

w tym problem, że niby go "wyleczył" ale po ponownym skanowaniu, ponownie wykrywa tego samego trojana i to w tym samym miejscu i tak bez końca...

Ma ktoś jakiś pomysł?


(StG 44) #6

Kontaktowałeś się z pomocą techniczną Kasperskiego ? Płacisz wymagasz !

:idea:


(Kolmar) #7

bigkoras , dodatkowo przeskanuj komputer za pomocą darmowego programu [spyware Doctor Starter Edition]


(Leon$) #8

Przeskanuj MBR.EXE http://www.searchengines.pl/index.php?showtopic=31936&st=0&p=470953entry470953 i daj log

:slight_smile:


(Binio21) #9

A ja polecam przeskanować avirą, bo jest ona bardzo skuteczna, tylko w konfiguracji zaznacz scan master boot sectors :slight_smile:


(Bigkoras) #10

Oto log, wykanałem ta naprawę tym programem, ale nadal to samo...

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net


device: opened successfully

user: MBR read successfully

kernel: MBR read successfully

user & kernel MBR OK 

malicious code @ sector 0x1749ddc1 size 0x1a8 !

Aviry nie che mi się instalować bo musiałbym wywalić Kasperskiego a mam już skonfigurowany system...


(Spandau) #11

Może to Ci pomoże http://www.searchengines.pl/Koand241-tr ... 08284.html

Zrób skan tym http://www.searchengines.pl/Mini-skaner ... 18695.html


(Bigkoras) #12

Już powoli traciłem nadzieję i nagle Dr. Web CureIt! znalazł i zlikwidował tego syfa! !!

Zawiodłem się na KIS7, a Dr. Web mnie pozytywnie zaskoczył...

Dziękuje za pomoc!


(Spandau) #13

Nie jestem pewien czy Dr. Web CureIt! całkowicie usuwa tego wirusa dlatego teraz przeskanuj jeszcze raz tym co polecił Leon$

http://www.searchengines.pl/index.php?s ... ntry470953 i daj log


(Bigkoras) #14

Przeskanowałem i "naprawiłem" komendą: "C:\mbr.exe -f"

Oto log:

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net


device: opened successfully

user: MBR read successfully

kernel: MBR read successfully

user & kernel MBR OK 

malicious code @ sector 0x1749ddc1 size 0x1a8 !

Ta ostatni linijka mnie martwi.

Jeszcze jedno pytanie, czy jak użyje komendy "fixmbr" z konsoli odzyskiwania to starce wszystkie partycje na dysku itp? - Ciekawe czy ten sposób zadziała, dodam że Kaspersky teraz już nic nie wykrywa...


(system) #15

Zrobiłeś w awaryjnym?


(Bigkoras) #16

Zrobiłem z trybu awaryjnego z obsługą linii komend.

Czyli w czasie startu windowsa naciskam F8 i wybieram tryb awaryjny z obsługą linii komend.


(jessica) #17

To jest już OK, a właściwie prawie OK, bo może jeszcze do usunięcia być usługa tego Rootkita, ale ją można zobaczyć tylko w logu z ComboFix .

Jeśli jest, to w logu będzie takie coś:

Jeśli w logu tego nie będzie, to będzie oznaczało, że sprawa jest załatwiona całkowicie.

jessi


(Bigkoras) #18

Oto log z Combofix

http://wklej.org/id/3b3b212932


(Leon$) #19

Log wygląda na czysty

zrób optymalizacje uruchamiania http://cybertrash.netarteria.pl/cyber/index.php/topic,378.0.html

usuń ręcznie folder C: \Qoobox usuń instalkę Combofix z dysku.

Wyłącz I włącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl

przeskanuj obszar Mój komputer http://www.kaspersky.pl/virusscanner.html pokaż raport stronę uruchomić przez IE

:slight_smile: