Komputer zasypany wirusami po formacie

Dla specjalistów Bezpieczeństwo
#1

Witam. Nie wiedziałam nawet jak nazwać wątek, więc z góry przepraszam jeśli coś jest nie tak.

Dzisiaj formatowałam komputer z partycji recovery (mój system to windows vista), zainstalowałam wszystkie najważniejsze programy, SP 2, komupter działał bez zarzutów, przez jakąś godzinę miałam włączone aqq, przeglądarkę, słuchałam muzyki - korzystałam z niego normalnie. Uruchomiłam go ponownie i załadował się do pulpitu, ale zawiesił się po włączeniu przeglądarki (firefox) i menu start. Chcąc go uruchomić ponownie kliknęłam Ctrl+Alt+Del i pokazało się czarno tło, a po paru chwilach błąd, że nie można wykonać tej czynności. Wyłączyłam laptopa przyniskiem włączania, uruchomił się normalnie, znów pulpit się załadował i wyskoczyły 3 błędy: “Program windtr32.exe przestał działać”, “Program msvpwblot.exe przestał działać” i “Program acledit.exe przestał działać”. Potem nagle “Program Internet Explorer przestał działać” (chociaż wcale go nie włączałam) i “program 6.exe przestał działać”. Włączyłam firefox’a żeby zalogować się na forum, ale zawiesił się. Włączyłam go drugi raz - to samo. Włączyłam IE (bez dodatków) i dopiero mogłam coś zrobić. Następnie włączyłam Malwarebytes żeby sprawdzić czy wszystko w porządku i oczywiście wyskoczyły wykryte 34 obiekty… Teraz 47. Niżej zamieszczam log z programu:

Malwarebytes Anti-Malware 1.65.0.1400

www.malwarebytes.org


Wersja bazy: v2012.09.07.13


Windows Vista Service Pack 2 x86 NTFS

Internet Explorer 7.0.6002.18005

Aleksandra :: ALEKSANDRA-PC [administrator]


2012-09-18 18:36:33

mbam-log-2012-09-18 (18-55-56).txt


Typ skanowania: Szybkie skanowanie

Zaznaczone opcje skanowania: Pamięć | Rozruch | Rejestr | System plików | Heurystyka/Dodatkowe | Heuristyka/Shuriken | PUP | PUM

Odznaczone opcje skanowania: P2P

Przeskanowano obiektów: 185728

Upłynęło: 18 minut(y), 56 sekund(y)


Wykrytych procesów w pamięci: 7

C:\Windows\Temp\VRT9AE7.tmp (Trojan.Obfuscated) -> 2792 -> Nie wykonano akcji.

C:\Windows\Temp\VRTF79A.tmp (Trojan.Agent) -> 4016 -> Nie wykonano akcji.

C:\Windows\Temp\VRT409.tmp (Trojan.FakeMS) -> 3960 -> Nie wykonano akcji.

C:\Windows\System32\config\systemprofile\AppData\Roaming\napzck.exe (Trojan.Agent.DBGen) -> 3936 -> Nie wykonano akcji.

C:\Windows\System32\config\systemprofile\AppData\Roaming\alitr3j.exe (Trojan.Agent.DBGen) -> 3336 -> Nie wykonano akcji.

C:\Windows\System32\antivar.exe (Trojan.Pandora) -> 2844 -> Nie wykonano akcji.

C:\Windows\Temp\temp49.exe (Trojan.Downloader.Gen) -> 856 -> Nie wykonano akcji.


Wykrytych modułów w pamięci: 3

C:\Windows\Temp\s81A.tmp (Trojan.Bho) -> Nie wykonano akcji.

C:\Windows\System32\nwcwks.dll (Trojan.Inject) -> Nie wykonano akcji.

C:\ProgramData\OvnimhekRabz.dll (Trojan.Passwords) -> Nie wykonano akcji.


Wykrytych kluczy rejestru: 1

HKLM\SYSTEM\CurrentControlSet\Services\ServerNabs4 (Trojan.Pandora) -> Nie wykonano akcji.


Wykrytych wartości rejestru: 9

HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|tnssb (Trojan.Agent.DBGen) -> Data: C:\Windows\system32\config\systemprofile\AppData\Roaming\napzck.EXE -> Nie wykonano akcji.

HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|alijj (Trojan.Agent.DBGen) -> Data: C:\Windows\system32\config\systemprofile\AppData\Roaming\alitr3j.EXE -> Nie wykonano akcji.

HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Windows Time (Trojan.Passwords) -> Data: rundll32.exe "C:\ProgramData\OvnimhekRabz.dll",EntryPoint -> Nie wykonano akcji.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|smwcore (Trojan.Agent) -> Data: C:\Windows\system32\acledit.exe -> Nie wykonano akcji.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|gofyttetorib (Trojan.Obfuscated) -> Data: C:\ProgramData\gofyttetorib.exe -> Nie wykonano akcji.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run|25077 (Worm.Gamarue) -> Data: C:\PROGRA~2\LOCALS~1\Temp\msnave.exe -> Nie wykonano akcji.

HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|tcpudp (Trojan.Agent) -> Data: C:\Windows\VRTF79A.tmp -> Nie wykonano akcji.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Regedit32 (Trojan.Agent) -> Data: C:\Windows\system32\regedit.exe -> Nie wykonano akcji.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|SonyAgent (Trojan.Downloader.Gen) -> Data: C:\Windows\Temp\temp49.exe -> Nie wykonano akcji.


Wykryte wpisy rejestru systemowego: 1

HKLM\SYSTEM\CurrentControlSet\Control\Lsa|Notification Packages (Trojan.Bho) -> Złe: (22mr.dll) Dobre: () -> Nie wykonano akcji.


wykrytych folderów: 0

(Nie znaleziono zagrożeń)


Wykrytych plików: 26

C:\Windows\Temp\s81A.tmp (Trojan.Bho) -> Nie wykonano akcji.

C:\Windows\System32\nwcwks.dll (Trojan.Inject) -> Nie wykonano akcji.

C:\Windows\Temp\VRT9AE7.tmp (Trojan.Obfuscated) -> Nie wykonano akcji.

C:\Windows\Temp\VRTF79A.tmp (Trojan.Agent) -> Nie wykonano akcji.

C:\Windows\Temp\VRT409.tmp (Trojan.FakeMS) -> Nie wykonano akcji.

C:\Windows\System32\config\systemprofile\AppData\Roaming\napzck.exe (Trojan.Agent.DBGen) -> Nie wykonano akcji.

C:\Windows\System32\config\systemprofile\AppData\Roaming\alitr3j.exe (Trojan.Agent.DBGen) -> Nie wykonano akcji.

C:\ProgramData\OvnimhekRabz.dll (Trojan.Passwords) -> Nie wykonano akcji.

C:\Windows\System32\antivar.exe (Trojan.Pandora) -> Nie wykonano akcji.

C:\Windows\System32\acledit.exe (Trojan.Agent) -> Nie wykonano akcji.

C:\ProgramData\gofyttetorib.exe (Trojan.Obfuscated) -> Nie wykonano akcji.

C:\ProgramData\Local Settings\Temp\msnave.exe (Worm.Gamarue) -> Nie wykonano akcji.

C:\Windows\VRTF79A.tmp (Trojan.Agent) -> Nie wykonano akcji.

C:\Windows\System32\22mr.dll (Trojan.Bho) -> Nie wykonano akcji.

C:\ProgramData\Local Settings\Temp\msvpwblot.exe (Worm.Gamarue) -> Nie wykonano akcji.

C:\Windows\System32\config\systemprofile\AppData\Roaming\ljysba.exe (Trojan.Agent) -> Nie wykonano akcji.

C:\Windows\System32\drivers\388.exe (Trojan.Pandora) -> Nie wykonano akcji.

C:\Windows\System32\drivers\490.exe (Trojan.XBuild402) -> Nie wykonano akcji.

C:\Windows\Temp\s7EFE.tmp (Trojan.Bho) -> Nie wykonano akcji.

C:\Windows\Temp\VRT40F6.tmp (Worm.KoobFace) -> Nie wykonano akcji.

C:\Windows\Temp\VRT5939.tmp (Trojan.Agent) -> Nie wykonano akcji.

C:\Windows\Temp\VRT77E1.tmp (Trojan.FakeMS) -> Nie wykonano akcji.

C:\Windows\Temp\VRTB75D.tmp (Worm.KoobFace) -> Nie wykonano akcji.

C:\Windows\VRT5939.tmp (Trojan.Agent) -> Nie wykonano akcji.

C:\Windows\Temp\temp49.exe (Trojan.Downloader.Gen) -> Nie wykonano akcji.

C:\Windows\System32\drivers\606.exe (Rootkit.Agent) -> Nie wykonano akcji.


(zakończone)

Gdy usunę wszystkie znalezione “obiekty” wszystko wróci do normy? I jeszcze dobrze by było wiedzieć skąd to wszystko się wzięło… – Dodane 18.09.2012 (Wt) 19:36 – Usunęłam wszystko, komputer uruchomił się ponownie, znów wyskoczył błąd “Program windtr32.exe przestał działać”, odpaliłam znowu Malwarebytes 3 minuty skanowanie i znaleziono 19 obiektów… Co mam z tym zrobić? Polecacie jakiś lepszy program do usunięcia tych wirusów? Log z drugiego skonawania:

Malwarebytes Anti-Malware 1.65.0.1400

www.malwarebytes.org


Wersja bazy: v2012.09.18.06


Windows Vista Service Pack 2 x86 NTFS

Internet Explorer 7.0.6002.18005

Aleksandra :: ALEKSANDRA-PC [administrator]


2012-09-18 19:30:55

mbam-log-2012-09-18 (19-35-46).txt


Typ skanowania: Szybkie skanowanie

Zaznaczone opcje skanowania: Pamięć | Rozruch | Rejestr | System plików | Heurystyka/Dodatkowe | Heuristyka/Shuriken | PUP | PUM

Odznaczone opcje skanowania: P2P

Przeskanowano obiektów: 185929

Upłynęło: 4 minut(y), 30 sekund(y)


Wykrytych procesów w pamięci: 6

C:\Windows\System32\acprgwiz.exe (Trojan.Agent) -> 3520 -> Nie wykonano akcji.

C:\Windows\System32\acprgwiz.exe (Trojan.Agent) -> 3356 -> Nie wykonano akcji.

C:\Windows\Temp\VRTAF06.tmp (Trojan.Agent) -> 1920 -> Nie wykonano akcji.

C:\Windows\Temp\VRTC45B.tmp (Trojan.FakeMS) -> 712 -> Nie wykonano akcji.

C:\Windows\System32\config\systemprofile\AppData\Roaming\napzck.exe (Trojan.Agent.DBGen) -> 2832 -> Nie wykonano akcji.

C:\Windows\System32\config\systemprofile\AppData\Roaming\alitr3j.exe (Trojan.Agent.DBGen) -> 3584 -> Nie wykonano akcji.


Wykrytych modułów w pamięci: 0

(Nie znaleziono zagrożeń)


Wykrytych kluczy rejestru: 0

(Nie znaleziono zagrożeń)


Wykrytych wartości rejestru: 3

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|smwcore (Trojan.Agent) -> Data: C:\Windows\system32\acprgwiz.exe -> Nie wykonano akcji.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run|25077 (Worm.Gamarue) -> Data: C:\PROGRA~2\LOCALS~1\Temp\msznpywq.scr -> Nie wykonano akcji.

HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|tcpudp (Trojan.Agent) -> Data: C:\Windows\VRTAF06.tmp -> Nie wykonano akcji.


Wykryte wpisy rejestru systemowego: 0

(Nie znaleziono zagrożeń)


wykrytych folderów: 0

(Nie znaleziono zagrożeń)


Wykrytych plików: 10

C:\Windows\System32\acprgwiz.exe (Trojan.Agent) -> Nie wykonano akcji.

C:\Windows\Temp\VRTAF06.tmp (Trojan.Agent) -> Nie wykonano akcji.

C:\Windows\Temp\VRTC45B.tmp (Trojan.FakeMS) -> Nie wykonano akcji.

C:\Windows\System32\config\systemprofile\AppData\Roaming\napzck.exe (Trojan.Agent.DBGen) -> Nie wykonano akcji.

C:\Windows\System32\config\systemprofile\AppData\Roaming\alitr3j.exe (Trojan.Agent.DBGen) -> Nie wykonano akcji.

C:\ProgramData\Local Settings\Temp\msznpywq.scr (Worm.Gamarue) -> Nie wykonano akcji.

C:\Windows\VRTAF06.tmp (Trojan.Agent) -> Nie wykonano akcji.

C:\Windows\System32\nwcwks.dll (Trojan.Inject) -> Nie wykonano akcji.

C:\Windows\System32\config\systemprofile\AppData\Roaming\ljysba.exe (Trojan.Agent) -> Nie wykonano akcji.

C:\Windows\Temp\VRT82A7.tmp (Worm.KoobFace) -> Nie wykonano akcji.


(zakończone)

Dodane 18.09.2012 (Wt) 19:44

Usunęłam to co wyskoczyło wcześniej, dokładnie ta sama sytuacja co wyżej, włączam Malwarebytes i wyskakują wirusy. Pomóżcie… :frowning:

#2

Prawdopodobnie jest to Virut który infekuje wszystkie pliki wykonywalne.

Przeskanuj za pomocą VirutKiller lub Klik

Wykonaj Pełne skanowanie za pomocą Dr.Web CureIt

Później pokaż logi z OTL na wklej.org.

#3

http://www.wklej.org/id/831543/

http://www.wklej.org/id/831546/

Dodane 18.09.2012 (Wt) 22:43

Czyli sformatować również dysk D?

#4

Nie napisałaś czy skanery wykryły jakiegoś wirusa?

Do okna Własne opcje skanowania / skrypt wklej:

Kliknij Wykonaj skrypt i zatwierdź restart.

Pokaż raport z usuwania i nowy log Skanuj.

#5

Tak, VirutKiller wyrył bardzo dużo zarażonych plików (ponad 500) /nie wiem jak to nazwać i wszystko “wyleczył” (niestety nie wiem gdzie znaleźć loga z tego programu), natomiast to co znalazł Dr. Web:

[Test ścieżki] c:\programdata\dunniscezugx.exe

c:\programdata\dunniscezugx.exe zainfekowany wirusem Trojan.MulDrop3.14959 - usunięty


[Test ścieżki] c:\programdata\local settings\temp\mszpeduu.scr

c:\programdata\local settings\temp\mszpeduu.scr zainfekowany wirusem BackDoor.Andromeda.22 - usunięty


c:\windows\system32\2vwr.dll - zostanie usunięty po ponownym uruchomieniu

c:\windows\system32\a3aw.dll - zostanie usunięty po ponownym uruchomieniu

c:\windows\system32\abii8c.dll - zostanie usunięty po ponownym uruchomieniu

c:\windows\system32\alsr.dll - zostanie usunięty po ponownym uruchomieniu

C:\Windows\System32\2vwr.dll - zostanie usunięty po ponownym uruchomieniu

C:\Windows\System32\a3aw.dll - zostanie usunięty po ponownym uruchomieniu

C:\Windows\System32\abii8c.dll - zostanie usunięty po ponownym uruchomieniu

C:\Windows\System32\alsr.dll - zostanie usunięty po ponownym uruchomieniu

C:\Windows\Temp\sB6EF.tmp - zostanie usunięty po ponownym uruchomieniu

C:\Windows\Temp\sD670.tmp - zostanie usunięty po ponownym uruchomieniu

Zaraz wykonam to co poleciłeś.

Dodane 18.09.2012 (Wt) 23:41

raport -> http://www.wklej.org/id/831564/

OTL -> http://www.wklej.org/id/831566/

#6

Pobierz i uruchom The Avenger

Do okna programu wklej:

Kliknij w Execute i zatwierdź restart.

Pokaż raport z usuwania i nowy log z OTL.

#7

Atis , avenger -> http://www.wklej.org/id/831577/

OTL -> http://www.wklej.org/id/831578/

#8

Wklej i kliknij Wykonaj skrypt:

Uruchom OTL i kliknij Sprzątanie.

Usuń stare punkty przywracania:

http://windows.microsoft.com/pl-PL/wind … tore-point

Uruchom SecurityCheck i aktualizuj programy oznaczone jako Out of date

Zabezpiecz się przed infekcją z USB BitDefender USB Immunizer

Dysk przeskanuj Kaspersky Virus Removal Tool 2011

W zakładce Scan scope zaznacz wszystkie dyski:

Jak zmienić obszar automatycznego skanowania w Kaspersky Virus Removal Tool 2011?

#9

Atis , W SecurityCheck jest jedna opcja co do której nie jestem pewna w 100 % co zrobić, mianowicie:

Kaspersky się pobiera, ale skanowaniem zajmę się rano. Wszystko inne co poleciłeś zrobione. Póki co życzę miłej nocy.

Kaspersky znalazł jeszcze kilka wirusów i już wiem skąd one pochodzą - z gier mojego chłopaka. Wszystkie już usunęłam. Jeszcze coś trzeba zrobić?

46d169879d6c5c55dd370af169c1b5a218355_min.jpg

#10

Jeżeli skanery nic nie wykrywają to znaczy, że wirus został usunięty.

Kliknij prawym na ikonie Komputer -> Zarządzaj -> Usługi

Kliknij dwukrotnie na usłudze Centrum Zabezpieczeń i tryb uruchomia ustaw na Automatycznie (opóźnione uruchomienie).

#11

Atis , Klikam na “Zarządzaj” i wyskakuje mi okno “Ta funkcja nie jest obsługiwana w tym systemie”.

Weszłam w Centrum zabezpieczeń przez Panel sterowania klikam “Włącz teraz” i pokazuje błąd “Nie można włączyć usługi Centrum zabezpieczeń”

#12

W menu start w polu Rozpocznij wyszukiwanie wpisz: services.msc

#13

Znów “Ta funkcja nie jest obsługiwana w tym systemie.”.

#14

brak lub uszkodzone pliki systemowe

przeprowadź naprawę

http://windows.microsoft.com/pl-PL/wind … -questions

:slight_smile:

#15

Zrobiłam wszystko tylko, że nie znaleziono żadnego błędu i system się nie naprawia w żaden sposób.

#16

czy robiłaś naprawę z płyty

#17

Leon$ , Nie mogłam, gdyż komputer się włączał, płyta chodziła w napędzie, ale nic się nie uruchamiało - normalny start systemu. Mam nagraną płytę recovery.

Dodane 19.09.2012 (Śr) 20:29

Nie mogę też wejść do folderu “Windows” na dysku C. Wyskakuje błąd “Obecnie nie masz uprawnień dostępu do tego folderu.”. Klikam “Kontynuuj” pokazuje się okno “Odmowa uprawnień dostępu do tego folderu. Aby uzyskać dostęp do tego folderu, musisz użyć karty zabezpieczeń.” Klikam na tę kartę - “Nie masz uprawnień do przeglądania lub edycji ustawień uprawnienia tego obiektu”. Próbowałam wejść w kartę “Udostępnianie” zaznaczam “Udostępnij ten folder”, ale oczywiście nie można i wyskakuje błąd.

#18

możesz spróbować tym sposobem

http://www.komputerswiat.pl/poradniki/p … wych-.aspx

:slight_smile:

#19

Spróbowałam… Wszystko fajnie pięknie miałam tylko uruchomić ponownie komputer, ale już nie dał się uruchomić w żaden możliwy sposób (tryb awaryjny, tryb awaryjny z obsługą sieci, itd.). Próbowałam włączyć przywracanie systemu, ale wyskoczyła informacja, że nie ma żadnego dostępnego punktu przywracania systemu, więc sformatowałam dysko znowu i nie wiem czy teraz wszystko jest ok, czy coś mam jeszcze sprawdzić?

#20

jeśli zrobiłaś format wszystkich partycji i dysków to OK

ale jeżeli po Virucie zostały partycje niesformatowane to może być za mało

:slight_smile: