Logi - wirusy, Win32, explorer.exe

oobserwaatoor · 1 Kwiecień 2009 13:47

Witam,

od dwóch dni mam problem z komputerem.

Często podczas uruchamiania systemu na planszy startowej zamiast “Windows XP (i tu:) Ładowanie ustawień osobistych” etc.

pojawia się tylko E z akcentem graficznym :shock:

Poza tym już po włączeniu otrzymuję czysty pulpit, muszę więc w menedżerze zadań otwierać explorer.exe, żeby skorzystać z komputera, chociaz i wtedy często pojawia się komunikat, że system musiał zamknąć ten program dla bezpieczeństwa i ochrony przed utratą danych, a wszystko spowodowane najprawdopodobniej atakiem wirusa.

Zużycie procesora czasami sięga 100%, z których 97-98% często stanowią dziwne procesy typu 1.tmp 2c.tmp itd.

Pliki takie znajdują się wprost na dysku C, wrzuciłem je więc do analizatora VirusTotal i otrzymałem np. takie wyniki:

Trojan.LooksLike.Dropper.Delphi

Leon1 · 1 Kwiecień 2009 14:08

Wyłącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl

zastosuj ATF Cleaner http://cybertrash.pl/images/tata/ATF/ATF.html

Zastosuj Malwarebytes’ Anti-Malware http://cybertrash.pl/Tata/MBAM/Malwarebytes_%20Anti-Malware.html pełny skan - jak coś znajdzie to usuń zaznaczone - pokaż log

potem nowy skan Combofixem i pokaż log

oobserwaatoor · 1 Kwiecień 2009 14:56

log z Malwarebytes’ http://wklej.org/hash/19b55e44ac/

log z ComboFix http://wklej.org/hash/ae5cec6f91/

Dodam tylko, ze objawy nadal dokuczają. Czekam na dalsze instrukcje :razz:

huber2t · 1 Kwiecień 2009 15:06

Wklej do notatnika:

File::

C:\7.tmp

c:\windows\services.ex_

c:\documents and settings\Administrator\reader_s.exe

c:\windows\system32\2.tmp

C:\3F.tmp

C:\3D.tmp

C:\2F.tmp

C:\30.tmp

c:\windows\system32\11.tmp

c:\windows\system32\10.tmp

C:\2E.tmp

C:\2B.tmp

C:\27.tmp

C:\2A.tmp

C:\26.tmp

C:\25.tmp

C:\3C.tmp

C:\3B.tmp

C:\38.tmp

C:\3A.tmp

C:\2D.tmp

C:\24.tmp

C:\29.tmp

C:\28.tmp

C:\23.tmp

C:\1F.tmp

C:\22.tmp

C:\21.tmp

C:\20.tmp

C:\1E.tmp

C:\1C.tmp

C:\1D.tmp

C:\1B.tmp

C:\1A.tmp

C:\16.tmp

C:\15.tmp

C:\14.tmp

C:\13.tmp

c:\windows\system32\1C.tmp

C:\19.tmp

C:\18.tmp

C:\17.tmp

C:\11.tmp

C:\12.tmp

C:\39.tmp

C:\37.tmp

C:\36.tmp

C:\35.tmp

C:\34.tmp

c:\windows\system32\31.tmp

c:\windows\system32\2E.tmp

C:\2C.tmp

c:\windows\system32\33.tmp

c:\windows\lk00000000.tmp

c:\windows\system32\FC.tmp

c:\windows\Tasks\el.job

c:\windows\Tasks\elu.job


Driver::

ethogdpl

restore


Registry::

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NVRaidService"=-

"services"=-

"reader_s"=-

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"services"=-

"reader_s"=-

[HKEY_LOCAL_MACHINE\software\microsoft\windows\Currentversion\policies\explorer\Run]

"services"=-

[HKEY_USERS\.DEFAULT\software\microsoft\windows\Currentversion\policies\explorer\Run]

"services"=-

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"FirewallOverride"=dword:00000000

"FirewallDisableNotify"=dword:00000000

Plik -> zapisz jako -> CFScript.txt.

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu->

Rozpocznie się usuwanie i powstanie log, który dasz na forum.

Logi dajesz na http://wklej.org a w poście dajesz tylko link

oobserwaatoor · 1 Kwiecień 2009 15:19

log z ComboFixa http://wklej.org/hash/560892537b/

po uruchomieniu skryptu

co dalej? :roll:

spandaupol · 1 Kwiecień 2009 15:37

No więc tak masz wirusa infekującego pliki exe konkretnie Viruta

Widzę że masz DrWeb’a ale on chyba już też jest zainfekowany. Jeden z userów na tym forum będąc w podobnej sytuacji pisał że pobrał i zainstalował Kasperski Antywirus przeskanował system wyleczył wszystkie pliki, a te których nie mógł wyleczyć usunął. Skanował tyle razy aż skaner nic nie znalazł - możesz spróbować. Zajrzyj także tutaj http://helpc.eu/viewtopic.php?f=26&t=1674 Jeśli zdecydujesz się ponownie użyć DrWeb’a to musisz go na nowo pobrać

oobserwaatoor · 1 Kwiecień 2009 15:39

a jak moge go pobrac, zeby sie nie infekowal od razu?

spandaupol · 1 Kwiecień 2009 15:41

Klikasz na link do pobrania prawym przyciskiem myszy z menu wybierasz zapisz element docelowy jako i zmieniasz nazwę na jakąś losową ale z rozszerzeniem com nie exe czyli np 123.com

Wyłącz przywracanie systemu na wszystkich dyskach. Instrukcja

oobserwaatoor · 1 Kwiecień 2009 17:14

Przejechałem wszystko Win32/Virut (polecanym na forum, które przesłałeś, Spandaupol) - trochę to trwało.

Teraz Dr.Web znalazł 2 pliki reader_s.exe, które usunął. Aktualnie leci pełny skan wszystkich dysków…

zobaczymy, co z tego wyjdzie… opadam już z sił

// a tak poza tym, jakiego antywirusa polecacie, żeby zabezpieczyć się przed takim dziadostwem?!

Wcześniej miałem Avire AntiVir i chyba było OK, a TO złapałem po formacie zaraz…

– Dodane 01.04.2009 (Śr) 22:05 –

Po tym wszystkim, co opisałem wcześniej (po skanie Dr. Web) objawy ustąpiły - system ładował się normalnie.

ściągnąłem nowego ComboFixa (ze zmianą rozszerzenia, jak radziliście) i wykonałem ponowny skan, ale podczas ponownego uruchomienia (pracy CF) znowu był problem z explorer.exe, sed.exe i SC.exe

oto log z ComboFix http://www.wklej.org/hash/36473d8829/

czy w Tym jest w ogole jakis sens?

Najgorsze jest to, ze calkowity format raczej nie wchodzi w gre… chyba, ze dokumenty office’a, obrazy itp. moge zachowac?