Problem z wirusem (najpewniej)


(Loonyclan) #1

Witam, mam problem z komputerem, poniżej opiszę swój problem.

Od wczoraj zacząłem być nękany przez antywirusa (dokłądniej Avira Anty Wir Personal Edition) alertami o wykryciu wirusów. Przy każdej operacji jaką wykonywałem miałem wirusa. Np. włączałem operę i wyświetlał 3 razy alert o znalezieniu wirusa w pliku opera.exe. Ok, skoro zawirusowało mi dysk, nie problem - sformatuje. Otóż jakąś godzinę temu próbowałem sformatować go z płyty instalacyjnej windowsa (najpierw usunąć partycje, potem utworzyć i jeszcze raz wgrać windowsa), ale jednak nie mogłem dokonać rozruchu płyty CD (Nie wyświetlał sie napis, bym nacisnął jakiś klawisz aby dokonać rozruchu z płyty). Poszperałem najpierw w boot menu ustawiajac rozruch z CD i nic. Potem w biosie ustawiłem najpierw rozruch z CD, a potem z dysku i też nic. Więc teraz nie mogę ani sformatować kompa ani usunąć wirusy (bowiem bym usunął wszystkie pliki na dysku oprócz tych w moich dokumentach bo tam odziwo żadnego nie wykryło).

Moja prośba jest taka. Chciałbym aby ktoś pomógł mi zdiagnozować do się dzieje z moim sprzętem i dowiedzieć się co ustawić bym mógł dokonać rozruchu z płyty badź innej metody usuwania partycji.

Z góry dziękuję za wszelką pomoc.


(dethloe123) #2

Daj log z ComboFix'a i HijackThis'a. Logi dajesz na http://www.wklej.org/ a w poście tylko link.

Podczas pobierania i skanowania ComboFix'em wyłącz antywirusa i zapory :!:


(Loonyclan) #3

http://www.wklej.org/id/81667/ - z HijackThis'a

Co do ComboFix'a mam błąd:

!!


(Henio Mazurek) #4

To virut. W HT usuń wszystko co zawiera 01 - Hosts: i

Spróbuj ściągnąć ComboFix, z tym, że zapisz pod zmienioną nazwą z rozszerzeniem com nie exe. Uruchom dwuklikiem i daj log.


(dethloe123) #5

Bez formatowania raczej nie usuniesz. Ale możesz spróbować Kaspersky Rescue Disk .To jest skaner bootowalny. Ustawiasz w boisie, żeby bootował płyty. Pobierz na nie zawirusowanym komputerze i wypal płyte :!: .


(Loonyclan) #6

Więc to jednak wirus polimorficzny... tak jak myślałem. Co do reinstalacji, wiem, że przez to nie pozbędę się go, więc wracając do twojej wypowiedzi dethloe123, radzisz mi metodę z kaspersky'm. W sumie dobrze bo mam drugi komputer ale bez nagrywarki ;/ W dodatku mam ustawione bootowanie na płyty, to i tak komputer mi ich nie czyta przy starcie. Nie jestem pewny ale to raczej wina napędu (nie zdąża dokonać rozruchu, bądź jest uszkodzony).

Więc, gdybym nie mógł zbootować płyty, to którą metodę polecasz?


(dethloe123) #7

Sprawdź czy jest płyta porysowana z Windowsa.


(Loonyclan) #8

Nie jest, jest nowiusieńka, bo windowsa zgrywałem u kumpla kilka dni temu.


(dethloe123) #9

Jak ci skaner antywirusowy usunie Vitruta, to jest możliwe, że uszkodzi ci system, bo wywali zainfekowane pliki .exe w katalogu Windowsa :!: Najlepiej zgraj sobie ważne pliki ( nie nagrywaj broń boże plików .exe np. instalatorów programów) :!: Bo mogą być zainfekowane :!: Przed nagraniem przeskanuj antywirusem czy nie są zarażone :!:


(Loonyclan) #10

Już to zrobiłem przed infekcją, ważne dane zawsze zgrywam sobie wcześniej, a wypadło tak, że nic nie zmieniałem ;] co do plików .exe, ten wirus tylko ich się czepia?


(dethloe123) #11

Spróbuj przeskanować skanerem Kasperskyego online http://www.kaspersky.pl/virusscanner.html/ jak uda się, i daj loga.


(Henio Mazurek) #12

Sam sobie odpowiedziałeś tutaj.


(Loonyclan) #13

Nie rozumiem... chodzi ci o to, ze miałem rację w pierwszej wypowiedzi? Jeśli tak to napęd jest zbyt wolny, bo normalnie w windowsie czyta płyty.

Co do Kaspersky'ego, ściąga mi aktualizacje, ale jest problem bo gdy dojdę do jednej granicy (50mb) to pojawia się wyższa (74mb, 89mb itd...) Nie moge ściągnąć tych aktualizacji innymi słowy chyba, że przestanie mi się zwiększać pobór danych.

Powielam wcześniejsze pytanie, czy Virut czepia się tylko plików o rozszerzeniu .exe?


(Henio Mazurek) #14

Chodzi mi o to, że "windows zgrywany u kumpla" nie bootuje.

Usuń w HT (Fix checked) co podałem wcześniej.

Wejdź w uruchom, wpisz cmd, enter, wpisz

sc stop sopidkc

enter

sc delete sopidkc

enter

sc stop tdctxte

enter

sc delete tdctxte

enter, zamknij okno.

Pobierz ComboFix, w momencie pobierania zmień mu nazwę na losową z rozszerzeniem com, nie exe. Jeszcze go nie uruchamiaj.

Otwórz notatnik i wklej

Zapisz jako CFScript.txt , następnie przeciągnij ten plik na ikonę ComboFix. Rozpocznie się usuwanie. Log z niego daj na forum. Na ten czas wyłącz antywirusa i firewalla.


(Loonyclan) #15

Posługiwałem się twoimi wskazówkami, ale z combofixem nadal mam ten sam problem. Po przeciągnięciu ikony skryptu na ikonę combo fixa wyświetla się ten sam alert o wirusie co wcześniej i kasuje się ikona z pulpitu. W każdym razie polecenia z wiersza wykonane, w HT usunąłem odpowiednie linijki no ale jak już mówiłem, combofix nie działa jak powinien.

Błąd programu? Moja wina? Czy jeszcze inna możliwość? (Dodam, że jest rozszerzenie .com z byle jaką nazwą pliku, wyłączyłem antywirusa i firewall)


(Henio Mazurek) #16

Usuń ręcznie instalkę ComboFix i pobierz go jeszcze z tej lokalizacji

http://rapidshare.com/files/224345215/123.com.exe.html

Uruchom go w trybie awaryjnym tak jak poprzednio, tzn skryptem.

Jeśli nie podziała patrz => drugi post dethloe123 w tym temacie. Ale Twoja płyta z Windowsem musi być bootowalna, bo go nie zainstalujesz i możesz zostać bez systemu.


(Loonyclan) #17

Nie jest niestety bootowalna, sprawdzałem na 3 ustawionych priorytetach bootowania tylko z CD i nic. Coś jest z płytą.

Co do programu spróbuję go odpalić gdy będę miał gotowego windowsa na płycie. A z tym muszę poczekać do poniedziałku, chyba że uda mi się załatwić bootowalną płytę od kogoś innego. W każdym razie muszę mieć w zapasie windowsa z tego co widzę. I jeszcze coś, nie próbowałem z trybem awaryjnym, więc pewnie dlatego nie działał.

-- Dodane 25.04.2009 (So) 19:35 --

Wybaczcie za double ale muszę zdać mały raport:

Jestem po formacie bo Virut spowodował wcześniej zbyt duże szkody i widziałem tylko moją tapetę. Teraz na razie nie widzę oddziaływania wirusa bo zastosowałem metodę całkowitego kasowania danych.

Co do wcześniejszych wypowiedzi: Jakich konkretnie plików czepia się Virut, tylko z rozszerzeniem .exe czy również z innym? Jest to dla mnie ważne bo mam pliki sterowników na pendrive zgrane przed pojawieniem się Viruta, ale użyłem pendrive również wtedy gdy miałem wirusa już na kompie. Istnieje możliwość, że mój pendrive jest zainfekowany i do zniszczenia?


(Henio Mazurek) #18

Pendrive nie jest do zniszczenia.

Pobierz FlashDisinfector

http://www.searchengines.pl/index.php?s ... ntry369724

i uruchom go, podłącz pena wtedy kiedy program to zasugeruje, nie wcześniej.

Następnie pobierz Malwarebytes Anti-Malware

http://dobreprogramy.pl/index.php?dz=2& ... lware+1.36

i wykonaj gruntowny skan pendrive'a, usuń co znajdzie.

Ja zalecałbym format pendrive'a a sterowniki pobrałbym z netu, świeże.

Virut zazwyczaj czepia się exe, ale gdzieś czytałem, że innymi formatami też nie pogardzi, niestety, zapomniałem, jakimi.


(Loonyclan) #19

Spróbowałem pierwszego programu, włączyłem, podpiąłem pendrive, nacisnąłem ok i poten wyskoczyło DONE!! Na pendrive nie ma nic nowego, a powinien mi się utworzyć plik, który ma przeszkadzać plikom autorun.inf, no ale pomińmy...

Po przeskanowaniu pendrive programem o dziwo nie mam zainfekowanych plików:

Malwarebytes' Anti-Malware 1.36

Wersja bazy definicji: 2047

Windows 5.1.2600 Dodatek Service Pack 2

2009-04-27 17:56:11

mbam-log-2009-04-27 (17-56-11).txt

Typ skanowania: Pełne skanowanie (F:\|)

Przeskanowane obiekty: 73437

Upłynęło: 56 second(s)

Zainfekowane procesy w pamięci: 0

Zainfekowane moduły pamięci: 0

Zainfekowane klucze rejestru: 0

Zainfekowane wartości rejestru: 0

Zainfekowane pliki rejestru: 0

Zainfekowane foldery: 0

Zainfekowane pliki: 0

Zainfekowane procesy w pamięci:

(Nie wykryto groźnych plików)

Zainfekowane moduły pamięci:

(Nie wykryto groźnych plików)

Zainfekowane klucze rejestru:

(Nie wykryto groźnych plików)

Zainfekowane wartości rejestru:

(Nie wykryto groźnych plików)

Zainfekowane pliki rejestru:

(Nie wykryto groźnych plików)

Zainfekowane foldery:

(Nie wykryto groźnych plików)

Zainfekowane pliki:

(Nie wykryto groźnych plików)

Trochę mnie to ździwiło. Coś jeszcze mogę zrobić?


(Henio Mazurek) #20

Wyłącz ukrywanie plików i folderów systemowych i włącz pokazywanie plików ukrytych. Powinien pokazać się autorun.inf zabezpieczający. Sprawdź też czy po tej operacji czegoś nowego nie przybyło. Malawrebytes nic nie wykazał ale i tak zalecana ostrożność.