Wczoraj w poszukiwaniu darmowych wtyczek przeszukiwałem różne blogi, fora etc. W pewnym momencie system poinformował mnie o tym, że w systemie znajduje się trojan, a chwilę później uruchomił się program, który zaczął usuwać dane z dysku. Dłużej nie myśląc odciąłem dopływ prądu i wyłączyłem komputer.
Nie włączałem go do tej pory (teraz piszę z komputera brata), ponieważ obawiam się, że program będzie kontynuował usuwanie plików.
Na dysku posiadam ważne dla mnie projekty, nad którymi pracowałem od 4 miesięcy.
W związku z zaistniała sytuacją mam kilka pytań:
Jak można włączyć komputer bez uruchamiania procesu, który by spowodował kontynuację usuwania plików (czytałem coś o live CD)?
W jaki sposób można odzyskać usunięte pliki?
Czy wszystkiemu zaradzi przywracanie systemu?
Czy przed włączeniem komputera można wykonać kopię zapasową, tak na wszelki wypadek?
Jestem w stanie odpłacić się za pomoc w odzyskaniu danych, bardzo mi na tym zależy.
AD 1) Tak, Live CD da tutaj radę. Ściągnij sobie np. Ubuntu (http://www.ubuntu.com/download/ubuntu/download). Wypal na płytce i w trakcie uruchamiania będziesz musiał wybrać odpowiednią opcję (http://www.howtogeek.com/wp-content/upl … mage67.png). Zdjęcie jest po angielsku, ale w trakcie uruchamiania można wybrać język polski. Anyway podłączysz sobie pendrive/czysty dysk twardy i przy użyciu Live CD skopiujesz na niego pliki, które nie zostały usunięte. Ogranicz się jednak do kopiowania tylko tego co niezbędne, bo istnieje spore ryzyko, że skopiujesz również zainfekowane pliki. Najlepiej przetestuj sobie najpierw ten sposób na komputerze brata, żebyś nie popełnił jakiegoś głupiego błędu.
AD 2) Tutaj nie pomogę, bo nigdy się tym nie zajmowałem. Jedno co Ci mogę powiedzieć to to, że nie możesz teraz wykonywać żadnych operacji na tym dysku (czyli nic nie możesz instalować, kopiować itd.). Live CD działa na takiej zasadzie, że wszystko ładowane jest do pamięci operacyjnej, a więc żadne sektory dysku twardego nie zostaną nadpisane, dzięki czemu będzie możliwe (najprawdopodobniej) ich odzyskanie.
AD 3) Nie, nie pomoże.
AD 4) Patrz AD 1)
I jeszcze jedno … Podaj informację o jaki trojan chodzi (i jaki program go wykrył), bo dzięki tej informacji ktoś być może będzie Ci w stanie powiedzieć, co powinieneś zrobić, żeby się go pozbyć.
Narzędzie Microsoftu jest wciąż w fazie Beta, więc nie do końca bym mu ufał. Bardziej polecam SARDU czyli program też samoczynnie startujący, ale który jest bardzo konfigurowalny i oprócz skanerów AV rożnych firm może zawierać bardzo wiele narzędzi. Narzędzie jest świetne i ma polską wersję.
Masz dwa komputery- a gdyby tak podpiąć dysk z którego chcesz ściągnąć dane pod drugi komputer, uruchomić system normalnie- bootowanie pozostaw ze zdrowego dysku, i kopiowanie tylko potrzebnych plików- ew skanowanie zarażonego dysku…
Dzięki wszystkim za odpowiedź, a w szczególności Tobie, Matzu.
W weekend się tym zajmę…
Zastosuję się do Twoich wskazówek i spróbuję skopiować to co zachowało się na dysku, ale jeśli nie będzie tam moich projektów oddam komputer do informatyka, aby spróbował odzyskać dane.
Sęk w tym, że mam Spybota i ESET Smart Security, a żaden z nich nie wykrył wirusa… najpierw powiadomił mnie system, że został zainfekowany trojanem, a później zauważyłem, program, który dokonuje usuwania danych.
Jaki to trojan? Nie wiem, bo zaraz gdy zauważyłem napis “All removal” i pasek postępu to wyłączyłem komputer. Jeszcze przed tym próbowałem wywołać menadżera zadań, ale nie dało się, wyskakiwały komunikaty, których w nerwach nawet nie czytałem, tylko klikałem “ok”.
Myślisz, że jeśli podłączę oba dyski i komputer uruchomię ze zdrowego dysku to nie zostanie on zainfekowany? Bym spróbował, ale nie chcę jeszcze bratu robić kłopotu.
Nie tyle do informatyka, co do osoby, która zajmuje się odzyskiwaniem danych (zawodowo). Mógłbyś na własną rękę próbować odzyskać te dane (korzystając z gotowych programów), ale jeśli są to ważne projekty, to tutaj nie ma miejsca na błąd. Ewentualnie jeśli będziesz mieć kontakt z taką osobą, to zapytaj się w jaki sposób zrobić dokładną kopię całego dysku twardego, tak żebyś na tej kopii mógł sobie dowolnie eksperymentować przy użyciu różnych programów.
Wiem, że miałem dać znać co i jak już jakiś czas temu, ale dopiero kilka dni temu skończyłem wydobywać pliki z zawirusowanego dysku.
Sprawa wydaję się dziwna:
Gdy już wszystko wydobyłem z dysku za pomocą Live-dc, uruchomiłem go… jak się okazało nie zostały usuniętę, ani nadpisane absolutnie żadne pliki, komputer się uruchomił bez żadnych problemów. Wszystko ładnie śmiga. Pobrałem 30-dniową wersję najnowszego Kaspierskiego, zainstalowałem i przeskanowałem komputer. Po 30 godzinach skanowania, komputer wykrył, tylko jeden plik, który od dawna mam na dysku i wiedziałem, że antywirus rozpozna go jako wirusa, ale w rzeczywistości to nie jest wirus i jest on zupełnie niegroźny.
Powinienem poczynić jeszcze jakieś kroki, czy skanowanie Kasperskim wystarczy?
Cieszę się, że wszystko jest OK (szkoda tylko, że kosztowało Cię to tyle czasu). W zasadzie skanowanie programem, który wymieniłeś, jest wystarczające, ale dla pewności możesz jeszcze machnąć pełny skan tym http://www.dobreprogramy.pl/Malwarebytes-AntiMalware,Program,Windows,13117.html (pewno nic nie wykryje). Jak skończysz skanować to przeczyść jeszcze dysk przy użyciu http://www.dobreprogramy.pl/CCleaner,Program,Windows,13061.html i można powiedzieć, że masz święty spokój :). Żeby sobie oszczędzić nerwów to polecam zacząć robić regularne kopie zapasowe (co zresztą już pewno zacząłeś robić).
Rzeczywiście, kosztowało mnie to sporo czasu, ale było to w dużej mierze spowodowane tym, że coraz mniej czasu spędzam w domu, chociaż fakt ciężkiego dostępu do komputera brata też miał tutaj znaczenie
Wykonałem skanowanie MBAMem i wykrył on 2 podejrzane wpisy w rejestrze.
Log:
Malwarebytes' Anti-Malware 1.51.0.1200
www.malwarebytes.org
Wersja bazy: 6705
Windows 5.1.2600 Dodatek Service Pack 2
Internet Explorer 8.0.6001.18702
2011-07-02 18:13:46
mbam-log-2011-07-02 (18-13-42).txt
Typ skanowania: Szybkie skanowanie
Przeskanowano obiektów: 159077
Upłynęło: 6 minut(y), 37 sekund(y)
Zainfekowanych procesów w pamięci: 0
Zainfekowanych modułów w pamięci: 0
Zainfekowanych kluczy rejestru: 0
Zainfekowanych wartości rejestru: 0
Zainfekowane informacje rejestru systemowego: 2
Zainfekowanych folderów: 0
Zainfekowanych plików: 0
Zainfekowanych procesów w pamięci:
(Nie znaleziono zagrożeń)
Zainfekowanych modułów w pamięci:
(Nie znaleziono zagrożeń)
Zainfekowanych kluczy rejestru:
(Nie znaleziono zagrożeń)
Zainfekowanych wartości rejestru:
(Nie znaleziono zagrożeń)
Zainfekowane informacje rejestru systemowego:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (PUM.Hijack.System.Hidden) -> Bad: (0) Good: (1) -> No action taken.
HKEY_CLASSES_ROOT\regfile\shell\open\command\(default) (Broken.OpenCommand) -> Bad: ("regedit.exe" "%1") Good: (regedit.exe "%1") -> No action taken.
Zainfekowanych folderów:
(Nie znaleziono zagrożeń)
Zainfekowanych plików:
(Nie znaleziono zagrożeń)
Prosiłem, żebyś wykonał pełne skanowanie. Ale skoro już zrobiłeś to szybkie … Te dwa wpisy, które zostały wykryte możesz śmiało usunąć (przy użyciu MBAM-a, a nie ręcznie). MBAM wykrył, że zawierają one nieprawidłowe wartości (Bad:) i postara się przywrócić takie jakie jego zdaniem są prawidłowe (Good:).
Z jednej strony cieszę się, że to był zwykły fejk, ale z drugiej strony przez to cholerstwo straciłem miesiąc na bezsensowne przerzucanie plików… ale była to dobra lekcja, teraz wszystko na bierząco będę nagrywał
Po tych wszystkich skanach itd, zgadzam się z tym, że musiał to być jakiś fake. Pytanie w jaki sposób znalazł się u Ciebie na komputerze? Tego typu rzeczy same się nie ściągają
