Trojan w systemie usuwa pliki


(Erick8697) #1

Witam!

Mam problem...

Wczoraj w poszukiwaniu darmowych wtyczek przeszukiwałem różne blogi, fora etc. W pewnym momencie system poinformował mnie o tym, że w systemie znajduje się trojan, a chwilę później uruchomił się program, który zaczął usuwać dane z dysku. Dłużej nie myśląc odciąłem dopływ prądu i wyłączyłem komputer.

Nie włączałem go do tej pory (teraz piszę z komputera brata), ponieważ obawiam się, że program będzie kontynuował usuwanie plików.

Na dysku posiadam ważne dla mnie projekty, nad którymi pracowałem od 4 miesięcy.

W związku z zaistniała sytuacją mam kilka pytań:

  • Jak można włączyć komputer bez uruchamiania procesu, który by spowodował kontynuację usuwania plików (czytałem coś o live CD)?

  • W jaki sposób można odzyskać usunięte pliki?

  • Czy wszystkiemu zaradzi przywracanie systemu?

  • Czy przed włączeniem komputera można wykonać kopię zapasową, tak na wszelki wypadek?

Jestem w stanie odpłacić się za pomoc w odzyskaniu danych, bardzo mi na tym zależy.

Pozdrawiam.


(Tomek Matz) #2

AD 1) Tak, Live CD da tutaj radę. Ściągnij sobie np. Ubuntu (http://www.ubuntu.com/download/ubuntu/download). Wypal na płytce i w trakcie uruchamiania będziesz musiał wybrać odpowiednią opcję (http://www.howtogeek.com/wp-content/upl ... mage67.png). Zdjęcie jest po angielsku, ale w trakcie uruchamiania można wybrać język polski. Anyway podłączysz sobie pendrive/czysty dysk twardy i przy użyciu Live CD skopiujesz na niego pliki, które nie zostały usunięte. Ogranicz się jednak do kopiowania tylko tego co niezbędne, bo istnieje spore ryzyko, że skopiujesz również zainfekowane pliki. Najlepiej przetestuj sobie najpierw ten sposób na komputerze brata, żebyś nie popełnił jakiegoś głupiego błędu.

AD 2) Tutaj nie pomogę, bo nigdy się tym nie zajmowałem. Jedno co Ci mogę powiedzieć to to, że nie możesz teraz wykonywać żadnych operacji na tym dysku (czyli nic nie możesz instalować, kopiować itd.). Live CD działa na takiej zasadzie, że wszystko ładowane jest do pamięci operacyjnej, a więc żadne sektory dysku twardego nie zostaną nadpisane, dzięki czemu będzie możliwe (najprawdopodobniej) ich odzyskanie.

AD 3) Nie, nie pomoże.

AD 4) Patrz AD 1)

I jeszcze jedno ... Podaj informację o jaki trojan chodzi (i jaki program go wykrył), bo dzięki tej informacji ktoś być może będzie Ci w stanie powiedzieć, co powinieneś zrobić, żeby się go pozbyć.


(system) #3

Moja alternatywa ad 1 , to pobranie tego narzędzia Microsoftu:

http://www.softpedia.com/get/Security/S ... eper.shtml


(ichito) #4

Narzędzie Microsoftu jest wciąż w fazie Beta, więc nie do końca bym mu ufał. Bardziej polecam SARDU czyli program też samoczynnie startujący, ale który jest bardzo konfigurowalny i oprócz skanerów AV rożnych firm może zawierać bardzo wiele narzędzi. Narzędzie jest świetne i ma polską wersję.

http://www.sarducd.it/


(system) #5

Witaj

co do odzyskania plików to tym dasz rade

http://traxter-online.tk/parted-magic-p ... t-499.html

możesz też pobrać na niezarażonym kompie ten programik

http://www.vista.pl/download/1820_dr_we ... 5_0_0.html

wypalić płytke i przeskanować nia swój komputer

tutaj opis jak odzyskać pliki

http://traxter-online.tk/parted-magic-o ... t-500.html


(Mk2504) #6

Masz dwa komputery- a gdyby tak podpiąć dysk z którego chcesz ściągnąć dane pod drugi komputer, uruchomić system normalnie- bootowanie pozostaw ze zdrowego dysku, i kopiowanie tylko potrzebnych plików- ew skanowanie zarażonego dysku...


(Erick8697) #7

Dzięki wszystkim za odpowiedź, a w szczególności Tobie, Matzu.

W weekend się tym zajmę...

Zastosuję się do Twoich wskazówek i spróbuję skopiować to co zachowało się na dysku, ale jeśli nie będzie tam moich projektów oddam komputer do informatyka, aby spróbował odzyskać dane.

Sęk w tym, że mam Spybota i ESET Smart Security, a żaden z nich nie wykrył wirusa... najpierw powiadomił mnie system, że został zainfekowany trojanem, a później zauważyłem, program, który dokonuje usuwania danych.

Jaki to trojan? Nie wiem, bo zaraz gdy zauważyłem napis "All removal" i pasek postępu to wyłączyłem komputer. Jeszcze przed tym próbowałem wywołać menadżera zadań, ale nie dało się, wyskakiwały komunikaty, których w nerwach nawet nie czytałem, tylko klikałem "ok".

Myślisz, że jeśli podłączę oba dyski i komputer uruchomię ze zdrowego dysku to nie zostanie on zainfekowany? Bym spróbował, ale nie chcę jeszcze bratu robić kłopotu.


(Tomek Matz) #8

Nie tyle do informatyka, co do osoby, która zajmuje się odzyskiwaniem danych (zawodowo). Mógłbyś na własną rękę próbować odzyskać te dane (korzystając z gotowych programów), ale jeśli są to ważne projekty, to tutaj nie ma miejsca na błąd. Ewentualnie jeśli będziesz mieć kontakt z taką osobą, to zapytaj się w jaki sposób zrobić dokładną kopię całego dysku twardego, tak żebyś na tej kopii mógł sobie dowolnie eksperymentować przy użyciu różnych programów.


(Erick8697) #9

Ok, w sobotę zdam raport...

-- Dodane 01.07.2011 (Pt) 13:07 --

Witam!

Wiem, że miałem dać znać co i jak już jakiś czas temu, ale dopiero kilka dni temu skończyłem wydobywać pliki z zawirusowanego dysku.

Sprawa wydaję się dziwna:

Gdy już wszystko wydobyłem z dysku za pomocą Live-dc, uruchomiłem go... jak się okazało nie zostały usuniętę, ani nadpisane absolutnie żadne pliki, komputer się uruchomił bez żadnych problemów. Wszystko ładnie śmiga. Pobrałem 30-dniową wersję najnowszego Kaspierskiego, zainstalowałem i przeskanowałem komputer. Po 30 godzinach skanowania, komputer wykrył, tylko jeden plik, który od dawna mam na dysku i wiedziałem, że antywirus rozpozna go jako wirusa, ale w rzeczywistości to nie jest wirus i jest on zupełnie niegroźny.

Powinienem poczynić jeszcze jakieś kroki, czy skanowanie Kasperskim wystarczy?


(Tomek Matz) #10

Cieszę się, że wszystko jest OK (szkoda tylko, że kosztowało Cię to tyle czasu). W zasadzie skanowanie programem, który wymieniłeś, jest wystarczające, ale dla pewności możesz jeszcze machnąć pełny skan tym http://www.dobreprogramy.pl/Malwarebytes-AntiMalware,Program,Windows,13117.html (pewno nic nie wykryje). Jak skończysz skanować to przeczyść jeszcze dysk przy użyciu http://www.dobreprogramy.pl/CCleaner,Program,Windows,13061.html i można powiedzieć, że masz święty spokój :). Żeby sobie oszczędzić nerwów to polecam zacząć robić regularne kopie zapasowe (co zresztą już pewno zacząłeś robić).

BTW pojedyncze pliki można skanować przy użyciu http://www.dobreprogramy.pl/VirusTotal,Program,Online,21364.html.


(Erick8697) #11

Rzeczywiście, kosztowało mnie to sporo czasu, ale było to w dużej mierze spowodowane tym, że coraz mniej czasu spędzam w domu, chociaż fakt ciężkiego dostępu do komputera brata też miał tutaj znaczenie :wink:

Wykonałem skanowanie MBAMem i wykrył on 2 podejrzane wpisy w rejestrze.

Log:

Malwarebytes' Anti-Malware 1.51.0.1200

www.malwarebytes.org


Wersja bazy: 6705


Windows 5.1.2600 Dodatek Service Pack 2

Internet Explorer 8.0.6001.18702


2011-07-02 18:13:46

mbam-log-2011-07-02 (18-13-42).txt


Typ skanowania: Szybkie skanowanie

Przeskanowano obiektów: 159077

Upłynęło: 6 minut(y), 37 sekund(y)


Zainfekowanych procesów w pamięci: 0

Zainfekowanych modułów w pamięci: 0

Zainfekowanych kluczy rejestru: 0

Zainfekowanych wartości rejestru: 0

Zainfekowane informacje rejestru systemowego: 2

Zainfekowanych folderów: 0

Zainfekowanych plików: 0


Zainfekowanych procesów w pamięci:

(Nie znaleziono zagrożeń)


Zainfekowanych modułów w pamięci:

(Nie znaleziono zagrożeń)


Zainfekowanych kluczy rejestru:

(Nie znaleziono zagrożeń)


Zainfekowanych wartości rejestru:

(Nie znaleziono zagrożeń)


Zainfekowane informacje rejestru systemowego:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (PUM.Hijack.System.Hidden) -> Bad: (0) Good: (1) -> No action taken.

HKEY_CLASSES_ROOT\regfile\shell\open\command\(default) (Broken.OpenCommand) -> Bad: ("regedit.exe" "%1") Good: (regedit.exe "%1") -> No action taken.


Zainfekowanych folderów:

(Nie znaleziono zagrożeń)


Zainfekowanych plików:

(Nie znaleziono zagrożeń)

(Tomek Matz) #12

Windows 5.1.2600 Dodatek Service Pack 2 [-X

Prosiłem, żebyś wykonał pełne skanowanie. Ale skoro już zrobiłeś to szybkie ... Te dwa wpisy, które zostały wykryte możesz śmiało usunąć (przy użyciu MBAM-a, a nie ręcznie). MBAM wykrył, że zawierają one nieprawidłowe wartości (Bad:) i postara się przywrócić takie jakie jego zdaniem są prawidłowe (Good:).


(szymonek760) #13

miałeś wirusa typu joke on nic nie robi to jest program żart


(Erick8697) #14

Z jednej strony cieszę się, że to był zwykły fejk, ale z drugiej strony przez to cholerstwo straciłem miesiąc na bezsensowne przerzucanie plików... ale była to dobra lekcja, teraz wszystko na bierząco będę nagrywał :wink:


(Tomek Matz) #15

Czy wykonałeś ten pełny skan? Jeśli tak i nie zostało nic wykryte, to jeszcze użyj tego programu http://www.dobreprogramy.pl/CCleaner,Program,Windows,13061.html do przeczyszczenia rejestru i śmieci w systemie, i koniec.

Po tych wszystkich skanach itd, zgadzam się z tym, że musiał to być jakiś fake. Pytanie w jaki sposób znalazł się u Ciebie na komputerze? Tego typu rzeczy same się nie ściągają :slight_smile:


(szymonek760) #16

żart siostry , brata , kolegi lub rodziców :smiley:


(Erick8697) #17

Z mojego komputera korzystam tylko ja, bardzo rzadko korzysta ktokolwiek inny.

Nie, żadne urządzenie typu pendrive/mp3/karta pamięci etc. nie było podłączone do mojego komputera.

Wykonałem pełny skan i nic nie wykrył...

Dziwne, że ów program znajdował się na dysku, a po ponownym włączeniu komputera żadnego śladu po nim.