Trojany, wirusy typu rootkit

russel89 · 1 Listopad 2009 23:56

Witam serdecznie

O to historia moich kłopotów:

Zaczeło się wszystko pięknie i ładnie. Jakieś 2 miechy temu wgrałem nowy system xp home. Jakoś tak czas zleciał że zapomniałem o instalacji oprogramowania antywirusowego. Danych na dyskach zaczeło przybywać a z nimi po jakimś czasie pojawiły się problemy. Zaczeło się od tego że podczas kopiowania folderów nie dało się ich skopiować. Sprawdziłem we właściwościach i okazało się że każdy folder na moim komputerZe jest tylko do odczytu. Więc odznaczyłem opcje, lecz po zastosowaniu problem się nie zmienił. Bezskuteczne próby resetowania itd nie odnosiły sukcesu. Foldery były dalej tylko do odczytu. Potem zauważyłem że gdy chce pokazać pliki ukryte, to po zazneczeniu “pokaż pliki ukryte” nic się nie pojawiało, a w opcjach znowu było zaznaczone niepokazywanie. Ten sam mechanizm. Wgrałem AVASTA… I tu zaczeła się jazda. Zaraz po instalacji i po uruchomieniu zaczeły wyskawiwać te same wirusy trojany typu : “rootkit”. Te cholerstwo było wszędzie. Co najlepsze avast nie był wstanie ich usuwać i problemy pojawiały się co ułamek sekundy po kilka naraz. W tym momęcie chcąc wejść w jaki kolwiek dysk twardy pojawiało się okienko “otwieranie za pomocą…” Do dysków twardych mogłem się dostać za pomocą exploracji ich. Stwierdziłem że pobiore F-secure 2010 testówke skoro avast nie daje rady. Po kilkukrotnym skanowaniu komputera całego ciągle wyskakiwało średnio po 10 - 15 wirusów. Na następny dzień chciałem na nowo strzelić formata. Podczas instalacji windos pojawiła się oipcja naprawy systemu uszkodzonego i tak postąpiłem. Instalator skopiował wszystko i załadował windows. Niestety nic się niezmieniło. Potem stwierdziłem że czas na formata a nie naprawe. Sformatowałem 2 partycje reszte z fotkami ok 40 gb pozostawiłem bez zmian. System hulał… wgrałem właśnie wszystkie stery i chcąc wejść w pliki ukryte zamurowało mnie… Znoowu to saaamo mam. I z ukrywaniem i z folderami. Klęska straszna. Poczytałem na waszym forum troszeczke i zrobiłem tak jak pisało w pewnym poście. Pobrałem SMITFRAUDFIX i zrobiłem co kazali. Przesyłam raport z LOGu jeśli dobrze mówie.

45978

Tylko nie wiem czy ten co się wyświetla w notatniku może być. Proszę o pilną pomoc i porady.Jestem w tym zielony

*********

ciemnowidz · 2 Listopad 2009 05:40

Tyle, że SMITFRAUDFIX to nie od tej infekcji jest.

Wklej logi z OTL, GMER, System Repair Engineer

Logi wklej na wklejto.pl a tutaj tylko link do wklejki.

W OTL przestaw Processes oraz Modules na All oraz zaznacz LOP check i Purity check , nic więcej nie należy zmieniać.

W GMER klik na Szukaj , po zakończeniu skanu klikasz Kopiuj lub Zapisz.

Monczkin · 2 Listopad 2009 07:16

russel89 , zapoznaj się z regulaminem forum oraz zasadami zakładania tematów w tym dziale. Popraw tytuł tematu na konkretny. Za następne słownictwo z podwórka otrzymasz ostrzeżenie.

russel89 · 2 Listopad 2009 16:01

Aha a w OTL mam włączyć run scan quick scan czy run fix???

ciemnowidz · 2 Listopad 2009 16:40

A dlaczego by nie CleanUp?

Strzelaj z Run Scan.

asterisk · 2 Listopad 2009 16:55

russel89 · 2 Listopad 2009 17:54

O to linki do logów:

OTL :

http://wklejto.pl/46020

GMER :

http://www.wklejto.pl/46021

System Repair Engineer :

http://www.wklejto.pl/46022

ciemnowidz · 2 Listopad 2009 18:06

W OTL w dolne białe okno wklej taki tekst

:Processes explorer.exe :OTL O32 - AutoRun File - [2009-11-02 01:02:54 | 00,000,057 | RHS- | M] () - C:\autorun.inf – [NTFS] O32 - AutoRun File - [2009-11-02 01:02:54 | 00,000,057 | RHS- | M] () - D:\autorun.inf – [NTFS] O32 - AutoRun File - [2009-11-02 01:02:54 | 00,000,057 | RHS- | M] () - E:\autorun.inf – [NTFS] O32 - AutoRun File - [2009-11-02 01:02:54 | 00,000,057 | RHS- | M] () - F:\autorun.inf – [NTFS] :Services :Files C:\9b9w3.exe d:\9b9w3.exe e:\9b9w3.exe f:\9b9w3.exe :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “SuperHidden”=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “Hidden”=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “ShowSuperHidden”=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] “CheckedValue”=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" :Commands [emptytemp] [purity] [start explorer] [Reboot]

Kliknij Run Fix. Pokaż log z usuwania i nowy robiony z opcji Run Scan.

russel89 · 2 Listopad 2009 20:48

o prosze pokazały sie pliki ukryte:) tylko czy teraz już wszystko ok jest czy jeszcze coś nie tak? linki z logami poniżej:)

LOG z usuwania:

http://www.wklejto.pl/46062

LOG nowy robiony z opcji Run Scan:

http://www.wklejto.pl/46063

Jakie wnioski?

ciemnowidz · 3 Listopad 2009 06:28

Wygląda na to, że skasowane, ale wklej jeszcze dwa logi, bo chcę coś sprawdzić, z OTL i OTS

W obu programach przestawiasz wszystko na ALL => potem Run Scan.

russel89 · 3 Listopad 2009 15:59

OTL

http://www.wklejto.pl/46143

OTS

http://www.wklejto.pl/46144

?

ciemnowidz · 3 Listopad 2009 16:59

W logach nic nie widać.

Kliknij w OTL lub OTS CleanUp.

Wyłącz na chwilę przywracanie systemu - XP/Vista

Wykonaj pełny skan Malwarebytes Anti-Malware, jeśli coś znajdzie - usuń i wklej log.

Przeczyść dysk i rejestr CCleaner’em.

Podepnij pamięci przenośne i zastosuj FlashDisinfector

russel89 · 3 Listopad 2009 21:39

Malwarebytes Anti-Malware - program nie znalazł nic.

CCleaner - bardzo fajny program, na świerzym systemie usunoł mi 49 mb śmieci.

W rejestrze było kilkanaście problemów które sam naprawił.

Ogółem wszystko ok.

Jedno pytanko do Ciebie mam. Robisz to bo za to Ci płacą, czy robisz to z własnej dobrej woli i uprzejmości?;>

Ogółem to z góry bardzo dziękuje za pomocną dłoń bo Ci się należy:)

Pozdrawiam

ciemnowidz · 4 Listopad 2009 06:32

Chyba po prostu dlatego, że nie lubię infekcji. A po drugie, że jest to część mojego hobby.

Płacił za to chyba też nikt nie będzie bo nie studiuję informatyki.

russel89 · 4 Listopad 2009 10:25

A więc wielkie Dziękuje dla Ciebie za pomocną dłoń i chęci:)

A wiedze zdobyłeś sam? Znasz jakieś dobre stronki gdzie można się poduczyć w tym temacie? Chodzi mi o logi wirusy itd.

Jeszcze raz wielkie dzieki za pomoc:)

Pozdrawiam

ciemnowidz · 4 Listopad 2009 11:05

Nie ma stronek gdzie można się tego uczyć. Jeśli nawet będą to radzę z nich nie korzystać. Dla własnego dobra i osób którym pomagasz.

Jane_Vicodin · 4 Listopad 2009 14:40

Wiedzę sie nabiera stopniowo, ja też wiem teraz mniej więcej z hjt co jest złe, moge rozpoznac viruta, ale jesli chodzi o kogoś, a u siebie samej odrazu panikuje i zachowuje się jakbym byla laikiem xD