Virut 5127 - jak się go pozbyć?

Chilek1 · 24 Listopad 2007 09:52

Witam.

Mam wirusa o nazwie Virut.5127 i nie wiem jak mogę się go pozbyć. Zaatakował wszystkie pliki *.exe na dyskach C: i D:. Plików *.exe nie da się uruchomić, gdyż pisze, że nie mam do nich dostępu. Zależy mi, aby obeszło się bez formata.

Skanuje właśnie mks-em online, ale on nie wykrywa(przynajmniej jak narazie) żadnego wirusa. Instalacja antywirusa na komputerze chyba nie wchodzi w grę, bo odrazu staje się zawirusowany.

Jest coś, co mogę z tym zrobić ? Z góry dziekuję za pomoc.

Pozdrawiam

xeth · 24 Listopad 2007 10:01

bez formata się raczej nie obędzie chyba że znajdziesz gdzieś bootowalną płyte z antyvirusem to wtedy możesz próbować leczyć zainfekowane pliki

Chilek1 · 24 Listopad 2007 10:43

a może jakiś inny antywir online ? tylko żadnych nie znam

Gutek · 24 Listopad 2007 14:38

Daj log z HJT + Silenta - http://forum.dobreprogramy.pl/viewtopic.php?t=36654

Chilek1 · 24 Listopad 2007 16:39

nawet sie nie da zainstalować tego doszedłem do wniosku, że format to jedyne wyjście bo teraz to nie moge nawet otworzyć dodaj/usuń. Pozostaje mi jednak pytanie czy muszę formatować 2 partycje ? Obie niestety są zawirusowane ale może jakoś da się uratować dane z tamtej - chodzi mi to głównie o to czy pliki *.exe da sie w ogóle naprawić?

PS.

Skanująć avastem pokazało mi, ze wirus nazywa się virut.b ale naprawić plikow się nie da tylko je usunąć.

Piwollo · 24 Listopad 2007 16:41

Nie musisz formatować.

Zrób to, o co prosił Gutek.

xeth · 24 Listopad 2007 17:25

musisz tylko potem zainstalować antyvira który leczy zainfekowane pliki to powinieneś większość uratować

Chilek1 · 24 Listopad 2007 17:30

format C: tak czy tak sie przyda. Będę próbował ratować D: . A może znacie jakiś program, który ma szczpionke na tego wirka ?

Gutek · 24 Listopad 2007 17:31

Daj logi o które proszę

xeth · 24 Listopad 2007 17:36

tu masz coś w rodzaju szczepionki powinno wyleczyć zainfekowane pliki

http://dobreprogramy.pl/index.php?dz=2&t=73&id=1998

oczywiści na już zdrowym systemie bo teraz to nic ci nie da

Chilek1 · 24 Listopad 2007 17:51

z miłą chęcią już dawno bym dał jeśli dzięki temu obeszło by się bez formata, ale nie mogę, ponieważ odrazu po zainstalowaniu programu hijackthis atakuje go ten wirus i przy próbie otwarcia pisze, ze nie mam dostępu do tego pliku, natomast przy próbie otwarcia 2 programu wuskakuje jakies okienko, mogę nacisnac ok lub anuluj, po wcisnieciu OK wyskakuje z 20 okien IE.

Gutek · 24 Listopad 2007 18:21

Gdy jest problem z plikami .exe - Użyj UnHookExec.inf - który odblokuje uruchamianie exe. Po ściągnięciu pliku UnHookExec.inf na dysk należy kliknąć na niego prawym i wybrać opcję Instaluj. Nic się nie pokaże bo to nie jest żadna instalacja. Inny - exefix.reg

Użyj http://wirusy.antivirenkit.pl/pl/szczepionki/Jeefo.html

Chilek1 · 24 Listopad 2007 18:36

UnHookExec.inf - przy próbie zainstalowania pisze tak jak przy plikach *.exe - odmowa dostępu.

exefix.reg - dodało się do rejestru

Natomiast tą szczepionkę mogę włączyć. Czy odpalić ją pomimo tego, że nie działa ten UnHookExec.inf ?

Gutek · 24 Listopad 2007 18:40

Możesz teraz dać log z HJT?

Chilek1 · 24 Listopad 2007 18:42

niestety nie. jest tak jak było, a to, że działa UnHookExec.inf to chyab jedynie przypadek. gg i firefox też działa.

EDIT

jestem po formacie dysku C: i teraz mam pytanie: jak usunąć ten wirus z d: ? o ile w ogóle to możliwe

Gutek · 24 Listopad 2007 23:14

Daj logi, o które proszę

Chilek1 · 24 Listopad 2007 23:23

Zaczęłem skanować Dr.Web i muszę powiedzieć, że daje to efekty, ponieważ leczy zainfekowane pliki.

Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 00:21:54, on 2007-11-25 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\CTFMON.EXE C:\Program Files\Mozilla Firefox\firefox.exe C:\Documents and Settings\pawel\Pulpit\cureit.exe C:\DOCUME~1\pawel\USTAWI~1\Temp\RarSFX0_start.exe C:\DOCUME~1\pawel\USTAWI~1\Temp\RarSFX0\setup.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU…\Run: [Gadu-Gadu] “C:\Program Files\Gadu-Gadu\gg.exe” /tray O4 - HKUS\S-1-5-19…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘USŁUGA LOKALNA’) O4 - HKUS\S-1-5-20…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘USŁUGA SIECIOWA’) O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘SYSTEM’) O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘Default user’) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe – End of file - 1664 bytes

nie wiem czy to na pewno to…

“Silent Runners.vbs”, revision 52, http://www.silentrunners.org/ Operating System: Windows XP SP2 Output limited to non-default values, except where indicated by “{++}” Startup items buried in registry: --------------------------------- HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++} “CTFMON.EXE” = “C:\WINDOWS\system32\ctfmon.exe” [MS] “Gadu-Gadu” = ““C:\Program Files\Gadu-Gadu\gg.exe” /tray” [“Gadu-Gadu S.A.”] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ “{42071714-76d4-11d1-8b24-00a0c9068ff3}” = “Rozszerzenie CPL kadrowania wyświetlania” -> {HKLM…CLSID} = “Rozszerzenie CPL kadrowania wyświetlania” \InProcServer32(Default) = “deskpan.dll” [file not found] “{88895560-9AA2-1069-930E-00AA0030EBC8}” = “Rozszerzenie ikony HyperTerminalu” -> {HKLM…CLSID} = “HyperTerminal Icon Ext” \InProcServer32(Default) = “C:\WINDOWS\system32\hticons.dll” [“Hilgraeve, Inc.”] Group Policies {GPedit.msc branch and setting}: ----------------------------------------------- Note: detected settings may not have any effect. HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\ “shutdownwithoutlogon” = (REG_DWORD) hex:0x00000001 {Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options| Shutdown: Allow system to be shut down without having to log on} “undockwithoutlogon” = (REG_DWORD) hex:0x00000001 {Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options| Devices: Allow undock without having to log on} Active Desktop and Wallpaper: ----------------------------- Active Desktop may be disabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState Displayed if Active Desktop enabled and wallpaper not set by Group Policy: HKCU\Software\Microsoft\Internet Explorer\Desktop\General\ “Wallpaper” = “C:\WINDOWS\web\wallpaper\Idylla.bmp” Displayed if Active Desktop disabled and wallpaper not set by Group Policy: HKCU\Control Panel\Desktop\ “Wallpaper” = “C:\WINDOWS\web\wallpaper\Idylla.bmp” Enabled Screen Saver: --------------------- HKCU\Control Panel\Desktop\ “SCRNSAVE.EXE” = “C:\WINDOWS\System32\logon.scr” [MS] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = “%SystemRoot%\System32\mswsock.dll” [MS] 000000000002\LibraryPath = “%SystemRoot%\System32\winrnr.dll” [MS] 000000000003\LibraryPath = “%SystemRoot%\System32\mswsock.dll” [MS] Transport Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: %SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 13 %SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05 Toolbars, Explorer Bars, Extensions: ------------------------------------ Extensions (Tools menu items, main toolbar menu buttons) HKLM\Software\Microsoft\Internet Explorer\Extensions\ {FB5F1910-F110-11D2-BB9E-00C04F795683}\ “ButtonText” = “Messenger” “MenuText” = “Windows Messenger” “Exec” = “C:\Program Files\Messenger\msmsgs.exe” [MS] ---------- (launch time: 2007-11-25 00:24:13) + This report excludes default entries except where indicated. + To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. + To search all directories of local fixed drives for DESKTOP.INI DLL launch points, use the -supp parameter or answer “No” at the first message box and “Yes” at the second message box. ---------- (total run time: 85 seconds, including 15 seconds for message boxes)

Gutek · 24 Listopad 2007 23:31

Skan AVG Anti-Spyware 7.5 po update + raport

Chilek1 · 24 Listopad 2007 23:34

dyski c i d ?

nowy10 · 24 Listopad 2007 23:36

wszystkie