Win32/Wigon trojan, Win32Bagle.gen.zip robak i wiele innych


(Bombeloss) #1

Witam, od paru dni walcze z robakami trojanami itp. Nie wiem co już mam zrobić. Skanowałem Spybotem, ad-aware, PC Tolls Spyware Doctor, Nod32. Zawsze któryś z wyżej wymienionych programów znajdzie mi jakieś wpisy, trojany itp i je usunie , po jakimś czasie zaś skany i zaś wykrywa to samo. Przy każdym uruchomieniu systemu Nod Wykrywa coś z jakimś plikiem restore.sys pisze " Zdarzenie miało miejsce podczas tworzenie pliku przez program Windows\temp\BN87.tmp"

Jakiś syf mam w systemie a nie chcę robić formata.

Proszę o sprawdzenie loga: http://www.wklej.org/id/87291/


(system) #2

http://www.searchengines.pl/Usuwanie-ro ... 06680.html


(Spandau) #3

To raczej nie jest Bagle to wygląda na Viruta

:arrow: Metoda I

Format wszystkich dysków i partycji bez wyjątku. Proszę zapomnieć o sterownikach i instalkach które są na dysku bo one są zainfekowane i należy je także usunąć. Zainfekowane będą także archiwa zawierające pliki exe Świerze wersje sterowników i instalek pobieramy z internetu. Ta metoda jest najbardziej skuteczna przeznaczona dla tych którzy nie chcą tracić czasu i nie mają na dysku jakiś bardzo ważnych programów i danych

:arrow: Metoda II

Mankament tej metody polega na tym że musimy mieć dostęp do drugiego niezainfekowanego komputera na którym możemy pobrać i nagrać na płytkę odpowiednie oprogramowanie. Ale jeśli możemy to zrobić to

Proszę na niezainfekowanym komputerze pobrać i nagrać na płytkę Kaspersky Rescue Disk

Wkładamy płytkę do napędu na zainfekowanym komputerze. Zakładam że w biosie jest ustawione bootowanie z CD/DVD to po restarcie powinien uruchomić się skaner z płytki. Wykonujesz pełny skan usuwamy wszystko co znajdzie skaner do skutku, tzn skanujemy tyle razy aż skaner nic nie znajdzie

Ponieważ mogą zostać usunięte także pliki systemowe to, jak już skaner nic nie znajdzie, wkładamy do napędu płytkę instalacyjną windowsa i robimy instalacje nakładkową windows bez utraty danych

Proszę się najpierw upewnić czy ta opcja jest możliwa i to zanim rozpoczniemy skanować Kasperskim. Nie muszę dodawać że wszystkie programy które nie będą działać należy po tym przeinstalować.

Po wykonaniu instalacji nakładkowej należy:

  • Wyłączyć przywracanie systemu na wszystkich dyskach. Instrukcja

  • Pobrać i wykonać pełne skanowanie Dr. Web CureIt! Jak skaner nic nie znajdzie to proszę dla pewności

  • Pobrać Combofix przeskanować system i dać loga do sprawdzenia na forum. Po skanowaniu Combofixem proszę ponownie wyłączyć przywracanie systemu na wszystkich dyskach, które włączył Combofix.

:arrow: Metoda III

Trudność usuwania w przypadku tej metody polega na tym, że robimy to na zainfekowanym komputerze, więc nasze oprogramowanie do usuwania może zostać zainfekowane zanim zostanie użyte. Ale jeśli się już zdecydujemy to:

:arrow: FixVirut.com

lub dodatkowo

:arrow: win32/Virut

Operacje przeprowadzamy na koncie z uprawnieniami administratora. Najpierw proszę pobrać plik rmvirut.nt następnie rmvirut.exe Pliki muszą być zlokalizowane w tym samym katalogu np C:** Po ściągnięciu pliku **rmvirut.exe proszę go od razu uruchomić może się uda i wirus nie zdąży go zainfekować.

  • Po użyciu szczepionki pobieramy Dr. Web CureIt! Już w trakcie pobierania proszę zmienić mu nazwę na losową np 123.com ( rozszerzenie com nie exe ) Uruchamiamy, wykonujemy pełne skanowanie, leczymy co się da, reszta do usunięcia.Skanujemy do skutku aż skaner nic nie znajdzie.

  • Następnie proszę pobrać Kaspersky Virus Removal Tool Wykonujemy pełne skanowanie usuwamy wszystko co znajdzie skaner. Bardzo ważne jest aby użyć dwóch skanerów takiej kolejności jak została tutaj podana.

  • Następnie jak już skaner nic nie znajdzie jeśli windows nie będzie chciał się uruchomić to wkładamy do napędu płytkę instalacyjną windowsa i wykonujemy instalacje nakładkową windows bez utraty danych

  • Po instalacji nakładkowej wyłączamy przywracanie systemu na wszystkich dyskach. Następnie wykonujemy pełny skan Dr. Web CureIt! Jak skaner nic nie znajdzie to proszę dla pewności

  • Pobrać Combofix przeskanować system i dać loga do sprawdzenia na forum. Po skanowaniu Combofixem proszę ponownie wyłączyć przywracanie systemu na wszystkich dyskach, które włączył Combofix.


(Bombeloss) #4

Jakies pomysły ? To co wykrywa mi nod32 z jakimś plikiem restore.sys Nod32 klasyfikuje mi tylko go jako odmiana Win32/Wigon trojan, Win32Bagle.gen.zip robak i wiele innych.

Z wymienionych objawów w podanym przez Ciebie linku :

Padają programy ochronne typu antywirusy / firewalle / szczepionki / narzędzia logów (Gmer, HijackThis, ComboFix...). Większość aplikacji tej kategorii nie uruchamia się zwracając błąd "nie jest prawidłową aplikacją win32" / "not a valid win32 application". Co więcej: nie da się ich przeinstalować lub zainstalować innych programów o tej funkcjonalności = ten sam błąd.

  • Nie działa tryb awaryjny, przy próbie wejścia jest natychmiastowy reset komputera lub krytyczny Blue Screen (Bagle kasuje cały klucz trybu awaryjnego SafeBoot)

  • Po starcie komputera może się zgłaszać sfałszowane okno dialogowe otwierania plików "Select a file to crack". Niezależnie od tego jaki plik wskaże się w tym oknie = zawsze jest zwracana odpowiedź "Incorrect file version!".

  • System i internet pracują bardzo wolno

  • W Menedżerze zadań ewentualnie można zaobserwować pracujące w tle procesy o losowych nazwach numerycznych np. 827156.exe.

  • Niewidoczny folder sterowników Windows C:\WINDOWS\system32\drivers

  • Nie działa sieć bezprzewodowa Wi-Fi, nie pomagają reperacje i reinstalacje sterowników (Bagle wyłącza sterownik ndisuio.sys):

Jedynie zauwazyłem restarty systemu ale to prawdopodobnie przez sprzęt ponieważ wcześniej tez mi się to działo.


(system) #5

Nie wiem czy zostaje coś poza Formatem ;/

Można jeszcze nagrać na CD Kaspersky Rescue Disk, najlepiej z czystego kompa, znajdziesz jakiegos znajomego/znajomą, mozna tez liczyć na szczęście że zdążymy nagrać płytę zanim zostanie zainfekowana :P, ustawić bootowanie (oczywiście wszystko przed startem systemu :wink:), usuwać wszystko co znajdzie, skan powtarzać wielokrotnie aż do momentu, w którym nic nie znajdzie i wtedy wykonać instalacje nakładkową ,tak jak napisał kolega powyżej


(Bombeloss) #6

Dziekuję za rady spróbuje zastosowac metode 2 na dniach. Dam znać co i jak poszło. :slight_smile:


(system) #7

Raczej rozpocznij dezynfekcję systemu od zastosowania narzędzia FindyKill uruchomionego w opcji 2 (dajesz z niego log).

A następnie wklej logi z narzędzi ComboFix i SDFix.


(Bombeloss) #8

Witam. Tak to był Virut. Kilkanascie razy skanowałem komputer i nonstop wykrywało go i usuwało. W koncu gdy wywaliło wszystko nie dało sie uruchomic systemu tzn ładował sie windows lecz nonstop było "Trwa zapisywanie ustawien sieciowych, trwa wylogowywanie itp". W trybie awarajnym było to samo. W końcu poddałem sie i zrobiłem formata. Co mnie zaskoczyło to kiedyś miałem problem z formatem by go zrobic. Leciał format i zawsze na którymś dysku zatrzymało się na iluś % i dalej nie chciało iśc. Po zabiegu z Kaspersky Rescue Disk bezproblemu mogłem zrobic formata. Nie wiem czy to cos miało wspólnego z tym. Dzięki za pomoc.Pozdrawiam