Wirus "Virut"

Dla specjalistów Bezpieczeństwo
#1

Witam

mam problem a mianowicie nie mogę wejść na strony z oprogramowaniem antywirusowym…

chce odpalić combofixa ale nie da się ponieważ pisze ze komputer jest zainfekowany wirusem “Virut”

proszę o pomoc…

Log z HIjackthis


Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 21:24:24, on 2009-09-19

Platform: Windows XP Dodatek SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.5730.0013)

Boot mode: Normal


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\sofatnet.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\reader_s.exe

C:\WINDOWS\system32\7.tmp

C:\WINDOWS\system32\ctfmon.exe

C:\Documents and Settings\Administrator\reader_s.exe

C:\WINDOWS\system32\servises.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Documents and Settings\Administrator\Moje dokumenty\Pobieranie\hijackthis.com


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O4 - HKLM\..\Run: [11673] C:\WINDOWS\system32\7.tmp.exe

O4 - HKLM\..\Run: [servises] C:\WINDOWS\system32\servises.exe

O4 - HKLM\..\Run: [reader_s] C:\WINDOWS\System32\reader_s.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [reader_s] C:\Documents and Settings\Administrator\reader_s.exe

O4 - HKCU\..\Run: [servises] C:\WINDOWS\system32\servises.exe

O4 - HKCU\..\Run: [Gadu-Gadu] "E:\Gadu-Gadu\gg.exe" /tray

O4 - HKLM\..\Policies\Explorer\Run: [servises] C:\WINDOWS\system32\servises.exe

O4 - HKCU\..\Policies\Explorer\Run: [servises] C:\WINDOWS\system32\servises.exe

O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'USŁUGA LOKALNA')

O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'USŁUGA LOKALNA')

O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'USŁUGA SIECIOWA')

O4 - HKUS\S-1-5-18\..\Run: [reader_s] C:\Documents and Settings\Administrator\reader_s.exe (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [reader_s] C:\Documents and Settings\Administrator\reader_s.exe (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')

O4 - Global Startup: Ralink Wireless Utility.lnk = C:\WINDOWS\RaUI.exe

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: sofatnet Service (sofatnet) - Sigma Designs In - C:\WINDOWS\system32\sofatnet.exe


--

End of file - 4087 bytes
#2

Logi wklejasz na wklej.org lub wklej.to, a w poście dajesz link.

Na niezainfekowanym komputerze pobierz i nagraj na płytkę Kaspersky Rescue Disk, możesz też użyć Dr.Web LiveCD

Włóż płytkę do napędu na zainfekowanym komputerze. Zakładam że w biosie jest ustawione bootowanie z CD/DVD to po restarcie powinien uruchomić się skaner z płytki. Wykonujesz pełny skan usuwamy wszystko co znajdzie skaner do skutku, tzn skanujemy tyle razy aż skaner nic nie znajdzie

Ponieważ mogą zostać usunięte także pliki systemowe to, jak już skaner nic nie znajdzie, a pojawi się problem z uruchomieniem systemu wtedy wkładamy do napędu płytkę instalacyjną windowsa i robimy instalacje nakładkową windows bez utraty danych

Proszę się najpierw upewnić czy ta opcja jest możliwa i to zanim rozpoczniemy skanować Kasperskim lub innym skanerem. Nie muszę dodawać że wszystkie programy które nie będą działać należy po tym przeinstalować.

Po wykonaniu instalacji nakładkowej należy:

  • Wyłączyć przywracanie systemu na wszystkich dyskach. Instrukcja

  • Pobrać i wykonać pełne skanowanie Dr. Web CureIt! Jak skaner nic nie znajdzie to proszę

  • Pobrać Combofix przeskanować system i dać loga do sprawdzenia na forum. Po skanowaniu Combofixem proszę ponownie wyłączyć przywracanie systemu na wszystkich dyskach, które włączył Combofix.

#3

Z tego co pamiętam wirus infekował pliki .exe. To tak dla informacji. Zrób to co powiedział kolega powyżej.

#4

Virut akurat w przeciwieństwie do Sality infekuje nie tylko wykonywalne.