Wirus zaraz po formacie?

Dla specjalistów Bezpieczeństwo
#1

Witam!

Niestety mam taki problem, że ostatnio (przedwczoraj) bawiłem się zmianą ekranu bootowania, logowania oraz stylami.

Komp wtedy chodził “ciężko” ale dało się coś na nim robić.

Nagle zaczęło mi wyskakiwać że “dysk F:\ nie jest dostępny” jak wchodziłem na drugi dysk (podpięty na slave), więc podpiąłem go do kompa brata, aby sprawdzić przyczynę.

Niestety bez skutku i musiałem go sformatować.

Podpiąłem go do siebie i znowu zaczęło się coś takiego dziać.

Zrobiłem od nowa cały system (format c).

Po formacie był normalnie dostępny.

Niestety komp (co do tej pory nie miało nigdy miejsca), aby zaraz po formacie chodził jak “czołg” . Jak instaluje jakiś program to instaluje się 3x dłużej :evil:

Więc dzisiaj na czas ponownej instalacji systemu (drugi raz format) - odpiąłem ten drugi dysk. System z zintegrowanym service packiem 2 instalował się chyba z 3,5 godziny :o

Zainstalwałem dzisiaj tylko KERIO (a dotychczas miałem KERIO + KASPERSKY). Ściągnąłem Auto Pathera, zrobiłem aktualizacje, ale nadal nie chodzi tak jak powinien.

Sprzęt to:

AMD Duron 1102 MHz,

Ge-Force 2 MX,

256 RAM,

Dysk Twardy Maxtor 20 GB.

Widziałem gdzieś tutaj na forum coś o wirusie na bootSectorze (czy jakoś tak). Czy jest to możliwe ?

Jak tak to proszę o jakieś wskazówki .

Pozdrawiam .

Złączono Posta : 25.11.2005 (Pią) 18:29

Dodam, że na czas instalacji systemu kabel sieciowy odłączyłem.

#2

Możliwe no jest ale dlaczego te przypuszczenia, ale zobacz Wirusy MBR i BIOS: http://www.searchengines.pl/phpbb203/in … entry25638

Daj log z hijacka i LOG z Silent Runners

#3

Hijack:

Silent Runners:

"Silent Runners.vbs", revision 41, http://www.silentrunners.org/

Operating System: Windows XP SP2

Output limited to non-default values, except where indicated by "{++}"



Startup items buried in registry:

---------------------------------


HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}

"MsnMsgr" = ""C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background" [MS]


HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}

"CoolSwitch" = "C:\WINDOWS\system32\taskswitch.exe" [null data]


HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\

"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Rozszerzenie CPL kadrowania wyświetlania"

  -> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]

"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Rozszerzenie ikony HyperTerminalu"

  -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]

"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"

  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]

"{640167b4-59b0-47a6-b335-a6b3c0695aea}" = "Portable Media Devices"

  -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS]

"{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"

  -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS]

"{51131DA7-1D24-40e5-AE07-5E3750F5DE3C}" = "ContextMenuExt Extension"

  -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\ContextMenuExt.dll" [null data]

"{DDE4BEEB-DDE6-48fd-8EB5-035C09923F83}" = "UnlockerShellExtension"

  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Unlocker\UnlockerCOM.dll" [null data]

"{e82a2d71-5b2f-43a0-97b8-81be15854de8}" = "ShellLink for Application References"

  -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\dfshim.dll" [MS]

"{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75}" = "Shell Icon Handler for Application References"

  -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\dfshim.dll" [MS]


HKLM\Software\Classes\*\shellex\ContextMenuHandlers\

CopyMoveTo\(Default) = "{51131DA7-1D24-40e5-AE07-5E3750F5DE3C}"

  -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\ContextMenuExt.dll" [null data]

WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"

  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]


HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\

CopyMoveTo\(Default) = "{51131DA7-1D24-40e5-AE07-5E3750F5DE3C}"

  -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\ContextMenuExt.dll" [null data]

WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"

  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]


HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\

CopyMoveTo\(Default) = "{51131DA7-1D24-40e5-AE07-5E3750F5DE3C}"

  -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\ContextMenuExt.dll" [null data]

UnlockerShellExtension\(Default) = "{DDE4BEEB-DDE6-48fd-8EB5-035C09923F83}"

  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Unlocker\UnlockerCOM.dll" [null data]

WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"

  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]



Active Desktop and Wallpaper:

-----------------------------


Active Desktop is disabled at this entry:

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState


HKCU\Control Panel\Desktop\

"Wallpaper" = "C:\WINDOWS\web\wallpaper\Idylla.bmp"



Winsock2 Service Provider DLLs:

-------------------------------


Namespace Service Providers


HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}

000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]

000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]


Transport Service Providers


HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}

0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:

%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 11

%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05



Running Services (Display Name, Service Name, Path {Service DLL}):

------------------------------------------------------------------


.NET Runtime Optimization Service v2.0.50727_X86, clr_optimization_v2.0.50727_32, "C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe" [MS]

Kerio Personal Firewall 4, KPF4, ""C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe"" ["Kerio Technologies"]

Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\system32\wdfmgr.exe" [MS]



----------

+ This report excludes default entries except where indicated.

+ To see *everywhere* the script checks and *everything* it finds,

  launch it from a command prompt or a shortcut with the -all parameter.

+ To search all directories of local fixed drives for DESKTOP.INI

  DLL launch points and all Registry CLSIDs for dormant Explorer Bars,

  use the -supp parameter or answer "No" at the first message box.

---------- (total run time: 66 seconds, including 5 seconds for message boxes)
#4

No nic nie widać

#5

Podejrzewam zainfekowany MBR (Master Boot Record) tam czasami tez lubia sie chowac wiruski albo po prostu masz uszkodzone tablice MBR. Powinna pomóc jakas aplikacja do MBRów. Ostatecznościa jest Lov Level Format (niskopoziomowy format dysku) niestety ta operacja jest niebezpieczna dla dysku. Na moim starym dysku segate barracuda 10Gb miałem to samo uszkodzone tablice bad sectory i inne takie historie i wtedy pomógł forma nieskiego poziomu. Dysk pracuje do dzisiaj ale niestety nie u mnie.

#6

Jezeli juzto poroponuję sprawdzić kompa, RAM DYSk - przetestować: http://hcidesign.com/memtest/

http://epliki.info/download.php?platfor … ws&fid=219

#7

Chyba już wszystko dobrze :smiley:

Znalazł mi na moim dysku od razu na samym początku 2 bad sectory.

Natomiast na drugim dysku (nie systemowy) to było ok. 108, a wyleczonych 4 :frowning: więc nie chciało mi się czekać :stuck_out_tongue: