Zainfekowany komputer


(Mdz2) #1

Od razu piszę, ze nie mam możliwości utworzenia loga (przynajmniej póki co).

Komputer zainfekowałem kilka dni temu szukając serialów. Pojawiały się komunikaty o koniach trojańskich i wirusach, które ESET Smart Security 4 usuwał. Zmieniła mi się też strona startowa we wszystkich przeglądarkach. Taka gehenna trwała do wczoraj (ale to się działo dopiero po podłączeniu kompa do internetu). Wczoraj przy uruchamianiu się XP SP3 (jak już był pulpit) pojawiał się niebieski ekran STOP. Z trybu awaryjnego przywróciłem system. I było "dobrze". Dodatkowo puściłem CHKDSK z konsoli. Jednak pod wieczór zaatakował mnie Win32/Virut.NBP. Zabrał się za pliki systemowe (m.in. Explorer.exe).Po tym, podczas uruchamiania, gdy włączy się pulpit, pojawiają się raporty błędów do wysłania i tyle (także w trybie awaryjnym). Utworzyłem dysk ratunkowy i teraz ESET mi skanuje komputer. Na samej partycji systemowej było 100 infekcji w tym 99 ww. wirusa. Na pozostałych - 43 infekcji. Wykrywa mi wirusy:

  • Win32/Kryptik.ZJ koń trojański (w C:\Docum...\Macek\Maciek.exe oraz w Tempie IE) - wyleczony przez usunięcie + kwarantanna

  • Win32/Virut.NBP - pliki exe - uleczone i często poddane kwarantannie

  • Win32/Kryptik.CB - uleczone,

  • Protector.B wirus - C:\Windows\system32\dllcache\ndis.sys oraz C:\Windows\system32\drivers\ndis.sys - nieuleczalne + usunąłem

  • Win32/TrojanDropper.Agent.OFV - w Tempie IE - uleczone

  • Win32/Agent w 2 archiwach ściągniętych z WWW - nieuleczale + usunąłem (ale podejrzewam, że to nie ma nic związanego ze prawą)

Podejrzewam, że to wszystko jest sprawką rootkita, którego ESET nie wykrywa.

Mam taki plan, że wykonam reinstalacje XP (tzw. Aktualizację z płyty XP SP2) i tuż po niej włączę tryb awaryjny z obsługą sieci (w trybie normalnym wszystko zacznie się od początku) i pościągam odpowiednie programy od rootkitów oraz puszczę parę skanerów on-line.

I mam tu pytania:

  1. Czy to ma szanse powodzenia?

  2. Czy jest to wykonalne?

  3. Czy jest możliwość włączenia trybu awaryjnego po reainstalacji (tak, żeby nie trzeba byłą włączać XP w trybie normalnym)?

  4. Jakie programy polecacie?

  5. Może macie pomysł na inną metodę?

Liczba zainfekowanych obiektów: 143

Liczba wyleczonych: 141

Poddanych kwarantannie: 101 (i chyba wszystkie z C:) (tak podał ESET)


(Robert Zgrzebnicki) #2

Walka z Virutem jest długa i żmudna, a i tak nie zawsze z pozytywnym rezultatem. Poczytaj: http://helpc.eu/viewtopic.php?f=26&t=1674.


(Mdz2) #3

Dzięki. Puszczam drugi raz ESETa. Potem zastosuję się do metody II.

-- Dodane 22.07.2009 (Śr) 23:10 --

Puściłem Kasperskiego Rescure Disk, który się zaktualizował przed skanowaniem. Znajduje:

  • Backdoor.Win32.Small.idl

  • Trojan.Win32.Rabbit.og

  • Virut.Win32.Virut.ce , którego najczęściej ulecza

  • Trojan.Win32.Qhost.lsd (lub Isd)

Pomyślałem sobie, że jak już on to wszystko wyczyści, to może zamiast reinstalacji po prostu włączyć system. Wtedy powinien on pobrać brakujące pliki z instalki na dysku (zapomniałem nazwy tej czynności - podobno jest dostępna tylko dla NTFS). Tylko obawiam się, że to cholerstwo może się odezwać, więc może lepiej reinstalacja?

PS Skanuję komp bez przerwy od 13... 3x ESETem i teraz Kasperskim, który w 3h zrobił 24%...

-- Dodane 23.07.2009 (Cz) 23:04 --

Dokończyłem skanowanie Kasperskim (w sumie zajęło 14h!), reinstalowałem system i puściłem narzędzie do usuwania Viruta Symanteca i nie znalazł go. Działam w trybie awaryjnym z obsługą sieci. Moje logi: OTL, HijackThis. Dzisiaj (jak za niedługo skanowanie się skończy) lub jutro dam logi z GMERa. DDS nie mogę znaleźć nigdzie, a link na forum mi nie działa (chodzi o DDS.com). Jeśli nie ma potrzeby wielkiej - proszę nie prosić mnie o logi z ComboFixa.

PS Prosiłbym, aby po stwierdzeniu "czystości" logów, od razu nie zamykać tematu (na wszelki wypadek).