Witam. Od jakiegoś czasu mam problem z moim komputerem. Co chwila się zawiesza (wraz z myszką). Na początku (bo problem zaczął się od tygodnia) zawieszał się np. co kilka godzin ,a teraz nawet nie zdążę włączyć firefoxa. Postanowiłem więc odpalić system (Windows XP Professional) w trybie awaryjnym z obsługą sieci. Na początku myślałem ,że jest coś z sprzętem ,ale w trybie awaryjnym w ogóle się nie zawieszał. Odpaliłem gmera i niestety wystąpił komunikat:
UWAGA!
GMER odnalazł modyfikacje systemu, które mogły zostać dokonane przez ROOTKIT'a.
Czy chcesz dokładnie przeszukać system ?
[/code]
Po naciśnięciu Tak zrestartował mi się komputer...
Oto log z GMERa:
[code]GMER 1.0.14.14536 - http://www.gmer.net Rootkit scan 2009-06-21 16:45:05 Windows 5.1.2600 Dodatek Service Pack 2 ---- Devices - GMER 1.0.14 ---- AttachedDevice \Driver\Tcpip \Device\Ip epfwtdi.sys (Eset Personal Firewall TDI filter/ESET) AttachedDevice \Driver\Tcpip \Device\Tcp epfwtdi.sys (Eset Personal Firewall TDI filter/ESET) AttachedDevice \Driver\Tcpip \Device\Udp epfwtdi.sys (Eset Personal Firewall TDI filter/ESET) AttachedDevice \Driver\Tcpip \Device\RawIp epfwtdi.sys (Eset Personal Firewall TDI filter/ESET) ---- Services - GMER 1.0.14 ---- Service C:\WINDOWS\system32\svchost.exe (*** hidden *** ) [AUTO] ybeeyulw <-- ROOTKIT Z ciekawości odpaliłem GMERa na drugim komputerze (Windows XP Professional, brak internetu, problem na nim z zawiechami NIE WYSTĘPUJE) i o dziwo pojawił się ten sam komunikat co wcześniej:
UWAGA!
GMER odnalazł modyfikacje systemu, które mogły zostać dokonane przez ROOTKIT'a.
Czy chcesz dokładnie przeszukać system ?
[/code]
,a w logach GMERa:
Dane między tymi komputerami przenosiłem dyskietkami, pendrive ,a także płytami więc mogło się coś przedostać na inny komputer. Nie wiem co robić więc proszę Was o pomoc. Z góry dzięki.
Kurcze może być problem z tym robakiem. Ściągnąłem co prawda już narzędzia od 2 firm: Symantec i BitDefender. Ale co to da jak po 5 minutach włączonego komputera znowu zostają blokowane strony… Myślę ,że ktoś z mojej sieci (radiówka) ma też Confickera i mnie infekuje. Co do 2 komputera to znowu coś weszło tam ;/. Włączam gmera ,a tam znowu coś z rootkitem… Co mam robić ?
Dobra załóżmy ,że wszystko na 1 komputerze zrobię z wyłączonym kablem sieciowym. Ale jaki jest sens ,jeżeli po podłączeniu kabla znów robal się zainstaluje? Jak mam zabezpieczyć swój komputer przed tym Confickerem? Czytałem ,że jest łata Microsoftu ,ale nie mogę jej pobrać bo Conficker blokuje mi stronę Microsoftu
Co do 2 komputera, to tylko ComboFixa na nim odpalić tak? Myślę ,że wirus przedostał się przez to ,że pendrivem zgrywałem programy takie jak MalwareBytes oraz CCLeaner.
Co do infekcji. Rzeczywiście dość to dziwne, wchodzi niespotykanie łatwo i szybko powraca, już takie usuwałem i jak nie za pierwszym to za drugim razem poszło. Po pierwsze musisz sprawić sobie dobrego firewalla. Infekcja może być przenoszona w sieci lub na pendrivie, dlatego najlepiej jest go jednak sformatować.
Zaciekawił mnie pewien folder na moim pendrive o nazwie “RECYCLER” z atrybutem ukryty ,a w nim następny folder z jakimiś dziwnymi cyframi ,a w tym folderze plik z rozszerzeniem *.vtx (jakoś tak). Czy powinienem go usunąć?
Co do 1 komputera to nie mam pojęcia co robić. I mam jeszcze pytanie. Czy Conficker potrafi infekować pliki?
\edit
Zauważyłem ,że dzięki proxy (hells.pl) mogę odwiedzać blokowane strony przez Confickera, więc może uda mi się ściągnąć poprawkę. Ale czy Conficker nic nie zrobi po wykryciu ,że włączam instalkę poprawki?
Usuń ten folder, to jest świństwo imitujące kosz systemowy. Zazwyczaj w nim wędrują infekcje.
Nie wygląda na to. Aczkolwiek musisz coś robić co prowadzi do wtórnych infekcji. Praktycznie za każdym razem jak dawałeś log to tego świństwa było coraz więcej. To mogło wędrować przez pendrive, mogło przez sieć.
Tutaj potrzebny jest dobry firewall przede wszystkim.