Autoodtwarzanie partycji/ win.32.sality?

Witam!

Po dwukrotnym kliknięciu na partycję, partycja nie otwiera się, to samo dzieje się gdy najeżdżam na partycję klawiaturą i włączam enter. Przy prawokliku na partycji znajduje się jak do tej pory nowa opcja: “autoodtwarzanie” i żeby otworzyć partycję muszę PPM najechać na partycję i wtedy wybrać “otwórz”. Z katalogami nie ma problemu.

Szukałem rozwiązania w necie to na forum egiełdy znalazłem, że może to być przyczyna wirusa win.32.sality, ale:

1.w msconfig nie ma MS32.DLL

2.na partycjach nie ma ms32.dll.vbs

3.avast mi nic nie wykrywa

Jeżeli jest to ten wirus to pytanie czy jest on groźny? Pytam, bo zależy mi na bezpieczeństwie tego komputera, bo wykonuje na nim różne ważne i czasami “kosztowne” operacje.

Pytanie jest: dlaczego się tak dzieje i jak można to naprawić? Z góry dzięki za pomoc!

Na wszelki wypadek wklejam loga z hijack this!:

>>Hijack>>scan(Do a system scan only)>>zaznacz go >> Fix checked.

>>Hijack>>scan(Do a system scan only)>>zaznacz go >> Fix checked.

To jest Twój główny winowajca.

Jeśli chodzi o “SALITY”, to jest to bardzo groźny wirus, bo zaraża wszystkie pliki o rozszerzeniu *.exe , czyli wszystkie programy i wszystkie pliki wykonywalne systemu. Inaczej mówiąc - po jego usunięciu najczęściej trzeba sformatować dysk, bo to co zostanie po jego usunięciu, to nie nadaje się do użytku.

Ale u Ciebie widzę tylko (i aż) infekcję na pendrive i to ona jest powodem Twoich kłopotów. Zarażony pen (np. aparat cyfrowy, telefon,itp), trzeba sformatować albo wyrzucić na śmietnik. Jeśli było używanych kilka penów, to wszystkie są teraz zarażone .

Ściągnij -->ComboFix (na dole tej strony z linku).

Wklej do Notatnika :

File::

C:\WINDOWS\pagefile.sys.vbs

>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )

– podobnie jak na tym obrazku –> Klik

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: ** Qoobox**.

Log z ComboFixa wklej na http://wklej.org/, a w poście daj tylko link.(czyli skopiuj adres z paska adresów) .

jessi

Ok, zrobione.

http://wklej.org/id/3297cd0704

Jedno zastrzeżenie do loga. Zrobiłem najpierw skan ComboFixem, ale miałem otwartą przeglądarkę jak również Zone Alarm się strzępił i podczas skanu go wyłączyłem. Doczytałem instrukcję jeszcze raz i po zeskanowaniu ComboFixem usunąłem log, zamknąłem wszystkie programy wraz z Firewallem i zrobiłem ponowny skan. Link do loga jest z ponownego skanu (z tego co pamiętam to w pierwszym skanie na samym początku logu przy

FILE::

C:\WINDOWS\pagefile.sys.vbs

były jeszcze

C:\autorun.inf

D:\autorun.inf itd…

Przed i po skanie sformatowałem pena. Wszystko jest teraz ok i mam czysty komp? I pytanie czy pen nie będzie dalej zarażał?

Dzięki za pomoc

Wklej do Notatnika :

File::

C:\pagefile.sys.vbs

C:\pagefile.sys.vbs

C:\pagefile.sys.vbs

C:\WINDOWS\pagefile.sys.vbs

>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )

– podobnie jak na tym obrazku –> Klik

Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: ** Qoobox**.

Jeśli użyłeś sformatowanego pena, to jest on ponownie zarażony, bo ta infekcja przedostaje się z pena na dysk i potem z dysku na pen i tak w kółko…

Jak usuniesz z dysku infekcję, i potem włożysz pena do sformatowania, to w chwili wkładania pena znów zostanie zarażony dysk. I tak w kółko…

Spróbuj robić log z ComboFixa przy włożonym penie, może to coś pomoże, choć pewności nie mam…

Daj nowy log z ComboFixa.

jessi

a gdybym użył linuksa do sformatowania pena to będzie ok?

Chyba możesz, ale wg mnie wystarczy sformatować pena, potem użyć ComboFixa, by zobaczyć, czy nie ma na dysku plików “Autorun.inf”(bezpośrednio na “C:”) i “pagefile.sys.vbs”, jeśli są, to usunąć, jeszcze raz sprawdzić ComboFixem, czy zniknęły one z dysku, i powinno być po kłopocie.

EDIT:

Jeszcze jedno: po sformatowaniu pena masz tylko 2 sekundy na wyjęcie go - jeśli nie zdążysz, to pen zdąży się zarazić powrotnie.

jessi

Daj jeszcze raz loagi (ComboFix, HijackThis, Silten~), bo niejednokrotnie coś co wydaje się usunięte jeszcze siedzi… Sam miałem ten problem z pendrive

Zrób to co mówi jessica Format i natychmiastowe wyjecie i zobacz jak wygląda sprawa…

Czekam na logi…

Ok, najpierw sformatowałem pena w linuksie, następnie zrobiłem z combofixem to co jessica napisała

(przy tym domyślam się, że wpis w CFScript.txt:

)

tutaj jest log z tej operacji: http://wklej.org/id/9b88975837

Następnie restart i ponowny format pena tym razem w windows. Znowu restart i tutaj jest aktualny log z hijackthis! z podłączonym penem: http://wklej.org/id/3bce771c23

Jeszcze takie pytanie: czy jest możliwe, że podczas formatu pena w linuksie wirus wszedł na partycje linuksowe i będzie mi zarażał teraz pendrivy, kiedy będę ich używał w linuksie?

Wygląda na to, że jest OK. :slight_smile:

Na pytanie “linuksowe” nie potrafię odpowiedzieć, nie znam się w ogóle na Linuxie.

jessi

Wielkie dzięki jessica i Frefol! :slight_smile:

Za poradą Frefola wkleje jeszcze just-in-case loga z Silent Runners tutaj: http://wklej.org/id/5e13130648

A jeżeli ktoś zna odp “linuksową” to też będę wdzięczny.

Po co jest Ok log z Silenta

Witam,

Proszę o sprawdzenie loga z tego samego powodu, ale na innym komputerze - prawdopodobnie od niego się zaraziłem.

Log z Combofix (zastosowałem to co jessica napisała wcześniej) http://www.wklej.org/id/6a51413f1a

Ponowne dzięki!

Wpis zafixuj, a plik usuń w trybie awaryjnym poprzez narzędzie szukaj. Usuń z dysków pliki autorun.inf. daj log combofix

Witam

Do komputera z ostatniego mojego posta chwilowo nie mam dostępu, ale temat znów powraca na innym komputerze :(, objawy takie same. Zrobiłem to co wyżej jessica napisała i jest niby ok tzn nie ma objawów wirusa. Niestety po zainstalowaniu AVG, program wykrył mi wirusa(trojana?) SHeur.KMV w plikach m.in. sever.exe i _sever.exe, dlatego proszę o sprawdzenie logów:

Logi z Combofixa znajdują się tutaj:

http://www.wklej.org/id/e9dc37203e

Logi z Combofixa robiłem jeszcze przed instalacją SPF i AVG (miałem nortona). Natomiast log z HT! po juz po przeskanowaniu przy pomocy AVG. Pozdrawiam i proszę o pomoc.

Wklej do Notatnika:

>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )

– podobnie jak na tym obrazku –>88953CFScript-createdbyMiekiemoes.gif

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: ** Qoobox**.

Po tym nowy log z Combo

Wpis z ComboFix: http://www.wklej.org/id/f952a3cfbf

Na wszelki wypadek podaję jeszcze log z HT! z włożonym zakażonym penem, którego sformatowałem w Linuksie (a później skopiowałem wybrane pliki):

Już powinno być Ok

cześć proszę o pomoc

zrobiłem co zostało opisane wcześniej

log

http://wklej.org/id/30601/

pzdr

Grzegorz

Podaj log z Combofix

Logi dajesz na http://wklej.eu lub na http://wklej.org a w poście dajesz tylko link