И аз хванах вирус

[Nicky]

Чистих го този вирус от компютър на една позната. Интегрира се в windows explorer, така че ако е активен той и вируса е активен. Освен това си създава ключове за стартиране с компютъра и си прави ауторън на всички налични твърди дискове. Освен това прецаква достъпа до таскмениджър, редактора на регистъра и safe mode. Изтрива файловете на антивирусните, затваря прозорците за инсталиране на такива или сканиране през Интернет. НЕ прави промени обаче във файла hosts. Аз го изчистих по малко бабешки начин - копирах taskmgr.exe от windows-ката директория в друга и го прекръстих на нещо си. След това го стартирах, вируса не го спра. Спрях изпълнението на explorer.exe и всичките заредени в паметта копия на вируса. След това инсталирах нод32, който обаче по някое време явно пусна експлоръра. Аз го затворих отново, заедно с копията на вируса и продължих с инсталацията. След това сканирането протича без проблем и НОД32 успешно премахна вируса

[jelio_jelev]

При мен няма проблем с taskmgr.exe и не изтрива антивирусните. Действието се изразява в копирането на тези два файла във всяка една папка и запълването на хард диска, което води до ежедневно възстановяване от снимката, защото свършва свободното място на С: и компютъра забива. Интересно е, че онлайн скенера засече много заразени файлове и ги изтри. Как после се появиха пак. Къде да търся корена на проблема?

[Petar_kir2000]

Не съм вирусолог, но погледни си в System Properties дали не ти е включен System Restory! Изглючи го - постави човката на "Turn off System Restory on all divices"! Понякога вирусите се набутват там, за да могат да се възпроизведат при повторно зареждане на ОС-а.

[jelio_jelev]

При първото възстановяване бях забравил да изключа възстановяването, но при следващите го изключвах и резултата е същия. Само да припомня, че няколко пъти форматирах диска. Къде може да се крие гадината, че издържа на пълен формат на хард диска? Редактиран Януари 1, 2010 от jelio_jelev

[draco_volans]

Колко скоро, след като си възстановил партишана от Image, се появява вредителят? Какво инсталираш/обновявяш след възстановявянето?

[avalon72]

При първото възстановяване бях забравил да изключа възстановяването, но при следващите го изключвах и резултата е същия. Само да припомня, че няколко пъти форматирах диска. Къде може да се крие гадината, че издържа на пълен формат на хард диска?

В MBR-сектора. Пробвай с този инструмент да видим... Той има опция за сканиране на MBR. Формат на ниско ниво със специален софтуер ли правиш?

[jelio_jelev]

След като го възстановя до половин час и файловете се копират почти навсякъде. Нищо не съм инсталирал или ъпдейтвал след снимката. Бях пробвал с Авирата и нищо не стана. Сега ще пробвам пак. А формата го правя с Paragon Hard Disk Manager версия 8.08.088.5754 като давам на Wipe disk. И после си правя партишъните наново.

P.P. С инструмента от линка нестава. Тъкмо започне да зарежда и ми изгасва монитора.

Редактиран Януари 2, 2010 от jelio_jelev

[draco_volans]

Форматиране на абсолютно целия твърд диск ли правиш? Защо не пробваш да форматираш като за прясна преинсталация с XP (не с отделна програма)? Не че не вярвам на Paragon Hard Disk Manager, но просто до момента май не си правил това... Не би следвало нещо да оцелявя след цялостен формат на харда, с преразделяне... Или пък има нещо на снимката, която си направил..., но си ползвал много пъти преди това... Преди да предприемеш процедурата по тотално форматиране, надявам се си съхранил важната си информация на друго място (просто споменавам).

 

Казваш, че след възстановяване от снимката, не си инсталирал/ъпдейтвал нищо. Това означава ли, че не си бол никакви флашки?

[B-boy/StyLe/]

ЗА МНОГО ГОДИНИ НА ВСИЧКИ !!!

 

Сорка, за забавянето, но не бях платил Интернет-а и касите не бачкаха.

Явно ще трябва да поработим с логовете (ако вече не си форматирал всички дялове):

 

СТЪПКА 1

 

1. Изтегли MBR.exe и го запази на дял C:\.

 

2. След това въведи командата : Start => Run => напиши CMD => натисни Enter и сега напиши C:\mbr.exe -f и натисни Enter.

 

3. След края на процедурата ще се появи лог файл. Копирай съдържанието му в следващия си пост.

 

 

 

СТЪПКА 2

 

Изтегли GMER и го разархивирай на десктопа.

 

Преди да сканираш се увери, че всички останали работещи програми в момента са изключени и антивирусния софтуер няма да предприема никакви действия по време на сканирането на Gmer. Не използвай компютъра си, докато трае сканирането.

 

Кликни два пъти пъти върху gmer.exe , за да стартираш програмата.

Тя ще направи начално сканиране за секунди. След като то приключи НЕ натискайте бутона Scan, а избери бутона Copy и постави съдържанието на лог файла в следващия си пост.

 

 

 

СТЪПКА 3

 

Изтегли DDS от тук.

Запази го на десктопа.

Изключи защитата в реално време на антивирусната си програма (ако е инсталирана такава).Накрая, стартирай инструмента.

 

• Когато DDS приключи успешно анализа на системата ще отвори два лог файла.

1. 
   
2. DDS.txt
   
3. Attach.txt
   

• Запази ги на десктопа и след това ги прикачи към следващия си пост.

[avalon72]

След като го възстановя до половин час и файловете се копират почти навсякъде. Нищо не съм инсталирал или ъпдейтвал след снимката. Бях пробвал с Авирата и нищо не стана. Сега ще пробвам пак. А формата го правя с Paragon Hard Disk Manager версия 8.08.088.5754 като давам на Wipe disk. И после си правя партишъните наново.

P.P. С инструмента от линка нестава. Тъкмо започне да зарежда и ми изгасва монитора.

Не става ясно какво точно се случва - как така ти "изгасва" монитора? Компютъра ли се рестартира? Разбира се, че е добре да запишеш този диск на чист компютър, ако имаш тази възможност. Може заразата на твоя да пречи. След като запишеш диска, настройваш твоя компютър да зарежда от него - така вече не се влияе от заразите на харддиска и сканираш плюс чистене.

[jelio_jelev]

Nazikov Просто монитора се изключва а компютъра продължава да работи, но аз незнам вече какво става.

B-boy/StyLe/ Къде би трябвало е лога? Нещо не го намирам.

draco_volans Пробвал съм и формат с диска на Уиндоуса пак същотото. И флашката не съм включвал, че ме е страх да не пренеса вируса и на другия компютър.

 

Ето лога от GMER:

GMER 1.0.15.15281 - http://www.gmer.net

Rootkit quick scan 2010-01-02 14:54:09

Windows 5.1.2600 Service Pack 2

Running: gmer.exe; Driver: C:\DOCUME~1\B147~1\LOCALS~1\Temp\axtdipog.sys

 

 

---- System - GMER 1.0.15 ----

 

SSDT d346bus.sys (PnP BIOS Extension/ ) ZwEnumerateKey [0xF74E94FC]

SSDT d346bus.sys (PnP BIOS Extension/ ) ZwEnumerateValueKey [0xF74F4E00]

 

---- Devices - GMER 1.0.15 ----

 

Device \FileSystem\Ntfs \Ntfs 82F8F240

Device \FileSystem\Fastfat \Fat 82B6B8C8

 

---- EOF - GMER 1.0.15 ----

 

Има проблем също и с DDS. Стартирам я появява се един черен досовски екран за част от секундата на който пише нещо, ама не мога да го прочета толкова бързо и после се затваря и това е.

Редактиран Януари 2, 2010 от jelio_jelev

[avalon72]

...че ме е страх да не пренеса вируса и на другия компютър.

 

Значи имаш друг компютър... Запиши диска на него, нагласи заразения да зарежда от CD-ROM - не от харддиска (влизаш в биоса) и действаш нататък. Не е сложно. Няма да ти гасне монитора - нали иначе си работи?

[jelio_jelev]

Записах го на другия компютър. Сложих го в заразения и рестартирах. Появи се едно пингвинче с нещо като маска и монитора изгасна. Сетих се да пусна телевизора, че и той е свързан към компютъра обаче там дава нещо размазано и като на стоп кадър. CDто зарежда още малко и спря. И това е. И предния път беше същото. Пробвах и петте опции за зареждане. На 3,4 и 5 ми дава да си избера и резолюция за видеокартата ама която и да избера резултата е един и същ.

[avalon72]

Записах го на другия компютър. Сложих го в заразения и рестартирах. Появи се едно пингвинче с нещо като маска и монитора изгасна. Сетих се да пусна телевизора, че и той е свързан към компютъра обаче там дава нещо размазано и като на стоп кадър. CDто зарежда още малко и спря. И това е. И предния път беше същото. Пробвах и петте опции за зареждане. На 3,4 и 5 ми дава да си избера и резолюция за видеокартата ама която и да избера резултата е един и същ.

Много тъпо наистина. Не мога да си обясня какво става. Нормално избираш 1. -->Enter и ти зарежда скенера, избираш си езика и настройки за сканиране.

[B-boy/StyLe/]

B-boy/StyLe/ Къде би трябвало е лога? Нещо не го намирам.

 

Има проблем също и с DDS. Стартирам я появява се един черен досовски екран за част от секундата на който пише нещо, ама не мога да го прочета толкова бързо и после се затваря и това е.

 

Когато проверката свърши не се ли отварят два лог файла (би трябвало да се създадат близо до мястото, от където си стартирал DDS.exe). ?

 

Лог файла от GMER е чист. Не си пробвал да дадеш лог от MBR.exe.

 

 

 

Добре да пробваме тежката артилерия. Премести всичко ценно от дял C:\ на друг дял за всеки случай.

 

Спри защитата на антивирусната си програма.

 

Изтегли Combofix от този линк.

 

Преименувай инструмента на jelio_jelev.exe и го стартирай с двукратен клик на мишката.

 

По време на сканирането не стартирай никакви приложения, не мести мишката и не натискаш клавиши от клавиатурата.

 

След рестарта на системата ще се визуализира лог файл.

 

Публикувай го в следващия си пост.