halfmaniac Opublikowano 27 Marca 2011 Zgłoś Udostępnij Opublikowano 27 Marca 2011 Witam. Od piątko toczę walkę z wirusami i innymi paskudztwami. Mianowicie w piątek pobrał mi się jakiś syf na komputer. Jakiś "pseudo" program antywirusowy który sam się "aktualizował" zaraz po starcie systemu, oprócz tego na pulpicie pojawił się zamiast tapety "warning" i jakieś ostrzeżenia na niebieskim tle. Oprócz tego kompletnie nic nie dało sie zrobić bo tak komputer mulił. Dostałem się więc przez tryb awaryjny do internetu i za poradą znajomego ściągnąłem combofixa - odpaliłem go i jakoś ten syf się sam usunął - jak się okazało nie był to koniec. Przed tym wykonałem skanownie rozruchowe Avastem, wykryło kilka szkodników i usunęło jednak nic to nie pomogło. W dniu dzisiejszym Avast chce zwariować, cały czas wykrywa i blokuje jakieś nowe złośliwe oprogramowanie, konie trojańskie etc. Z szybkości kilkudziesięciu w ciągu minuty. Oprócz tego komputer strasznie muli. Ponowne uruchomienie Combofixa tym razem nie dało żadnych rezultatów, tak samo nie pomógł skan MKS Online. Komputer potrzebuję sprawny do pracy już natychmiast, jednak nie mam pojęcia co robić - jestem zielony. Prosze o pomoc. Obecnie nic już nie mogę zrobić praktycznie w normalnym trybie systemu i znów musiałem przenieśc się do trybu awaryjnego. Dodam że mam Windows XP. Mozilla Firefox, która mam ustawiona jako domyślną przeglądarke nie chce się uruchomić, Avast w ciągu niecałej godziny wykrył ponad 4800 zainfekowanych plików i wykrywał n aokrągło nowe. Co począć ? Dodaje log z combofixa http://wklej.org/id/501009/txt/ Oraz z OTL http://wklej.org/id/501012/ http://wklej.org/id/501013/ Dodam jeszcze, że bardzo często pojawia się komunikat "Czy chcesz zapisać zmiany w WinWord2". Wcześniej tego nie było Z góry przepraszam za nieregulaminowe postepowanie, prosze zrozumieć jestem w lekkiej panice, bo na jutro muszę coś zrobić, a ten cholerny wirus mi nie pozwala.. Skan na obecnośc rootkitów się tez już tworzy.. Odnośnik do komentarza
Landuss Opublikowano 27 Marca 2011 Zgłoś Udostępnij Opublikowano 27 Marca 2011 Czekamy na log z Gmer bo jest on istotny. Tylko w OTL widać że masz aktywną emulacje wirtualnych napędów: DRV - [2009-05-08 22:21:25 | 000,278,984 | ---- | M] () [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\atksgt.sys -- (atksgt) DRV - [2009-05-08 22:21:25 | 000,025,416 | ---- | M] () [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\lirsgt.sys -- (lirsgt) DRV - [2008-02-23 00:05:35 | 000,716,272 | ---- | M] () [Kernel | Boot | Running] -- C:\WINDOWS\System32\Drivers\sptd.sys -- (sptd) Jak wiadomo aby poprawnie Gmera wykonać należy zdjąć emulację według opisu: KLIK Avast w ciągu niecałej godziny wykrył ponad 4800 zainfekowanych plików i wykrywał n aokrągło nowe. Co począć ? Pod jaką nazwą jest wykrywana infekcja? Jakie to są pliki? Chodzi o rozszerzenie bo jeśli .exe to może być tu infekcja w plikach wykonywalnych. Na razie nie zadaje żadnych zaleceń dopóki nie uzupełnisz tych wszystkich informacji bo są istotne. Odnośnik do komentarza
halfmaniac Opublikowano 27 Marca 2011 Autor Zgłoś Udostępnij Opublikowano 27 Marca 2011 1. Usunąłem wszystkie programy emulujace, tzn miałem dwie wersje Deamona 2. Próbowałem po usunięciu tych programów wyłaczyć sterowniki narzędziem SPTDinst. , pobrałem odpowiednią wersje jednak przy próbie uruchomienia wyskakuje błąd iż to narzędzie "nie jest prawidłową aplikacją systemu Win32" 3. W takim razie skorzystałem z alternatywnej metody - użyłem Defoggera - chyba pomyślnie defogger_disable by jpshortstuff (23.02.10.1) Log created at 19:26 on 27/03/2011 (Mateusz) Checking for autostart values... HKCU\~\Run values retrieved. HKLM\~\Run values retrieved. Checking for services/drivers... Unable to read sptd.sys SPTD -> Disabled (Service running -> reboot required) -=E.O.F=- Logi z Gmera i OTL umieszczam w załącznikach Co do zarażonych plików które wykrywa Avast - w dzienniku skanowanie gdzie moge sprawdzić historię, zarażone są w większości pliki o rozszerzeniu html oraz dll, pojedyncze pliki z rozszerzeniem exe tez się zdarzają. Są one zarażane kilkoma rodzajami szkodników, najwięcej jest m.in. VBS. ExeDropperGen , Win32:Ramnit-G, Inf Autorun-gen3, Win:32 Starter-BH oraz wiele innych. Zarażonych obecnie ponad 6000 Bardzo irytującą rzecza jest to, że nie mogę uruchomić Mozilli Firefox, Gadu -gadu(gdy chce to zrobić pojawia się błąd "gg.exe - nie można znaleźc składnika. Uruchomienie tej aplikacji nie powiadło się, ponieważ nie znnlaeziono Crypto.dll" Kolejną rzeczą, która strasznie się sypie jest Pakiet Office. Musze cos pisac w Wordzie to on sam się wyłącza, cały czas pojawia się "Czy chcesz zapisać zmiany w WinWord2" Nastepną niepokojącą rzeczą, która przytrafiła mi się pierwszy raz było to, że komputer sam się wyłączył. Na szczęście stało się to tylko raz. Oprócz tego komputer strasznie spowolnił swoją pracę. Dodam, że problemy zaczęły sie w piątek. Wtedy sam pobrał mi się jakiś "pseudo" antywirus, który praktycznie blokował całą prace komputera, ktos polecił mi Combofixa - wydawało się, ze sobie z tym poradził, jednak za jakis czas zaczeło się wszystko sypać. Extras.Txt Gmer.txt OTL.Txt Odnośnik do komentarza
Landuss Opublikowano 27 Marca 2011 Zgłoś Udostępnij Opublikowano 27 Marca 2011 W takim razie masz infekcję plików wykonywalnych Ramnit. To trudna do usunięcia infekcja. Na początek zacznij od całkowitego skanowania wszystkich dysków za pomocą Kaspersky Virus Removal Tool. Po skanowaniu zdaj raport co program zrobił i czy coś wyleczył lub usunął. Odnośnik do komentarza
halfmaniac Opublikowano 27 Marca 2011 Autor Zgłoś Udostępnij Opublikowano 27 Marca 2011 Czy może to być wina wirusa, czy raczej komputera, że jak klikam na podany przez Ciebie link do tego Kasperskiego to niezależnie czy w Internecie Explorerze, czy też w Chrome - nie odnajduje strony. Szukałem również w google jakiś stron z możliwością pobrania tego programu jednak, gdy klikam na "zapisz element docelowy jako" wyskakuje błąd "Internet Explorer nie może pobrać AVPTool/ z devbuilds.kaspersky-labs.com ustanowienie połaćzenia z serwerem nie było możliwe" a generalnie inne strony wchodza ok. Internet explorer potrafi się zawiesić, ale Chrome dobrze działa, ale na Chrome tez nie idzie pobrac. Jeszcze jedno pytanie. Na komputerze mam dosyć ważne dokumenty tekstowe doc. czy ta infekcja może spowodować ich utratę ? Jak można sie przed tym zabezpieczyć EDYCJA: Hmm wygląda na to, że cos blokuje mi poszczególne strony. Internet działa mi normalnie, wszystkie strony wchodzą oprócz właśnie strony Kaspersky - nie moge pobrać tego co mi poleciłeś, chyba, że będzie gdzieś na jakimś serwerze, albo polecisz cos innego. Tak samo nie wchodzi strona Microsoftu i Dr. Web. Odnośnik do komentarza
Landuss Opublikowano 28 Marca 2011 Zgłoś Udostępnij Opublikowano 28 Marca 2011 W takiej sytuacji proponuje wypalić na innym komputerze bootowalną płytke Kaspersky Rescue Disk i z jej poziomu wykonać skanowanie. Jeszcze jedno pytanie. Na komputerze mam dosyć ważne dokumenty tekstowe doc. czy ta infekcja może spowodować ich utratę ? Dokumenty tekstowe są bezpieczne. Odnośnik do komentarza
halfmaniac Opublikowano 28 Marca 2011 Autor Zgłoś Udostępnij Opublikowano 28 Marca 2011 Dopiero teraz przeczytałem Twój nowy post. Przed tym kolega pobrał instalke Kaspersky Virus Removal Tool i wrzucił na serwer, po czym ją pobrałem i przeskanowałem. Program non stop wykrywał jakieś infekcje, zresztą raport ze skanowania wrzucam poniżej: Raport z Kasperskiego Da się coś z tym zrobić bez formata ? A w przypadku takiego, czy koniecznie będzie sformatowaniu wszystkich partycji ? Odnośnik do komentarza
Landuss Opublikowano 29 Marca 2011 Zgłoś Udostępnij Opublikowano 29 Marca 2011 (edytowane) Wykonuj skanowanie dotąd dopóki nic nie wykryje Kaspersky. Jeśli to się stanie to może wyjdziemy z tego. Gdy już nic nie zostanie wykryte sporządź nowe logi z OTL i Gmer. Edytowane 30 Kwietnia 2011 przez picasso 30.04.2011 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi