Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Malware.Packer.Gen

sysio

Przez sysio
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

sysio

sysio

Opublikowano
Opublikowano

Witam Otóż cały dzień nie mogę zlikwidować paru wirusów W logach je znajdziecie.

Próbowałem poprzez Format c: nie d: gdyż mam tam cenne pliki.

Programy jakich używałem skany wielokrotne oprócz Combofix.

Program:

-Combofix

-Malwarebytes' Anti-Malware 1.50.1.1100

-OTL

-SalityKiller

 

W załączniku ich logi.

I jeszcze jakiego Anty Virusa polecacie przy kompie Procek 1,5GHz i 1,75 GB Ram DDR1

Proszę o szybką pomoc.

log.txt

Extras.Txt

OTL.Txt

ComboFix.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

Wirus Sality.

 

 

Programy jakich używałem skany wielokrotne oprócz Combofix.

Program:

-Combofix

-Malwarebytes' Anti-Malware 1.50.1.1100

-OTL

-SalityKiller

 

Na pierwsze trzy pozycje nie licz, nie przy tym wirusie. Tu wchodzi w grę tylko i wyłącznie program, który potrafi odkazić pliki wykonywalne z kodu. Tylko SalityKiller z tej grupy to umie, reszta nie pod tę infekcję (usuwanie składników "powierzchownych").

 

 

Próbowałem poprzez Format c: nie d: gdyż mam tam cenne pliki.

 

Wnioski się pchają na usta: na D również jest wirus i stamtąd zarażasz system po formacie. Może tam trzymasz sterowniki / programy i po formacie sam sobie podkładasz świnię. Nie zwalczysz tego wirusa, jeśli zostaje choć jeden zarażony plik. Czy dysk D w ogóle był skanowany?

 

 

SalityKiller stosowany i nie pomógł. Format C już tu był. Usuwanie punktowe nie ma najmniejszego sensu (walka z wiatrakami), tym bardziej że formatowanie się odbyło i okazało się nieskuteczne. Zostają więc ostatnie deski ratunku: leczenie z poziomu płyt bootowalnych (KLIK), a jeśli zawiedzie = format całego dysku (nie wolno z niego zgrać żadnych plików wykonywalnych i HTML).

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano
Hmmm d: był skanowany i został tylko ten jeden plik z 3 albo 4.

 

Zdanie "jeden plik z 3 albo 4" = jak mam to czytać? Czy to liczba plików zarażonych, pozostawiona? Kolejna sprawa: czy poza dyskiem D nie masz przypadkiem jakiś innych "materiałów" np. pendrive / płyty CD, na które nagrywałeś dane podczas trwania infekcji?

 

 

Hmm a może za pomocą Trybu Awaryjnego i jakiś programów np. ten SalityKiller.

Można by spróbować.

 

Tryb awaryjny jest skasowany przez Sality, a jego rekonstrukcja jest nietrwała dopóki działa wirus, czyli po zaimportowaniu wpisów SafeBoot jednorazowe wejście i powrót problemu. Próbować z SalityKiller możesz, tylko zwracam uwagę na sens działań: był tu format (mocniejszy niż SalityKiller), a skoro on nie pomógł, odtwarzasz tego wirusa własnymi rękami skądś i dopóki źródło nie zostanie rozpoznane, zabawa bez końca. Dla porównania: był tu przykład (KLIK) wielokrotnego przeładowania systemu i popełniania cały czas tego samego błędu = ładowane w nieświadomy sposób zarażone sterowniki.

Wreszcie: system zaraz po formacie, szybciej pójdzie format po raz drugi, a system po leczeniu i tak nie będzie identyczny jak system świeży. Ale musi być wiadome skąd wirus wraca, w przeciwnym wypadku format bezsensowny.

 

 

 

.

Odnośnik do komentarza
sysio

sysio

Opublikowano
  • Autor
Opublikowano

Hmmm.

W sensie z dyskiem d: jest tak.

Były na nim 3 lub 4 virusy.

Po zabawie z anty virusami tymi co wymieniałem został ten 1.

Pendriva ani płyty żadnej nie nagrywałem ani nie odtwarzałem chyba że płyta WIN XP jest w stacji dysków ale nie ruszana.

A zauważyłem że to co odpalałem było zarażone ale nie wiem jak teraz.

Więc przeskanuje jeszcze raz i luknę.

Jeżeli tak to znaczy że plik infekujący ustąpił.

To może być pozostałość po virusie.

A na d: mam 9 gb dokumentów.

I niestety nie za bardzo w grę wchodzi format d:.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano
Po zabawie z anty virusami tymi co wymieniałem został ten 1.

 

sysio nie dogadamy się, co to znaczy? Jeśli "ten 1" to Sality w rozumieniu ogólnym to jest niedobrze.

 

 

A na d: mam 9 gb dokumentów.

I niestety nie za bardzo w grę wchodzi format d:.

 

Po format C jego odtworzenie "z powietrza" jest niemożliwe, toteż jako podejrzany jest niestety dysk D lub coś konkretnego z tego dysku czego nie podejrzewasz. Zawartość mi nieznana, mówisz mętnie o "dokumentach" tylko nie podane typy dokumentów, jakie to ma rozszerzenia.

 

 

A zauważyłem że to co odpalałem było zarażone ale nie wiem jak teraz.

 

Log z OTL podany w pierwszym poście wskazuje, że wirus grasuje.

 

DRV - File not found [Kernel | On_Demand | Running] --  -- (amsint32)
O32 - AutoRun File - [2011-04-14 18:22:04 | 000,000,240 | RHS- | M] () - C:\autorun.inf -- [ NTFS ]
O32 - AutoRun File - [2011-04-14 18:22:04 | 000,000,236 | RHS- | M] () - D:\autorun.inf -- [ NTFS ]
 
[2011-04-14 19:31:09 | 000,029,412 | ---- | M] () -- C:\cjesii.pif
[2011-04-14 19:30:19 | 000,017,878 | -H-- | M] () -- C:\WINDOWS\System32\vcmgcd32.dl_
[2011-04-14 19:24:28 | 000,036,864 | ---- | M] () -- C:\WINDOWS\System32\vcmgcd32.dll

Jest usługa rootkit Sality ("not found" akurat w tym przypadku to pozór, ta usługa w taki sposób działa, ładuje się posektorowo z dysku), ekstraktowana biblioteka wirusa oraz ukryte pliki autorun.inf na każdym dysku skompletowane z plikami *.pif. Jeśli wirus jest czynny, usunięcie tu zakreślonych jest nieskuteczne, odtwarzają się w kółko.

 

Od teorii przejdź do czynów: już powinieneś skanować z płyty bootowalnej, wszystkie dyski.

 

 

 

.

Odnośnik do komentarza
sysio

sysio

Opublikowano
  • Autor
Opublikowano

Hmmm.

SalityKiller nic teraz nie wykrył.

Z tego co widzę to Te pliki na c: chodzą gdyż nie mogą być usunięte.

Może aktualnie posiadasz jakiś program co działa na zasadzie ComboFix.

Że przed restartem skanuje a po restarcie zanim włącza się te procesy zaczyna swe działanie lub blokuje odpalenie wszystkich procesów oprócz swoich.

Lub napisanie jakiegoś skryptu do OTL lub Combofix by pomogło?

No na d: są dokumenty typu .jpg .txt i pliki do cs tzn. .amxx .sma

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano (edytowane)
Może aktualnie posiadasz jakiś program co działa na zasadzie ComboFix.

 

Nie kombinuj, bo tego w taki sposób nie wyleczysz, a im dłużej teraz siedzisz na Windows, tym większe szkody się szerzą (wirus jest cały czas w pamięci). Dostałeś płyty bootowalne, co jest znacznie skuteczniejsze od wszystkich używanych tu programów pod ten typ infekcji, bo Windows nie jest załadowany (czyli wirus jest nieczynny). Czyli: pobrać i wypalić płytę np. Kaspersky Rescue Disk (najlepiej to robić na cudzym komputerze a nie na swoim zarażonym), startujesz z tej płyty i usuwasz wszystko co znajdzie antywirus, zapisujesz raport do oceny. Po restarcie do Windows tworzysz nowy zestaw logów.

 

 

 

.

Edytowane przez picasso
16.05.2011 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...