Win32/Agent.SDG.Gen w sektorze startowym dysku

[kk1102]

Witam,

Mam problem z tytułowym wirusem, otóż po uruchomieniu komputera po załadowaniu systemu (windows xp) antywirus który posiadam Eset pokazuje mi, że mam twgo wirusa i komunikat "Obiekt: sektor głównego rekordu startowego dysku fizycznego 2" klikam wylecz ale to nic nie daje bo pojawia się komunikat, że nie mam dostępu, dodam tylko,że udało mi się usunąć tego wirusa z 2'óch pozostałych dysków ale z 3 coś nie da rady, także proszę o pomoc

Oto logi:

OTL: http://wklej.org/id/596589/

GMER http://wklej.org/id/595998/

combofix http://wklej.org/id/596444/

MBRCheck: http://wklej.org/id/595920/ (edytowane przez picasso)

Czekam na sugestie

[picasso]

ComboFix nie powinieneś był uruchamiać na własną rękę. Opis narzędzia na forum mówi sam za siebie: KLIK. I nic Ci z tego nie przyszło.

 

 

Eset pokazuje mi, że mam twgo wirusa i komunikat "Obiekt: sektor głównego rekordu startowego dysku fizycznego 2"

 

Wiem, że byłeś (nieskutecznie) leczony gdzie indziej. Więc sobie przeklejam () pro forma wyciąg z Twojego loga z MBRCheck (notabene: on sobie nie poradzi przy bieżących rootkitach):

 

      Size  Device Name          MBR Status
  --------------------------------------------
    465 GB  \\.\PhysicalDrive3   Windows XP MBR code detected
            SHA1: 858845D53EA37CAD905BAB010542C912FBC33C8C
    186 GB  \\.\PhysicalDrive1   Windows XP MBR code detected
            SHA1: 858845D53EA37CAD905BAB010542C912FBC33C8C
     37 GB  \\.\PhysicalDrive0   Windows XP MBR code detected
            SHA1: 858845D53EA37CAD905BAB010542C912FBC33C8C
   1863 GB  \\.\PhysicalDrive2   Unknown MBR code
            SHA1: 2112DEB97137CBCC5710EFED18ADC8F308731CFF

 

Co dopiero tu miałam temat z rootkitem Whistler, który wystąpił w układzie dwóch dysków fizycznych i drugi dysk ma identyczne SHA1: 2112DEB97137CBCC5710EFED18ADC8F308731CFF.

 

 

1. Pobierz i wypal płytę OTLPE. Zbootuj z niej.

 

2. Na "Pulpicie" płyty uruchom narzędzie MbrFix i wklep w nim komendę:

 

MbrFix /drive 2 fixmbr /yes

 

3. Restart do Windows i zrób nowy log z MBRcheck.

 

 

 

.

[kk1102]

Zrobiłem tak jak kazałaś i nic to nie dało, oto log z MBRcheck http://wklej.org/id/597007/

[picasso]

Pytanie, co jest na tym dysku i co nosi partycja występująca jako pierwsza (N):

 

\\.\N: --> \\.\PhysicalDrive2 at offset 0x00000000`00007e00  (NTFS)
\\.\O: --> \\.\PhysicalDrive2 at offset 0x000000ed`80007e00  (NTFS)
\\.\P: --> \\.\PhysicalDrive2 at offset 0x0000016a`b2007e00  (NTFS)

 

Możesz wypróbować nadpisać boot sector tego dysku, start do Konsoli Odzyskiwania i komenda fixboot N:. Zakładam, że pierwsza partycja tego dysku będzie zmapowana w środowisku zewnętrznym jako "N", ale zweryfikuj to z poziomu Konsoli Odzyskiwania poleceniem map.

 

 

 

.

[kk1102]

Nadpisałem boot sektor dysku w konsoli odzyskiwania, po ponownym uruchomieniu systemu znów Eset alarmuje mnie o wirusie

[picasso]

Wypóbuj kolejne narzędzie MBRWizard CLI Freeware (chodzi o konsolową wersję darmową). Umieść w katalogu uwzględnionym przez Zmienne środowiskowe, np. C:\Windows. Start > Uruchom > cmd > komenda do załadowania:

 

Mbrwiz /Disk=2 /Repair=xp

[kk1102]

Oo, użyłem MBRWizard'a i po ponownym uruchomieniu komputera jak narazie żaden komunikat przez Eseta nie pojawił się, oto log z MBRcheck http://wklej.org/id/597216/ zauważyłem, że już jest ok także dziękuję Ci za pomoc i obym już nie musiał z niej korzystać

[picasso]

Jest w porządku, wykryty typ kodu i SHA1 uległy zmianie:

 

      Size  Device Name          MBR Status
  --------------------------------------------
   1863 GB  \\.\PhysicalDrive2   Windows XP MBR code detected
            SHA1: DA38B874B7713D1B51CBC449F4EF809B0DEC644A

 

To jeszcze nie koniec działań, istotnym jest:

 

1. Zmień wszystkie hasła logowań w serwisach. Rootkity MBR mogą łowić dane.

 

2. Podałeś niekompletny log z OTL (brak Extras = opcja "Rejestr - skan dodatkowy" nie została ustawiona na "Użyj filtrowania"), bym mogła zweryfikować status aktualizacji oprogramowania, gdyż aktualne programy to podstawa w zabezpieczeniach.

 

3. Używany ComboFix musi być w prawidłowy sposób odinstalowany, przez Start > Uruchom > komenda: e:\download\ComboFix.exe /uninstall

 

 

 

.

[kk1102]

ComboFix już odinstalowany, oto log z OTL: http://wklej.org/id/597234/ i 2 log z OTL http://wklej.org/id/597238/

[picasso]

Przypominam o zmianie haseł.

 

1. Na liście programów są pozycje adware Conduit Engine + SFT_Polska Toolbar do deinstalacji. EDIT: Dodałeś drugi log. On pokazuje, że to nie szczątki, tylko zdążyłeś zainstalować te dwa śmieci w międzyczasie ... Po deinstalacji zastosuj jeszcze AD-Remover (wykrywa Conduit) w trybie Clean.

 

2. Następujące oprogramowanie wymaga aktualizacji:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216016FF}" = Java™ 6 Update 16
"{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.0 - Polish
"{D6F879CC-59D6-4D4B-AE9B-D761E48D25ED}" = Skype™ 5.3
"7-Zip" = 7-Zip 4.65
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Adobe Shockwave Player" = Adobe Shockwave Player 11.5
"Gadu-Gadu 10" = Gadu-Gadu 10

 

- Szczegóły aktualizacyjne rozpisane w tym wątku: INSTRUKCJE.

- Uwaga spoza: zawsze gdy widzę reklamodawczego żernego potwora GG10 zwracam na to uwagę i podsuwam propozycje alternatywne. Temat Darmowe komunikatory opisuje alternatywy, a osobiście przeze mnie polecaną jest WTW (brak reklam, lekki, portable, obsługuje wszystkie ważne cechy GG10, importuje archiwum GG10).

 

 

.

Edytowane 10 Grudnia 2011 przez picasso
5.10.2011 - Nic już nie komentujesz, temat uznaję za zamknięty. //picasso