igi Opublikowano 28 Września 2011 Zgłoś Udostępnij Opublikowano 28 Września 2011 Witam, AV Avira informuje mnie o wykrytym wirusie [DETECTION] Contains code of the BOO/Whistler boot sector virus. Poczytałem forum i na własną rękę chciałem pozbyć się Whistlera. Odpaliłem TDSSKillera i na dysku z systemem (Dysk1 - C,E,F) wykrył i usunął go bez żadnego problemu. Jednak Avira nadal wykrywa Whistlera na drugim dysku (Dysk0 - G,E). Formatka i wywalenie partycji nie pomogło (G). Do załącznika wrzucam wymagane logi oraz z TDSSkillera przed i po usuwaniu. Mam jeszcze 2 dodatkowe pytania: 1. Czy ten wirus pozostał by nawet w przypadku formatu obu dysków i postawienie systemu na nowo ? 2. Czy dyski przenośne na usb nie są zainfekowane z uwagi na brak na nich MBR ? gmer.txt Extras.Txt OTL.Txt TDSSKiller.2.5.22.0_18.09.2011_14.43.22_log.txt Odnośnik do komentarza
picasso Opublikowano 28 Września 2011 Zgłoś Udostępnij Opublikowano 28 Września 2011 Jednak Avira nadal wykrywa Whistlera na drugim dysku (Dysk0 - G,E). Formatka i wywalenie partycji nie pomogło (G). 1. Pobierz MBRWizard CLI Freeware, narzędzie umieść w katalogu C:\Windows. 2. Start > Uruchom > cmd > wpisz komendę: Mbrwiz /Disk=0 /Repair=xp 3. Przedstaw log z narzędzia MBRCheck, po to by zaprezentować zestawienie sygnatur po naprawach. Mam jeszcze 2 dodatkowe pytania:1. Czy ten wirus pozostał by nawet w przypadku formatu obu dysków i postawienie systemu na nowo ? 2. Czy dyski przenośne na usb nie są zainfekowane z uwagi na brak na nich MBR ? 1. Totalny format wszystkiego w połączeniu z instalacją systemu przepisującą MBR owszem likwiduje te elementy. Nie jest to tu potrzebne. 2. Jakie dyski USB? Były podpięte podczas infekcji? . Odnośnik do komentarza
igi Opublikowano 28 Września 2011 Autor Zgłoś Udostępnij Opublikowano 28 Września 2011 Wygląda na to że zadziało, w załączniku log. A co do tych dysków to oba były podpięte podczas infekcji pierwszy WD Elements - 3,5 cala na USB z zewnętrznym zasilaniem oraz kieszeń na dysk ATA podłączana przez USB MBRCheck_09.29.11_21.38.14.txt Odnośnik do komentarza
picasso Opublikowano 28 Września 2011 Zgłoś Udostępnij Opublikowano 28 Września 2011 Jest dobrze, sygnatury + SHA1 są już prawidłowe: Size Device Name MBR Status -------------------------------------------- 298 GB \\.\PhysicalDrive1 Windows XP MBR code detected SHA1: DA38B874B7713D1B51CBC449F4EF809B0DEC644A 931 GB \\.\PhysicalDrive0 Windows XP MBR code detected SHA1: DA38B874B7713D1B51CBC449F4EF809B0DEC644A 1. A co do tych dysków to oba były podpięte podczas infekcji Choć wątpię czy są naruszone, ale na wszelki wypadek przeskanuj je swoim antywirusem. 2. W związku z obecnością rootkita dla bezpieczeństwa zmień hasła logowania w serwisach. 3. Wykonaj aktualizacje oprogramowania: Windows XP Home Edition Dodatek Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstationInternet Explorer (Version = 6.0.2900.5512) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216012FF}" = Java 6 Update 22"{AC76BA86-7AD7-1045-7B44-A81200000003}" = Adobe Reader 8 - Polish"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin"Adobe Shockwave Player" = Adobe Shockwave Player 11.5"KLiteCodecPack_is1" = K-Lite Codec Pack 4.1.7 (Full)"Mozilla Firefox (3.6.21)" = Mozilla Firefox (3.6.21)"Mozilla Thunderbird (6.0)" = Mozilla Thunderbird (6.0) ========== HKEY_USERS Uninstall List ========== [HKEY_USERS\S-1-5-21-823518204-602162358-839522115-1004\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"Google Chrome" = Google Chrome - Zakładam, że system jest załatany (?). A wszystkie pozostałe do aktualizacji: INSTRUKCJE - (Opcjonalnie) możesz zaktualizować sfatygowane kodeki. 4. Na koniec wyczyść lokalizacje tymczasowe za pomocą TFC - Temp Cleaner. . Odnośnik do komentarza
igi Opublikowano 28 Września 2011 Autor Zgłoś Udostępnij Opublikowano 28 Września 2011 Dzięki za pomoc. Do rad się zastosuję. Odnośnik do komentarza
Rekomendowane odpowiedzi