Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

DL.exe nie do ubicia

Zawirowany

Przez Zawirowany
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

Zawirowany

Zawirowany

Opublikowano
Opublikowano

Witam.

Czy jest szansa na usunięcie tego na wieki czy trzeba z tym żyć?.

Żaden program AV i inne sposoby nie potrafią tego ubić, tzn. kasują go, ale on wraca jak bumerang nawet po formatowaniu lub usunięciu partycji.

MBR wygląda tak:

C:\>mbr

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer

.net

Windows 5.1.2600 Disk: ST3500418AS rev.CC37 -> Harddisk0\DR0 -> \Device\Ide\IdeD

eviceP3T0L0-1b

 

device: opened successfully

user: MBR read successfully

kernel: MBR read successfully

user != kernel MBR !!!

 

C:\>

 

Po zainstalowaniu na nowo systemu Windows XP wszystko jest ok, do momentu połączenia się z siecią (zainstalowania sterowników karty sieciowej). Po instalacji sterowników łączy się z siecią i dostaje komunikat:

post-4419-0-54157800-1335869112_thumb.jpg

 

Za każdym razem po tym komunikacie mam uwalone kilkaset plików z rozszerzeniem EXE.

Poszło już się paść około 6tyś plików.

Programy AV pokazują różne wirusy - w zależności od programu.

Po pojawieniu się okna CMD z dl.exe odcina internet i wyskakuje okienko:

post-4419-0-46766700-1335869928_thumb.jpg

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

Proszę przeczytaj zasady działu: KLIK. Log z HijackThis to nie tu, podaje się inne zaawansowane raporty z OTL + GMER. Nie udostępnia się plików zainfekowanych! Wymazuję te informacje.

 

 

Żaden program AV i inne sposoby nie potrafią tego ubić, tzn. kasują go, ale on wraca jak bumerang nawet po formatowaniu lub usunięciu partycji.

 

(...)

 

Po zainstalowaniu na nowo systemu Windows XP wszystko jest ok, do momentu połączenia się z siecią (zainstalowania sterowników karty sieciowej).

 

(...)

 

Za każdym razem po tym komunikacie mam uwalone kilkaset plików z rozszerzeniem EXE.

Poszło już się paść około 6tyś plików.

 

Dl.exe + objawy z "uwalonymi" wskazują na robaka Tenga infekującego pliki wykonywalne. Skoro po formacie wraca, nasuwa się:

- formatujesz tylko partycję z systemem, pozostawiasz inne partycje na których są zalążki wirusa. Nie wiadomo ile masz aktualnie dysków, bo podałeś tylko niepełnosprawny HijackThis.

- podpinasz nośniki typu USB, na których jest autorun.inf wykonujący infekcję

- masz zbackupowane pliki typu instalki / sterowniki, po formacie następuje uruchomienie robaka z zainfekowanej kopii. Może np. ów instalator "sterowników sieciowych" podkłada świnię.

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano
Sterownik instalowałem tylko jeden do sieciówki i pobrany ze strony producenta.

 

Ale kiedy ten sterownik został pobrany i gdzie jest zlokalizowany? Jest możliwe, że ten instalator nie jest czysty, tzn. został poddany działaniu Tenga. To system po formacie, proponuję więc:

 

1. Format wszystkich partycji, żadnych kopii zapasowych plików wykonywalnych nie wykonuj.

2. Instalacja XP przy odłączonej sieci.

3. Po instalacji zabezpieczenie systemu przez Windows Worms Doors Cleaner.

4. Instalacja wymaganych sterowników, pobranych na świeżo. I dopiero podłączenie sieci.

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

W obliczu takich faktów jest prawdopodobne, że ISO już zawiera zainfekowane pliki i płyta instaluje po prostu zarażony system. Potwierdzenie tego ewentualnie przez: rozbicie ISO na czynniki pierwsze i skan całej zawartości rozpakowanej płyty programem antywirusowym. Proponuję również sięgnąć, o ile to możliwe, po całkiem inny nośnik instalacyjny (np. pożyczka płyty XP od kogoś).

 

 

Zrzucę zawartość płyty na drugi komputer i przeskanuje to Combofix.

 

ComboFix = nie. Tym nie potwierdzisz, narzędzie też w ogóle nie pasuje do zadania. To nie jest ogólny skaner antywirusowy ani narzędzie które uruchamia się bezmyślnie, to jest narzędzie specjalizowane pod kątem określonych infekcji. Narzędzie prowadzi ich usuwanie TYLKO na systemie na którym jest uruchomione i TYLKO z określonych lokalizacji. Folder rozpakowanej płyty to jest obiekt spoza zakresu zainteresowań narzędzia.

Skan należy wykonać ogólnym narzędziem antywirusowym np. Kaspersky Virus Removal Tool, w którym wskaże się folder rozpakowanego ISO.

 

 

.

Odnośnik do komentarza
Zawirowany

Zawirowany

Opublikowano
  • Autor
Opublikowano

Faktycznie, Combofix nic nie znalazł w tych plikach z płytki. Już ściągam Kaspersky Virus Removal Tool i dam znać...

 

Zrobiłem instalację z pewnej płyty z systemem i jest spokój.

Wiemy już gdzie się to zagnieździło. Czy teraz przeskanować wszystkie pozostałe dyski z poziomu XP np. Kaspersky czy użyć jakieś inne narzędzie, które posprawdza czy na pozostałych partycjach gnieździ się jeszcze jakaś niespodzianka?.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano
Zrobiłem instalację z pewnej płyty z systemem i jest spokój.

Wiemy już gdzie się to zagnieździło. Czy teraz przeskanować wszystkie pozostałe dyski z poziomu XP np. Kaspersky czy użyć jakieś inne narzędzie, które posprawdza czy na pozostałych partycjach gnieździ się jeszcze jakaś niespodzianka?.

 

Oczywiście możesz skorzystać z podanego Kaspersky Removal Tool do skanowania pozostałych partycji. W konfiguracji Kasperskiego po prostu zaznacz określone dyski.

 

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...