22 odpowiedzi w tym temacie

[pajman]

Witam czytelnikow.
Mam pewnien problem z wirusem wymienionym w temacie. Od tygodnia wyswietla mi sie zielona strona w internecie oraz przestaja dzialac niektore programy. Nie mialem wczesniej zainstalowanego zadnego antywirusa wiec chcialem sciagnac avasta ale komputer zaczal sie resetowac. Czytalem w internecie o jakis programach Combofix ze pomagaja ale przyznam sie ze nie mam zielonego pojecia w dziedzinie informatyki. Prosze was bardzo o pomoc i wyjasnienie mi wszystko krok po kroku co mam zrobic zeby pozbyc sie wirusa.

[Miodek]

uruchom komputer w trybie awaryjnym i wtedy spróbuj zainstalować antywirusa. Najlepiej darmową wersję Avast lub 30 dniowy trial Kaspersky. Ewentualnie możesz przywrócić system do stanu sprzed usterki.

[pajman]

Niestety nie pomoglo przywracanie systemu. Avasta zainstalowalem i usunal zainfekowane pliki lecz wirus utworzyl nowe i wciaz jest. Jakies inne pomysly ?

[magik092]

Na rozgrzewkę zalecam wrzucić logi z OTL (instrukcje w Googlach), nie pobieraj na razie ComboFix'a, antywirusem też zajmiemy się na końcu.

[pajman]

http://wklej.org/id/729480/ <- OTL
http://wklej.org/id/729483/ <- extras
http://wklej.org/id/729518/ <-gmer

[magik092]

Napisz na jakim OS siedzisz (podejrzewam XP), dość ważne.

Pliki

C:\Windows\System32\win32k.sys
C:\Windows\System32\DWrite.dll
C:\Windows\System32\rdpcorekmts.dll
C:\Windows\System32\rdpwsx.dll
C:\Windows\System32\rdrmemptylst.exe
C:\Windows\System32\rdpcore.dll

przeskanuj na skan.bezpiecznypc.pl

[pajman]

Windows 7 home premium
service pack 1

[magik092]

Zatem:

Odpal OTL, wklej do sekcji skrypt:

:processes
explorer.exe

:OTL
FF - user.js - File not found
FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=:  File not found
O2 - BHO: (PandoraTV Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask.com)
O3 - HKLM\..\Toolbar: (PandoraTV Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask.com)
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKU\S-1-5-21-2550876745-229769175-147943622-1001\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
O3 - HKU\S-1-5-21-2550876745-229769175-147943622-1001\..\Toolbar\WebBrowser: (PandoraTV Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask.com)
O9 - Extra Button: eBay - Der weltweite Online-Marktplatz - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - http://rover.ebay.com/rover/1/707-37276-17534-31/4 File not found
O9 - Extra 'Tools' menuitem : eBay - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - http://rover.ebay.com/rover/1/707-37276-17534-31/4 File not found
O20 - HKLM Winlogon: VMApplet - (/pagefile) -  File not found
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009.06.10 23:42:20 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
O32 - AutoRun File - [2005.02.25 17:24:44 | 000,000,051 | R--- | M] () - I:\autorun.inf -- [ UDF ]
O33 - MountPoints2\{113a8cf7-ecf4-11e0-ab86-806e6f6e6963}\Shell - "" = AutoRun
O33 - MountPoints2\{c11cb73a-e677-11e0-9419-6c626d4a7ac5}\Shell - "" = AutoRun
O33 - MountPoints2\{c11cb73a-e677-11e0-9419-6c626d4a7ac5}\Shell\AutoRun\command - "" = J:\autorun.exe
O33 - MountPoints2\H\Shell - "" = AutoRun
[2012.04.11 11:46:37 | 000,000,000 | ---D | C] -- C:\Users\Kris\AppData\Local\Bron.tok-14-11
[2012.04.10 00:00:01 | 000,000,000 | ---D | C] -- C:\Users\Kris\AppData\Local\Bron.tok-14-10
[2012.04.09 09:01:26 | 000,000,000 | ---D | C] -- C:\Users\Kris\AppData\Local\Bron.tok-14-9
[2012.04.08 11:17:36 | 000,000,000 | ---D | C] -- C:\Users\Kris\AppData\Local\Bron.tok-14-8
[2012.04.07 09:27:31 | 000,000,000 | ---D | C] -- C:\Users\Kris\AppData\Local\Bron.tok-14-7
[2012.04.06 09:48:54 | 000,000,000 | ---D | C] -- C:\Users\Kris\AppData\Local\Bron.tok-14-6
[2012.04.05 00:00:00 | 000,000,000 | ---D | C] -- C:\Users\Kris\AppData\Local\Bron.tok-14-5
[2012.04.04 15:52:03 | 000,000,000 | ---D | C] -- C:\Users\Kris\AppData\Local\Bron.tok-14-4
[2012.04.03 17:39:25 | 000,000,000 | ---D | C] -- C:\Users\Kris\AppData\Local\Bron.tok-14-3
[2012.04.02 11:02:09 | 000,000,000 | ---D | C] -- C:\Users\Kris\AppData\Local\Bron.tok-14-2
[2012.04.01 00:00:00 | 000,000,000 | ---D | C] -- C:\Users\Kris\AppData\Local\Bron.tok-14-1
[2012.03.31 09:58:24 | 000,000,000 | ---D | C] -- C:\Users\Kris\AppData\Local\Bron.tok-14-31
[2012.03.30 07:34:47 | 000,000,000 | ---D | C] -- C:\Users\Kris\AppData\Local\Bron.tok-14-30
[2012.03.29 00:00:00 | 000,000,000 | ---D | C] -- C:\Users\Kris\AppData\Local\Bron.tok-14-29
[2012.03.28 00:00:01 | 000,000,000 | ---D | C] -- C:\Users\Kris\AppData\Local\Bron.tok-14-28
[2012.03.27 08:41:05 | 000,000,000 | ---D | C] -- C:\Users\Kris\AppData\Local\Bron.tok-14-27
[2012.03.26 00:00:01 | 000,000,000 | ---D | C] -- C:\Users\Kris\AppData\Local\Bron.tok-14-26
[2012.03.25 11:18:28 | 000,000,000 | ---D | C] -- C:\Users\Kris\AppData\Local\Bron.tok-14-25
[2012.03.24 01:00:00 | 000,000,000 | ---D | C] -- C:\Users\Kris\AppData\Local\Bron.tok-14-24
[2012.03.23 15:20:09 | 000,000,000 | ---D | C] -- C:\Users\Kris\AppData\Local\Bron.tok-14-23
[2012.03.22 18:10:50 | 000,000,000 | ---D | C] -- C:\Users\Kris\AppData\Local\Bron.tok-14-22
[2012.03.21 12:53:19 | 000,000,000 | ---D | C] -- C:\Users\Kris\AppData\Local\Bron.tok-14-21
[2012.03.20 21:21:10 | 000,000,000 | ---D | C] -- C:\Users\Kris\AppData\Local\Ok-SendMail-Bron-tok
[2012.03.20 21:21:07 | 000,000,000 | ---D | C] -- C:\Users\Kris\AppData\Local\Loc.Mail.Bron.Tok
[2012.03.20 21:15:05 | 000,000,000 | ---D | C] -- C:\Users\Kris\AppData\Local\Bron.tok-14-20
[2012.04.11 15:13:56 | 000,707,284 | ---- | M] () -- C:\Windows\System32\perfh015.dat
[2012.04.11 15:13:56 | 000,654,106 | ---- | M] () -- C:\Windows\System32\perfh007.dat
[2012.04.11 15:13:56 | 000,624,578 | ---- | M] () -- C:\Windows\System32\perfh009.dat
[2012.04.11 15:13:56 | 000,140,298 | ---- | M] () -- C:\Windows\System32\perfc015.dat
[2012.04.11 15:13:56 | 000,134,106 | ---- | M] () -- C:\Windows\System32\perfc007.dat
[2012.04.11 15:13:56 | 000,110,216 | ---- | M] () -- C:\Windows\System32\perfc009.dat
[2012.04.11 12:18:47 | 000,010,096 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
[2012.04.11 12:18:47 | 000,010,096 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0

[2012.04.11 12:11:08 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2010.04.29 13:40:48 | 000,000,064 | ---- | M] () -- D:\SWCONF.DAT
[2009.06.10 23:42:20 | 000,000,024 | ---- | M] () -- C:\autoexec.bat
[2009.06.10 23:42:20 | 000,000,010 | ---- | M] () -- C:\config.sys
[2012.04.11 12:11:00 | 2615,910,400 | -HS- | M] () -- C:\hiberfil.sys
[2010.01.26 18:01:58 | 000,000,000 | RHS- | M] () -- C:\IO.SYS
[2010.01.26 18:01:58 | 000,000,000 | RHS- | M] () -- C:\MSDOS.SYS

następnie kliknij przycisk "Wykonaj skrypt".

Napisz jak wygląda sprawa w/w plików (skaner online).

[pajman]

wkleilem ten skrypt. komputer sie ponownie uruchomil i zniknal mi z pulpitu OTL.exe
Co dalej ?

[magik092]

Znajdź teraz logi (powinny być w tym samym miejscu co OTL dwa pliczki: Extras.txt i OTL.txt).
Jak nie możesz ich znaleźć to zrób skan jeszcze raz (zwykły, nie skrypt).

[KamilJB]

magik - czemu dajesz do usuwania pliki rozruchowe systemu ?
Prawdopodobne jest to , że autorowi zniszczyłeś OS.
Następnym razem nie sprawdzaj logów jak nie umiesz.
Pozdrawiam KamilJB

[Bogus]

Też kiedyś miałem problem z tym złośliwym brontokiem. Próbowałem chyba wszystkich antywirusów na rynku, dopiero kiedy przejechałem system Eset-em Smart Security, wirus zniknął. W ogóle polecam eseta.

[magik092]

@Kamil, toś przywalił Hahahaha
Wskazałem najbardziej narażone pliki składowe systemu narażone na integrację szkodliwego kodu Nie wiem czy pokusiłeś się sprawdzić w dokumentacji co to za pliki, zapewne w języku angielskim (o ile jesteś w stanie, w razie czego śmiało pomogę) odczytasz, że system odtwarza pliki składowe. Mam nadzieję, że wszystko jasne?

[KamilJB]

Wskazałem najbardziej narażone pliki składowe systemu narażone na integrację szkodliwego kodu

[2009.06.10 23:42:20 | 000,000,024 | ---- | M] () -- C:\autoexec.bat
[2009.06.10 23:42:20 | 000,000,010 | ---- | M] () -- C:\config.sys
[2012.04.11 12:11:00 | 2615,910,400 | -HS- | M] () -- C:\hiberfil.sys
[2010.01.26 18:01:58 | 000,000,000 | RHS- | M] () -- C:\IO.SYS
[2010.01.26 18:01:58 | 000,000,000 | RHS- | M] () -- C:\MSDOS.SYS

Aha, usunięcie tych plików systemowych nic nie zrobi?
Ściągnij sobie zabezpieczenia z tych plików i sobie usuń SHIFT + DEL
Ciekawe czy OS się załaduje.
Podaj mi 3 gatunki wirusów które integrują w te pliki.

O32 - HKLM CDRom: AutoRun - 1

Tego się nie zmienia!

O32 - AutoRun File - [2005.02.25 17:24:44 | 000,000,051 | R--- | M] () - I:\autorun.inf -- [ UDF ]

Powodzenia z usunięciem tego. Pewnie nawet nie masz pojęcia co to jest, ale cóż, debilizm ludzki nie zna granic.

[magik092]

Witam.
Dziękuję za zainteresowanie tematem, zachęcam do dalszej konwersacji.
@autor napisał wyraźnie: siedzi na Windows 7. Nie wiem czy dotarłeś do tej informacji

Aha, usunięcie tych plików systemowych nic nie zrobi?
Ściągnij sobie zabezpieczenia z tych plików i sobie usuń SHIFT + DEL
Ciekawe czy OS się załaduje.
Podaj mi 3 gatunki wirusów które integrują w te pliki.

Kurcze, dość hardkorowa sytuacja, takie pliki nie istnieją na Win 7 Plik wymiany hiberfil.sys, no nie wiem w czym Ci to zaszkodzi?
Co do wirusów. Hmmm.... HLL Cornuc, Invol, wirusy towarzyskie typu DOS?

O32 - HKLM CDRom: AutoRun - 1(...)
Tego się nie zmienia!

Wiesz w ogóle co to za wpis?

Powodzenia z usunięciem tego. Pewnie nawet nie masz pojęcia co to jest, ale cóż, debilizm ludzki nie zna granic.

W zasadzie ta wypowiedź mogłaby zostać napisana przeze mnie

Pozdrawiam serdecznie.

[KamilJB]

Kurcze, dość hardkorowa sytuacja, takie pliki nie istnieją na Win 7

O które Ci dokładnie pliki chodzi ?

Plik wymiany hiberfil.sys, no nie wiem w czym Ci to zaszkodzi?

Zaszkodzi, jeżeli podasz natychmiastowe usuwanie.
Od wyłączenia i usunięcia hibernacji jest odpowiedzialna komenda powercfg /h off

Wiesz w ogóle co to za wpis?

Nie, nie wiem, oświeć mnie.

W zasadzie ta wypowiedź mogłaby zostać napisana przeze mnie

Odpowiedz mi na pytanie, czemu wskazałeś to do usuwania ? Nie cwaniakuj już.

[magik092]

O które Ci dokładnie pliki chodzi ?

Hmmm... Zastanówmy się. Może:

[2009.06.10 23:42:20 | 000,000,024 | ---- | M] () -- C:\autoexec.bat
[2009.06.10 23:42:20 | 000,000,010 | ---- | M] () -- C:\config.sys
[2010.01.26 18:01:58 | 000,000,000 | RHS- | M] () -- C:\IO.SYS
[2010.01.26 18:01:58 | 000,000,000 | RHS- | M] () -- C:\MSDOS.SYS

Co o tym myślisz? (EDIT: bez hibersys oczywiście )

Zaszkodzi, jeżeli podasz natychmiastowe usuwanie.
Od wyłączenia i usunięcia hibernacji jest odpowiedzialna komenda powercfg /h off

Problem w tym, że nie może zaszkodzić bo jeśli plik jest zdrowy to usunięcie go jest niewykonalne (prawa nałożone przez system, coś jak root na linuxie). W momencie gdy dochodzi do infekcji (np. hybrydka) automatycznie (zwykle) zdejmowane są prawa z pliku. Ponowne uruchomienie komputera winno utworzyć nowy, czysty plik

Nie, nie wiem, oświeć mnie.

Się robi. Jest to wpis odpowiedzialny za auto-odtwarzanie napędów. Wyłączamy go, nie chcemy tego gdy mamy infekcję systemu.

Odpowiedz mi na pytanie, czemu wskazałeś to do usuwania ? Nie cwaniakuj już.

"Nie cwaniakuj już." - kolego, zachowaj pewien poziom wypowiedzi. Pytasz bo nie wiesz czy bawisz się w trolowanie tematu?

Pozdrawiam.

PS: Jeśli nadal masz pytania załóż off-topic i tam chętnie udzielę dalszych odpowiedzi ale nie zaśmiecajmy już tego tematu

[KamilJB]

Co o tym myślisz? (EDIT: bez hibersys oczywiście )

autoexec.bat - nazwa specjalnego programu wsadowego m.in. systemu MS-DOS
config.sys - podstawowy plik konfiguracyjny systemów operacyjnych MS-DOS, OS/2 oraz systemów Windows z serii 9x
IO.SYS - jeden z dwóch ukrytych plików systemowych na dysku startowym komputera w systemach operacyjnych bazujących na systemie MS-DOS.
MSDOS.SYS - to samo co IO.SYS
Screen mojej partycji (Win 7):

Problem w tym, że nie może zaszkodzić bo jeśli plik jest zdrowy to usunięcie go jest niewykonalne (prawa nałożone przez system, coś jak root na linuxie)

To po co usuwasz ten plik ?

Pytasz bo nie wiesz czy bawisz się w trolowanie tematu?

Odpowiesz mi na pytanie czy dalej będziesz głupiego udawał i za mądrego? Dalej czekam na odpowiedź.

Się robi. Jest to wpis odpowiedzialny za auto-odtwarzanie napędów. Wyłączamy go, nie chcemy tego gdy mamy infekcję systemu.

http://technet.microsoft.com/en-us/library/cc779753(v=ws.10).aspx
Wartość 1 jest prawidłowa i nie należy nic rekonfigurować (tej wartości się nie usuwa tylko przestawia między 0 a 1).
Pomyliło coś Ci się kolego. Przykład: LINK.

[magik092]

Witaj ponownie.

"autoexec.bat - nazwa specjalnego programu wsadowego m.in. systemu MS-DOS" - oj, gdzieś Ty dorwał Win 7 z podstawą MS-DOS? No chcę poznać programistę, który tak przerobił siódemkę. Serio, daj mi namiary, zdolny gość!

"config.sys - podstawowy plik konfiguracyjny systemów operacyjnych MS-DOS, OS/2 oraz systemów Windows z serii 9x" - nosz właśnie, nie wiem po co mam się wypowiadać, u Ciebie jest już odpowiedź: Windows z serii 9x

IO.SYS i MSDOS.SYS, odpowiedź powyżej

Teraz Ty troszkę poodpowiadaj, możesz wrzucić screena z tym okienkiem i plikami ale z widocznym rozmiarem plików?

"Pomyliło coś Ci się kolego. Przykład: LINK" - link z MS fatalnie wstawiony, nie działa Co do drugiego, działającego linku, nie widzę związku.

Bardzo cieszę się, że podjąłeś się tej konwersacji, okazuje się być bardzo przydatna

Pozdrawiam serdecznie Pana "eksperta",
magik092.

[KamilJB]

Teraz Ty troszkę poodpowiadaj, możesz wrzucić screena z tym okienkiem i plikami ale z widocznym rozmiarem plików?

Rozmiary są takie same. Jeżeli mi nie wierzysz na słowo to wstawię log z SystemLook ze szczegółami tych plików.

fatalnie wstawiony, nie działa

LINK