Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Czy to atak wirusa - screeny...

keseszel 22 Lut 2009 15:41 2684 26
  • #1 22 Lut 2009 15:41
    keseszel
    Poziom 26  

    Witam.
    Konfiguracja:
    Acer 5220 Extensa, XP, Ashampoo Firewall, Avast. Myśle, że to wystarczy na początek.
    Opis problemu:
    Zostawiłem laptopa podłączonego do netu ( po PLAY ). Nagle pojawiły się dziwne wpisy, wybaczcie- nie napiszę teraz jakie. O ile mnie pamięć nie myli to na sugerowane zmiany klikałem na nie - bo nie wiedziałem co mogą przynieść. Wyłączyłem laptopa. Teraz po włączeniu pojawiły mi się dziwne komunikaty z których zrobiłem screeny. Oto one:
    Czy to atak wirusa - screeny... Czy to atak wirusa - screeny... Czy to atak wirusa - screeny... Czy to atak wirusa - screeny...

    Na żadne strony XXX nie wchodziłem, pragnę zaznaczyć. Podejrzewam, że bez logu HiJacka się nie obejdzie?! Cóż jak się robiły problemy to przeważnie był format c dysku i system od nowa. Teraz wolałbym tego uniknąć. Co pewien czas zgłasza mi się okno z Avasta z prośbą o potwierdzenie zmian. Oczywiście odmawiam.
    Załączam log z Hijacka. I zauważyłem jeszcze taką sytuację, że pojawia mi się informacja o braku dysku. Po wciśnięciu Anuluj okienko znika i znowu się pojawia. Szukam rozwiązania na własną rękę, ale prosiłbym też o uwagi znawców tematu.

    0 26
  • #2 22 Lut 2009 16:22
    Kolobos
    Spec od komputerów

    Infekcja z pendrive'a, uzyj Flash Disinfector, nastepnie daj log z combofix.

    0
  • #3 22 Lut 2009 16:36
    keseszel
    Poziom 26  

    Niedobrze, bo ja tego pendrive używam i teraz idzie do mamy ....
    Jest problem z tym programem. Nie mozna go znikąd ściągnąć...

    0
  • #5 22 Lut 2009 17:35
    Deepone
    Poziom 22  

    Tak jak zostało napisane infekcja przybyła przez pendrive, możesz się zabezpieczyć na przyszłość, np programem autorun eater, wyłączając autostart i trzecia opcja to jak wkładasz pendrive trzymaj klawisz shift - wyłącza to autostart w danym momencie, do tego nie otwieraj wtedy niepewnego pendrive przez dwukrotne kliknięcie dysku w mój komputer tylko poprzez naciśnięcie na ikonie dysku prawego klawisza i wybraniu opcji eksploruj (mniejsze prawdopodobieństwo że go uruchomisz (chyba że już go masz) i sprawdzasz czy nie ma na pendrive/dysku plików autorun.inf - oczywiście nie wszystkie są szkodliwe ale w wielu przypadkach tak będzie.

    0
  • #6 22 Lut 2009 19:13
    Kolobos
    Spec od komputerów

    Flash Disinfector + blokada moutpoints2 wystarczy.

    0
  • #7 22 Lut 2009 19:25
    keseszel
    Poziom 26  

    Mam pytanie skąd się wziął ten pasożyt i jakie ma cele? Co może zrobić szkodliwego? Po prostu nie miałem do czynienia z wirusami, omijały mnie ;) .

    0
  • #8 22 Lut 2009 20:17
    Kolobos
    Spec od komputerów

    Wzial sie z zainfekowanego nosnika, a wczesniej z internetu. Cele ma takie same jak kazda inna infekcja.

    Dlaczego nie wykonales tego co napisalem?

    0
  • #9 22 Lut 2009 20:59
    keseszel
    Poziom 26  

    Zastosowałem się do Kolegi sugestii. Zciągnąłem program z podanego linka ( dzięki, był problem bo zgoglowane odnośniki podawały, że nie ma strony. W necie spotkałem dyskusje , że nie ma tego programu, bo został usunięty ze względu na jakieś zagrożenia jakie niósł )Niestety nic nie pomógł. Cały czas mam objaw jaki był. Nie wiem co to jest blokada mountpoints2.

    0
  • #11 22 Lut 2009 21:10
    keseszel
    Poziom 26  

    Trochę się pośpieszyłem z niewiedzą na temat mountpoints2. Poszperałem po stronach i sporo tego znalazłem do analizy. Teraz szukam w rejestrze mountpoints. Z samej ciekawości. Czy trzeba wszystkie takie wpisy usunąć, czy część jest potrzebna?

    0
  • #12 22 Lut 2009 21:36
    grzechu@
    Poziom 17  

    Czyli jednak nie czytałeś tego co podesłałem? Tam wszystko jest ładnie opisane.
    Nie musisz usuwać wszystkich - ale jak usuniesz to się nic nie stanie - po ponownym uruchomieniu systemu - wpisy same się odbudują.
    (to tak w wielkim skrócie)

    0
  • #13 22 Lut 2009 21:49
    keseszel
    Poziom 26  

    Powiem w ten sposób. Na razie mam spokój, ale zresetowałem komputer. Może to było potrzebne. Włożyłem pendriva i znowu mam syf...

    0
  • #14 22 Lut 2009 21:58
    grzechu@
    Poziom 17  

    Wiem, że to już nudne ale... przeczytaj ten post do którego dałem linka - zablokuj autorun.inf i syfu nie będzie.
    Przeskanuj też pendrive'a bo na nim cały czas jest syf. I wszystkie inne partycje.

    0
  • #15 22 Lut 2009 22:04
    Mery84
    VIP Zasłużony dla elektroda

    Kolobos napisał:
    Infekcja z pendrive'a, uzyj Flash Disinfector, nastepnie daj log z combofix.


    Keseszel. Naprodukowałeś postów jak najęty, a co zrobić Kolobos napisał Ci w pierwszym poście.
    Zastosuj się wreszcie do tego o co On poprosił.

    0
  • #17 22 Lut 2009 23:27
    grzechu@
    Poziom 17  

    keseszel napisał:
    Najgorsze, ze mam jeszcze 3 pendrivy.
    Ale Twój laptop ma 4 porty USB, możesz wyczyścić wszystkie od razu :)

    0
  • #18 23 Lut 2009 06:45
    Kolobos
    Spec od komputerów

    Uzyj takiego CFScript.txt z combofix.exe:

    Driver::
    "WinSoft Service Controler"

    File::
    c:\windows\system32\drivers\WinMgmt.exe

    Registry::
    [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{CFC4F59B-A2DA-4e12-B337-52A4F871E10C}]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
    "{196C3A46-4758-433D-A600-802C804AF39C}"=-
    [-HKEY_CLASSES_ROOT\clsid\{196c3a46-4758-433d-a600-802c804af39c}]
    [-HKEY_CLASSES_ROOT\ShareazaMediaBar.StockBar.1]
    [-HKEY_CLASSES_ROOT\TypeLib\{89807A16-AC31-4449-AB91-06A753813543}]
    [-HKEY_CLASSES_ROOT\ShareazaMediaBar.StockBar]
    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
    "{196C3A46-4758-433D-A600-802C804AF39C}"=-
    [-HKEY_CLASSES_ROOT\clsid\{196c3a46-4758-433d-a600-802c804af39c}]
    [-HKEY_CLASSES_ROOT\ShareazaMediaBar.StockBar.1]
    [-HKEY_CLASSES_ROOT\TypeLib\{89807A16-AC31-4449-AB91-06A753813543}]
    [-HKEY_CLASSES_ROOT\ShareazaMediaBar.StockBar]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "wrna3ls"=-

    DSS::
    uStart Page = hxxp://search.shareazaweb.com/intl/
    IE: {{c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm

    Po wykonaniu daj log.
    Zrob tez skan przy pomocy Dr.Web CureIt oraz Malwarebytes Anti-Malware.

    0
  • #19 24 Lut 2009 22:41
    Deepone
    Poziom 22  

    Gdybyś przeczytał co napisałem na początku to po włożeniu pendrive'a nie miałbyś ponownie "zainstalowanego" wirusa.
    Zainstaluj autorun eater - powinien pomóc w przyszłości.

    0
  • #20 26 Lut 2009 20:49
    keseszel
    Poziom 26  

    Jakiś czas miałem spokój. Sprawdziłem programem Dr.Web CureIt. Pendrive potraktowałem Flash Disinfector. Wydawało mi się, że jest dobrze. Włożyłem go z powrotem i znów syf. Komputer wyraźnie zwolnił, pojawia się denerwujący komunikat z zdjęcia. Combo nic nie wykrywa, podobnież Dr.WebCureIt.
    Czy to atak wirusa - screeny...
    Log z SilentRunners.
    Po ponownym scombowaniu uspokoiło się.

    0
  • Pomocny post
    #21 26 Lut 2009 21:45
    Mery84
    VIP Zasłużony dla elektroda

    Dostęp do klucza mountpoints zablokowany?
    Opis w ogłoszeniu o infekcjach z pendrive.

    0
  • #22 26 Lut 2009 23:01
    keseszel
    Poziom 26  

    Nie umię zablokować mountpointsorun. Zainstalowałem autorun eater nic nie dało. Nawet wkłądanie pena z shiftem nic nie dało. Ten syf wciąż jest. Combo fix nic nie dał.

    0
  • #23 26 Lut 2009 23:11
    Kolobos
    Spec od komputerów

    Naucz sie pisac po polsku. Dlaczego nie wykonales tego co napisalem wczesniej!? Marnujesz tylko nasz czas przez swoje lenistwo. Pewnie, ze combofix nic nie dal skoro NIC nie zrobiles.

    Blokada mountpoints2: https://www.elektroda.pl/rtvforum/viewtopic.php?t=1077992 punkt 3 z sekcji zapobieganie.

    Dalej czekam na nowy log z combofix PO uzyciu CFScript.txt, ktory podalem.

    1
  • #24 27 Lut 2009 13:26
    Deepone
    Poziom 22  

    Autorun eater oraz użycie klawisza shift podczas wkładania może pomóc w zapobieganiu infekcji a nie jej usuwaniu. Te opcje powodują tylko że nie uruchamiane są pliki autorun.inf a program autorun eater powinien kasować pliki autorun.inf zanim zostaną uruchomione.

    0
  • #26 27 Lut 2009 17:16
    Kolobos
    Spec od komputerów

    Widac nic do Ciebie nie dociera, czy mozesz w koncu przeczytac co napisalem i wykonac?!

    ZABLOKUJ klucz mountpoints2, a nie usuwaj. Podalem Ci nawet link z DOKLADNYM opisem, a Ty dalej swoje.

    0
  • #27 28 Lut 2009 18:19
    keseszel
    Poziom 26  

    Zablokowałem ten klucz zgodnie z opisem. No nie wiem czemu nie dojrzałem tego. Teraz nie mam żadnych objawów.

    0