Elektroda.pl
Elektroda.pl
X
Elektroda.pl
Proszę, dodaj wyjątek dla www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

W jaki sposób pozbyć się nietypowego wirusa?

14 Cze 2011 19:33 2619 13
  • Poziom 2  
    Witajcie,

    Od trzech tygodni walczę z kompem. Jestem przekonana, że mam jakiegoś sympatycznego wiruska, który dociąga sobie "aktualizacje" i którego ni cholery nie mogę znaleźć. Nie jestem nawet w stanie opisać wszystkiego co robiłam, ani tego co mi się po drodze działo. W końcu zaliczyłam format z niszczeniem danych i czyszczenie MBR-a ale nie pomogło. Ale może robiłam coś źle? Sama już nie wiem, tak jestem skołowana tym kompem.

    Po podłączeniu do netu mam ponad 400 otwartych portów i nawiązanych 50 połaczeń. Po chwili ilość spada, jednak wcześniej dane są ściągane/wysyłane. Dziś ściągneło mi się dodatkowe 40 mega, z reguły jest to 10-20 mega dziennie. Porty wysokie, dziś np. > 53 000, kolejne porty dotyczą nasłuchiwania tego samego adresu, jakby mnie ktoś sympatycznie skanował. Po dłuższym pobycie w necie jestem odnotowana na kilku czarnych listach na http://www.dnsbl.info/dnsbl-database-check.php.

    Poza tym mam różne dodatkowe niespodzianki, np. utratę uprawnień do folderów, wyłaczenie aktualizacji antywira, a dziś to w ogóle Kaspersky zdechł.
    Podczas instalacji aktualizacji miałam info, że mam jeszcze 53,117,3 do zainstalowania :) Wczoraj miałam info, że system zainstalował aktualizację a nic takiego nie miało miejsca. Jeszcze na XP-ku miałam sytuację, że system bezpodstawnie informował o instalacji sterowników i konieczności ponownego rozruchu.
    Wcześniej wyłączał mi sie Comodo, który notabene krzyczał, że moja przeglądarka działa jako serwer.
    Co jakiś czas kursor zachowuje się jak podczas pracy (kółeczko), choć nic na kompie nie robię. A jak robię to system zwalnia.
    Ciągle mam jakieś pliki o losowej nazwie w $Recycle.Bin, System Volume Information/Restore (które samo mi się tworzy na nie-moim koncie, pomimo wyłaczenia przywracania) i folderze Recycler, który tworzy się nie zawsze i nie na każdym dysku. Albo zupełnie niewidoczne pliki, które uniemożliwiają usunięcie danego folderu.
    Nie mogę wyłaczyć autostartu żadną metodą (np. Fixem MS, ręcznie w rejestrze, USBFix). A to właśnie z pena złapałam worm.bat.autorun.fl, który jako jedyny został wykryty.

    Kiedy problem się zaczął miałam na XP SP2 AVG i PC Tools Firewall, które słówkiem się nie odezwały, że coś jest nie tak. Przeniosłam sie na WIN7 Ultimate, którego też miałam ale sytuacja niewiele się zmieniła. Sprawdzałam różne konfiguracje AVG, Kaspersky, PC Tools Forewall i Comodo, bez zmian. Sprawdzałam na Win7 Home Premium i Ultimate, którego teraz mam. Null.

    Skanowałam Malwarebytes, Dr Web Cure It, MBRCheck (pokazuje 200 sterowników kernela), mbr.exe (ze strony gmera), standardowym narzędziem do złośliwego oprogramowania MS, kilkoma narzędziami do Confickera, Mabroota i HackerDefendera, GMERem, OTLem. Nic.

    Wczoraj wreszcie catchme pokazało cośkolwiek, jednak nic mi to nie mówi:
    Code:

    detected NTDLL code modification:
    ZwEnumerateKey 0 != 116, ZwQueryKey 0 != 244, ZwOpenKey 0 != 182, ZwClose 0 != 50, ZwEnumerateValueKey 0 != 119, ZwQueryValueKey 0 != 266, ZwOpenFile 0 != 179, ZwQueryDirectoryFile 0 != 223, ZwQuerySystemInformation 0 != 261Initialization error


    Natomiast Norman Sinowal MBR Cleaner krzyczy na czerowno, że "Unable scan for SinowalMBR hooks" i informuje o 110 plikach, które nie zostały przeskanowane. A Fixmebrot nie może otworzyć sterownika dysku, ale tu może Kaspersky mieszać, a tego co widzę.

    Podejrzewam, że mogę też mieć coś z dyskiem, bo HDTune pokazuje mi na żółto 3 sztuki "Unknown attribute":

    Code:
    HD Tune: Hitachi HTS543216L9A300 Health
    

    ID                               Current        Worst    ThresholdData           Status   
    (B8) (unknown attribute)         100      100      97           0                Ok       
    (BB) (unknown attribute)         100      100       0          -898157174   Ok       
    (BC) (unknown attribute)         100      1          0           2575            Ok       


    A kiedy grzebałam w MBRze i dysku z Hirensa znalazłam wpisy o jakichś 7 partycjach FAT16, niemożliwych do usunięcia, a nawet odczytania.
    W pewnym momencie zeżarło mi jedną partycję, a kiedy odzyskiwałam dane znalazłam 2 partycje FAT16 po 41 MB na początku tej zaginionej. Po przywróceniu miałam jakiś folder z czapy - jakby sprzed kilku miesiecy.

    Kurcze, nie wypadłam krowie spod ogona, trochę na kompach się znam ale ta sytuacja mnie przerasta. Jeśli ktokowliek z Was ma jakieś pomysły proszę o podzielenie się. Chciałabym jeszcze raz wszystko sprawdzić/zrobić ale jestem tak skołowana, że nie mam pomysłu jak żeby nie popełnić błedu.

    Może jakieś sugestie jak jeszcze sprawdzić dysk? (HDD Regenerator nic nie wykazał, chkdsk też).
  • Spec od komputerów
    Może sprobuj po zgraniu danych na zewnętrzny nośnik wyzerować dysk i zainstalować system od nowa.Albo spróbuj na jakimś liveCD czy występuje niekontrolowane pobieranie z netu.
  • Poziom 34  
    Próbowałaś robić format dysku spod instalatora Windowsa bootując z płyty?
  • Poziom 34  
    W PCWorld nr 6 jest płyta bezpieczeństwa na linuxie (XUbuntu)- komputer startuje z płyty i sprawdza HDD (samoaktualizująca się płyta z BiDefenderem). A na niechciane partycje również polecam jakąś dystrybucję live linuksa - powinno się dać zrobić porządek, a jeśli nie to format dysku na niskim poziomie (jeśli będzie dostępne oprogramowanie dla tego dysku).
  • Poziom 2  
    Dziękuję za tak liczne odpowiedzi :) Jestem pozytywnie zaskoczona. Może jeszcze jest jakaś nadzieja dla mojego biednego dysku? ;)

    Postaram się wykonać wszystko po kolei, jednak dziś też już 14-tą godzinę siedzę i szukam w necie rozwiązania więc może mi to nie wyjść ;)

    linuks napisał:
    Może sprobuj po zgraniu danych na zewnętrzny nośnik wyzerować dysk i zainstalować system od nowa.Albo spróbuj na jakimś liveCD czy występuje niekontrolowane pobieranie z netu.


    Dane są na zewnętrzym nośniku (twardziel z 3 partycjami, każda, tak jak i peny zabezpieczona USBFix-em), jednak od osttaniej instalacji byłam już zmuszona z niego korzystać. Zgrałabym dane na płyty tylko nie wiem jak to zrobić żeby tego sublokatora nie zgrać przy okazji.

    Proszę o info co dla Ciebie znaczy "wyzerować dysk"?

    Na live CD nie bardzo mogę cokolwiek zrobić, bo mam dostęp do netu przez Play Online z Samsungiem SGH-F480 i zwyczajnie nie potrafię go uruchomić na Live Linuksie. Gdyby nie to, już bym się przesiadła, zresztą w tej chwili równolegle produkuję post na forum Fedory jak to podłaczyć ;)

    Notabene, gdybyście mogli podpowiedzieć jaką dystrybucję wybrać byłabym wdzięczna. Dość długo nie miałam do czynienia z Linuksem, właściwie ze względów zawodowych, ponieważ miałam użytkowników na Windzie. Ale kiedyś korzystałam z Auroksa, Mandrake, Mandrivy, Ubuntu i Fedory. Walczyłam nawet z Gentoo ale niestety poległam z kretesem (3:0 dla Gentoo...). Z nich wszystkich (jesli chodzi o użytkowanie, nie ambicje :)) najbardziej odpowiadała mi Mandriva Extreme. Jednak na ten moment z tym zlasowanym mózgiem nie pamiętam ani pół polecenia Linuksa. Nawet dysku nie potrafię zamontować :( Kiedy podłaczyłam Ubuntu w trybie live krzyknął, że partycja Windows jest uzywana i nie może się do niej dostać.

    Atreyu Makiavel napisał:
    Próbowałaś robić format dysku spod instalatora Windowsa bootując z płyty?


    Tak, tego też próbowałam.

    Oprócz tego instalowałam system po sformatowaniu FreeFDISK i Acronis Disk Director z hirensa. Zapewne też innymi ale teraz już nie sprawdzę, bo właśnie zewnętrzne na USB CD mi zdechło :/ Jednak te instalacje były prowadzone już po którejś tam instalacji systemu, bez kolejnego erase danych i MBR-a. A, na poczatku (kiedy jeszcze walczyłam z XP-kiem) zapodałam obraz z Ghosta, ale oczywiście też nie pomogło.

    shadow0013 napisał:
    W PCWorld nr 6 jest płyta bezpieczeństwa na linuxie (XUbuntu)- komputer startuje z płyty i sprawdza HDD (samoaktualizująca się płyta z BiDefenderem). A na niechciane partycje również polecam jakąś dystrybucję live linuksa - powinno się dać zrobić porządek, a jeśli nie to format dysku na niskim poziomie (jeśli będzie dostępne oprogramowanie dla tego dysku).


    Niestety nie mam szans na nic w rodzaju PCWorld nr 6, ponieważ mam 30 zł "do końca życia" ;) A transferu na karcie raptem 598 MB, bo już 3,5 giga zużyłam na te naprawy. Ale zapuściłam BitDefendera online, może coś z tego wyniknie :) Tyle tylko, że włączenie IE (w Operze, w której jestem nie działa) generuje średnio jedno nowe połączenie na sekundę. W miedzyczasie dowiedziałam się, że nie mam uprawnień do zapisywania w C:\Program files :/

    Niechciane partycje chciałam załatwić GParted ale dysk się nie zamontował jak pisałam wcześniej więc kupa.

    Możesz doprecyzować co masz na myśli mówiąc "format na niskim poziomie"? Odnoszę wrażenie, że Free FDISK jest dość niskopoziomowy ale może się mylę :)

    PeteSh napisał:
    Ściągnij i uruchom:
    http://security.symantec.com/nbrt/npe.aspx?lcid=1033
    Zrób wszystko o co program poprosi. Jeśli coś masz, to on to usunie.


    Uruchomiłam. Internal wykazał "Network activity sniffer", którego zainstalowałam, żeby podejrzeć pakiety wysyłane/odbierane z podejrzanych adresów. Ale i tak go fixnełam. Po ponownym uruchomieniu podejmę temat.

    BitDefender - zero.

    External w NSE - zero.

    Poniżej logi z MBTCheck i TDSSK.

    Tak, wiem, powinnam je spakować do jednego RARa ale uwierzcie mi, nie mam już siły.
  • Spec od komputerów
    Nie ma sladu infekcji. Wszystko wyglada ok. Jedyne co tutaj widze to drobna paranoje.
  • Poziom 2  
    Wiem, że wszystko wygląda ok. Przecież k[piiii] sama o tym pisałam :P

    Dzięki za komplement :)
    Który jednak nie tłumaczy ilości połaczeń...
  • Spec od komputerów
    Wklej liste tych polaczen. Wymyslasz sobie problem i nic wiecej.
  • Spec od komputerów
    Zerowanie dysku to zapisanie dysku zerami. Niszczy bezpowrotnie wszystko, co jest zapisane.
    Jak masz mało transferu, to masz link do LiveCD (ok. 45MB do pobrania).
    http://linuxtracker.org/download.php?id=325ba...08ec14a1a02a3d&f=Parted%20Magic%203.0.torrent
    Po uruchomieniu komputera z tego CD wpisz w terminal:
    dd if=/dev/zero of=/dev/sda
    to wyzerujesz dysk. Trochę to potrwa w zależności od pojemności dysku. WSZYSTKIE dane na dysku zostaną nadpisane zerami.
  • Spec od komputerów
    Nie widze sensu w zerowaniu dysku skoro nie ma nawet sladu infekcji.
  • Spec od komputerów
    Też nie widzę,ale pytała co rozumiem przez zerowanie.Jak będzie pewna na 100% ,że instaluje system na czysty dysk to się może nie będzie doszukiwać wirusów.
  • Poziom 2  
    Tak, tak, oczywiście, że wymyślam... Tak się koszmarnie nudzę...

    Dzieki za wszelkie uwagi, znalazłam już szczepionkę w postaci Fedory.