Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek dla www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

AVG raportuje wirusa w pliku atapi.sys (spaf.sys, spze.sys...)

23 Wrz 2013 15:33 1884 6
  • Poziom 14  
    Witam,

    Problem jest od tygodnia na komputerze siostry, niestety były już próby usunięcia, zgodnie z opisami z różnych stron, zarówno ja i siostra je podejmowaliśmy.
    Laptop to Acer Aspire 1640z, Windows XP HomeEdition SP3 PL.
    Zainstalowany antywirus AVG Free nie dawał rady wyświetlając komunikat o infekcji w pliku atapi.sys i wiążąc to z plikami umiejscowionymi w:
    C:\Windows\System32\drivers
    Pliki niby antywirus usuwa, ale za każdym razem pojawiają się nowe, ich nazwy są zawsze 4 literowe i zaczynają się od "s" a w rozszerzeniu jest *.sys (np. spaf.sys, spze.sys, itd.). AVG twierdzi, że je usuwa, potrzebuje ponownie uruchomić komputer, po ponownym uruchomieniu infekcja jest ponownie, tylko ten czteroliterowy plik nazywa się inaczej i liczba zakażeń jest inna (AVG wykrywa różnie, od kilkunastu do kilkudziesięciu).

    Co było próbowane:
    -wyłączenie przywracania systemu,
    -skan pełny AVG Free, AVG, Avast,
    -skan w trybie awaryjnym,
    -skan z LiveCD (KAspersky i chyba BitDefender),
    -skan za pomocą GMER i ComboFix,
    -skan ADWcleaner i MAlwarebytes Anti-MAlware Free,
    -skan za pomocą TDSSkiller, OTL (tylko skan), aswMBR, MBRcheck,
    -nadpisanie MBR z płyty Windows "mbrfix".

    Jaki efekt? Zniknęły dziwne zachowania systemu po ADWcleaner (masa śmieci), jednak AVG wciąż wykrywał problemy powiązania atapi.sys z plikami "s???.sys". Po którymś programie (TDSSkiller, GMER, albo ComboFix), komputer zaczął się wolniej uruchamiać (dźwięk przycina przy starcie Windows).

    Znalazłem wątek na forum, gdzie wskazania programu antywirusowego na plik atapi.sys wg jednego z doświadczonych użytkowników miały być zignorowane, ponieważ to sterownik i w sumie bym się nie przejmował gdyby nie raport programu aswMBR, który wciąż wskazuje na to, że uruchamia się coś co nie powinno (w logu jest spze.sys).

    Dołączam logi i proszę o pomoc w usunięciu tego dziadostwa.
    Darmowe szkolenie: Ethernet w przemyśle dziś i jutro. Zarejestruj się za darmo.
  • Spec od komputerów
    To nie wirus tylko sterownik wirtualnego napedu instaluje go np. Daemon Tools.

    Na przyszlosc zapytaj PRZED uzyciem masy zbednych programow i uszkodzeniem systemu. Jak masz jakies punkty przywracania systemu utworzone przed uzyciem tych wszystkich programow (szczegolnie combofix) to przywroc system.
  • Specjalista - HDD i odzyskiwanie danych
    Nie tylko przywracanie systemu. Niestety miałem też straszną sytuacje po Combofixie. Wystarczyło wejść w C:\Windows\erdnt\Hiv-Backup\ERDNT.EXE i uruchomić go. Sam przywrócił rejestr do stanu poprzedniego, sprzed skanowania, po czym po ponownym uruchomieniu system działał już prawidłowo.
  • Poziom 14  
    Witam,

    Dziękuję za odpowiedzi. Odnośnie mojego błędu - już wiem, że go popełniłem kolego Kolobos. Zawsze udawało mi się wirusy usuwać samemu lub przy pomocy opisów z Internetu. Niestety tym razem mi się nie udało i przyznaję, poniosło mnie z ComboFixem i GMERem (nigdy ich nie używałem).

    Wracając do sedna, przejrzałem listę zainstalowanych programów i nie widzę na niej DeamonTools ani innych wirtualnych napędów.

    Przywracanie systemu niestety nie powiodło się, kazało mi wybrać inny punkt, ale inne punkty są już po owym spowolnieniu systemu.

    Odnośnie rady z erdnt.exe niestety, ale również nie przyniosła skutku.

    Wracając do tego DeamonTools to przyglądając się w log aswMBR, zgodzę się że usługa "stpd.sys", może do niego należeć (mimo, że samego programu tam nie ma), ale przeskanowałem zdrowy system WinXP ProfEdition SP3 PL i nie znalazłem w nim wpisu "spze.sys". Na dodatek aswMBR właśnie te linijke oznacza na czerwono w trakcie skanowania. A na zdrowym kompie wszystko jest na biało. Dlatego dalej mam podejrzenia dotyczące infekcji.
  • Pomocny post
    Specjalista - HDD i odzyskiwanie danych
    ZDV12 napisał:

    Odnośnie rady z erdnt.exe niestety, ale również nie przyniosła skutku.

    Tzn? Nie dało się przywrócić rejestru, czy po przywróceniu występuje problem?
  • Poziom 14  
    Witam,

    Kolego Kolobos dziękuję za porady, fakt jest taki, że miałeś rację, po odinstalowaniu sterownika wskazanym przez Ciebie programem AVG już nie komunikuje zagrożenia. Dziwnym wydawało mi się poprostu to, że sterownik sam się broni przed działaniem programu antywirusowego "odradzając się" cały czas pod innymi nazwami.

    Uszkodzony system to już moja wina - z tym jednak sobie jakoś poradzę.

    Kolego mati211p - po przywróceniu występuje problem - ale to moja wina - namieszałem. Zbyt wielu programów użyłem i nie wiem ostatecznie, który tak nabroił (najbardziej nabroiłem ja). Jedyne infekcje jakie były w systemie usunął AVG, potem ADWcleaner resztę, potem walczyłem jedynie jak się okazało ze sterownikiem.

    Jeszcze raz dziękuję za pomoc. Problem rozwiązany.

    Pozdrawiam

    PS. Błąd ze spowolnieniem systemu rozwiązałem odinstalowując w menadżerze urządzeń sterowniki od dysków i napędów oraz od kanałów IDE. Za każdym razem uruchamiając ponownie komputer i dając Windowsowi zainstalować sterowniki ponownie. Przeglądając logi, doszedłem, że najprawdopodobniej owe sterowniki uszkodziłem ja w programie GMER, działając nieco na oślep, wszystko wróciło do normy.

    Pozdrawiam raz jeszcze.