Skocz do zawartości
hps

Wirus Wyłączający Av, Przywileje Administratora, Blokujący Strony Av

dodany przez hps, w Centrum Bezpieczeństwa

Rekomendowane odpowiedzi

hps Newbie

hps

Napisano
Napisano (edytowane)

Witam.

 

Kilka godzin temu wziąłem się za naprawę Laptopa ( S96S )

Reinstalacja Windowsa, wszystko ładnie, ale do czasu. Po sformatowaniu systemowego C, zainstalowaniu Windowsa, wgraniu wszystkich sterowników zaczął się problem. Po zainstalowaniu Kasperskyego, spybota, outposta ( firewall ) żaden z tych programów nie chcę się uruchomić + nie możemy wejść w menadżer zadań, gpedit.msc, regedit - inaczej mowiąc nie możemy zarządzać systemem. Byłem pewny że to wirus, i dobrze myślałem. Chciałem przeskanować kompa skanerem online, ale strony antywirusów z skanerem, są blokowane ( tak jak by były błędne )

Po sformatowaniu drugiej partycji ( na której myślałem że prawdopodobnie jest wirus ) - objawy nie odeszły.

Przy okazji, jakimś cudem owe świństwo przedostało się przez pendrive i Kasperskyego najnowszego z najnowszymi aktualizacjami, i kilka innych antysyfowych programów, do mojego stacjonarnego komputera... Efekt ten sam co na laptopie.

Ma ktoś pomysł jak rozwiązać problem? ( Na stacjonarnym programy AV zostały zamknięte i próba ich ponownego włączenia nie skutkuje, menadżer zadań i "inne" też nie działają...

 

 

Edit:

 

Udało mi się MKSem przeskanować, i w kilkudziesięciu EXEkach wykrył wirusa Heur W32. Co teraz?

Edytowane przez hps

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach
ULLISSES Contributor

ULLISSES

Napisano
Napisano

Poczytaj to:

http://www.searchengines.pl/Infekcje-z-pen...ych-t94761.html

 

Jak już zwalczysz robactwo na penie, to uruchom kompa w awaryjnym i zastosuj HijackThis, Unlocker i np. Avirę (powinna się zainstalować i działać).

 

Poczytaj też to:

http://www.searchengines.pl/index.php?show...t=0#entry495933

oraz kilka innych tematów w tamtym dziale. Przepisywanie ich tutaj nie ma sensu.

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach
hps Newbie

hps

Napisano
Napisano

Poczytaj to:

http://www.searchengines.pl/Infekcje-z-pen...ych-t94761.html

 

Jak już zwalczysz robactwo na penie, to uruchom kompa w awaryjnym i zastosuj HijackThis, Unlocker i np. Avirę (powinna się zainstalować i działać).

 

Poczytaj też to:

http://www.searchengines.pl/index.php?show...t=0#entry495933

oraz kilka innych tematów w tamtym dziale. Przepisywanie ich tutaj nie ma sensu.

Robactwo na penie zwalczone, komp w awaryjnym się nie uruchamia ( albo blue screen albo restart bez BS )

HiJackThis log - http://wklej.org/id/108850/

Aviry zapewne nie uda mi się odpalić, jak pozostałych AV i wielu EXEków...

 

SWReg z linku działa tylko przez kilka pierwszych sekund po uruchomieniu, potem znowu wszystko jest "zablokowane"

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach
ULLISSES Contributor

ULLISSES

Napisano
Napisano

Trzeba by:

- poubijać wszystkie procesy (przy pomocy Process Manager itp) bez których system może nadal działać (łącznie z explorer.exe i niektórymi svchost.exe - uwaga na odliczanie, Start->Uruchom: shutdown /a)

- wywalić wszystkie niezgodności znalezione przez HijackThis oraz Spybot S&D z użyciem widoku zaawansowane (BHO itp)

- ręcznie pousuwać pozostałe podejrzane pliki w Windows\System32 - nie powinno tam być ukrytych plików exe/dll (w razie problemów z usuwaniem użyć Unlocker)

 

Nie używaj Explorer.exe - zamiast niego skorzystaj z Total Commander lub Unreal Commander z włączonym widokiem plików ukrytych.

 

Pousuwaj katalogi Recycled i Recycler. Pousuwaj wszelkie pliki z głównych katalogach na wszystkich dyskach. W zdrowym czystym systemie na dysku C potrzebne są: boot.ini, bootfont.bin, NTDETECT.COM, ntldr i tyle! Na pozostałych dyskach nie ma prawa być jakichkolwiek plików "luzem".

 

Używałeś już ComboFix? Jeśli nie, to jeszcze go nie włączaj.

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach
hps Newbie

hps

Napisano
Napisano
- wywalić wszystkie niezgodności znalezione przez HijackThis oraz Spybot S&D z użyciem widoku zaawansowane (BHO itp)

Przez HiJackThis nie może mi przesłać loga do TrendMicro. Sam usunałem Linijkę 07 ( log poniżej ) i oprócz CTFMON.EXE nic podejrzanego nie widze, bo z pewnością to nie jest proces "ctfmon.exe" - pisany małymi literami. Spybot się nie uruchamia,aktualnie skanuje lavasfotowym Ad-Aware.

Log HJT - 3309693[/snapback]

- ręcznie pousuwać pozostałe podejrzane pliki w Windows\System32 - nie powinno tam być ukrytych plików exe/dll (w razie problemów z usuwaniem użyć Unlocker)
żadnych ukrytych exeków i dllów. Tylko kilka "ax" i manifestów

 

Pousuwaj katalogi Recycled i Recycler. Pousuwaj wszelkie pliki z głównych katalogach na wszystkich dyskach. W zdrowym czystym systemie na dysku C potrzebne są: boot.ini, bootfont.bin, NTDETECT.COM, ntldr i tyle! Na pozostałych dyskach nie ma prawa być jakichkolwiek plików "luzem".

Katalogi R&R usunięte na chwile... Po usunięciu przy użyciu Total Comandera i Unlockera, pliki z "kosza" wracają z powrotem ( plik info2, desktop.ini oraz DC62.ini i "numerki w górę" przy każdym ręcznym usunięciu pliku) razem z folderem. Przy drugiej próbie usunięcia, Unlocker się nie włącza... Nie miałem żadnych podejrzanych plików luzem, gdyby były - napewno bym je usunał 8O

 

- poubijać wszystkie procesy (przy pomocy Process Manager itp) bez których system może nadal działać (łącznie z explorer.exe i niektórymi svchost.exe - uwaga na odliczanie, Start->Uruchom: shutdown /a)

I tu pojawia się problem, bo którego procesu systemowego bym nie zabił - uruchamia się na nowo. Z svchostami nawet nie próbowałem bo napewno było by tak samo ( explorer, spoolsv którego niepowinno być, bo usługa jest wyłączona, proces od aktualizacji automatycznych, które także były wyłączone, rundll32.exe, wmiprvse.exe też niepowinno być, a są )

 

Nie używaj Explorer.exe - zamiast niego skorzystaj z Total Commander lub Unreal Commander z włączonym widokiem plików ukrytych.

Załatwione.

 

Używałeś już ComboFix? Jeśli nie, to jeszcze go nie włączaj.

Raz, na początku moich "operacji"

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach
hps Newbie

hps

Napisano
Napisano

Napewno sality, tego jestem pewien.

 

Jutro spróóje, mam nadzieje że pomoże.

 

Jest jakiś sposób, żeby poprostu zgrać potrzebne mi dane z komputera stacjonarnego ( z owym heurem w32 ) na dysk przenośny, potem sformatować całkowicie komputer stacjonarny, i wgrać spowrotem ważne pliki z dysku przenośnego, ale bez wirusa? Chodzi mi o to, czy jest jakaś możliwość wrzucić pliku na pendrive, bez wrzucenia wirusa... ( Panda USB Vaccine i Flash Disinfector nie dały rady - autorun.inf i plik exe z pendrive cały czas używane, unlocker też nie podołał )

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach
hps Newbie

hps

Napisano
Napisano

Ani dll.

 

Ma ktoś pomysł jak pozbyć się heura w32 z pen drive?

 

unlocker,panda viccine i flash disinfector nie dały rady...

Z linuxa mogłoby się udać?

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach
hps Newbie

hps

Napisano
Napisano

Taki, że pliku autorun.inf i pliku exe z wirusem, w żaden sposób nie mogłem usunąć, formatem pendrive też. Pisze w czasie przeszłym, bo live CD z ubuntu pomogło, i pendrive jest już zabezpieczony a wirus usunięty ( flash disinfector )

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach

Dołącz do dyskusji

Możesz dodać zawartość już teraz a zarejestrować się później. Jeśli posiadasz już konto, zaloguj się aby dodać zawartość za jego pomocą.

Gość
Dodaj odpowiedź do tematu...

×   Wklejono zawartość z formatowaniem.   Przywróć formatowanie

  Dozwolonych jest tylko 75 emoji.

×   Odnośnik został automatycznie osadzony.   Przywróć wyświetlanie jako odnośnik

×   Przywrócono poprzednią zawartość.   Wyczyść edytor

×   Nie możesz bezpośrednio wkleić grafiki. Dodaj lub załącz grafiki z adresu URL.

Ładowanie
×
Przejdź do listy tematów
×
×
  • Dodaj nową pozycję...