DesktopLayer.exe

[Zainfekowany]

No cóż zacznę od tego, że byłem już na innych forach komputerowych już wiele razy robiłem logi itp. jednak nie potrafiono mi pomóc, wstawiam logi, które ostatnio robiłem na zlecenie innej osoby z innego forum - jednak ta nie potrafiła mi zaś już pomóc, więc zwracam się do was.

 

Wcześniej wszelkie zabiegi uporania się z wirusem można zobaczyć w tym temacie na innym forum, tam też są wszystkie logi robione do tej pory.. ->http://wxw. search engines /Windows-Security-Alert-jak-go-usunac-Pomozcie-t141798.html/page__st__15 (Należy zamienić "x" na "w" i usunąć spację - cenzura. Czytałem w regulaminie, że jeśli wcześniej prowadzono już jakieś poczynania na innych forach - należy podać link)

 

Raport z wykonywania skryptu: http://wklej.org/id/433402/ (Podała mi go tamta osoba)

 

Log z OTL:

 

OTL: (Nie mogłem uploadnąć na http://www.wklej.org wyskakuje jakiś błąd) -> http://www.sendspace.pl/file/47de020182bff90b554d6b0

 

Skan tego pliku: http://virscan.org/report/8833e31890348d4f1234c022eaba8c70.html

 

Extras: http://wklej.org/id/433430/

 

 

Log z GMER: http://wklej.org/id/433500/

 

**Dodatkowo log z DrWeb żebyś miał podgląd na to ile mam plików zarażonych:**

Log z DrWeb: http://wklej.org/id/433369/

 

 

Eh.. macie jakiś sposób żeby pozbyć się tego cholerstwa -> "c:\program files\microsoft\desktoplayer.exe" (To plik, który zaraża wszystkie pliki .exe i .html - czytałem w internecie :-( ) szukałem w google były jakieś sposoby, ale wszystko po angielsku, a w google tłumacz kitowo tłumaczy może ty byś zajrzał, czekam na dalsze instrukcję. :Crash: ?

[picasso]

Prefereruję logi w Załącznikach, nie na wklej.org. Wklej to tylko awaryjny sposób. Umieszczanie na innych hostingach to już w ogóle jakieś komplikowanie.

 

Eh.. macie jakiś sposób żeby pozbyć się tego cholerstwa -> "c:\program files\microsoft\desktoplayer.exe" (To plik, który zaraża wszystkie pliki .exe i .html - czytałem w internecie :-( ) szukałem w google były jakieś sposoby, ale wszystko po angielsku, a w google tłumacz kitowo tłumaczy może ty byś zajrzał, czekam na dalsze instrukcję. :Crash: ?

 

1. Nie spodziewaj się cudów. Ten plik to nie jest meritum, a wraca bo są geny wirusa gdzieś na dysku. Musi być użyty skaner, który wyleczy wszystkie zainfekowane pliki wykonywalne i html (czego się nie da leczyć, wyrzucać z dysku, nie wolno zostawić ani jednego pliki zainfekowanego). Przykład z forum, że bez problemu to usunęliśmy i bez kombinowania: KLIK. Tylko skaner Kasperskiego w użytku. Inna sprawa = wirus jest czynny w pamięci. Jedno leczysz, drugie już zarażone. Takie infekcje w wykonywalnych są trudne do wyplenienia spod działającego Windows.

 

2. Fatalny status zabezpieczeń, tylko SP2 brak SP3, co może mieć niebagatelny wpływ na podatność.

 

Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation

 

W każdym razie - usuwanie spod Windows nieskuteczne? Skorzystaj z bootowalnej płyty Kasperskiego: KLIK. Pobierz ją i wypal na płytce na cudzym komputerze, nie swoim zarażonym. I z jej poziomu przeskanuj wszystkie dyski. Po ukończeniu leczenia zastartuj z powrotem do Windows i zaprezentuj raport z tego narzędzia.

 

 

 

 

.

[Zainfekowany]

Chciałem zadać tylko jedno pytanie czy zformatowanie wszystkich dysków dałoby mi 100% pewność na to, że po formacie wirusa nie będzie? (Gdyż nie wiem czy bardziej opłaca mi się format, czy leczenie ze zbotowanej płyty).

 

Zaraz zajrzę do tego co mi podałeś. Pozdrawiam serdecznie.

[picasso]

1. Jeszcze uwaga: w zarażonych plikach był wskazany m.in. kluczowy plik winlogon.exe. Jeśli skaner z poziomu środowiska zewnętrznego zadecyduje, że plik kasuje a nie leczy (bo np. niemożliwe leczenie), grób pewny i nie ma wejścia do Windows (i należy z boot płyty wstawiać świeży plik lub robić Reperację Windows).

 

2. Jest tu podejrzenie także infekcji w MBR (to może być także wytłumaczeniem namolnych powrotów, i braku skuteczności programu AV). Był w Dr. Web w poprzednim raporcie jednorazowy odczyt "BackDoor.Tdss" (zaatakowana pamięć svchost.exe). Aktualny log z GMER wygląda bardzo podejrzanie. Sprawdź co powie Kaspersky TDSSKiller.

 

Chciałem zadać tylko jedno pytanie czy zformatowanie wszystkich dysków dałoby mi 100% pewność na to, że po formacie wirusa nie będzie?

 

Tylko pod warunkiem, że:

- nie nagrywano żadnych kopii zapasowych / plików z tego systemu wcześniej na płytki (które to miałbyby zostać podane po formacie = cykl wirusa się rozpocznie od nowa)

- nie ma w obrotach żadnego urządzenia przenośnego które może być zarażone.

- nie ma infekcji w MBR: zwyczajny format z instalatora Windows może wcale nie nadpisać MBR w skuteczny sposób i infekcja może przetrwać format

 

Nadal niejasne w jaki sposób tego wirusa złapałeś w pierwszej kolejności. Na tamtym forum powiedziałeś "niedawno miałem format komputera" (przy okazji: co to za format skoro Windows w stadium sita, tu trzeba sobie zrobić zintegrowane CD XP SP3 KLIK). Taki wirus nie wchodzi w sposób "samoczynny". Musiałeś sam go wprowadzić w system.

 

 

.

[Zainfekowany]

A więc powiem tak Tobie tak podejrzewam infekcja wzięła się z tego, że przed tamtejszym formatem żeby nie stracić danych nagrałem je na płytkę, a wcześniej też miałem pełno wirusów, dlatego też zdecydowałem się na format. Więc myślę, że komputer był czysty, lecz gdy włożyłem płytę, wgrałem dane z przed formata (Pewnie były zawirusowane) i infekcja się rozpstrzeniła.

 

Naruszyłem ten punkt: - nie nagrywano żadnych kopii zapasowych / plików z tego systemu wcześniej na płytki (które to miałbyby zostać podane po formacie = cykl wirusa się rozpocznie od nowa)

 

Zaraz spróbuję z Kaspersky TDSSKiller. Więc w zasadzie tamte płyty mogę zniszczyć, eh.. miałem tam gry, ale to mało ważne chodzi mi o zdjęcia czy będzie można (ewentualnie po formacie) sprawdzić jakoś czy są zawirusowane bez narażania się na kolejną infekcję?

[picasso]

Zaraz spróbuję z Kaspersky TDSSKiller.

 

Na początek uruchom go tylko w trybie tylko do odczytu. Jeśli cokolwiek znajdzie, ustaw Skip i tylko wygeneruj raport do oceny.

 

eh.. miałem tam gry, ale to mało ważne chodzi mi o zdjęcia czy będzie można (ewentualnie po formacie) sprawdzić jakoś czy są zawirusowane bez narażania się na kolejną infekcję?

 

To już robota dla skanera antywirusowego.

[Zainfekowany]

Więc uruchomiłem ten program wykrył /Harddisk0 i dałem Skip, po restarcie wygenerował się raport (Log_1), ponownie zeskanowałem nic nie wykrył (Log_2) -> następnie spróbowałem MBAM usunąć c/programfiles/microsoft/DesktopLayer.exe po restarcie zajrzałem do tego folderu i nie było tego pliku, ale po chwili znów się pojawił (skubany ).

 

A więc z tego wynika, że MBR jest czysty?

 

PS: Zauważyłem, że folder powstaje dopiero po włączeniu przeglądarki internetowej.

TDSSKiller.2.4.10.1_07.12.2010_17.32.40_log.txt

TDSSKiller.2.4.10.1_07.12.2010_17.40.48_log.txt

[picasso]

Niewątpliwie, jest infekcja w MBR (GMER mówi to samo, mówił to i Dr. Web CureIt):

 

2010/12/07 17:35:35.0140    Detected object count: 1
2010/12/07 17:37:59.0968    \HardDisk0 - will be skip after reboot
2010/12/07 17:37:59.0968    Rootkit.Win32.TDSS.tdl4(\HardDisk0) - User select action: Skip

Dałeś Skip, czyli program nie podjął akcji. To, że ponowny skan nic nie wykrył nic nie oznacza. Te rootkity TDL mogą robić jak chcieć narzędzia detekcji. Mam z forum przykład (innej) infekcji w MBR, gdzie żadne narzędzie nic nie wykryło (GMER / ComboFix + MBR.EXE / MBRCheck / edit: i TDSSKiller = zero odczytów) a infekcja była (typowana przez znaki pośrednie). Teraz w ogóle nie można na niczym polegać na 100%, jest dużo intuicyjnych działań, a pomagający nie może wypuścić użytkownika z działu diagnostyki tylko dlatego, że "logi czyste".

 

Będziesz nadpisywał MBR z poziomu izolowanego środowiska.

 

następnie spróbowałem MBAM usunąć c/programfiles/microsoft/DesktopLayer.exe po restarcie zajrzałem do tego folderu i nie było tego pliku, ale po chwili znów się pojawił (skubany <_>

 

Ty się interesujesz tylko tym plikiem. Nie zapominaj, że masz infekcję w pamięci i pracuje więcej obiektów, które to nosi (nie wspominając o jakżesz drobnym fakcie, że MBR jest zaprawione). Nic Ci nie da w aktualnej fazie kasowanie tego pliczku w kółko. Będzie wracał.

 

 

Sumarycznie = od teraz wszystkie akcje czyszczenia będziesz prowadził z zewnątrz, bez załadowanego Windows (i nie wchodź do Windows dopóki nie skończysz). Są potrzebne dwie płyty.

 

1. Boot do Konsoli Odzyskiwania i wpisz komendę FIXMBR

2. Wymień płytki i bootuj z CD Kasperskiego, pozwól mu leczyć / usuwać Ramnita.

 

Jeśli to się uda, bootujesz do Windows, preparujesz nowe logi do oceny (GMER / OTL).

 

 

.

[Zainfekowany]

Piccasso mam prośbę żebyś opisał mi wszystko szczegółowo co mam zrobić po kolei - gdyż jutro będę leczył kompa. Ja też mam kilka pytań, a mianowicie jak wypalić obraz płyty na CD - jak ja zbootować, gdyż nigdy tego nie robiłem i nie wiem czy jakimś specjalnym programem? Druga sprawa

1. Boot do Konsoli Odzyskiwania i wpisz komendę FIXMBR

Mam zbootować płytkę na dysk CD... restart kompa wsadzić do cd romu i płytka się sama odpali nie uruchamiając windowsa i wtedy wpisać tą komendę..? A następnie wsadzić zbootowaną płytkę Kasperskiego i rozpocząć leczenie.. czekam na odpowiedź. Pozdrawiam serdecznie.

 

PS: Płyta musi być CD czy DVD też może być..?

[picasso]

Robiłeś format i instalację XP, to zakładam że masz płytę XP i z niej możesz wejść do Konsoli.

 

1. By płyta startowała samoczynnie przed załadowaniem Windows, w BIOS musi być ustawiona właściwa kolejność, czyli napęd CD-ROM jako pierwszy przed HDD. Jeśli nie jesteś pewny tego, wejdź do BIOS (na samym początku startu komputera powinien być tekst w rodzaju "Press DEL to enter Setup" = klawisz wchodzenia do BIOS może być różny, zależnie od tego jaka jest płyta główna) i szukaj czegoś brzmiącego podobnie do: Boot Sequence, Boot Order, 1st / 2nd ... boot device. Z drugiej strony, już robiłeś wcześniej format, to i kolejność startu urządzeń już pewnie jest prawidłowa, w przeciwnym wypadku sam byś zauważył, że płyta nie startuje...

 

2. Pobierasz Active ISO Burner oraz obraz ISO płyty Kasperskiego. Uruchamiasz Active ISO Burner i wskazujesz do nagrania plik ISO. Płyta zostanie nagrana.

 

3. Wkładasz płytę z instalatorem Windows XP i restart komputera. Płyta sama zastartuje. Jak z tej płyty wejść do Konsoli Odzyskiwania opuszczając instalację XP i jak się reaguje w Konsoli Odzyskiwania jest w opisie do którego kierowałam. Wklepujesz polecenie FIXMBR. Po jego wykonaniu wyciągasz płytę i:

 

4. Wkładasz płytę z Kasperskym i restart komputera. Płyta sama zastartuje. A dalej to już łatwo, bo płyta ma interfejs graficzny, w którym się klika. Do skanowania masz zaznaczyć wszystkie dyski.

 

PS: Płyta musi być CD czy DVD też może być..?

 

Obojętne, tylko szkoda tracić pojemność DVD na materiały, które nawet się nie zbliżają do tej granicy.

 

 

.

[Zainfekowany]

No prawdę mówiąc to ja sam nigdy nie robiłem formata, tylko robiła to osoba -> informatyk, więc nie wiem czy jest to ustawione w biosie zaraz spróbuję to jakoś ustawić.. (Mam nadzieję, że nic nie popsuję ). Dam Edit już po leczeniu.. jeśli wszystko przebiegnie prawidłowo..

 

@Edit

 

W BIOSie mam ustawione "First Boot Device-> CDrom", czyli wszystko powinno być ok. Teraz tylko zbootuje płytkę i biorę się do roboty..

[Anonim8]

tylko robił to osoba -> informatyk, więc nie wiem czy jest to ustawione w biosie zaraz spróbuję to jakoś ustawić..

 

Możesz to sprawdzić bardzo prosto. Wkładasz płytke z Windowsem do kieszeni CD. I dajesz uruchom ponownie komputer. Czekasz. Jak uruchomi sie instalator Windows to znaczy że w Biosie jest ustawione bootowanie z CD jako pierwsze. Instalator zaczneie pracować i bedzie kopiował do pamieci pliki. w pewnym momencie zapyta co chcesz dalej zrobić. Czy instalowac system, czy coś innego? A Ty wtedy naciśniesz przycisk od CD i wysuniesz plyte. Pojawi sie błąd. Zignorujesz go, wyjmiesz płytke i wykonasz restart.

[Zainfekowany]

Eh... po dłuższym czasie uruchomił się tryb graficzny -> wybrałem wszystkie dyski do skanowania i klikłem na "Start Scan" i jedna sekunda i małe okienko w prawym dolnym rogu z napisem "detedable is corrupted" i nie chciało się skanować .. jakieś rady?

[picasso]

mogę uruchomić tylko tryb tekstowy, w którym nie potrafię się poruszać (Nie wiem co wpisać żeby rozpoczęło się skanowanie).

 

Czy na pewno jesteś na tak dalekim etapie? Opisz dokładnie gdzie stoisz na tym trybie tekstowym. Oto co ja mam widoczne po wyborze trybu tekstowego w Kasperskym:

 

 

Jak widać menu jest oczywiste i od razu podane opcje skanu. Strzałką z klawiatury zaznaczasz pozycję "Scan all objects". Otwiera się konsola z autowstawioną komendą. Skaner tu "myśli" trochę zanim wydrukuje na ekranie statystyki, które zaczynają się zmieniać wraz z postępem skanowania.

 

 

EDIT: Odpowiadałam mając ciągle otwarte okno ze starą treścią. Wykonałeś edycję posta.

 

"Start Scan" i jedna sekunda i małe okienko w prawym dolnym rogu z napisem "detedable is corrupted" i nie chciało się skanować .. jakieś rady?

 

"detedable" = a może "database"? Czy tę płytę nagrywałeś z poziomu swojego zainfekowanego systemu (miałeś tego nie robić)? Czy da radę w interfejsie Kasperskiego wykonać cofanie wstecz bądź aktualizację baz danych?

 

 

.

[Zainfekowany]

Dobrze już wszystko jest OK.. wtedy jak był czarny ekran wystarczyło poczekać na uruchomienie się trybu graficznego. Teraz jest wszystko działa mogę skanować, tylko nie mogę uaktualnić baz - nie wiem dlaczego, ale nie mogę nawiązać połączenia z internetem, dam raport z leczenia w najbliższym czasie, po ukończeniu skanowania.

[Zainfekowany]

No i skończyło się tak: Po skanowaniu Kasperskym i leczeniu, komputer się zresetował i zaczęły się kłopoty, a mianowicie komputer nie chciał się uruchomi (zacinał się jeszcze przed samym BIOSem) zawołałem fachowca zrobił zerowanie dysku i reinstalację systemu. W tym momencie nie mam z komputerem żadnych problemów, lecz chciałbym się zabezpieczyć przed tego rodzaju infekcjami, a więc jak się odpowiednio zabezpieczyć, jakie programy zainstalować - czekam na odpowiedź. Pozdrawiam Cię serdecznie.

[Landuss]

Nie ma idealnych programów i musisz też zachować zdrowy rozsądek podczas korzystania z sieci. Każde zabezpieczenie wirusy potrafią obchodzić. Wiadomo, że trzeba mieć antywirusa + zapore + jakiś skaner na żądanie i to wystarczy. Wybór programów należy do Ciebie. Temat uznajemy za zakończony i zamykamy.

[Zainfekowany]

A więc tak jak w temacie dane były nagrywane na płytę przed zerowaniem dysku, a więc w tym okresie kiedy mój komputer był zainfekowany nagrywałem instalkę gry z rozszerzeniem.ISO chciałbym sprawdzić czy dane są zainfekowane jeśli nie chciałbym zainstalować tą grę, ale bez narażania mojego komputera na ponowne zarażenie - czekam na odpowiedzi.

[picasso]

Tematy łączę ze sobą.

 

A więc tak jak w temacie dane były nagrywane na płytę przed zerowaniem dysku, a więc w tym okresie kiedy mój komputer był zainfekowany nagrywałem instalkę gry z rozszerzeniem.ISO chciałbym sprawdzić czy dane są zainfekowane jeśli nie chciałbym zainstalować tą grę, ale bez narażania mojego komputera na ponowne zarażenie - czekam na odpowiedzi.

 

Już Ci odpowiedziałam na ten temat przecież:

 

To już robota dla skanera antywirusowego.

 

Tu nikt nie wymyśli nic więcej niż to. Zablokuj Autoodtwarzanie (np. przez Panda USB Vaccine), włóż CD do napędu (i nic nie uruchamiaj z tej płyty) i przeskanuj antywirusem który potrafi skanować wewnątrz obrazu ISO. A jeśli płyta nadal będzie budzić wątpliwości, pożegnać się z nią i grę skombinować raz jeszcze.

 

 

 

.

Edytowane 31 Stycznia 2011 przez picasso
31.01.2011 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso