yakobo Opublikowano 6 Września 2010 Zgłoś Udostępnij Opublikowano 6 Września 2010 Witam mam ten problem już od jakiegoś czasu kombinowałem na różne sposoby jednakże nic nie pomagało, komputer był bardzo zawirusowany, był problem nawet z uruchomieniem programów do tworzenia logów więc zrobiłem format partycji systemowej. Po formacie działają już programy do tworzenia logów jednak wciąż nie działają programy antywirusowe(zazwyczaj niebieski ekran + restart), a nawet strony oficjalne programów antywirusowych. Natomiast gdy chce włączyć Windows w trybie awaryjnym, tryb ładuje się chwilę po czym komputer włącza się od nowa. Wirus zapewne został w jakiś plikach na innej partycji. GMER 1.0.15.15281 - http://www.gmer.net Rootkit scan 2010-09-06 02:50:57 Windows 5.1.2600 Service Pack 3 Running: 3320y3po.exe; Driver: F:\DOCUME~1\kuba\LOCALS~1\Temp\ugtdapow.sys ---- Kernel code sections - GMER 1.0.15 ---- .text F:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xB6EBC3A0, 0x59FFE5, 0xE8000020] ? F:\WINDOWS\system32\drivers\npmle.sys The system cannot find the file specified. ! ---- User code sections - GMER 1.0.15 ---- .text F:\Program Files\Mozilla Firefox\firefox.exe[2648] ntdll.dll!LdrLoadDll 7C9163A3 5 Bytes JMP 004013F0 F:\Program Files\Mozilla Firefox\firefox.exe (Firefox/Mozilla Corporation) .text F:\Program Files\Mozilla Firefox\plugin-container.exe[3684] USER32.dll!TrackPopupMenu 7E46531E 5 Bytes JMP 1044721D F:\Program Files\Mozilla Firefox\xul.dll (Mozilla Foundation) ---- Devices - GMER 1.0.15 ---- AttachedDevice \Driver\Tcpip \Device\Tcp epfwtdir.sys (ESET Antivirus Network Redirector/ESET) ---- Registry - GMER 1.0.15 ---- Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@DeviceNotSelectedTimeout 15 Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@GDIProcessHandleQuota 10000 Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@Spooler yes Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@swapdisk Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@TransmissionRetryTimeout 90 Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@USERProcessHandleQuota 10000 ---- EOF - GMER 1.0.15 ---- Log z RootRepeal: ROOTREPEAL © AD, 2007-2009 ================================================== Scan Start Time: 2010/09/06 02:59 Program Version: Version 1.3.5.0 Windows Version: Windows XP SP3 ================================================== Drivers ------------------- Name: dump_atapi.sys Image Path: F:\WINDOWS\System32\Drivers\dump_atapi.sys Address: 0xB3558000 Size: 98304 File Visible: No Signed: - Status: - Name: dump_WMILIB.SYS Image Path: F:\WINDOWS\System32\Drivers\dump_WMILIB.SYS Address: 0xB85CA000 Size: 8192 File Visible: No Signed: - Status: - Name: npmle.sys Image Path: F:\WINDOWS\system32\drivers\npmle.sys Address: 0xB85F0000 Size: 5024 File Visible: No Signed: - Status: - Name: rootrepeal.sys Image Path: F:\WINDOWS\system32\drivers\rootrepeal.sys Address: 0xB2CD1000 Size: 49152 File Visible: No Signed: - Status: - Name: ugtdapow.sys Image Path: F:\DOCUME~1\kuba\LOCALS~1\Temp\ugtdapow.sys Address: 0xB2664000 Size: 93056 File Visible: No Signed: - Status: - Hidden/Locked Files ------------------- Path: f:\documents and settings\kuba\local settings\application data\mozilla\firefox\profiles\d40c47r1.default\cache\_cache_001_ Status: Size mismatch (API: 215944, Raw: 212570) ==EOF== OTL.Txt Extras.Txt log.txt Odnośnik do komentarza
Landuss Opublikowano 6 Września 2010 Zgłoś Udostępnij Opublikowano 6 Września 2010 Niestety ale sytuacja jest trudna. ComboFix usuwał taką usługe: ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_ASC3360PR -------\Service_asc3360pr -------\Legacy_ASC3360PR -------\Service_asc3360pr To sugeruje wirusa Sality, który infekuje wszystkie pliki .EXE na dysku. Skoro po formacie nadal jest to albo nie sformatowałeś wszystkich partycji, albo gdzieś zostawiłeś zalążek wirusa i tym samym ponownie zaogniłeś infekcje. Poczytaj sobie temat na naszym forum o tych infekcjach: KLIK W twoim przypadku najlepiej po pierwsze użyć narzędzia Sality Killer, a po drugie lepszym sposobem jest po prostu skanowanie z zewnątrz (nie spod działającego Windowsa) poprzez zrobienie na innym zdrowym komputerze bootowalnej płytki: KLIK. Proponuję wykonać płytkę Dr.Web LiveCD lub Kaspersky Rescue Disk. Dopiero po tym możesz zgłosić się tutaj z nowymi logami z Gmera i OTL. Odnośnik do komentarza
yakobo Opublikowano 6 Września 2010 Autor Zgłoś Udostępnij Opublikowano 6 Września 2010 Użyłem Sality Remover, bo tego podanego przez Ciebie nie mogłem ściągnąć bo strona kasperkyego nie działała. Znalazł wiele zainfekowanych plików i je wyczyścił, działają już strony z antywirusami i można je sciągać. Zaraz zrobie logi z gmera i OTL. Gmer: GMER 1.0.15.15281 - http://www.gmer.net Rootkit scan 2010-09-06 16:18:18 Windows 5.1.2600 Service Pack 3 Running: 3320y3po.exe; Driver: F:\DOCUME~1\kuba\LOCALS~1\Temp\ugtdapow.sys ---- Kernel code sections - GMER 1.0.15 ---- .text F:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xB6EBC3A0, 0x59FFE5, 0xE8000020] ---- User code sections - GMER 1.0.15 ---- .text F:\Program Files\Mozilla Firefox\firefox.exe[204] ntdll.dll!LdrLoadDll 7C9163A3 5 Bytes JMP 004013F0 F:\Program Files\Mozilla Firefox\firefox.exe (Firefox/Mozilla Corporation) .text F:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe[1660] kernel32.dll!SetUnhandledExceptionFilter 7C8449FD 4 Bytes [C2, 04, 00, 00] .text F:\Program Files\Mozilla Firefox\plugin-container.exe[1776] USER32.dll!TrackPopupMenu 7E46531E 5 Bytes JMP 1044721D F:\Program Files\Mozilla Firefox\xul.dll (Mozilla Foundation) ---- Devices - GMER 1.0.15 ---- AttachedDevice \Driver\Tcpip \Device\Tcp epfwtdir.sys (ESET Antivirus Network Redirector/ESET) ---- Registry - GMER 1.0.15 ---- Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@DeviceNotSelectedTimeout 15 Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@GDIProcessHandleQuota 10000 Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@Spooler yes Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@swapdisk Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@TransmissionRetryTimeout 90 Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@USERProcessHandleQuota 10000 ---- EOF - GMER 1.0.15 ---- OTL: Extras.Txt OTL.Txt Po restarcie systemu ESET NOD 32 też działa normalnie właśnie nim skanuje komputer. Odnośnik do komentarza
Landuss Opublikowano 6 Września 2010 Zgłoś Udostępnij Opublikowano 6 Września 2010 Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files RECYCLER /alldrives :Services asc3360pr :Commands [emptyflash] [emptytemp] [clearallrestorepoints] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL. Odnośnik do komentarza
yakobo Opublikowano 6 Września 2010 Autor Zgłoś Udostępnij Opublikowano 6 Września 2010 Wykonane. Wielkie dzieki. nojnowszy log z OTL: OTL.Txt Extras.Txt Odnośnik do komentarza
Landuss Opublikowano 6 Września 2010 Zgłoś Udostępnij Opublikowano 6 Września 2010 Wygląda na to, że wszystko się powiodło ale w najbliższym czasie obserwuj czy infekcja znowu się nie uaktywniła. 1. Użyj opcji Sprzątanie z OTL. 2. Koniecznie zaktualizuj IE do wersji Internet Explorer 8. Nawet jeśli nie korzystasz IE ma być w najnowszej wersji co zwiększa bezpieczeństwo. Odnośnik do komentarza
yakobo Opublikowano 6 Września 2010 Autor Zgłoś Udostępnij Opublikowano 6 Września 2010 Jeszcze raz wielkie dzięki. Jakbyś mieszkał w okolicach trójmiastach osobiście przywiózłbym Ci flachę. Odnośnik do komentarza
Rekomendowane odpowiedzi