Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Win32.Hidrag - Zawieszanie po 10 minutach, nie działa tryb awaryjny

gerlach

Przez gerlach
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

gerlach

gerlach

Opublikowano
Opublikowano

Witam

 

Mam następujący problem. Komputer mi się wiesza po około 10 minutach od włączenia. Wygląda to w taki sposób, że myszka działa ale aplikacje przestają odpowiadać i tak jakby ich tło robi się białe, takie za mgłą.

 

Zanim trafiłem na to forum użyłem Combofix bo Kaspersky Virus Removal Tool 2010 wykrył mi że mam wirusa Win32.Hidrag i przeczytałem że Combofix go usuwa więc użyłem. Sytuacja nie uległa poprawie bo dalej komputer się zawiesza, ale zniknęły podejrzane procesy oraz przestało mi wywalać komunikaty na starcie systemu o brakujacych plikach.

post-1976-0-22103400-1303577841_thumb.jpg

 

Proszę o sprawdzenie czy to zawieszanie może być spowodowane jakimś wirusem czy Combofix się ze wszystkim rozprawił i trzeba szukać w sprzęcie.

 

Oto wymagane logi:

OTL.Txt

Extras.Txt

 

Z Gmera jest jedynie prescan bo kompletne skanowanie w zwykłym trybie wywala BSOD bsod.txt a tryb awaryjny komputer w ogóle nie startuje. Próbuje, pokazuje się lista plików co ładuje i następuje ponowne uruchomienie komputera.

Rootrepeal nie jestem w stanie dać bo skanowanie idzie ale zanim się skończy komp się zawiesza.

 

gmer.txt

 

ComboFix.txt

 

Proszę o pomoc.

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano
Zanim trafiłem na to forum użyłem Combofix bo Kaspersky Virus Removal Tool 2010 wykrył mi że mam wirusa Win32.Hidrag i przeczytałem że Combofix go usuwa więc użyłem.

 

Jaki był powód użycia ComboFix do usuwania, skoro infekcję namierzył Kaspersky? Nie mógł usunąć? Win32.Hidrag (aka Jeefo) = infekcja w wykonywalnych, wirus który się rozprzestrzenia na wszystkie pliki tego rodzaju na wszystkich dyskach.

 

 

Proszę o sprawdzenie czy to zawieszanie może być spowodowane jakimś wirusem czy Combofix się ze wszystkim rozprawił i trzeba szukać w sprzęcie.

 

ComboFix to nie jest skaner antywirusowy, czyli należy ten system przeskanować skanerem antywirusowym z prawdziwego zdarzenia. ComboFix skasował pliki prawidłowych programów:

 

c:\progra~1\COMMON~1\INSTAL~1\UPDATE~1\isuspm.exe
c:\program files\CyberLink\PowerDVD DX\PDVDDXSrv.exe
c:\program files\Intel\Intel Matrix Storage Manager\iaanotif.exe
c:\program files\Java\jre6\bin\jusched.exe
c:\program files\LogMeIn Hamachi\hamachi-2-ui.exe
c:\program files\Nowe Gadu-Gadu\gg.exe
c:\program files\QuickTime\QTTask.exe

To jest potwierdzenie, że w tym systemie grasuje wirus. Jak mówię: skaner AV do ręki. Jest już zamontowany Kaspery Virus Removal Tool, proszę ponów nim pełny skan wszystkich dysków i skan ma być wykonywany do skutku, czyli zero znalezionych.

 

 

tryb awaryjny komputer w ogóle nie startuje. Próbuje, pokazuje się lista plików co ładuje i następuje ponowne uruchomienie komputera

 

Start > w polu szukania wklep regedit > wyeksportuj do oceny klucz:

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot

 

 

 

 

.

Odnośnik do komentarza
gerlach

gerlach

Opublikowano
  • Autor
Opublikowano

Jaki był powód użycia ComboFix do usuwania, skoro infekcję namierzył Kaspersky? Nie mógł usunąć? Win32.Hidrag (aka Jeefo) = infekcja w wykonywalnych, wirus który się rozprzestrzenia na wszystkie pliki tego rodzaju na wszystkich dyskach.

 

ComboFix to nie jest skaner antywirusowy, czyli należy ten system przeskanować skanerem antywirusowym z prawdziwego zdarzenia. ComboFix skasował pliki prawidłowych programów:

 

c:\progra~1\COMMON~1\INSTAL~1\UPDATE~1\isuspm.exe

c:\program files\CyberLink\PowerDVD DX\PDVDDXSrv.exe

c:\program files\Intel\Intel Matrix Storage Manager\iaanotif.exe

c:\program files\Java\jre6\bin\jusched.exe

c:\program files\LogMeIn Hamachi\hamachi-2-ui.exe

c:\program files\Nowe Gadu-Gadu\gg.exe

c:\program files\QuickTime\QTTask.exe

 

 

To jest potwierdzenie, że w tym systemie grasuje wirus. Jak mówię: skaner AV do ręki. Jest już zamontowany Kaspery Virus Removal Tool, proszę ponów nim pełny skan wszystkich dysków i skan ma być wykonywany do skutku, czyli zero znalezionych.

 

 

Kaspersky wykrył ale akcja leczenia była nieaktywna. Było tylko Pomiń albo Usuń plik. Dlatego szukałem jakiegoś innego narzędzia, żeby wyleczyć te pliki. Gdzieś znalazłem informację, że Combofix to potrafi dlatego go użyłem bo myślałem, że obejdzie się bez kasowania. A druga sprawa, że komputer cały czas się zawieszał i myślałem, że to jakiś wirus co cały czas działa i dlatego też uruchomiłem Combofix.

 

Dopiero później trafiłem na to forum i zacząłem czytać jak to się powinno wszystko odbywać.

 

Niestety nie jestem w stanie przeprowadzić kompletnego skanowania, bo komputer cały czas się zawiesza. Uzupełniłem plik

 



c:\program files\Intel\Intel Matrix Storage Manager\iaanotif.exe






 


robiąc od nowa instalkę Intel Matrix Storage Manager bo znalazłem, że od tego jest ten plik. 


 


Przetestowałem dysk HDtune i w okolicach 200GB dysk ma masę błednych sektorów. Być może to jest wina zawieszania systemu. Po każdym zawieszeniu jak uruchomię od nowa to pojawia się coraz więcej błędów w tych trzech podświetlonych na żółto pozycjach


 


post-1976-0-07766300-1303646567_thumb.png


 


 




Start > w polu szukania wklep regedit > wyeksportuj do oceny klucz:


 


HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot






 


safeboot




			
		


		

		
	


	

	





	
Odnośnik do komentarza

	
		
	
	
	

	





	



					
					
					
				

					

					
					






	

	

	

		

			

				


	
		picasso
	

				
				
				
				
			

		

		

			

				


picasso
			

			

				Opublikowano 
				
			

		

	

	
	

		




	

		

			

				
    
					
					
					
					
					
				

			

			
		


		

			Opublikowano 
			
			
				
				
			
		

	


	

    

	

		
		

			

safeboot 


 


Klucz nie wykazuje naruszeń. W związku z tym się nasuwa: uszkodzenie sterowników / plików systemu (może to być sprawka wirusa), błędy dysku i podobne. 


 


 


Niestety nie jestem w stanie przeprowadzić kompletnego skanowania, bo komputer cały czas się zawiesza.


 


Rozległość infekcji jest tu całkowicie nieznana. Między ostatnimi dostarczonymi danymi (zresztą mało precyzyjnymi, log z ComboFix nie nadaje się do oceny tego typu infekcji) a dniem dzisiejszym szkody mogą być już znacznie większe i więcej zarażonych plików. Skoro są problemy z wdrożeniem skanowania, spróbuj z poziomu boot płyty Kaspersky Rescue Disk. 


 


 


Przetestowałem dysk HDtune i w okolicach 200GB dysk ma masę błednych sektorów. Być może to jest wina zawieszania systemu. Po każdym zawieszeniu jak uruchomię od nowa to pojawia się coraz więcej błędów w tych trzech podświetlonych na żółto pozycjach


 


Dopóki jest obecny w systemie omawiany tu rodzaj infekcji, nie można wykluczyć złożenia przyczyn (infekcja + bad sectory). Jak się uporasz z wirusem, udaj się do działu Hardware z kompletną specyfikacją sprzętu oraz wynikami skanowania + SMART z MHDD. 


 


 


 


.



			
		


		

		
	


	

	





	
Odnośnik do komentarza

	
		
	
	
	

	





	



					
					
					
				

					

					
					






	

	

	

		

			

				


	
		gerlach
	

				
				
			

		

		

			

				


gerlach
			

			

				Opublikowano 
				
			

		

	

	
	

		




	

		

			

				
    
					
						
  • Autor
    • 
					
					
					
					
					
				

			

			
		


		

			Opublikowano 
			
			
				
				
			
		

	


	

    

	

		
		

			

Jako, że święta teraz, a ja nie miałem czystych płyt to wymontowałem dysk z laptopa i podpiałem do stacjonarki i puściłem skanowanie. Rzeczywiście zawirusowanych plików było mnóstwo. Jednak nie wszystkie się wyleczyły. NIektóre były chyba z windowsa i dałem pomiń. 


 


Co dalej?


 


Załączam logi z Kasperskiego:


 


skanowanie.txt


skanowanie_posortowane.txt


 


 


ps. Czy jest jakaś nowa wersja tego Kaspersky Virus Removal Tool bo jak skanowałem to pokazywało, że bazy są nieaktualne ale jak kliknąłem, żeby aktualizowało, to mnie przenosi na stronę skąd pobrałem to narzędzie.



			
		


		

		
	


	

	





	
Odnośnik do komentarza

	
		
	
	
	

	





	



					
					
					
				

					

					
					






	

	

	

		

			

				


	
		picasso
	

				
				
				
				
			

		

		

			

				


picasso
			

			

				Opublikowano 
				
			

		

	

	
	

		




	

		

			

				
    
					
					
					
					
					
				

			

			
		


		

			Opublikowano 
			
			
				
				
			
		

	


	

    

	

		
		

			

Rzeczywiście zawirusowanych plików było mnóstwo. Jednak nie wszystkie się wyleczyły. NIektóre były chyba z windowsa i dałem pomiń.


 


Oceniając raporty:


 


1. Ominąłeś plik, który musi zostać czym prędzej skasowany, to nie jest plik systemowy (prawdziwy plik Windows siedzi w system32), tylko plik wirusa dbający o to by zarażanie miało swój cykl:


 




2011-04-25 23:03:40	Nieprzetworzony: Virus.Win32.Hidrag.a	G:\Windows\svchost.exe	Nie może zostać wyleczony
2011-04-25 23:03:59	Nieprzetworzony: Virus.Win32.Hidrag.a	G:\Windows\svchost.exe	Pominięty przez użytkownika	



2. Leczenie niektórych wyników można sobie darować.


 




    

  • F:\Windows\SoftwareDistribution\Download (tu są pobierane łatki) - skasuj przez SHIFT+DEL całą zawartość katalogu
    

    • 

  • F:\Users\GOSIA\Downloads + F:\Users\GOSIA\Desktop (po prostu pobierzesz od nowa instalatory / pliki)
    

    • 

  • F:\Qoobox (kwarantanna ComboFix) - pobierz z linka świeżą kopię ComboFix, z klawiatury klawisz z flagą Windows + R i wklej komendę deinstalacji "Ścieżka dostępu do ComboFix.exe" /uninstall
    

    • 





3. Wyniki z katalogów System Volume Information zostaną zbiorczo opróżnione w bardziej prawidłowy sposób przez wywołanie czyszczenia folderów Przywracania na wszystkich dyskach: KLIK.


 


4. Sporo wyników z Program Files. Jeśli programy przestaną działać po tej operacji, należy je przeinstalować z nowych pobranych instalatorów.


 


 


Co dalej?


 


Jak mówiłam: skanowanie do skutku (tym bardziej, że pominąłeś plik wirusa jako takiego i nie wiadomo czy nie ma już więcej zarażonych ...). Nie może pozostać żaden zainfekowany plik, w przeciwnym wypadku polka zacznie się od początku.  


 


 


ps. Czy jest jakaś nowa wersja tego Kaspersky Virus Removal Tool bo jak skanowałem to pokazywało, że bazy są nieaktualne ale jak kliknąłem, żeby aktualizowało, to mnie przenosi na stronę skąd pobrałem to narzędzie. 


 


Ten program nie ma aktualizacji baz. Należy go pobierać w kółko.


 


 


 


.



			
		


		

		
	


	

	





	
Odnośnik do komentarza

	
		
	
	
	

	





	



					
					
					
				

					

					
					






	

	

	

		

			

				


	
		gerlach
	

				
				
			

		

		

			

				


gerlach
			

			

				Opublikowano 
				
			

		

	

	
	

		




	

		

			

				
    
					
						
  • Autor
    • 
					
					
					
					
					
				

			

			
		


		

			Opublikowano 
			
			
				
				
			
		

	


	

    

	

		
		

			

Z wirusem się uporałem. Wszystko co nie dało się wyleczyć to usunąłem. 


 


System dalej się wiesza tak jak się wieszał więc to na pewno problem dysku. Szczególnie, że MHDD wykrył ponad 3000  błędnych sektorów.


 


post-1976-0-81484800-1303857213_thumb.jpg


post-1976-0-61277100-1303857221_thumb.jpg


 


Ten sprzęt to laptop Della i okazało się, że zostało mi jeszcze 80 dni gwarancji i zadzwoniłem i jutro będę miał nowy dysk :D. Właśnie przenoszę dane na przenośny dysk.


 


Wielkie dzięki za udzieloną mi tutaj pomoc. Będę polecał to forum. 


 


Pozdrawiam


 


 


ps. Czyli z tym Kaspersky Virus Removal Tool to jak od nowa pobieram to on wtedy ma nowe bazy tak?




			
		


		

		
	


	

	





	
Odnośnik do komentarza

	
		
	
	
	

	





	



					
					
					
				

					

					
					






	

	

	

		

			

				


	
		picasso
	

				
				
				
				
			

		

		

			

				


picasso
			

			

				Opublikowano 
				
			

		

	

	
	

		




	

		

			

				
    
					
					
					
					
					
				

			

			
		


		

			Opublikowano 
			
			
				
					(edytowane)
				
				
			
		

	


	

    

	

		
		

			

System dalej się wiesza tak jak się wieszał więc to na pewno problem dysku. Szczególnie, że MHDD wykrył ponad 3000 błędnych sektorów.


 


I ja tak sądzę, że ostatecznie wieszanie systemu jest konsekwencją wadliwego dysku. Skoro nowy dysk w drodze, to sprawa wygląda na rozwiązaną. W razie kłopotów kieruję do działu Hardware. 


 


 


Właśnie przenoszę dane na przenośny dysk.


 


Na wszelki wypadek po przenosinach przeskanuj ocaloną zawartość, jeśli zawartość uwzględnia pliki wykonywalne (instalki / sterowniki...). 


 


 


ps. Czyli z tym Kaspersky Virus Removal Tool to jak od nowa pobieram to on wtedy ma nowe bazy tak? 


 


Tak. Dla porównania, posługiwałeś się wersją setup_9.0.0.722_09.04.2011_12-42. Gdybyś pobierał narzędzie dzisiaj, to jest dostępna kompilacja z dzisiaj setup_9.0.0.722_27.04.2011_10-09.


 


http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/setup_9.0.0.722_27.04.2011_10-09.exe


 


Podaję też na przyszłość link FTP, na którym widać dokładnie instalatory i ich datowanie: KLIK.


 


 


.



			
				


	Edytowane  przez picasso
	
		
27.05.2011 - Upłynął miesiąc. Brak dodatkowych komentarzy. Temat zamykam. //picasso
	
	

			
		


		

		
	


	

	





	
Odnośnik do komentarza

	
		
	
	
	

	





	



					
					
					
				
			
			



		

	


	
	
	
	
	
		
	

			
				
					


	


	
		Gość
	


	

		

			 Ten temat został zamknięty. Brak możliwości dodania odpowiedzi. 
		
			
		

	



				
			
		

	

	
		

			

				
					


				
				
                

                




				
			

		

	







	

		
			
				Tematy
			
		
	

	




								


	

		
    
			
				
					
					
  • 

    
    
    
        
            Ostatnio przeglądający
        
        
          0 użytkowników
        
    
    
    
    
        
      
            
                
    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
      • 
            
        
    
        
    
    

    • 
				
			
		

	


							

							


						

					

					
				

				

				

			

		

			
    
		


	

		×
		

			
				

					
				

			

			

			

			
		

	






	

		×
		

			
    
				
  • Dodaj nową pozycję...
    •