Wirus w sektorze głownego rekordu startowego

Wszędzie tego pełno :[

Wirus w sektorze głownego rekordu startowego

Postprzez Undertaker DeadMan » 2011-09-05, 18:58:27

Oto screen z wyników skanowania eseta.LINK DO ZDJ
Znalazł 3 wirusy Win32/Agent.SDG.Gen koń trojański.
Gdy robię wylecz wyskakuje error "błąd podczas leczenia - operacja jest niedostępna w przypadku tego typu. czytałem że chodzi o MBR. oto log z głownego katalogu za pomocą programu mbr.exe
Kod: Zaznacz cały
Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 5.1.2600 Disk: SAMSUNG_SP1614N rev.TM100-30 -> Harddisk0\DR0 -> \Device\00000065

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK


wszystko wygląda ok ale eset nadal się pluje. Skan hijackthis:
Kod: Zaznacz cały
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 18:48:44, on 2011-09-05
Platform: Windows XP Dodatek SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\IObit\IObit Malware Fighter\IMFsrv.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\RocketDock\RocketDock.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Gadu-Gadu 10\gg.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Mozilla Firefox\plugin-container.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Trend Micro\HiJackThis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [RocketDock] "C:\Program Files\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [CursorXP] "C:\Program Files\CursorXP\CursorXP.exe" -s
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{CE817B00-A112-4662-A47B-4EB5C6EB017F}: NameServer = 62.233.233.233 87.204.204.204
O22 - SharedTaskScheduler: Moduł wstępnego ładowania interfejsu Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Demon buforu kategorii składników - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: ESET Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: IMF Service (IMFservice) - IObit - C:\Program Files\IObit\IObit Malware Fighter\IMFsrv.exe
O23 - Service: wampapache - Apache Software Foundation - e:\SERWER\bin\apache\apache2.2.11\bin\httpd.exe
O23 - Service: wampmysqld - Unknown owner - e:\SERWER\bin\mysql\mysql5.1.36\bin\mysqld.exe

--
End of file - 3671 bytes

Wie ktoś jak sobie z tym poradzić??? słyszałem że można przez konsolę odzyskiwania przez komendę fixmbr. Z góry dziękuję za zainteresowanie tematem i wszelaką pomoc
Avatar użytkownika
Undertaker DeadManMale
Stały bywalec
Stały bywalec
 
Posty: 76
Dołączył(a): 2010-07-28, 10:41:09
Podziękował : 2 razy
Otrzymał podziękowań: 1 razy

Postprzez KenWatanabe » 2011-09-05, 19:18:03

Musisz zrobić Fixboot i Fixmbr, coś powinno zadziałać.
polega to na tym, że zapisujesz nowy rekord rozruchowy.

W konsoli odzyskiwania wpisujesz komendę map żeby uzyskać nazwę,
a potem robisz fixmbr [nazwa_urządzenia]
Potem cofasz i robisz fixboot żeby zapisać dysk dla nowego sektora rozruchowego.


Szczerze mówiąc to miałem ten sam problem i nawet zakładałem na tym forum podobny temat (viewtopic.php?f=7&t=11579), aczkolwiek dawno temu więc Modki powinny Ci wybaczyć, a mnie to co opisałem wyżej pomogło.
Głównym motorem, który popycha mnie do działania, jest ciekawość. Zawsze szukam interesujących ról, interesujących scenariuszy. Nie chcę popadać w stereotypy, unikam zaszufladkowania, dlatego często wybieram bardzo różnorodne filmy: od poważnych po zabawne.
Kensaku Watanabe
Avatar użytkownika
KenWatanabeNone specified
V.I.P.
V.I.P.
 
Posty: 2263
Dołączył(a): 2007-08-28, 02:05:27
Lokalizacja: Warszawa
Podziękował : 0 razy
Otrzymał podziękowań: 0 razy

Postprzez Undertaker DeadMan » 2011-09-05, 19:27:01

Dzięki. Zrobię tak jak napisałeś i napisze jaki dało to efekty. przepraszam za powielenie tematu.
[EDIT]
Eset juz nie wykrywa trojanów. Problem rozwiązany. dzięki:)
Avatar użytkownika
Undertaker DeadManMale
Stały bywalec
Stały bywalec
 
Posty: 76
Dołączył(a): 2010-07-28, 10:41:09
Podziękował : 2 razy
Otrzymał podziękowań: 1 razy

Re: Wirus w sektorze głownego rekordu startowego

Postprzez marian1012 » 2011-09-12, 13:38:33

Witam, mam pytanko, póki temat gorący, bo mam podobny problem: czy fixmbr i fixboot wiążą się z ryzykiem utraty danych lub trwałego uszkodzenia dysku? Bo gdzieś czytałem, że jeśli wirus okaże się być z rodzaju "szyfrujących" i będzie potrafił obejść naprawę mbr-a to dysk może całkiem popłynąć.

I jeszcze jedno, miał ktoś do czynienia z programem zwanym MBRWizard? Natknąłem się na takie cuś na jakimś forum anglojęzycznym i komuś pomogło, podobno działa podobnie do fixmbr-a, tylko sprawniej.
Avatar użytkownika
marian1012None specified
Podglądacz
Podglądacz
 
Posty: 6
Dołączył(a): 2011-09-12, 13:33:56
Podziękował : 0 razy
Otrzymał podziękowań: 0 razy

Postprzez junior » 2011-09-12, 16:30:20

fixmbr wiąże się z ryzykiem jeżeli masz więcej niż jeden system operacyjny, jeśli wirus zaszyfruje Ci dane to niestety zazwyczaj możesz się z nimi pożegnać, no chyba że uda Ci się je gdzieś wysłać jak są rozszyfrowane...
zawsze możesz się nie zgodzić z opinią autora tego postu.
Avatar użytkownika
juniorMale
V.I.P.
V.I.P.
 
Posty: 1446
Dołączył(a): 2008-06-22, 11:07:52
Lokalizacja: Łódź
Podziękował : 0 razy
Otrzymał podziękowań: 4 razy

Postprzez marian1012 » 2011-09-12, 17:42:43

Podejrzewam, że wirus automatycznie zainfekuje też wszystkie nośniki i nie da rady nic nagrać zanim spróbuję fixmbr-a? Bo w sumie jedyny objaw jaki do tej pory zaobserwowałem, to jednokrotny samoczynny reset komputera (nie sądzę by był spowodowany czymś innym, ale kto go tam wie) Btw, jest jakis sposób żeby sprawdzić czy wirus potrafi szyfrować? System mam jeden, więc to by był jedyny problem.
Avatar użytkownika
marian1012None specified
Podglądacz
Podglądacz
 
Posty: 6
Dołączył(a): 2011-09-12, 13:33:56
Podziękował : 0 razy
Otrzymał podziękowań: 0 razy

Postprzez behemoth » 2011-09-13, 07:56:06

Możesz użyć bootowalnego antywirusa. Polecam http://www.avira.com/en/support-downloa ... cue-system
On skanuje sektor rozruchowy komputera.
Dopiero później lepiej kombinować z MBRem.
http://www.lastfm.pl/user/ksiadz666
http://ftims.pl
Avatar użytkownika
behemothNone specified
Moderator
Moderator
 
Posty: 381
Dołączył(a): 2010-03-26, 13:50:03
Lokalizacja: Łódź
Podziękował : 0 razy
Otrzymał podziękowań: 1 razy

Postprzez marian1012 » 2011-09-13, 17:05:12

A czy jak już nagram antywira na płytkę, to wirus automatycznie nie zainfekuje płytki?
Avatar użytkownika
marian1012None specified
Podglądacz
Podglądacz
 
Posty: 6
Dołączył(a): 2011-09-12, 13:33:56
Podziękował : 0 razy
Otrzymał podziękowań: 0 razy

Postprzez behemoth » 2011-09-13, 18:24:12

Występuje dość małe prawdopodobieństwo, żeby wirus infekował plik iso.
Ewentualnie pobierz i wypal płytkę u znajomego :cool:
http://www.lastfm.pl/user/ksiadz666
http://ftims.pl
Avatar użytkownika
behemothNone specified
Moderator
Moderator
 
Posty: 381
Dołączył(a): 2010-03-26, 13:50:03
Lokalizacja: Łódź
Podziękował : 0 razy
Otrzymał podziękowań: 1 razy

Postprzez BlueMan » 2011-09-14, 12:00:03

W ogóle jak nie jesteś pewny czy to wirus (raczej jednorazowy restart o tym nie świadczy), to nie ma co panikować ;)
Czytaj regulamin - unikniesz wielu problemów.
Korzystajcie z załączników na forum aby pliki nie ginęły w przyszłości w zewnętrznych serwisach.
Avatar użytkownika
BlueManMale
Administrator
Administrator
 
Posty: 19105
Dołączył(a): 2004-05-26, 17:34:59
Lokalizacja: Dabrowa Górn.
Podziękował : 6 razy
Otrzymał podziękowań: 5 razy
Imię: Szymon

Postprzez marian1012 » 2011-09-14, 13:36:42

Reset nastąpił bezpośrednio przed wykryciem wirusa (komputer się zrestartował i po ponowym uruchomieniu nod już wykrywał wirus w mbr), więc podejrzewam że jednak coś jest na rzeczy ;) Pytanie do behemotha - czy skan Avirą zabiera dużo czasu? Bo jestem w trakcie kampanii wrześniowej i nie mogę sobie za bardzo pozwolić na wielogodzinny brak dotępu do komputera, więc w razie czego zostawiłbym to na noc.

Ewentualnie, może ktoś jeszcze się wypowie, czy taki wirus w sektorze 0. infekuje nośniki? Jeśli nie, to na razie komputer mógłby funkcjonować normalnie, a wirusem zająłbym się za jakiś czas, bo specjalnie uciążliwy to on na razie nie jest, a nie sądzę żeby z dnia na dzień być zaczął.
Avatar użytkownika
marian1012None specified
Podglądacz
Podglądacz
 
Posty: 6
Dołączył(a): 2011-09-12, 13:33:56
Podziękował : 0 razy
Otrzymał podziękowań: 0 razy

Postprzez behemoth » 2011-09-14, 22:41:41

Sam skan sektora rozruchowego następuje na początku skanowania, więc możesz przerwać po wykryciu wirusa. Usunąć go a następnie włączyć komputer w trybie awaryjnym (mniejsze prawdopodobieństwo, że wirus ponownie wrzuci się do MBRa), puścić skanowanie nodem i w między czasie korzystać z materiałów do sesji.
Co do infekcji innych nośników - nigdy nic nie wiadomo, dopóki nie zerkniesz co to za wynalazek Cię zainfekował.
Dodatkowo wyłącz automatyczny restart dla błędów typu stop. Pozwoli Ci to lepiej zdiagnozować przyczynę restartów.
http://www.lastfm.pl/user/ksiadz666
http://ftims.pl
Avatar użytkownika
behemothNone specified
Moderator
Moderator
 
Posty: 381
Dołączył(a): 2010-03-26, 13:50:03
Lokalizacja: Łódź
Podziękował : 0 razy
Otrzymał podziękowań: 1 razy

Re: Wirus w sektorze głownego rekordu startowego

Postprzez marian1012 » 2011-09-15, 13:10:59

A korzystał ktoś może z takiego cuda? http://public.avast.com/~gmerek/aswMBR.htm

Co do wirusa, jest to Win32/Agent.SDG.Gen Koń Trojański, choć pewnie nikomu nic to nie mówi ;)
Avatar użytkownika
marian1012None specified
Podglądacz
Podglądacz
 
Posty: 6
Dołączył(a): 2011-09-12, 13:33:56
Podziękował : 0 razy
Otrzymał podziękowań: 0 razy

Postprzez behemoth » 2011-09-16, 06:57:25

Jakoś do produktów Avasta nigdy nie miałem zaufania.
Tak na szybko: przeleć i wylecz wszystko programem dostępnym tutaj: http://www.dobreprogramy.pl/Dr.WEB-Cure ... 12976.html
Później tym: http://support.kaspersky.com/pl/faq/?qid=208283359
Restart, skan nodem i daj znać czy jesteś czysty ;)
http://www.lastfm.pl/user/ksiadz666
http://ftims.pl
Avatar użytkownika
behemothNone specified
Moderator
Moderator
 
Posty: 381
Dołączył(a): 2010-03-26, 13:50:03
Lokalizacja: Łódź
Podziękował : 0 razy
Otrzymał podziękowań: 1 razy

Postprzez marian1012 » 2011-09-24, 13:56:12

Łał! Prawdę mówiąć, przeprowadziłem już tyle kilku- i więcej godzinnych skanów, między innymi Dr.Webem, że jak włączałem tdskillera, to nie miałem najmniejszej nadziei na powodzenie, widząc że skanowanie potrwa z 15 sekund... A tu okazało się, że nie dość że jako jedyny, nie licząc NODa, wykrył wirusa, to jeszcze bezproblemowo go usunął i po resie nie ma po nim śladu (mam nadzieję, że na zawsze). W każdym razie, dzięki wielkie behemoth'owi, i innym którzy próbowali pomóc! :)
Avatar użytkownika
marian1012None specified
Podglądacz
Podglądacz
 
Posty: 6
Dołączył(a): 2011-09-12, 13:33:56
Podziękował : 0 razy
Otrzymał podziękowań: 0 razy

Postprzez behemoth » 2011-09-24, 17:13:30

Polecam(y) się na przyszłość ;)
http://www.lastfm.pl/user/ksiadz666
http://ftims.pl
Avatar użytkownika
behemothNone specified
Moderator
Moderator
 
Posty: 381
Dołączył(a): 2010-03-26, 13:50:03
Lokalizacja: Łódź
Podziękował : 0 razy
Otrzymał podziękowań: 1 razy


  • Inne

Powrót do Hack, bugs & wirs

Kto przegląda forum

Użytkownicy przeglądający ten dział: Brak zidentyfikowanych użytkowników i 97 gości

cron