BlueForum

Oto screen z wyników skanowania eseta.LINK DO ZDJ
Znalazł 3 wirusy Win32/Agent.SDG.Gen koń trojański.
Gdy robię wylecz wyskakuje error "błąd podczas leczenia - operacja jest niedostępna w przypadku tego typu. czytałem że chodzi o MBR. oto log z głownego katalogu za pomocą programu mbr.exe

Kod: Zaznacz cały

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 5.1.2600 Disk: SAMSUNG_SP1614N rev.TM100-30 -> Harddisk0\DR0 -> \Device\00000065

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK


wszystko wygląda ok ale eset nadal się pluje. Skan hijackthis:

Kod: Zaznacz cały

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 18:48:44, on 2011-09-05
Platform: Windows XP Dodatek SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\IObit\IObit Malware Fighter\IMFsrv.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\RocketDock\RocketDock.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Gadu-Gadu 10\gg.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Mozilla Firefox\plugin-container.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Trend Micro\HiJackThis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [RocketDock] "C:\Program Files\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [CursorXP] "C:\Program Files\CursorXP\CursorXP.exe" -s
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{CE817B00-A112-4662-A47B-4EB5C6EB017F}: NameServer = 62.233.233.233 87.204.204.204
O22 - SharedTaskScheduler: Moduł wstępnego ładowania interfejsu Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Demon buforu kategorii składników - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: ESET Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: IMF Service (IMFservice) - IObit - C:\Program Files\IObit\IObit Malware Fighter\IMFsrv.exe
O23 - Service: wampapache - Apache Software Foundation - e:\SERWER\bin\apache\apache2.2.11\bin\httpd.exe
O23 - Service: wampmysqld - Unknown owner - e:\SERWER\bin\mysql\mysql5.1.36\bin\mysqld.exe

--
End of file - 3671 bytes


Wie ktoś jak sobie z tym poradzić??? słyszałem że można przez konsolę odzyskiwania przez komendę fixmbr. Z góry dziękuję za zainteresowanie tematem i wszelaką pomoc

Musisz zrobić Fixboot i Fixmbr, coś powinno zadziałać.
polega to na tym, że zapisujesz nowy rekord rozruchowy.

W konsoli odzyskiwania wpisujesz komendę map żeby uzyskać nazwę,
a potem robisz fixmbr [nazwa_urządzenia]
Potem cofasz i robisz fixboot żeby zapisać dysk dla nowego sektora rozruchowego.


Szczerze mówiąc to miałem ten sam problem i nawet zakładałem na tym forum podobny temat (viewtopic.php?f=7&t=11579), aczkolwiek dawno temu więc Modki powinny Ci wybaczyć, a mnie to co opisałem wyżej pomogło.

Dzięki. Zrobię tak jak napisałeś i napisze jaki dało to efekty. przepraszam za powielenie tematu.
[EDIT]
Eset juz nie wykrywa trojanów. Problem rozwiązany. dzięki:)

Witam, mam pytanko, póki temat gorący, bo mam podobny problem: czy fixmbr i fixboot wiążą się z ryzykiem utraty danych lub trwałego uszkodzenia dysku? Bo gdzieś czytałem, że jeśli wirus okaże się być z rodzaju "szyfrujących" i będzie potrafił obejść naprawę mbr-a to dysk może całkiem popłynąć.

I jeszcze jedno, miał ktoś do czynienia z programem zwanym MBRWizard? Natknąłem się na takie cuś na jakimś forum anglojęzycznym i komuś pomogło, podobno działa podobnie do fixmbr-a, tylko sprawniej.

fixmbr wiąże się z ryzykiem jeżeli masz więcej niż jeden system operacyjny, jeśli wirus zaszyfruje Ci dane to niestety zazwyczaj możesz się z nimi pożegnać, no chyba że uda Ci się je gdzieś wysłać jak są rozszyfrowane...

Podejrzewam, że wirus automatycznie zainfekuje też wszystkie nośniki i nie da rady nic nagrać zanim spróbuję fixmbr-a? Bo w sumie jedyny objaw jaki do tej pory zaobserwowałem, to jednokrotny samoczynny reset komputera (nie sądzę by był spowodowany czymś innym, ale kto go tam wie) Btw, jest jakis sposób żeby sprawdzić czy wirus potrafi szyfrować? System mam jeden, więc to by był jedyny problem.

Możesz użyć bootowalnego antywirusa. Polecam http://www.avira.com/en/support-downloa ... cue-system
On skanuje sektor rozruchowy komputera.
Dopiero później lepiej kombinować z MBRem.

A czy jak już nagram antywira na płytkę, to wirus automatycznie nie zainfekuje płytki?

Występuje dość małe prawdopodobieństwo, żeby wirus infekował plik iso.
Ewentualnie pobierz i wypal płytkę u znajomego

W ogóle jak nie jesteś pewny czy to wirus (raczej jednorazowy restart o tym nie świadczy), to nie ma co panikować

Reset nastąpił bezpośrednio przed wykryciem wirusa (komputer się zrestartował i po ponowym uruchomieniu nod już wykrywał wirus w mbr), więc podejrzewam że jednak coś jest na rzeczy Pytanie do behemotha - czy skan Avirą zabiera dużo czasu? Bo jestem w trakcie kampanii wrześniowej i nie mogę sobie za bardzo pozwolić na wielogodzinny brak dotępu do komputera, więc w razie czego zostawiłbym to na noc.

Ewentualnie, może ktoś jeszcze się wypowie, czy taki wirus w sektorze 0. infekuje nośniki? Jeśli nie, to na razie komputer mógłby funkcjonować normalnie, a wirusem zająłbym się za jakiś czas, bo specjalnie uciążliwy to on na razie nie jest, a nie sądzę żeby z dnia na dzień być zaczął.

Sam skan sektora rozruchowego następuje na początku skanowania, więc możesz przerwać po wykryciu wirusa. Usunąć go a następnie włączyć komputer w trybie awaryjnym (mniejsze prawdopodobieństwo, że wirus ponownie wrzuci się do MBRa), puścić skanowanie nodem i w między czasie korzystać z materiałów do sesji.
Co do infekcji innych nośników - nigdy nic nie wiadomo, dopóki nie zerkniesz co to za wynalazek Cię zainfekował.
Dodatkowo wyłącz automatyczny restart dla błędów typu stop. Pozwoli Ci to lepiej zdiagnozować przyczynę restartów.

A korzystał ktoś może z takiego cuda? http://public.avast.com/~gmerek/aswMBR.htm

Co do wirusa, jest to Win32/Agent.SDG.Gen Koń Trojański, choć pewnie nikomu nic to nie mówi

Jakoś do produktów Avasta nigdy nie miałem zaufania.
Tak na szybko: przeleć i wylecz wszystko programem dostępnym tutaj: http://www.dobreprogramy.pl/Dr.WEB-Cure ... 12976.html
Później tym: http://support.kaspersky.com/pl/faq/?qid=208283359
Restart, skan nodem i daj znać czy jesteś czysty

Łał! Prawdę mówiąć, przeprowadziłem już tyle kilku- i więcej godzinnych skanów, między innymi Dr.Webem, że jak włączałem tdskillera, to nie miałem najmniejszej nadziei na powodzenie, widząc że skanowanie potrwa z 15 sekund... A tu okazało się, że nie dość że jako jedyny, nie licząc NODa, wykrył wirusa, to jeszcze bezproblemowo go usunął i po resie nie ma po nim śladu (mam nadzieję, że na zawsze). W każdym razie, dzięki wielkie behemoth'owi, i innym którzy próbowali pomóc!

Polecam(y) się na przyszłość