Załapałem paskudnego wirusa..., :( :( :( :( Opcje

[ewaslawek5]

Mój problem polega na tym że format nic nie daje, kompa formatuję z odłączonym internetem i nagle nie wiadomo kiedy uaktywnia się. Objawami są zablokowany dostęp do edycji rejestru i zablokowany dostęp do menedżera zadań, niepokoje się bo na laptopie mam dosyć ważne rzeczy. Ma ktoś jakieś sugestie to proszę o pomoc.

[nospor]

Ma ktoś jakieś sugestie

Ja mam dwie:
- patrze gdzie zakladasz tematy (przenosze)
- patrze po jakich stronach surfujesz w necie

[ewaslawek5]

Na pewno nie chodze po stronach porno....

Ten post edytował ewaslawek5 15.05.2009, 07:09:30

[nospor]

nic takiego nie powiedzialem. Po prostu patrzac w jakim dziale zalozyles temat, tak mi przyszlo to drugie o stronach do glowy, tak na wszelki wypadek

[Pilsener]

Wyjmij dysk i potraktuj jakimś programem do partycji i bootsectora przy pomocy innego komputera, ja tak zawsze robię - dla pewności z poziomu wiersza poleceń i bootuję komputer z płytki, a nie dysku. Oczywiście na płytce musisz mieć odpowiedni soft. Najlepiej idź z tym do jakiegoś serwisu, za 50 zł przeinstalują i może nawet nie skasują danych

[SHiP]

A ja nie rozumiem pewnej rzeczy:
1) Jak to formatujesz skoro chcesz zachować dane? To się moim zdaniem lekko mija z celem ponieważ wirusy często infekują całe przestrzenie dyskowe.

Ja jak zawsze polece linuksa. Problem wirusów zniknie na wiele lat .

http://ubuntu.pl
http://opensuse.org

Zawsze można też wybrać coś innego z http://distrowatch.com/

[Moli]

@SHiP - No ale niestety nie każdy może (lub chce) używać linuxa

[maziak]

Nie wiem czy pomoze - ale ja jak jeszcze uzywalem windowsa robilem w przypadku awarii mniejwiecej takie kroki ;

Sciagnij program Process Explorer, odpal i poszukaj ktory z procesow moze byc podejzany (uzywa caly czas procka, lub sieci najprawdopodobniej to bedzie jeden z tych zaznaczonych na czerwono, ciezko opisac ktory to moze byc - poprobuj). Jezeli znajdziesz takowy to right click -> suspend. Patrzysz czy objawy ustaly, jezeli tak to masz jednego z winowajcow. Sprawdzasz sobie info o procesie i starasz sie usunac plik - najprawdopodobniej nie bedziesz w stanie tego dokonac z normalnego trybu wiec ->tryb awaryjny. Potem wywalasz z autostartu - (Start -> Uruchom -> "msconfig" ostatnia zakladka). Nastepnie rejestr - dla obydwu "HKEY_LOCAL_MACHINE" i "HKEY_CURRENT_USER" wchodzisz w ->Software->Microsoft->Windows->CurrentVersion->Run i wywalasz winowajce(a najlepiej to wszystko wywalic i z tad i z autostartu - masz pewnosc ze nie przeoczyles ).


A tak poza tematem to dolaczam sie do tego co napisal SHiP. Linuks rozwiaze Twoje problemy
Pozdrawiam.

EDIT :
Zapomnialbym - mozesz jeszcze wejsc do Panel sterowani->Narzedzia administracyjne -> Uslugi lub "msconfig"->zakladka Uslugi i wywalic to co Ci nie pasuje (najlatwiej kliknac "wylacz wszystkie usulgi poza uslugami Microsoftu" czy jakos tak).

Ten post edytował maziak 15.05.2009, 11:13:18

[sztosz]

A czy instalka jest zintegrowana chociażby z Service Packiem 2?

[kacka]

Edycja live któregoś z Linuxa -> robisz backup ważnych danych a potem to już kombinujesz co tam sobie życzysz, format, skanowanie anty-wirem itp.

[sticker]

jakieś inne objawy są tego wirusa? Gorączka, kaszel, bół gardła, ból głowy, byłaś ostatnio w Meksyku?

[ewaslawek5]

Przepraszam że nie mogłem uczestniczy w dyskusji, musiałem wyjść. Ściągam właśnie gparted-live zrobię formata kilka razy z poziomu cd i wgram na nowo system jak to nie pomoŻe wyjmę twardziela i na innym komputerze zfomatuję. Odezwę się jak mi poszło....

Powód edycji: Ortografia

[piotrooo89]

a ja bym backup'a zrobił a potem wyzerował dysk.

[Quider]

masz chyba w32.sality zobacz jego opis

[ewaslawek5]

Obiecałem że napisze co zrobiłem:

1. cenne pliki skopiowałem na inny komputer
2. programem GParted-Live-Version usunołem dodatkową partycję i zrobiłem format. To wszystko z poziomu cd.
3. wgrałem xp-ka, czyniłem to z odłączonym kablem od internetu. Dalej wgrałem sterownik z płyty cd orginalnej, ku zdziwieniu wirus ORZyŁ (blokada do rejestru i menadzera zadan)
4. Skozystałem z przywracania systemu i "cofłem się" do pierwszego "punktu kontrolnego", postanowiłem sam zablokować dostęp do edycji rejestru, uczyniłem to tworząc i uruchamiając programik "blokuj_rejestr.reg" oto kod:

CODE

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"=dword:00000001

Dalej wgrywałem normalnie sterowniki, poi wgraniu wszystkich utworzyłem nowy punkt kontrolny w przywracaniu systemu na wypadek gdyby wirus orzył.

No cóż moge powiedzieć że wirus jest cały czas na twardym dysku w bootsektorze, lecz nie potrawię go usunąc programem GParted.
Być może ktoś też miał podobny przypadek i może zrobi tak jak ja, puk,i co wirus jest narazie nieaktywny od kąd zablokowałem edycję rejestru.

PS tutaj jest programik do odblokowania rejestru odblokuj.inf oto kod:

CODE

[version]
signature="$CHICAGO$"
[DefaultInstall]
DelReg = Del_DisableRegistryTools.Reg
[Del_DisableRegistryTools.Reg]
HKEY_CURRENT_USER, SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools

Może komuś się przyda, mi pomogło, choć moj laptop jest nosicielem



Znowu się uaktywnił jak wgrywałem gg.
Nazwa wirusa: Win32:Rootkit-gen [Rtk]
typ pasożyta: Rootkit
wersja VPS: 090516-0, 2009-05-16

[Cypherq]

usunołem

ORZyŁ

"cofłem się"

puk,i co

[sztosz]

A instalujesz jaką wersje windowsa? Oryginalna płytka? Czy może kopia zapasowa ze zintegrowanym Service Packiem którymś? Ściągnij obraz płyty ze zintegrowanym SP3 i z tej płytki spróbuj zainstalować, bo ja mam wrażenie że to jednak jakiś syf zintegrowany z instalką.

[l0ud]

Pomijając płytę warto też sprawdzić wszystkie pozostałe partycje (o ile są) - bardzo często tworzą się tam pliczki autorun.inf które powodują automatyczne uruchamianie znajdującego się na nich wirusa tylko po samym kliknięciu na ikonę dysku. Wirus się uaktywnia i ukrywa swoje pliki - nie pozwala na dokonanie zmiany w opcjach folderów, która nakazuje pokazywać pliki ukryte i systemowe (a takimi atrybutami są te wirusy oznaczone). Objawem takiego działania jest otwieranie się dysków w nowym oknie (po kliknięciu na jego ikonę).
Identyczna sytuacja ma też miejsce z pendrivem - tutaj wystarczy go po prostu włożyć. I też uruchamia się w nowym oknie.

Po świeżej instalacji systemu sprawdź czy jakikolwiek nośnik który wkładasz do komputera jest czysty od wirusów. Jeżeli masz teraz objawy opisane wyżej, to na 100% masz wirusa na każdym pendrivie który wkładałeś do komputera.

[erix]

Ja jak zawsze polece linuksa. Problem wirusów zniknie na wiele lat .

http://ubuntu.pl
http://opensuse.org

O mamo, znowu... Zamiast rozwiązać problem, to go ominąć...

A instalujesz jaką wersje windowsa? Oryginalna płytka?

Raz - oryginalna płytka, dwa - wyczyść MBR; o rootkita teraz nietrudno.

[ewaslawek5]

masz chyba w32.sality zobacz jego opis

Ten wirus to: W32.Gobi powiem szczerze ze znowu sie uaktywnil......