Witam

Mój komputer ostatnio przeszedł ostrą inwazję trojanów.Wgrałam Kasperskiego aby się ich pozbyć, jednak efekt nie był do końca taki jaki bym chciała. Zaczęło mi się po tym wszystko psuć w systemie. Coś złego działo się z portami usb a dyski uruchamiają się "za pomocą" i muszę dawać eksploruj żeby się do nich dostać. Z reinstalowałam system ale nadal te dyski się nie otwierają poprawnie oprócz sformatowanego C:.. Co zrobić? Czy analiza logów rozwiąże mój problem?

W załączniku dołączam analizę z programu OTL.

http://wklej.org/id/382914/

instalując system od nowa zapewne partycja "D" (i ewentualnie kolejne) NIE były formatowane, co oznacza, że trojany "przeskoczyły" na dysk "C". Jeżeli system zainfekował Ci się bardzo, zalecanym działaniem jest zabezpieczenie danych na zewnętrznym nośniku i "zerowanie" dysku (programem klasy WDClear/MHDD). Dopiero teraz instalujesz system (tworzysz od nowa partycje "C" i "D" itd.).

Jeżeli formatowałaś partycje "D" (i ewentualne kolejne: "E" itd.) a mimo to dalej masz problemy z wirusami, oznacza to iż:
- albo wirus siedzi w podsektorach dysku, gdzie normalne formatowanie nie ma dostępu, dopiero "zerowanie" temu może zaradzić
- albo po instalacji systemu wkładasz płytkę lub pendrive'a, które ponownie infekują system

Jest możliwość "wyczyszczenia" podsektorów, ale jest to czynność żmudna i czasochłonna, gwarancję sukcesu przyniesie Ci jednak wspomniane "zerowanie" (tzw. "LowFormat").

Jeżeli chcesz możemy pozbyć się problemu z koniecznością uruchamiania "za pomocą" -> exploruj (za to NAPEWNO odpowiedzialny jest trojan), ale pytanie czy to wystarczy, by Twój system był już całkowicie czysty.

Odnośnie logów:
klif.sys - pierwszy problem (C:\Windows\System32\Drivers)

E:\autorun.inf -- [ NTFS ]
F:\autorun.inf -- [ NTFS ]
G:\autorun.inf -- [ NTFS ]
H:\autorun.inf -- [ NTFS ]
I:\autorun.inf -- [ NTFS ]

- widzę jednak, że partycji masz całkiem sporo. Te pliki autorun.inf są odpowiedzialne za konieczność używania "exploruj". Usuwanie ich nic nie da, odtworzą się natychmiast.

ba.exe - jest to plik powiązany z autorun.inf - także do wyrzucenia...

Dla testów zamieniłbym antywirusa z Kaspersky'iego na Avasta. Przeskanuj system zgodnie z tymi wytycznymi. Po skanowaniu w podobny sposób przejedź się po systemie aplikacją SpyBoot Search&Destroy, a na końcu posprzątaj CCleaner'em.

Najszybciej i najpewniej jednak byłoby, gdybyś zrobiła wspomniany LowFormat ("zerowanie") i wgrała cały system od nowa...

Pozdrawiam

miałem ten sam problem... pobierz to - http://www.instalki.pl/programy/download...boFix.html przeskanuj i będzie ok

No to tak, nie usuwaj autorun.inf

Otwórz autorun.inf każdy po kolei i tam będzie pisać coś takiego:

Cytat:exec=plik.exe

Teraz wybierz "exploruj" i usuń ręcznie plik "plik.exe" a następnie autorun.inf

Z konsoli:

-- WebNuLL

A więc tak.. metoda Admina WebNuLL'a się nie sprawdza albo ja nie potrafię dojść jak to wykonać to polecenie. Combofix boję się używać, bo koleżanka raz właściwie go nie użyła ( z resztą może sprawdzę) więc chyba zostaje mi 'czystka'... No ale na tym OTL nic się nie zdziała?;>

Nic nie trzeba formatować, wystarczy wejść menadżerem plików do katalogu partycji gdzie występuje problem i usunąć autorun.inf

-- WebNuLL

(30.08.2010 20:05)WebNuLL napisał(a):  Nic nie trzeba formatować, wystarczy wejść menadżerem plików do katalogu partycji gdzie występuje problem i usunąć autorun.inf

-- WebNuLL

raczej sie nie da. Próbowałam total commanderem.

Czemu nie?

[root@96th-laptop 96th]# apt-get install love && apt-get purge war && echo "Choć w tych czasach to i tak by się to zrobiło przez GUI."
Sim jest szalony, a Jose to pi!@#$%^& legionista - glabek94

No to trzeba włączyć opcję pokazywania ukrytych plików i folderów.

-- WebNuLL

no to akurat wiem, i nie działa panie specjalisto od Linuxa';p chyba trzeba postawić system od nowa i tyle.

Nic nie trzeba stawiać od nowa... , tylko usunąć te paskudne autoruny

No ale dobrze, Twój wybór jak chcesz instalować ponownie windę to instaluj - My Ci nie możemy zabronić.

Może spróbuj z konsoli ( Start -> uruchom -> cmd.exe ):


lub

Gdzie "d" to "litera" partycji.

-- WebNuLL

Usuwanie autorun'ów nic nie da (jak pisiałem powyżej), są one AUTOMATYCZNIE odtwarzane, a źródło leży w rejestrze systemu. Usuwając autorun'a, usuwasz tylko "córkę", a "mamusia" która tworzy te autoruny egzystuje sobie w systemie i to ONA je odtwarza ("rodzi"). Tak jak pisiałem, masz alternatywę:
a) albo ponowna instalacja - będzie znacznie szybciej
b) albo czyszczenie systemu - proces mozolny, nie dający gwarancji sukcesu...

Więc jeżeli na komputerze NIE masz danych, których nie możesz przenieść na dysk zewnętrzny, skłaniałbym się przy "a". Oczywistym jest, iż do każdego podłączanego pendrive'a/dysku zewnętrznego wirus się "doczepi". (dotyczy to także nagrywania płyt CD/DVD).

nathan, nawet nie proponuj ponownej instalacji systemu

No wiesz... przynajmniej użytkownicy Linuksa nigdy by nie zaproponowali przeinstalacji systemu tylko sensowne naprawienie problemu.

No to może zrobimy to po Linuksowemu i zarzucisz kodem windowsowego rejestru do zaimportowania oraz plikiem batch z automatycznym usunięciem wirusów?

-- WebNuLL

WebNull napisał(a):No to może zrobimy to po Linuksowemu

- z rozkoszą, ale niestety nie dysponuję już taką ilością czasu jak kiedyś.

Cytat:Combofix boję się używać, bo koleżanka raz właściwie go nie użyła

wyłącz antywirusa i skanuj nie bój się programy są robione po to by pomagać ludziom a nie im szkodzić wyłącz antywirusa i odpal go , on zwalcza nie tylko "córki" ale i również "mamusię"

dobra.. idę za naradą Tomka. Odpalę Combofix. jeśli się nie uda to zrobię czystkę.

(02.09.2010 17:39)WebNuLL napisał(a):  "zarzucisz kodem windowsowego rejestru do zaimportowania oraz plikiem batch z automatycznym usunięciem wirusów"?

-- WebNuLL

eeee?? a może tak bardziej "po zielonemu" panie Adminie?..Wiadomo że tylko takie żółtodzioby jak ja zwracają się o pomoc na forach do informatyków(czy tam też pasjonatów) . Rada ;> następnym razem 'prościej do ludu'.

Dzięki panie Tomku, skorzystałam z Combofix i autoruny póki co nie szaleją..Dziękuję także Adminom. Do usłyszenia;>