Komunikat o wirusie - rada dla laika?

IP: *.chello.pl 28.12.09, 20:49
Komputer baaaardzo wolno pracuje, wyskoczyło okienko z wiadomością:

Alert programu VirusScan!
C:\WINDOWS\System32\SFC_OS.DLL
Generic.dx!jew
Przeniesienie nie powiodło się (czyszczenie nie powiodło się)
koń trojański


Zgodnie z sugestią na wstępie użyłam OTL :
wklej.org/hash/3d44da8c53/
wklej.org/hash/5d7ce9d87c/
i nie wiem co dalej?




    • Gość: Kolobos Re: Komunikat o wirusie - rada dla laika? IP: *.zask.pl 28.12.09, 21:32
      Na wstepie to mialas zrobic skan przy pomocy mbam oraz cureit i usunac infekcje.

      Odinstaluj to badziewie: McAfee Antivirus.

      Plik C:\WINDOWS\System32\SFC_OS.DLL sprawdz na jotti lub virustotal i napisz czy skanery cos wykryly.

      Wklej to do OTL i nacisnij Run Fix:

      :OTL
      O3 - HKLM\..\Toolbar: (no name) - - No CLSID value found.
      O4 - HKLM..\Run: [PCTAVApp] C:\Program Files\PC Tools AntiVirus\PCTAV.exe File not found


      Daj tez screeny z HdTune (tylko nie z wersji pro), oczywiscie screeny zrob po przeskanowaniu.
      • Gość: alala Re: Komunikat o wirusie - rada dla laika? IP: *.chello.pl 28.12.09, 23:07
        wyrzuciłam mcafee,

        sprawdziłam virustotal :
        Plik sfc_os.dll otrzymany 2009.11.29 12:57:07 (UTC)
        Obecny status: zakończono
        Wynik: 12/41 (29.27%)

        Antywirus Wersja Ostatnia aktualizacja Wynik
        a-squared 4.5.0.43 2009.11.29 Trojan.Win32.Patched!IK
        AhnLab-V3 5.0.0.2 2009.11.28 -
        AntiVir 7.9.1.79 2009.11.27 -
        Antiy-AVL 2.0.3.7 2009.11.27 Trojan/Win32.Patched.gen
        Authentium 5.2.0.5 2009.11.28 -
        Avast 4.8.1351.0 2009.11.29 -
        AVG 8.5.0.426 2009.11.29 -
        BitDefender 7.2 2009.11.29 Trojan.Generic.2781182
        CAT-QuickHeal 10.00 2009.11.28 -
        ClamAV 0.94.1 2009.11.29 -
        Comodo 3078 2009.11.29 -
        DrWeb 5.0.0.12182 2009.11.29 -
        eSafe 7.0.17.0 2009.11.26 -
        eTrust-Vet 35.1.7146 2009.11.27 -
        F-Prot 4.5.1.85 2009.11.28 -
        F-Secure 9.0.15370.0 2009.11.24 -
        Fortinet 4.0.14.0 2009.11.29 W32/Patched.F!tr
        GData 19 2009.11.29 Trojan.Generic.2781182
        Ikarus T3.1.1.74.0 2009.11.29 Trojan.Win32.Patched
        Jiangmin 11.0.800 2009.11.29 -
        K7AntiVirus 7.10.906 2009.11.27 Trojan.Win32.Patched.hp
        Kaspersky 7.0.0.125 2009.11.29 Trojan.Win32.Patched.hp
        McAfee 5816 2009.11.28 -
        McAfee+Artemis 5816 2009.11.28 Artemis!F613C87BCCD4
        McAfee-GW-Edition 6.8.5 2009.11.29 -
        Microsoft 1.5302 2009.11.29 -
        NOD32 4646 2009.11.29 -
        Norman 6.03.02 2009.11.27 -
        nProtect 2009.1.8.0 2009.11.28 -
        Panda 10.0.2.2 2009.11.29 Suspicious file
        PCTools 7.0.3.5 2009.11.29 -
        Prevx 3.0 2009.11.29 -
        Rising 22.23.06.04 2009.11.29 -
        Sophos 4.48.0 2009.11.29 Disabled System File Check DLL
        Sunbelt 3.2.1858.2 2009.11.28 -
        Symantec 1.4.4.12 2009.11.29 -
        TheHacker 6.5.0.2.081 2009.11.28 -
        TrendMicro 9.100.0.1001 2009.11.29 -
        VBA32 3.12.12.0 2009.11.29 Trojan.Win32.Patched.hp
        ViRobot 2009.11.28.2060 2009.11.28 -
        VirusBuster 5.0.21.0 2009.11.28 -
        Dodatkowe informacje
        File size: 140800 bytes
        MD5 : f613c87bccd471b90e5b9232ee82ef01
        SHA1 : b89d8140046c7617506118f9daa3df55f4ba5276
        SHA256: 8bef40830c47f33f2e81098c782e383f7ce323f6daee3634f6f75796b46106a2
        PEInfo: PE Structure information

        ( base data )
        entrypointaddress.: 0xF09A
        timedatestamp.....: 0x4110939F (Wed Aug 4 09:43:27 2004)
        machinetype.......: 0x14C (Intel I386)

        ( 4 sections )
        name viradd virsiz rawdsiz ntrpy md5
        .text 0x1000 0x17FC3 0x18000 5.99 83e2dfa6361f580dc6600b8d0b12fd73
        .data 0x19000 0x5244 0x200 3.20 67c79fb02587cbd49f50088c79a74fc2
        .rsrc 0x1F000 0x8688 0x8800 4.72 ff38d982b0510a4ae4003e045b34fa4d
        .reloc 0x28000 0x1640 0x1800 5.97 6d4ffe974ca944034fa6816d607a1ba6

        ( 8 imports )

        > advapi32.dll: RegCreateKeyExW, RegisterEventSourceW, RevertToSelf,
        ImpersonateLoggedOnUser, DeregisterEventSource, RegCloseKey, RegQueryValueExW,
        RegOpenKeyExW, AdjustTokenPrivileges, LookupPrivilegeValueW, OpenProcessToken,
        FreeSid, CheckTokenMembership, AllocateAndInitializeSid, ReportEventW,
        InitializeSecurityDescriptor, SetSecurityDescriptorDacl
        > crypt32.dll: CertFreeCertificateContext
        > kernel32.dll: GetComputerNameW, LocalAlloc, GetComputerNameExW,
        LeaveCriticalSection, EnterCriticalSection, HeapFree, HeapAlloc, GetProcessHeap,
        InitializeCriticalSection, SetUnhandledExceptionFilter,
        UnhandledExceptionFilter, TerminateProcess, GetCurrentProcessId,
        QueryPerformanceCounter, LoadLibraryA, InterlockedCompareExchange,
        DelayLoadFailureHook, GetTickCount, OpenEventW, ResetEvent, CreateDirectoryW,
        GetLocalTime, WideCharToMultiByte, GetSystemWow64DirectoryW, GetCurrentProcess,
        GetFileSize, GetDiskFreeSpaceExW, GetModuleFileNameW, InterlockedExchange,
        WaitForSingleObject, GetCurrentThreadId, DisableThreadLibraryCalls, CreateFileW,
        lstrcpynW, GetDriveTypeW, FormatMessageW, LocalFree, LoadLibraryW,
        GetProcAddress, FreeLibrary, CreateEventW, SetEvent, GetModuleHandleW,
        GetVersionExW, FindFirstFileW, SetFileAttributesW, DeleteFileW, FindNextFileW,
        FindClose, GetSystemTimeAsFileTime, CreateThread, CloseHandle,
        ExpandEnvironmentStringsW, GetLastError, GetFileAttributesW, SetLastError
        > ntdll.dll: RtlFreeHeap, RtlDeleteCriticalSection, LdrGetProcedureAddress,
        RtlInitString, LdrLoadDll, RtlReAllocateHeap, LdrUnloadDll, wcscmp, _chkstk,
        NtResetEvent, NtSetEvent, LdrAccessResource, LdrFindResource_U, RtlUnwind,
        NtQueryVirtualMemory, RtlAllocateHeap, NtQueryInformationFile, NtWriteFile,
        NtDeleteFile, NtCreateKey, NtQueryValueKey, NtSetValueKey, RtlFreeUnicodeString,
        NtFlushBuffersFile, NtSetInformationFile, NtUnmapViewOfSection, NtCreateSection,
        NtMapViewOfSection, RtlDosPathNameToNtPathName_U, NtCreateFile, NtFsControlFile,
        NtOpenFile, wcstoul, RtlInitializeCriticalSection, NtOpenKey,
        RtlExpandEnvironmentStrings_U, _vsnwprintf, towlower, wcschr, wcsstr, swprintf,
        memmove, wcslen, _wcsnicmp, NtClose, RtlInitUnicodeString, wcscpy, RtlGetAce,
        RtlQueryInformationAcl, RtlGetDaclSecurityDescriptor, NtQuerySecurityObject,
        RtlCompareUnicodeString, NtWaitForMultipleObjects, NtCreateEvent,
        NtNotifyChangeDirectoryFile, _wcsicmp, NtWaitForSingleObject, wcscat,
        RtlEnterCriticalSection, RtlLeaveCriticalSection, wcsrchr, wcsncpy,
        RtlNtStatusToDosError
        > ole32.dll: StringFromIID, CoTaskMemFree, StringFromGUID2, IIDFromString
        > rpcrt4.dll: RpcStringFreeW, RpcImpersonateClient, NdrClientCall2,
        NdrServerCall2, RpcBindingFromStringBindingW, RpcStringBindingComposeW,
        RpcBindingFree, I_RpcMapWin32Status, RpcServerRegisterIf,
        RpcServerUseProtseqEpW, RpcServerListen, RpcRevertToSelf
        > user32.dll: SetDlgItemTextW, RegisterDeviceNotificationW, DestroyWindow,
        wsprintfW, LoadStringW, SetThreadDesktop, CreateDialogParamW, SendMessageW,
        MsgWaitForMultipleObjects, IsDialogMessageW, GetDlgItemTextW, DispatchMessageW,
        PeekMessageW, GetDlgItem, EnableWindow, ShowWindow, UpdateWindow,
        SetForegroundWindow, EndDialog, FindWindowW, RegisterWindowMessageW,
        PostMessageW, UnregisterDeviceNotification, OpenInputDesktop,
        GetUserObjectInformationW, CloseDesktop, RegisterClassW, CreateWindowExW,
        DefWindowProcW, GetSystemMetrics, GetWindowRect, SetWindowLongW, MoveWindow,
        DialogBoxParamW, MessageBoxW, TranslateMessage
        > wintrust.dll: CryptCATAdminEnumCatalogFromHash,
        CryptCATCatalogInfoFromContext, CryptCATAdminReleaseCatalogContext,
        WinVerifyTrust, CryptCATAdminAcquireContext, CryptCATAdminReleaseContext,
        CryptCATAdminCalcHashFromFileHandle

        ( 1 exports )

        > SfcGetNextProtectedFile, SfcIsFileProtected, SfcWLEventLogoff, SfcWLEventLogon
        TrID : File type identification
        Win32 Executable Generic (42.3%)
        Win32 Dynamic Link Library (generic) (37.6%)
        Generic Win/DOS Executable (9.9%)
        DOS Executable Generic (9.9%)
        Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
        ssdeep:
        1536:nNJkxYlUlxBv0Uc67Y8bjJUZDraQwVBTN3+pvFKsl6rqcwufCImw:EEUB0UcR8bje3aVpN3+hQscrqKfCIm
        PEiD : -
        RDS : NSRL Reference Data Set

        virusscan.jotti.org/pl/scanresult/cdea92aea3665bd6ba695cf6831239dc6c709dae/211c7c195ad840fbc1bf32140e9c1e009ec1b43e


        wykonałam w OTL Run Fix, wynik:
        wklej.org/hash/aea1d9d771/

        HD tune
        wstaw.org/images/free/2009/12/28/4e8020e2e07c7e98dba1f0c68af0ce.png
        wstaw.org/pokaz/38068/
        wstaw.org/pokaz/38069/
        wstaw.org/p/94b7/
        hmmm... ?

        • Gość: Kolobos Re: Komunikat o wirusie - rada dla laika? IP: *.zask.pl 29.12.09, 00:40
          Plik sfc_os.dll wypakuj z plyty instalacyjnej XP przy pomocy expand i podmien go z tym zainfekowanym przy uzyciu kondoli odzyskiwania lub programu replacer.

          Masz na dysku 1 uszkodzony sektor, do tego sam dysk jest dosc wolny i dziala w trybie udma2 zamiast 4, jezeli to nie laptop to podmien tasme laczaca dysk z plyta na 80pinowa.
          • Gość: alala Re: Komunikat o wirusie - rada dla laika? IP: *.chello.pl 29.12.09, 22:11
            Dziękuję ci bardzo. Już teraz komputer działa o wiele szybciej po wczorajszych
            operacjach,
            to co powyżej "zadałeś" będę próbowała zrobić gdy odszukam płytkę i więcej czasu,

            Nie napisałam wcześniej- to laptop, dell starszego typu i pamięci ma niewiele,
            wydawało mi się, że to jest powodem wolnego działania, nie wiem czy tryby udma o
            których mówisz to też będzie sprawa usunięcia jakiegos błędu, czy bardziej
            dokupienia pamięci.
Pełna wersja