Nieznany wirus, bardzo cwany, format nic nie daje

IP: *.chello.pl 16.11.07, 00:33
System WinXpPro dysk na NTFS.

Coś się dzieje z komputerem sąsiadów. Objawy: wyłącza menadżera
zadań i edytor rejestru (komunikat - wyłączone przez
administratora). Nie działają żadne sposoby(instrukcje, regi),
żeby je włączyć spowrotem. Włącza system recovery i nie pozwala
wyłączyć. Wyłącza wszystkie programy antywirusowe. Nie pozwala na
uruchomienie jakiegokolwiek oprogramowania do sprawdzania systemu
typu Hijack itp. - po uruchomieniu takiegoż po prostu kasuje go. To
samo z innymi programami minn. killprocess itp. Pozwala uruchomić
przeglądarkę internetową i przegladać strony pod warunkiem, że... na
stronie nie pojawi się jakakolwiek informacja o antywirusach,
szczepionkach, programach diagnostycznych - po otwarciu takiej
strony po 1-2 sekundach zamyka ją bez żadnych komunikatów (wszystkie
przeglądarki - IE, Firefox, Opera...). jedynym wyjątkiem jest MKS
Online, który daje się uruchomić, sprawdza system ale kompletnie nic
nie wykrywa. Wszystkie uwagi dotycza również trybu awaryjnego i
logowania się jako administrator. To nie mój komputer i jest bardzo
zaśmiecony różnymi bzdetami.
Co zrobić ?? Po wielu próbach uruchomienia tych wszystkich programów
dochodzę do wniosku, że trzeba sformatować C (są jeszcze dyski D i E
ale w 90% puste) i postawic system od nowa. Więc tak robię. Dysk C
formatuję w instalatorze windowsa. Instaluje się wszystko bez
najmniejszego problemu, wgrywam sterowniki, chce wejść do menadżera
zadań a tu się... nie da... Wszystkie objawy tak idealnie jak
wcześniej. Pięknie myślę... Jeszczce jedna próba instalacji. Tym
razem w instalatorze WinXp kasuje wszystkie partycje (były NTFS) i
tworzę nowe 3 partycje na FAT32 w Fdisku po starcie z bezpiecznej
(z innego komputera) dyskietki i formatuję je, wcześniej
dając "fdisk /mbr". Jak można się domyśleć nic to nie daje i dalej
to samo dzieje się z komputerem... Wszystkie płyty i dyskietki
których używam są na 100% sprawdzone. Acha w międzyczasie jeszcze
sprawdzałem MBR wieloma programami w poszukiwaniu wirusów ale bez
skutu - niby czysto.
Ciekawe, jeszcze się z czymś takim nie spotkałem.
    • Gość: Kolobos Re: Nieznany wirus, bardzo cwany, format nic nie IP: *.escom.net.pl 16.11.07, 10:13
      Instalujesz system z podlaczonym kablem od internetu?
      Zmien nazwe pliku hijackthis.exe na wiaderko.com i dopiero uruchom + sprobuj uruchomic combofix. Logi z obu programow wklej na wklej.org i daj link.
    • wwwandal1 Re: Nieznany wirus, bardzo cwany, format nic nie 17.11.07, 20:24

      • wwwandal1 Re: Nieznany wirus, bardzo cwany, format nic nie 17.11.07, 20:43

    • Gość: Bolo1976 Re: Nieznany wirus, bardzo cwany, format nic nie IP: *.c200.msk.pl 12.12.07, 14:25
      Wyjechałem na miesiąc i nie miałem jak napisać. Na nastepny dzień
      rano sobie poradziełm już bez problemów. Odpowiadając tylko na
      poprzedniego posta, jak napisałem miesiąc temu - na dysku nie
      zostało nic, żadne dane, bo wszystkie partycje zostały skasowane i
      założone od nowa fdiskiem.
      Znalazłem rozwiązanie. Wirus - nie wiem skąd dzieci znajomych go
      wytrzasnęły, sam z siebie (i nie pytajcie mnie w jaki sposób bo nie
      wiem) założył jedną malutką dodatkową ukrytą partycję, gdzie był
      tylko wirus. Ani instalator winxp, ani fdisk jej nie widziały, więc
      nie mogły skasować. Dopiero kiedy zajrzałem spod dosa ranish
      partition okazało się, że jest ukryta partycja. Skasowałem ją,
      założyłem w RP nowe partycje, format, instal i wsio działa ok. Ale
      pierwszy raz coś takiego spotkałem. Pozdrawiam.
      • Gość: Amida Prosze o pomoc - mam ten sam problem! IP: *.szczecin.mm.pl 12.12.07, 23:41
        Dzis komp zwariowal - blagam o pomoc, bo niestety, oprocz tego ze wszedl pomimo
        stale obecnego Nod32 (ktory nic nie wykrywa), nie moge zadnego skanera uruchomic
        (IE 'gasnie' gdy wejde na strony z antywirami), a co gorsza nic zainstalowac
        (np. triala innego antywirusa) Probowalam nawet zainstalowac nowa wersje IE,
        zeby zastapic poprzednia, ale nic z tego. Dodam, ze wszedl dzis
        najprawdopodobniej z podejrzanym mailem, rzekomo z paypalu (okazalo sie, ze
        strona zgloszona jako oszustwo)Wiem napewno, ze rejestr jest juz zwichrowany -
        nie mam pojecia co zrobic. Poniewaz dane w kompie sa wazne, nie moge od nowa nic
        wgrywac. Prosze Was o pomoc... Doradzcie, jak sie do niego dobrac i usunac. Jak
        rozpoznac te partycje (o ile to tu wystarczy:)

        Pozdrawiam
        • Gość: Amida Re: Prosze o pomoc - mam ten sam problem! IP: *.szczecin.mm.pl 12.12.07, 23:51
          Jedyne, co moge uscislic (nie znam nazwy wirusa ani zadnych szczegolow)
          to jest to z Ad-watch:
          An attempt to alter a protected object has been detected.
          root: HKEY_CURRENT_USER
          Key: Software\Microsoft\Windows\CurrentVersion\Run
          Value: Skype
          Data: "C:\PROGRAM FILES\SKYPE.EXE" /nosplash/minimized

          r:HKEY LOCAL MACHINE
          K: Software\Microsoft\Interenrt explprer\Main
          v:Default_Page_URL
          Data: http.www.,microsoft.com/isapi/redir.dll?prd=iepver=6ar=ms
          newdata: www.hp.com/omnibook

          ???
          IE jest kompletnie skolowany, nawet wyrzucic go sie nie da:(
          • Gość: Kolobos Re: Prosze o pomoc - mam ten sam problem! IP: *.escom.net.pl 13.12.07, 00:28
            Daj logi! Warto czytac PRZED! napisaniem na forum:
            forum.gazeta.pl/forum/72,2.html?f=430&w=66002983
            • Gość: Amida Re: Prosze o pomoc - mam ten sam problem! IP: *.szczecin.mm.pl 13.12.07, 01:10
              Kolobos - juz czytalam, cudem udalo mi sie zainstalowac hijackthis (bo sa juz
              klopoty z instalowanim czegokolwiek - musze sie spieszyc, bo komp sie zawiesza
              totalnie, musialm restartowac przed chwila, by napisac, a postep spustoszen jest
              blyskaw.
              TU wklejam wszystko, co wskazal hijackthis - blagam, daruj, ale moge nie zdazyc
              przejsc na inna strone - wybacz:

              Logfile of Trend Micro HijackThis v2.0.2
              Scan saved at 01:08:57, on 07-12-13
              Platform: Windows 98 SE (Win9x 4.10.2222A)
              MSIE: Internet Explorer v5.00 (5.00.2614.3500)
              Boot mode: Normal

              Running processes:
              C:\WINDOWS\SYSTEM\KERNEL32.DLL
              C:\WINDOWS\SYSTEM\MSGSRV32.EXE
              C:\WINDOWS\SYSTEM\MPREXE.EXE
              C:\WINDOWS\SYSTEM\mmtask.tsk
              C:\WINDOWS\SYSTEM\ATI2PLXX.EXE
              C:\WINDOWS\SYSTEM\KB918547\KB918547.EXE
              c:\windows\SYSTEM\KB891711\KB891711.EXE
              C:\PROGRAM FILES\ESET\NOD32KRN.EXE
              C:\WINDOWS\SYSTEM\MSTASK.EXE
              C:\WINDOWS\EXPLORER.EXE
              C:\WINDOWS\TASKMON.EXE
              C:\WINDOWS\SYSTEM\INTERNAT.EXE
              C:\WINDOWS\SYSTEM\SYSTRAY.EXE
              C:\WINDOWS\SYSTEM\ATIPTAXX.EXE
              C:\WINDOWS\SYSTEM\ATI2CWXX.EXE
              C:\WINDOWS\SYSTEM\PRPCUI.EXE
              C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPLPR.EXE
              C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPENH.EXE
              C:\WINDOWS\SYSTEM\IRMON.EXE
              C:\WINDOWS\SYSTEM\QTTASK.EXE
              C:\PROGRAM FILES\ESET\NOD32KUI.EXE
              C:\PROGRAM FILES\LAVASOFT\AD-AWARE SE PROFESSIONAL\AD-WATCH.EXE
              C:\PROGRAM FILES\SKYPE.EXE
              C:\COREL\GRAPHICS8\PROGRAMS\MFINDEXER.EXE
              C:\WINDOWS\SYSTEM\WMIEXE.EXE
              C:\WINDOWS\SYSTEM\WBEM\WINMGMT.EXE
              C:\PROGRAM FILES\MOZILLA FIREFOX\FIREFOX.EXE
              C:\WINDOWS\SYSTEM\DDHELP.EXE
              C:\PROGRAM FILES\TREND MICRO\HIJACKTHIS\HIJACKTHIS.EXE

              R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = www.hp.com/
              R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
              www.google.pl/
              R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
              R3 - Default URLSearchHook is missing
              O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
              C:\PROGRAM FILES\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
              O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
              C:\WINDOWS\SYSTEM\MSDXM.OCX
              O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun
              O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe
              O4 - HKLM\..\Run: [internat.exe] internat.exe
              O4 - HKLM\..\Run: [SystemTray] systray.exe
              O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
              O4 - HKLM\..\Run: [Ati2cwxx] Ati2cwxx.exe
              O4 - HKLM\..\Run: [PRPCMonitor] PRPCUI.exe
              O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
              O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
              O4 - HKLM\..\Run: [IrMon] IrMon.exe
              O4 - HKLM\..\Run: [CriticalUpdate] c:\windows\SYSTEM\wucrtupd.exe -startup
              O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
              O4 - HKLM\..\Run: [Zasobnik systemowy] SysTray.Exe
              O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
              O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
              O4 - HKLM\..\RunServices: [ATIPOLAB] ati2plxx.exe
              O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe
              powrprof.dll,LoadCurrentPwrScheme
              O4 - HKLM\..\RunServices: [KB918547] C:\WINDOWS\SYSTEM\KB918547\KB918547.EXE
              O4 - HKLM\..\RunServices: [KB891711] c:\windows\SYSTEM\KB891711\KB891711.EXE
              O4 - HKLM\..\RunServices: [NOD32kernel] "C:\Program Files\Eset\nod32krn.exe"
              O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
              O4 - HKCU\..\Run: [AWMON] "C:\PROGRAM FILES\LAVASOFT\AD-AWARE SE
              PROFESSIONAL\AD-WATCH.EXE"
              O4 - HKCU\..\Run: [Skype] "C:\PROGRAM FILES\SKYPE.EXE" /nosplash /minimized
              O4 - HKUS\.DEFAULT\..\Run: [AWMON] "C:\PROGRAM FILES\LAVASOFT\AD-AWARE SE
              PROFESSIONAL\AD-WATCH.EXE" (User 'Default user')
              O4 - HKUS\.DEFAULT\..\Run: [Skype] "C:\PROGRAM FILES\SKYPE.EXE" /nosplash
              /minimized (User 'Default user')
              O4 - .DEFAULT Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common
              Files\Adobe\Calibration\Adobe Gamma Loader.exe (User 'Default user')
              O4 - .DEFAULT Startup: Microsoft Office.lnk = C:\Program Files\Microsoft
              Office\Office\OSA9.EXE (User 'Default user')
              O4 - .DEFAULT Startup: Corel MEDIA FOLDERS INDEXER 8.LNK =
              C:\Corel\Graphics8\Programs\MFIndexer.exe (User 'Default user')
              O4 - Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common
              Files\Adobe\Calibration\Adobe Gamma Loader.exe
              O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft
              Office\Office\OSA9.EXE
              O4 - Startup: Corel MEDIA FOLDERS INDEXER 8.LNK =
              C:\Corel\Graphics8\Programs\MFIndexer.exe
              O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} -
              C:\WINDOWS\web\related.htm
              O9 - Extra 'Tools' menuitem: Show &Related Links -
              {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
              O14 - IERESET.INF: START_PAGE_URL=www.hp.com/omnibook
              O14 - IERESET.INF: MS_START_PAGE_URL=www.eu.microsoft.com/poland/
              O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} -
              www.eset.eu/buxus/docs/OnlineScanner.cab
              O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) -
              acs.pandasoftware.com/activescan/as5free/asinst.cab
              O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) -
              www.ca.com/us/securityadvisor/virusinfo/webscan.cab
              O16 - DPF: {56393399-041A-4650-94C7-13DFCB1F4665} (PSFormX Control) -
              www.ca.com/us/securityadvisor/pestscan/pestscan.cab
              O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} -
              www.kaspersky.pl/resources/virusscanner/kavwebscan_unicode.cab
              --
              End of file - 5199 bytes


              MAM NAdzieje, ze tu jest to, co mam podac. Jestem laikiem komput. choc juz
              operowalam kompa przy zdaln. kierowaniu - wierze, ze pomozesz

              Pozdr
              • Gość: Amida logi IP: *.szczecin.mm.pl 13.12.07, 01:32
                Wklejony przeze mnie wynik dzialan hijackthis wykasujcie pozniej , ale prosze o
                wskazowki, co robic. Mam win98 (jak widac wyzej) i hijackthis nie chce mi
                niczego zanalizowac (dobzre, ze w ogole sie uruchomil) Inne combo itd odpadaja
                przy moim systemie (narazie nie moge go zamienic;)

                Dodam, ze nie dziala nie tylko IE (uzywam dzis M.Firefoxa, ktory i tak wariuje
                nieco), ale kompeltnie padl Outlook (gdzie dzis niestety otworzylam maila, choc
                moze ten wir wpadl pare dni wczesniej)..Niektore strony przekierowuja sie
                gdzies, gdzie nie ma serwera, przy probach instal. antywir. skanerow komunikat,
                ze nie mam uprawn. administr. - itd, itd. KOmp zwalnia coraz bardziej i zawiesza
                sie, najchetniej przy hijacku;)Tymczasem NOD32 pozostaje totalnie slepy (choc
                juz wyswietlil, ze nie moze otworzyc wielu plikow - gl. skype - zablokowane,
                blad otwarcia)
                Przejrzalam rejestr, nowe wpisy dzisiejsze dotycza systemu, konfiguracji. Tylko
                tyle moge zauwazyc, nie znajac sie na rzeczy:(
                • Gość: Kolobos Re: logi IP: *.escom.net.pl 13.12.07, 10:26
                  Log masz ok, jak chcesz to usun:
                  R3 - Default URLSearchHook is missing
                  O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} -
                  C:\WINDOWS\web\related.htm
                  O9 - Extra 'Tools' menuitem: Show &Related Links -
                  {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

                  Windows 98 nie nadaje sie do internetu jak tez do uzywania. Postaraj sie zmienic system na XP o ile masz wystarczajaca ilosc pamieci RAM.
                  • Gość: Amida Re: logi IP: *.szczecin.mm.pl 13.12.07, 11:03
                    Dzieki, Kolobos. Wiem, jak to jest z Win98, chociaz jak dotad sprawowal sie
                    wystarczajaco (zmienie to razem z kompem, ale chwilowo musze uzywac tego)
                    Natomiast ten wirus, o ktorym mowimy jest jakims totalnym paskudztwem: jak moge
                    znow skorzystac z pandy onlina, kaspra lub jakiegokolwiek antywira, zeby sie
                    dobrac do wirusa? Jak go rozpoznac w inny sposob? IE nie dziala juz poprawnie
                    (skanery online sa pod nim), probowalam na nowo zainstalowac IE i nie daje sie,
                    bo wyraznie wir tak to ustawil, ze wszystkie polecenia odwrocone do gory nogami
                    • Gość: Amida panda i inne skanery nie dzialaja IP: *.szczecin.mm.pl 13.12.07, 11:15
                      Oto komunikat, jaki wciaz sie pojawia przy pandzie (dawniej moglam nia skanowac
                      kompa bez problemu, podobnie jak kasprerskym itd)

                      Possible causes of this error are:

                      Not allowing the application's ActiveX control to be downloaded.

                      Problems with the Internet connection.

                      The error could be due to a download error or an installation error due to lack
                      of hard disk space, privileges etc.,...

                      ___
                      Przy probie urochom. kasperskiego pojawia sie brak uprawn. administratora (!!),
                      nie dzialaja inne (eTrust CA online itd).
                      Outlook nie dziala - przy probie odczytania jakiejkolwiek wiadomosci pada.
                      Zaczelo sie rzeczywiscie od tego, ze zmieniona byla najpierw strona startowa.
                      Co mam zrobic, zeby znalezc tego wira???
                      • Gość: Kolobos Re: panda i inne skanery nie dzialaja IP: *.escom.net.pl 13.12.07, 12:16
                        Nie masz żadnych aktualizacji i IE 5.0 wiec to normalne, ze moze cos nie dzialac. Wyglada to na zepsuty system/zle ustawienia, brak aktuaslizacji, a nie żaden wirus.
                        Jak chcesz to przeskanuj system tym:
                        ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe ale watpie zeby to cos zmienilo.

                        • Gość: Amida Bylo IE 5.0 i aktualualizacje az do wczoraj IP: *.szczecin.mm.pl 13.12.07, 12:27
                          Tak, byc moze nie widac tego w tych logach, ale jeszcze wczoraj rano mialam IE
                          5.0 i + sciagniete dawniej aktualizacje (jak pisze, na tej przegladarce min. dla
                          skanerow onlina skanowalam wielokrotnie komp). Wczoraj rano, gdy wirus byl juz
                          napewno IE 5.0 sie zwichrowal i wskutek jakis pojawiajacych sie polecen
                          zastapilam go starsza kopia... Teraz, gdy chce na nowo sciagnac lub zainstalowac
                          piatke, nie moge ('brak polaczen z internetem' itp.)
                        • Gość: Amida cureit-czy skanowac nie wylaczajac Nod32? IP: *.szczecin.mm.pl 13.12.07, 12:53
                          j.w.
                          Pozdr
                          • Gość: Amida trojan IP: *.szczecin.mm.pl 13.12.07, 13:48
                            Sorry za ilosc postow - cureit nic nie wykazal rzeczywiscie, ale po przejrzeniu
                            tego, co wczoraj w stresie pisalam widze, ze nie wspomialam o trojanie jaki
                            wykryl pare dni temu Nod. Ciekawe tylko, ze wykryl dopiero po specjalnym
                            skanowaniu, a wczesniej go wpuscil.
                            Wydaje mi sie, po obejrzeniu rejestru, ze podejrzane zmiany datuja sie od tego
                            czasu (niecaly tydzien).

                            Czy ktos moglby mi podpowiedziec, jak poprawic cos w rejestrze?? Czy RegCleaner
                            lub cos takiego moze pomoc:? Jak odzyskac dawny IE 5.0 i outlook? (przy probie
                            instalacji IE byl komunikat: 'instalator nie mogl uzyc biezacych ustawien
                            serwera proxy' i sugeruje wpisanie adresu/portu

                            • Gość: Kolobos Re: trojan IP: *.escom.net.pl 13.12.07, 13:55
                              Eh.. Nie masz instalowac IE5 tylko 6 jak juz:
                              download.microsoft.com/download/ie6sp1/finrel/6_sp1/W98NT42KMeXP/PL/ie6setup.exe
                              Nastepnie po instalacji wchodzisz na www.windowsupdate.com i sciagasz reszte aktualizacji.
                              Jezeli do polaczenia z siecia uzywasz jakiegos proxy to ustaw je poprawnie. Twoje problemy nie maja zwiazku z tematyka tego forum.
                              Nie radze Ci uzywac IE ani tez OE! Wiec zmien przegladarke na Opere lub Firefox, a czytnik poczty na Thunderbird i skonczmy ten temat.
                              • Gość: Amida Kolobos IP: *.szczecin.mm.pl 13.12.07, 16:18
                                Dziekuje Ci za pomoc (gdybym nie ciagnela tematu, nie mialam szansy na Twoje
                                rady, ktore pomogly). Udalo sie zainstalowac IE 6.0 (mialam te szostke
                                wczesniej), ale aktualizacji juz nie.

                                Prawde mowiac, skoro to forum dotyczy wirusow, nie wiem, czemu pisze nie na
                                temat? Z pewnoscia iles osob w tym kraju ma wlasnie podobne problemy bez wgl. na
                                system (moj W98 dzialal latami bez problemu, a cala kaszana powstala przeciez
                                przez wira).
Pełna wersja