Pełna wersja: Załapałem paskudnego wirusa...
Mój problem polega na tym że format nic nie daje, kompa formatuję z odłączonym internetem i nagle nie wiadomo kiedy uaktywnia się. Objawami są zablokowany dostęp do edycji rejestru i zablokowany dostęp do menedżera zadań, niepokoje się bo na laptopie mam dosyć ważne rzeczy. Ma ktoś jakieś sugestie to proszę o pomoc.
Cytat
Ma ktoś jakieś sugestie
Ja mam dwie:- patrze gdzie zakladasz tematy (przenosze)
- patrze po jakich stronach surfujesz w necie
Na pewno nie chodze po stronach porno....
nic takiego nie powiedzialem. Po prostu patrzac w jakim dziale zalozyles temat, tak mi przyszlo to drugie o stronach do glowy, tak na wszelki wypadek
Wyjmij dysk i potraktuj jakimś programem do partycji i bootsectora przy pomocy innego komputera, ja tak zawsze robię - dla pewności z poziomu wiersza poleceń i bootuję komputer z płytki, a nie dysku. Oczywiście na płytce musisz mieć odpowiedni soft. Najlepiej idź z tym do jakiegoś serwisu, za 50 zł przeinstalują i może nawet nie skasują danych
A ja nie rozumiem pewnej rzeczy:
1) Jak to formatujesz skoro chcesz zachować dane? To się moim zdaniem lekko mija z celem ponieważ wirusy często infekują całe przestrzenie dyskowe.
Ja jak zawsze polece linuksa. Problem wirusów zniknie na wiele lat.
http://ubuntu.pl
http://opensuse.org
Zawsze można też wybrać coś innego z http://distrowatch.com/
1) Jak to formatujesz skoro chcesz zachować dane? To się moim zdaniem lekko mija z celem ponieważ wirusy często infekują całe przestrzenie dyskowe.
Ja jak zawsze polece linuksa. Problem wirusów zniknie na wiele lat
.http://ubuntu.pl
http://opensuse.org
Zawsze można też wybrać coś innego z http://distrowatch.com/
@SHiP - No ale niestety nie każdy może (lub chce) używać linuxa 
Nie wiem czy pomoze - ale ja jak jeszcze uzywalem windowsa robilem w przypadku awarii mniejwiecej takie kroki ;
Sciagnij program Process Explorer, odpal i poszukaj ktory z procesow moze byc podejzany (uzywa caly czas procka, lub sieci najprawdopodobniej to bedzie jeden z tych zaznaczonych na czerwono, ciezko opisac ktory to moze byc - poprobuj). Jezeli znajdziesz takowy to right click -> suspend. Patrzysz czy objawy ustaly, jezeli tak to masz jednego z winowajcow. Sprawdzasz sobie info o procesie i starasz sie usunac plik - najprawdopodobniej nie bedziesz w stanie tego dokonac z normalnego trybu wiec ->tryb awaryjny. Potem wywalasz z autostartu - (Start -> Uruchom -> "msconfig" ostatnia zakladka). Nastepnie rejestr - dla obydwu "HKEY_LOCAL_MACHINE" i "HKEY_CURRENT_USER" wchodzisz w ->Software->Microsoft->Windows->CurrentVersion->Run i wywalasz winowajce(a najlepiej to wszystko wywalic i z tad i z autostartu - masz pewnosc ze nie przeoczyles ).
A tak poza tematem to dolaczam sie do tego co napisal SHiP. Linuks rozwiaze Twoje problemy
Pozdrawiam.
EDIT :
Zapomnialbym - mozesz jeszcze wejsc do Panel sterowani->Narzedzia administracyjne -> Uslugi lub "msconfig"->zakladka Uslugi i wywalic to co Ci nie pasuje (najlatwiej kliknac "wylacz wszystkie usulgi poza uslugami Microsoftu" czy jakos tak).
Sciagnij program Process Explorer, odpal i poszukaj ktory z procesow moze byc podejzany (uzywa caly czas procka, lub sieci najprawdopodobniej to bedzie jeden z tych zaznaczonych na czerwono, ciezko opisac ktory to moze byc - poprobuj). Jezeli znajdziesz takowy to right click -> suspend. Patrzysz czy objawy ustaly, jezeli tak to masz jednego z winowajcow. Sprawdzasz sobie info o procesie i starasz sie usunac plik - najprawdopodobniej nie bedziesz w stanie tego dokonac z normalnego trybu wiec ->tryb awaryjny. Potem wywalasz z autostartu - (Start -> Uruchom -> "msconfig" ostatnia zakladka). Nastepnie rejestr - dla obydwu "HKEY_LOCAL_MACHINE" i "HKEY_CURRENT_USER" wchodzisz w ->Software->Microsoft->Windows->CurrentVersion->Run i wywalasz winowajce(a najlepiej to wszystko wywalic i z tad i z autostartu - masz pewnosc ze nie przeoczyles
).A tak poza tematem to dolaczam sie do tego co napisal SHiP. Linuks rozwiaze Twoje problemy
Pozdrawiam.
EDIT :
Zapomnialbym - mozesz jeszcze wejsc do Panel sterowani->Narzedzia administracyjne -> Uslugi lub "msconfig"->zakladka Uslugi i wywalic to co Ci nie pasuje (najlatwiej kliknac "wylacz wszystkie usulgi poza uslugami Microsoftu" czy jakos tak).
A czy instalka jest zintegrowana chociażby z Service Packiem 2?
Edycja live któregoś z Linuxa -> robisz backup ważnych danych a potem to już kombinujesz co tam sobie życzysz, format, skanowanie anty-wirem itp.
jakieś inne objawy są tego wirusa? Gorączka, kaszel, bół gardła, ból głowy, byłaś ostatnio w Meksyku?
Przepraszam że nie mogłem uczestniczy w dyskusji, musiałem wyjść. Ściągam właśnie gparted-live zrobię formata kilka razy z poziomu cd i wgram na nowo system jak to nie pomoŻe wyjmę twardziela i na innym komputerze zfomatuję. Odezwę się jak mi poszło....
a ja bym backup'a zrobił a potem wyzerował dysk.
masz chyba w32.sality zobacz jego opis
Obiecałem że napisze co zrobiłem:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"=dword:00000001
Dalej wgrywałem normalnie sterowniki, poi wgraniu wszystkich utworzyłem nowy punkt kontrolny w przywracaniu systemu na wypadek gdyby wirus orzył.
No cóż moge powiedzieć że wirus jest cały czas na twardym dysku w bootsektorze, lecz nie potrawię go usunąc programem GParted.
Być może ktoś też miał podobny przypadek i może zrobi tak jak ja, puk,i co wirus jest narazie nieaktywny od kąd zablokowałem edycję rejestru.
PS tutaj jest programik do odblokowania rejestru odblokuj.inf oto kod:
Może komuś się przyda, mi pomogło, choć moj laptop jest nosicielem
Znowu się uaktywnił jak wgrywałem gg.
Nazwa wirusa: Win32:Rootkit-gen [Rtk]
typ pasożyta: Rootkit
wersja VPS: 090516-0, 2009-05-16
- cenne pliki skopiowałem na inny komputer
- programem GParted-Live-Version usunołem dodatkową partycję i zrobiłem format. To wszystko z poziomu cd.
- wgrałem xp-ka, czyniłem to z odłączonym kablem od internetu. Dalej wgrałem sterownik z płyty cd orginalnej, ku zdziwieniu wirus ORZyŁ (blokada do rejestru i menadzera zadan)
- Skozystałem z przywracania systemu i "cofłem się" do pierwszego "punktu kontrolnego", postanowiłem sam zablokować dostęp do edycji rejestru, uczyniłem to tworząc i uruchamiając programik "blokuj_rejestr.reg" oto kod:
CODE
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"=dword:00000001
Dalej wgrywałem normalnie sterowniki, poi wgraniu wszystkich utworzyłem nowy punkt kontrolny w przywracaniu systemu na wypadek gdyby wirus orzył.
No cóż moge powiedzieć że wirus jest cały czas na twardym dysku w bootsektorze, lecz nie potrawię go usunąc programem GParted.
Być może ktoś też miał podobny przypadek i może zrobi tak jak ja, puk,i co wirus jest narazie nieaktywny od kąd zablokowałem edycję rejestru.
PS tutaj jest programik do odblokowania rejestru odblokuj.inf oto kod:
CODE
[version]
signature="$CHICAGO$"
[DefaultInstall]
DelReg = Del_DisableRegistryTools.Reg
[Del_DisableRegistryTools.Reg]
HKEY_CURRENT_USER, SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools
signature="$CHICAGO$"
[DefaultInstall]
DelReg = Del_DisableRegistryTools.Reg
[Del_DisableRegistryTools.Reg]
HKEY_CURRENT_USER, SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools
Może komuś się przyda, mi pomogło, choć moj laptop jest nosicielem
Znowu się uaktywnił jak wgrywałem gg.
Nazwa wirusa: Win32:Rootkit-gen [Rtk]
typ pasożyta: Rootkit
wersja VPS: 090516-0, 2009-05-16
Cytat
usunołem
Cytat
ORZyŁ
Cytat
"cofłem się"
Cytat
puk,i co
A instalujesz jaką wersje windowsa? Oryginalna płytka? Czy może kopia zapasowa ze zintegrowanym Service Packiem którymś? Ściągnij obraz płyty ze zintegrowanym SP3 i z tej płytki spróbuj zainstalować, bo ja mam wrażenie że to jednak jakiś syf zintegrowany z instalką.
Pomijając płytę warto też sprawdzić wszystkie pozostałe partycje (o ile są) - bardzo często tworzą się tam pliczki autorun.inf które powodują automatyczne uruchamianie znajdującego się na nich wirusa tylko po samym kliknięciu na ikonę dysku. Wirus się uaktywnia i ukrywa swoje pliki - nie pozwala na dokonanie zmiany w opcjach folderów, która nakazuje pokazywać pliki ukryte i systemowe (a takimi atrybutami są te wirusy oznaczone). Objawem takiego działania jest otwieranie się dysków w nowym oknie (po kliknięciu na jego ikonę).
Identyczna sytuacja ma też miejsce z pendrivem - tutaj wystarczy go po prostu włożyć. I też uruchamia się w nowym oknie.
Po świeżej instalacji systemu sprawdź czy jakikolwiek nośnik który wkładasz do komputera jest czysty od wirusów. Jeżeli masz teraz objawy opisane wyżej, to na 100% masz wirusa na każdym pendrivie który wkładałeś do komputera.
Identyczna sytuacja ma też miejsce z pendrivem - tutaj wystarczy go po prostu włożyć. I też uruchamia się w nowym oknie.
Po świeżej instalacji systemu sprawdź czy jakikolwiek nośnik który wkładasz do komputera jest czysty od wirusów. Jeżeli masz teraz objawy opisane wyżej, to na 100% masz wirusa na każdym pendrivie który wkładałeś do komputera.
Cytat
Ja jak zawsze polece linuksa. Problem wirusów zniknie na wiele lat .
http://ubuntu.pl
http://opensuse.org
http://ubuntu.pl
http://opensuse.org
O mamo, znowu... Zamiast rozwiązać problem, to go ominąć...
Cytat
A instalujesz jaką wersje windowsa? Oryginalna płytka?
Raz - oryginalna płytka, dwa - wyczyść MBR; o rootkita teraz nietrudno.
Cytat(Quider @ 15.05.2009, 23:13:14 ) 
masz chyba w32.sality zobacz jego opis
Ten wirus to: W32.Gobi powiem szczerze ze znowu sie uaktywnil......
Masz zupełnie czysty dysk? Bez żadnych partycji, nic? Jeśli nie masz pustego, sprawdź, czy nie masz jakichś plików autorun.inf, punktów przywracania, itp.
Oczywiście o samym sprawdzeniu nośnika instalacyjnego nie wspomnę.
Oczywiście o samym sprawdzeniu nośnika instalacyjnego nie wspomnę.
Dobra, zlikwidowałem to paskudztwo.... jestem pewny na 100 %, oto jak to zrobiłem , niech czytają to ci którzy mają komputery zarażone wirusem co zowie się W32.Gobi. Wirus ten charakteryzuje się możliwością kopiowania się i infekowania innych plików.... jak i o zgrozo sektorów rozruchowych.
Po stwierdzeniu infekcji w laptopie, cenne dla mnie pliki przeniosłem na komp stacjonarny, następnie po formatowaniu twardego dysku w laptopie, przystępowałem do wgrywania systemu, sterowników itd. Następnie przeniesione pliki ze stacjonarnego przywracałem do laptopa i nieświadomie sam zarażałem mojego laptopika, ponieważ pliki w stacjonarnym były już zainfekowane rozrastającą się zarazą.
Przeskanowałem wszystkie dyski w stacjonarnym i laptopie programem Norton Internet Security 2009 ograniczoną wersją, byłem zdumiony wynikiem, w stacjonarnym znalazł kilkadziesiąt zarażonych plików, Norton jest na tyle dobry że usuną zarazę. Tak to skończyła się moja walka z wirusem W32.Gobi.
Żeby tylko nie przeniosło się to na ludzi .
, niech czytają to ci którzy mają komputery zarażone wirusem co zowie się W32.Gobi. Wirus ten charakteryzuje się możliwością kopiowania się i infekowania innych plików.... jak i o zgrozo sektorów rozruchowych.Po stwierdzeniu infekcji w laptopie, cenne dla mnie pliki przeniosłem na komp stacjonarny, następnie po formatowaniu twardego dysku w laptopie, przystępowałem do wgrywania systemu, sterowników itd. Następnie przeniesione pliki ze stacjonarnego przywracałem do laptopa i nieświadomie sam zarażałem mojego laptopika, ponieważ pliki w stacjonarnym były już zainfekowane rozrastającą się zarazą.
Przeskanowałem wszystkie dyski w stacjonarnym i laptopie programem Norton Internet Security 2009 ograniczoną wersją, byłem zdumiony wynikiem, w stacjonarnym znalazł kilkadziesiąt zarażonych plików, Norton jest na tyle dobry że usuną zarazę. Tak to skończyła się moja walka z wirusem W32.Gobi.
Żeby tylko nie przeniosło się to na ludzi
.
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.