Tiritto

Ja tam bym z przyjemnością dorwał cię do tego wirusa jestem kolekcjonerem wirusów można by powiedzieć.

No i dysponując wirusem mogę sprawdzić jakie zmiany dokonał .

@adell1877 - Jest to prawie w 100% identyczna wiadomość jak te które wysyłałeś na innych forach, i chciałbym cię uświadomić

a) Nie mów że twoja strona jest konkurencyjna. IMHO wszystkie strony o podobnej tematyce powinny być w przyjacielskich nastrojach, a nie konkurencyjnych. Poza tym w taki sposób ograniczasz swoją szansę na odwiedziny ze strony bywalców na forach (są na jednym, to od "konkurencji" bedą się trzymać z daleka).

Twój spam dotyczy stron zindeksowanych w google całkiem wysoko. Ryzykujesz sandboxem a nawet banem na google, a powinieneś wiedzieć że gdyby do tego doszło nie masz praktycznie żadnych szans na wybicie się.

c) Gotowy skrypt, gotowy szablon. Praktycznie twoja strona nie gwarantuje nic nowego, i nie różni się od innych niczym innym niż nazwą.

d) "Chociaż już po "ptakach" - domena kupiona i serwer też." W tym miejscu mam wrażenie że trzymasz swoje własne forum na siłę. Gratulacje.

Jeśli bez podłączonego pendrive'a ci takie coś wyrzuca to ewidentnie infekcja się rozrosła.

Na oko nie jestem w stanie stwierdzić tutaj co to by mogło być, więc gdybyś miała chwilkę czasu przydałby się logi z programów HiJackThis czy OTL (oba darmowe).

Tak jak mówi Railart - sprawdź jak sprawa wygląda na jakimś LiveCD.

Jeśli będziesz miał tyle cierpliwości to możesz też zarzucić logami z HiJackThis czy OTL ze swojego komputera .

Albo prościej, zainstaluj przeglądarkę która po prostu chociaż w 50% interpretuje HTML5 i CSS3

Bo akurat w tym wypadku FireFox poważnie kuleje.

Sprawdź ustawienia karty dźwiękowej, a najlepiej przeinstaluj jej sterownik.

Prawdopodobnie infekcja wirusowa.

Jeśli to faktycznie byłaby wina wirusa jakiegoś, to ja bym pendrive zwyczajnie wyzerował .

Tryb awaryjny ci działa?

Spróbuj przywrócić system.

Dodam jeszcze tylko abyś nie używał do tego żadnych programów, bo te nie pokażą ci zużycia zgodnego z prawdą.

Nie mów z portu USB bo może to mieć kilka znaczeń w efekcie ;p przyjmuje że chodzi o pendrive'a (a sie wnerwie jak o dysk zewnętrzny chodzi).

Jak przywracają z przed kilku miesięcy bądź lat to powinny i przywrócić te ledwo usunięte. Spróbuj EasyRecovery, Pandora Recovery, i temu podobnych.

Ale jeśli sektory zostały już nadpisane porządnie to już nie przywrócisz.

Jeśli masz taką możliwość to proponuję ci brać UPC. Na niektórych wsiach też świadczą usługi.

Imho najlepszy dostawca kablowy. Nigdy z nim problemów nie miałem, nie to co poprzednio z innymi operatorami.

To też możliwe, ale bardziej prawdopodobny jest ten zasilacz.

Wszystko wskazuje na zasilacz. Masz może jakiś do podmiany sprawdzić?

Jak już wspomniał Railart:

Ciągła praca wskazuje na zasilanie, ale może tez być problem z ram - sprawdź go memtest.

Rozważałeś możliwość infekcji wirusowej?

Jak skończysz to napisz czy ci się udało wyrzucić ten folder.

Jeśli nie to pokombinujemy dalej.

apeluję o medal za dopasowanie tematu do działu!

//jak najbardziej nagrody będą

ralliart

Osobiście bym obstawiał za którymś z tej dwójki:

Radeon HD 2900GT

GeForce 7900GTX

A na co stawiasz?

Na kartę przeznaczoną do rozrywki, czy bardziej do pracy codziennej, czy też stawiasz najbardziej na cenę?

Tak czy inaczej poniesiesz odpowiedzialność, bo obowiązkiem jest zabezpieczyć komputer przed atakami. Jeśli np. masz sieć bezprzewodową i ktoś to wykorzysta, np. włamie się na jakiś serwer, to będziesz za to odpowiadał. Bo nie udowodnisz tego, że ty tego nie zrobiłeś, a tłumaczenie, że zrobił to ktoś z zewnątrz nie pomoże. Podobnie jest z trojanami.

Pamiętajmy że sieć bezprzewodowa często ma swoje logi, dlatego takie tłumaczenie przeważnie nic nie daje. Ludzie najnormalniej o tym zapominają.

Nie słyszałem jeszcze o tym aby kogoś skazali za to że jego komputer w ramach botnetu brał udział w ataku.

Warto zwrócić uwagę na to że w polsce również mamy domniemanie niewinności!

Nie mniej, ty mówisz o tym jak jest w teorii - i masz rację.

A ja mówię jak to wygląda w praktyce.

I nie zdziwiłbym się gdyby się okazało że tak właśnie robią.

Słyszałem ze pedofile robią takie tricki: infekują się wirusami które ściągają z internetu różne treści pornograficzne, w tym także pornografię dziecięcą, a potem przed sądem tłumaczą się że oni nic nie wiedzą o czymś takim. Technicy policyjni w toku śledztwa ustalają że takowy wirus w systemie był, i sprawa jasna - niewinny. No bo jak udowodnisz komuś czy ściągnął wirusa dobrowolnie czy nic nawet o tym nie wiedział?

Prawdę powiedziawszy sam nie wiem co te pliki kombinowały.

Mi to wyglądało na próbę wstrzyknięcia kodu do systemu, z tym że chyba mało skutecznie.

Możliwe też że ten trojan dopiero po jakimś czasie miał wykonać jakąś dodatkową czynność (nie zwróciłem uwagi na to, co się stanie jak dłużej się on w procesach przetrzyma), o wiele gorszą.

Jeśli chodzi o ten pozostały folder, możemy na początek spróbować po bożemu.

Wejdź jeszcze raz w Uruchom (Windows + R, albo z Menu Start), a następnie wpisz cmd, i w nowo otwartej konsoli wpisz:

chkdsk c: /f

Dalej powinien ci się pojawić komunikat w stylu

Program CHKDSK nie może działać, ponieważ wolumin jest używany przez inny
proces. Czy wolumin ten ma być sprawdzany
przy następnym uruchomieniu komputera? (T/N)

Wybierasz oczywiście T, i restartujesz komputer. Przy ponownym uruchomieniu daj systemowi na spokojnie sprawdzić dysk, a potem znów skasować folder.

Jeśli i to nie pomoże, możesz spróbować wykorzystać program Unlocker - tutaj link jakby nie chciało ci się szukać.

W ostateczności można też iść na zawodowo nieprofesjonalnego i spróbować to wywalić z trybu awaryjnego .

Dobrowolnie przyłączyć komputer do botnetu? JA bym nigdy czegoś takiego nie robił, nigdy nie wiadomo do jakich ataków potem zostanie wykorzystany.

Powiedziałbym wręcz że sam myślałem o tym że osoby które są po stronie hakerów a nie znają się na tej dziedzinie, mogą w piękny sposób wesprzeć sprawę właśnie w taki sposób.

Najlepsze jest to że nic takim osobnikom się nie zrobi, bo wystarczy się tłumaczyć że jaki wirus komputer zainfekował .

Z samego linku już ewidentnie widać że to jakaś podpucha. Nie mniej, po ściągnięciu tego pliku mój Symantec również nic nie krzyczy.

Do końca analizy tego pliku zostało mi jeszcze ~5 minut. Jak wygląda sytuacja z możliwością dokonania tych logów z programów które podałem?

EDIT:

ComboFix odpada, i na przyszłość ogólnie odradzam jego używanie - łatwo sobie narobić bigosu.

EDIT 2:

Dobra, analiza pliku od ciebie ukończona.

Okazuje się że pomimo iż nasze antywirusy nic nie wykrywają, tak na prawdę siedzi w tym pewno bydle, a mianowicie Trojan-Downloader.Win32.FraudLoad.

Co ciekawe trojan ten nie dokonuje żadnych modyfikacji jeśli chodzi o rozmiar folderu, nie mniej należy je również wyrzucić.

Trojan o którym mowa ściąga również z internetu swoich "kumpli" soft.exe, 11.exe i 22.exe. Ściąga także plik "4.JPG", ale nie ma w nim nic groźnego (ot obrazek prezentu). Dodam jeszcze tylko że w pliku 22.exe wykryto Gen.Variant.FakeAV.

Nie chciałem tego pisać na końcu, dlatego w tym momencie powiem że jeśli masz taką możliwość - użyj przywracania systemu. Radzę ci to ze względu na to że wirus zmodyfikował 3 pliki:

MountPointManager
PIPE\lsarpc
PIPE\wkssvc

I szczerze nie mam pojęcia co on w nich zmodyfikował.

Wracając do możliwego rozwiązania problemu - wejdź do rejestru, a mianowicie do: (HKU jest skrótem od HKEY_USERS.)

HKU\​S-1-5-21-842925246-1425521274-308236825-500\​Software\​Microsoft\​Windows\​ShellNoRoam\​MUICache\​

A następnie usuń klucze o wartościach 11, 22, i soft.

Następnie musisz sprawdzić swoją pamięć tymczasowej, i wyrzucić 4 ściągnięte tam pliki, w wypadku mojej analizy są to ścieżki:

C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\11.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\22.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\4.JPG
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\soft.exe

Podpowiedz: Jak będziesz miał problemy z wejściem do pamięci tymczasowej, zrób to w ten sposób: Wciśnij przycisk WINDOWS + R, a następnie wpisz %temp% i zatwierdź enterem.

Następnie uruchom ponownie komputer.

W tym momencie przydałby się również te logi o które prosiłem, aby stwierdzić czy wirus został wyeliminowany.

Nie mniej, nie powinno to nic wnieść w temacie dziwnego rozmiaru folderu, i ponawiam tu moje pytanie:

Nie da się tego folderu po prostu skasować?

NTFS czy FAT32, możliwość uszkodzenia może istnieć, ale raczej sceptycznie podchodzę do tej teorii.

Czy sytuacja ta dotyczy jedynie tego odrębnego folderu?

Po screenach powiedział bym że to jakiś pseudo-wirus który rzekomo miałby coś robić za pomocą wstrzyknięcia złośliwego kodu.

Nie da się tego folderu po prostu skasować?

Aby wykluczyć (albo co gorsza tego nie zrobić) obecność wirusa proponuję abyś wrzucił tutaj logi z programów takich jak OTL, GMER, czy HiJackThis (od pewnego czasu odradzam tego ostatniego).

Jeśli jest taka możliwość prosiłbym też o plik który starszy brat ściągnął, wtedy mógłbym go przeanalizować i zobaczyć jak działa (co modyfikuje, co uruchamia itp.).