Kijanek Napisano 30 Styczeń 2011 Zgłoś Share Napisano 30 Styczeń 2011 Siemanko. Na kompie mojego młodszego brata, on sobie stworzył plik tekstowy, gdzie były linki o informacjach komputerowych ( to znaczy w tym folderze). Dzisiaj weszłem na jego komp i znalazły się dziwne dane, jakieś pliki dle, ac_, dac i te inne. A i odziwo Ten folder pokazuje że ma aż 188GB DANYCH! A to dziwne... dysk C ma 26GB na sam system i inne rzeczy, nic nie zapycha ale folder tyle pokazuje. Czyżby komputer został shackowany? Odnośnik do komentarza Udostępnij na stronach More sharing options...
Ralliart Napisano 30 Styczeń 2011 Zgłoś Share Napisano 30 Styczeń 2011 Uszkodzenia w systemie plików NTFS lub działalność wirusa. Jeżeli faktycznie masz jakiegoś trojana to najlepiej potraktować ten komputer np Nortonem lub Kasperskim - instalujesz, aktywujesz wersję 30-dniową i skanujesz kompa. Odnośnik do komentarza Udostępnij na stronach More sharing options...
Kijanek Napisano 30 Styczeń 2011 Autor Zgłoś Share Napisano 30 Styczeń 2011 Dysk cały ma 160GB jest na FAT32 a nie NTFS więc nie powinno być tego folderu, ale brat młodszy mi powiedział, że na starszego brata facebooka jakaś dziewczyna przysłała mu wiadomość, jakiś prezent i pobrał go starszy brat. Następnego dnia folder miał 188GB danych. Nie wiem czy są wirusy, bo avast coś nawala, ale nie można było się pozbyć tych plików. Ja tu walczę o kompa mojego młodszego brata nic tu nie przerabiane! Edit: Brat młodszy zrobił ssa i przesłał mi je aby dodać. To są one: Odnośnik do komentarza Udostępnij na stronach More sharing options...
Tiritto Napisano 30 Styczeń 2011 Zgłoś Share Napisano 30 Styczeń 2011 NTFS czy FAT32, możliwość uszkodzenia może istnieć, ale raczej sceptycznie podchodzę do tej teorii. Czy sytuacja ta dotyczy jedynie tego odrębnego folderu? Po screenach powiedział bym że to jakiś pseudo-wirus który rzekomo miałby coś robić za pomocą wstrzyknięcia złośliwego kodu. Nie da się tego folderu po prostu skasować? Aby wykluczyć (albo co gorsza tego nie zrobić) obecność wirusa proponuję abyś wrzucił tutaj logi z programów takich jak OTL, GMER, czy HiJackThis (od pewnego czasu odradzam tego ostatniego). Jeśli jest taka możliwość prosiłbym też o plik który starszy brat ściągnął, wtedy mógłbym go przeanalizować i zobaczyć jak działa (co modyfikuje, co uruchamia itp.). 1 Odnośnik do komentarza Udostępnij na stronach More sharing options...
Kijanek Napisano 30 Styczeń 2011 Autor Zgłoś Share Napisano 30 Styczeń 2011 Nie chce ryzykować z pobieraniem, bo może się stać jak z tamtym kompem więc daje link: To ten link co zranił kompa Skanowałem ComboFix'em. Nic nie wykryło Odnośnik do komentarza Udostępnij na stronach More sharing options...
Tiritto Napisano 30 Styczeń 2011 Zgłoś Share Napisano 30 Styczeń 2011 (edytowane) Z samego linku już ewidentnie widać że to jakaś podpucha. Nie mniej, po ściągnięciu tego pliku mój Symantec również nic nie krzyczy. Do końca analizy tego pliku zostało mi jeszcze ~5 minut. Jak wygląda sytuacja z możliwością dokonania tych logów z programów które podałem? EDIT: ComboFix odpada, i na przyszłość ogólnie odradzam jego używanie - łatwo sobie narobić bigosu. EDIT 2: Dobra, analiza pliku od ciebie ukończona. Okazuje się że pomimo iż nasze antywirusy nic nie wykrywają, tak na prawdę siedzi w tym pewno bydle, a mianowicie Trojan-Downloader.Win32.FraudLoad. Co ciekawe trojan ten nie dokonuje żadnych modyfikacji jeśli chodzi o rozmiar folderu, nie mniej należy je również wyrzucić. Trojan o którym mowa ściąga również z internetu swoich "kumpli" soft.exe, 11.exe i 22.exe. Ściąga także plik "4.JPG", ale nie ma w nim nic groźnego (ot obrazek prezentu). Dodam jeszcze tylko że w pliku 22.exe wykryto Gen.Variant.FakeAV. Nie chciałem tego pisać na końcu, dlatego w tym momencie powiem że jeśli masz taką możliwość - użyj przywracania systemu. Radzę ci to ze względu na to że wirus zmodyfikował 3 pliki: MountPointManager PIPE\lsarpc PIPE\wkssvcI szczerze nie mam pojęcia co on w nich zmodyfikował.Wracając do możliwego rozwiązania problemu - wejdź do rejestru, a mianowicie do: (HKU jest skrótem od HKEY_USERS.) HKU\S-1-5-21-842925246-1425521274-308236825-500\Software\Microsoft\Windows\ShellNoRoam\MUICache\A następnie usuń klucze o wartościach 11, 22, i soft.Następnie musisz sprawdzić swoją pamięć tymczasowej, i wyrzucić 4 ściągnięte tam pliki, w wypadku mojej analizy są to ścieżki: C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\11.exe C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\22.exe C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\4.JPG C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\soft.exe Podpowiedz: Jak będziesz miał problemy z wejściem do pamięci tymczasowej, zrób to w ten sposób: Wciśnij przycisk WINDOWS + R, a następnie wpisz %temp% i zatwierdź enterem.Następnie uruchom ponownie komputer. W tym momencie przydałby się również te logi o które prosiłem, aby stwierdzić czy wirus został wyeliminowany. Nie mniej, nie powinno to nic wnieść w temacie dziwnego rozmiaru folderu, i ponawiam tu moje pytanie: Nie da się tego folderu po prostu skasować? Edytowane 30 Styczeń 2011 przez Tiritto 3 Odnośnik do komentarza Udostępnij na stronach More sharing options...
Kijanek Napisano 30 Styczeń 2011 Autor Zgłoś Share Napisano 30 Styczeń 2011 Nie. Pisze, że pliki są uszkodzone i nie nadają się do odczytu. Ale za to masz wielki PLUS! Zrobiłem tak jak kazałeś i zadziałało. Pliki pokasowałem ale folderu nie mogę skasować Wielkie dzięki stary Ale to niemożliwe, żeby te 3 pliki taką balangę zrobiły w tym folderze... Co oni balują? Odnośnik do komentarza Udostępnij na stronach More sharing options...
Tiritto Napisano 30 Styczeń 2011 Zgłoś Share Napisano 30 Styczeń 2011 Prawdę powiedziawszy sam nie wiem co te pliki kombinowały. Mi to wyglądało na próbę wstrzyknięcia kodu do systemu, z tym że chyba mało skutecznie. Możliwe też że ten trojan dopiero po jakimś czasie miał wykonać jakąś dodatkową czynność (nie zwróciłem uwagi na to, co się stanie jak dłużej się on w procesach przetrzyma), o wiele gorszą. Jeśli chodzi o ten pozostały folder, możemy na początek spróbować po bożemu. Wejdź jeszcze raz w Uruchom (Windows + R, albo z Menu Start), a następnie wpisz cmd, i w nowo otwartej konsoli wpisz: chkdsk c: /fDalej powinien ci się pojawić komunikat w stylu Program CHKDSK nie może działać, ponieważ wolumin jest używany przez inny proces. Czy wolumin ten ma być sprawdzany przy następnym uruchomieniu komputera? (T/N)Wybierasz oczywiście T, i restartujesz komputer. Przy ponownym uruchomieniu daj systemowi na spokojnie sprawdzić dysk, a potem znów skasować folder.Jeśli i to nie pomoże, możesz spróbować wykorzystać program Unlocker - tutaj link jakby nie chciało ci się szukać. W ostateczności można też iść na zawodowo nieprofesjonalnego i spróbować to wywalić z trybu awaryjnego . 2 Odnośnik do komentarza Udostępnij na stronach More sharing options...
Kijanek Napisano 31 Styczeń 2011 Autor Zgłoś Share Napisano 31 Styczeń 2011 Ten CHKDSK już robiłem wiele razy i nie pomogło... zawsze się zawieszał podczas wyłączania albo wogóle nic nie reagowało. Ale ten program na pewno wypróbuje. 2 Plusik leci Odnośnik do komentarza Udostępnij na stronach More sharing options...
Tiritto Napisano 31 Styczeń 2011 Zgłoś Share Napisano 31 Styczeń 2011 Jak skończysz to napisz czy ci się udało wyrzucić ten folder. Jeśli nie to pokombinujemy dalej. Odnośnik do komentarza Udostępnij na stronach More sharing options...
Recommended Posts