Připojení k síti a AVG nefunkční,síť jen stahuje malware

[Matadorik]

Dobrý den,

prosím o radu. Používám Windows XP, AVG 2012 Free a MBAM Trial kvůli skenu (měl by už být dávno jako Free, ale ono je to jak kdy, někdy je trial a někdy zas free, jakoby v tom neměl jasno )

Na PC jsem normálně pracoval a při spuštění Google Chromu nereagoval, přes Správce úloh jsem Chroma odstřelil natvrdo přes procesy a PC začal normálně reagovat. Zkusil jsem IE7 (teď už vím, že to byla blbost) a ten fungoval normálně. Vyblikla bublina Automatické aktualizace. Cosi k MS Office. Potvrdil jsem to a v momentě zařvalo AVG - Identity Protection, že bloklo infiltraci, teď už jsem zapomněl název procesu, ale byl v C:\Windows.
Infekce odstraněna, zapnul jsem MBAM a dal rychlý sken, asi 20 kousků různé havěti, vesměs trojani, backdoory a červi,byly tam i downloadery, můžu sem OPSAT log, jestli chcete.

Mezitím AVG zahlásilo selhání modulů Antivirus + Rezidentní štít, doteď není funkční.

Takže reboot kvůli odstranění,jak si MBAM přál, pak jsem vytáhl síťový kabel a dal ještě test, tentokrát jen jeden downloader v registru.
Reboot, další test, byl čistý, takže jsem spustil Úplnou kontrolu, která byla zase čistá. Vypnul jsem PC.

Další den jsem zakázal Obnovení systému, rebootoval do nouzového režimu a dal zase Úplnou kontrolu, jenom pro jistotu. Čistá.

Dnes jsem se odvážil (se zničeným AVG a MBAMem v trialu-Ochrana aktivní) připojit na net a zkusil jsem Chrome.
Zase nekonečně načítal, tak jsem ho zavřel,...

---EDIT--- - (v tuto chvíli MBAM zablokoval 4 odchozí spojení na IP adresu 83.133.119.197)

...vypojil síť a dal rychlý test. 3x Spyware.Password, takže reboot na smazání, pak rychlý test (čistý) a šel jsem vám napsat. Pro jistotu jsem proskenoval i notebook, ze kterého píšu, protože mám na něm málo místa a tak jsem používal momentálně infikované PC jako síťovou jednotku. Notebook je čistý.

Moc rád bych vám dal log z HJT, ale nevím jak, když s PC nemůžu na net. Jedině přes flashky, ale opatrně, mám jich jenom 5 a na jedné mám důležitá data, takže zbývající 4 můžeme jednorázově použít a pak je třeba naformátuju v set-top-boxu nebo tak něco. Log můžu nafotit a fotky vám poslat třeba na Imageshack.us nebo Leteckou poštou v zipu.

Předem díky, budu se snažit vám co nejvíc pomáhat!

[Rudy]

Zdravím!
Nejprve poprosím o log RSIT: http://forum.viry.cz/viewtopic.php?f=13&t=105895 . Podle jeho kontroly pak uvidíme dál.

[Matadorik]

Díky za rychlou odpověď,
ale nemáte nějaký nápad, jak ho na infikované PC dostat? (nemůžu se dostat na net, viz minulý příspěvek)
Totiž není problém ho tam dát přes flash disk, ale RSIT si chce HiJackThis samo stáhnout. Tak mám ho nainstalovat na notebook a zkopírovat HJT ze složky C:\Program Files\trend micro\vase_uzivatelske_jmeno.exe na flashku a pak do Program Files v nakaženém PC? Nebo raději nějaký jiný postup?

[Rudy]

Stáhněte na NB a na flashdisku ho přeneste na PC. Obávám se, že těch utilit bude více. Pokud na flashdisku něco máte, zazálohujte si jeho obsah na NB a po vyčištění PC fleškun zformatujte a původní data si nahrajte zpět. Jiný postup není.

[Matadorik]

Díky, jdu na to, flashka prázdná a další dvě mám v pohotovosti, log budu muset asi vyfotit, pošlu v zipu hned jak to bude.

EDIT: Při instalaci na NB vypadly 2 errory, jeden jsem uložil jako screenshot a máte ho v příloze, po kliknutí na NE vypadl asi po 10 sekundách log, takže to jdu zkusit i na PC. Nevadily ty errory ničemu?

[Rudy]

Vypadá to, že PC bude značně zavirované. Zkuste spustit RSIT v nouz. režimu.

[Matadorik]

Nene, to bylo asi nedorozumění, špatně jsem to napsal.
Ty errory byly na NOTEBOOKU, ne na PC, které má viry.
On ten noťas je starší Dell, r.v. 2003, ale s Win XP Pro, a kvůli nedostatku RAMky je drasticky odlehčený od služeb, takže jich tam běží jenom pár nezbytně nutných. Ale na ZAVIROVANÉM PC je RSIT bez chyby, log a info na odkazu.

LOG:
http://leteckaposta.cz/285337289

INFO:
http://leteckaposta.cz/789711475

[Rudy]

Já jsem vám neřekl, abyste spouštěl RSIT na NB. To je k ničemu. Na NB ho pouze stáhněte, uložte stažený soubor na flešku.Pak ho přeneste do zavirovaného PC, nakopírujte třeba na plochu, flešku odpojte a z plochy RSIT spusťte. Pokud se to nezdaří, zkuste to v nouz. režimu. Ta příloha je mi k ničemu, potřebuji log. Vypadá asi takto: http://forum.viry.cz/viewtopic.php?f=30&t=122414 .

[Matadorik]

Omlouvám se za nepochopení.

Po připojení flashky do infikovaného PC jsem udělal sken v RSIT, po dokončení ''mrtvé'' AVG odstranilo virus v
G:\SHMGRATE.exe typu Win32/Virut. Myslíte si, že by:
1.mohl pocházet z NB
2.PC ho tam dal sám a AVG ho chytlo
3.falešná detekce poškozeného antiviru?

Flashku jsem formátoval a pak tam dal jen RSIT a HJT. Ten vir tam musel vzniknout až potom, nebo byl skrytý.

Já vím jak má log vypadat, na odkazu máte fotky toho logu fotoaparátem z monitoru, zabalené v zipu.
Nevím, jak ho mám dodat v textové podobě, protože PC nemůže na net a flash disky infikuje viry, takže hrozí nakažení dalších PC.

[Rudy]

Pokud máte v PC Virut, bude velmi problematické ho odstranit. Virut je souborový vir, který napadá především *.exe sobory a je-li zasaženo více souborů, které se navzájem infikují, končí většinou všechny pokusy o vyléčení reinstalem systému. Chcete-li se přesto o léčení pokusit, proveďte sken AVPTool: http://www.viry.cz/forum/viewtopic.php?f=29&t=58179 a dejte log. Upozorňuji ale předem, že pokus může skončit pádem systému. Proto udělejte zálohu důležitých dat na flešku. Data nukam neukládejte, aby se nemohla infekce přenést. Před zpětným nakopírováním ji prověřte antivirem.

[Matadorik]

Zítra odpoledne můžu poslat i ten log+info z RSIT, MBAM říká, že fleška je čistá, tak bych ji mohl zkusit v nakaženém PC formátovat, pak zase proskenovat a vzít logy do knihovny, zabezpečené Keriem a Esetem, tam by to snad nemělo nic dělat, pokud na flešce nebude žádný EXE, tak Virut nemá co infikovat, nebo se pletu? Každopádně zálohu si udělám na jinou flešku skrz Live CD založené na Linuxu, které je součástí Paragon Backup and Recovery, kterým jsem si taky před měsícem udělal zálohu celého systémového disku na externí HDD, takže v nejhorším případě bych snad přehrál kompletně C:\ touto zálohou 1:1.

Při použití Live CD infekce flešky nehrozí?

Reinstall nepřipadá v úvahu, protože nemám instalační CD k Windows Xp.

Zálohovat budu jenom fotky, hudbu, a nějaké dokumenty, o nic jiného mi nejde. Ty jsou před Virutem v bezpečí?

A ZIP soubory infikovat nemohl? Jenom kvůli bezpečnosti, abych věděl.

Mám tedy poslat ten log z RSIT nebo rovnou AVPTool?

[Rudy]

Při použití Live CD infekce flešky nehrozí?

Ne.

Reinstall nepřipadá v úvahu, protože nemám instalační CD k Windows Xp.

Instalace vašeho oper. systému je legální?

A ZIP soubory infikovat nemohl? Jenom kvůli bezpečnosti, abych věděl.

Neměl by.

Mám tedy poslat ten log z RSIT nebo rovnou AVPTool?

Prosil bych o log AVPTool. Skener ja založen na enginu Kaspersky, který jako jediný dokáže některé formy Viruta likvidovat. Rovnou říkám, pokud se objeví v logu napadené a nevyléčitelné systémové soubory, nic jiného nezbude, než reinstal.

[Matadorik]

Tak jsem ráno udělal sken s AVPTool, bylo tam asi 130 Virutů (prakticky všechen software a hry), velká většina šla vyléčit a dva se smazaly, obojí systémové služby, které ale nejsou pro chod systému nezbytné (na NB se mi dokonce úmyslně nespouští, takže s nadsázkou jen balast brzdící systém), konkrétně wscntfy.exe a wmiprvse.exe

Na konci skenu - 99% - se PC najednou restartoval, aniž by mi dal šanci uložit log.
Podruhé to samé, jen jich bylo pouze 13, z toho jednou explorer.exe-vyléčeno, tentokrát nic nemazal. Opět reboot na 99 procentech. Pak už jsem neměl moc času, tak jsem dal rychlý sken MBAMem, nic nenašel. Přitom ''obživlo'' AVG, přestalo hlásit chyby a během skenu MBAMem blikal rezidentní štít jak o život, AVG léčilo jednoho Viruta za druhým přesně v souborech, které otvíral MBAM, něco málo hodilo do karantény, po dokončení skenu jsem PC vypnul s tím, že odpoledne budu pokračovat.

Dobrá zpráva, logy vám dodám v textové formě ihned, použiju Live CD s Ubuntu, kterým vám mohu logy poslat přes webový prohlížeč, momentálně mi běží sken v AVPTool, tak pak dodám log z něj a pokud chcete, tak i z Rezidentního štítu AVG a RSIT. AVPTool ale běží strašně pomalu, už je tam skoro hodinu a předpokládaná doba trvání je 3 dny, tak doufám, že bude co nejdřív.

[Rudy]

[quote="Matadorik!]velká většina šla vyléčit....[/quote]

Musí být vYléčeny, či smazány všechny nakažené soubory do posledního. V opačném případě se nákaza opět rozšíří.

[Matadorik]

Celé odpoledne likviduji Viruty přes AVPTool, rychle ubývají a jsou léčitelné, ale AVPTool se dvakrát úplně zasekl a musel jsem ho zavřít. Našel taky mou starou složku plnou .htm souborů, téměř 1 GB záloh různých stránek, byla dokonce na dvou místech na disku a snad ve všech HTMkách byl Trojan-Downloader.HTML.IFrame.adb.

Vzhledem k tomu, že složku nepotřebuji, jsem po detekci asi 700 kousků této havěti pochopil, že nejlepší bude zastavit sken a složku Unlockerem poslat do kytek, což jsem taky udělal, jinak by ten sken běžel asi 5 dní, jak odhadoval. Pořád ale zbývají ostatní HTMka, jako třeba HELP soubory v I386, která je taky plná těch Trojan-Downloader.HTML.IFrame.adb v HTM souborech a Virutů v EXE a SCR souborech. Teď už zase běží sken v AVPTool, na střídačku maže Downloadery a léčí Viruty, zatím vše úspěšně, tak uvidíme.

Vzhledem k tomu,že I386 mám zálohovanou i na NB, v době kdy byla čistá, co takhle ji taky zlikvidovat?
Drtivá většina havěti je totiž nastěhovaná právě tam.