Virus Necunoscut
Am si eu o problema cu un virus si din cate am inteles ar fi un virus boot si din ce am observat la fiecare formatare si instalare de XP in momentul in care ajunge la registry imi apar pe ecran ferestre CMD care instaleaza anumite fisiere.problema e ca nici un antivirus nu mi-l depisteaza doar unu mi-a gasit 80 de fisiere incadrate la warning (fisierele avand semnatura virusului).
initial cand a fost infectat prima oara am observat un proces pe care sincer nu l-am mai vazut si anume spoolsv.exe iar fisierele aveau ca data de creare 23.august.1996 ora 14.00,
la a doua formatare cu acelasi xp aveau 23.august.2001 14.00 iar
la ultima formatare si anume pe data de azi au 04.august.2004 14.00
dupa o anumita perioada de la formatare incep sa apara probleme de memorie ,ecrane albastre , restarturi....etc.
din cate am inteles trebuie umblat la MBR dar nu stiu si mi-e frica sa un pierd datele dupa HD
astept o rezolvare sau macar 1 sfat va rog.
am atasat niste fisiere de tip exe si dll si niste poze (pozele le-am facut ca sa se vada data lor)
Comentarii
-
Parerea mea e ca te-ai speriat degeaba, cel putin in legatura cu fisierele postate.
Toate fisierele postate de tine exista intr-o instalare normala a Windows XP.
spoolsv.exe este serviciul Print Spooler, si este folosit de catre Windows pentru a incarca in memorie fisierele care sunt trimise catre imprimanta. Nu conteaza daca n-ai imprimanta, acel serviciu este implicit pornit (insa il poti opri, si probabil din cauza asta nu l-ai observat inainte).
Majoritatea fisierelor postate de tine sunt identice cu cele din sistemul meu.
Cele diferite sunt:dxdiagn.dll
dxmasf.dllfisiere ce apartin DirectX. Fisierele tale sunt diferite fata de ale mele pentru ca nu ai facut update la DirectX (ai versiuni mai vechi ale fisierelor)
format.com
ftp.exe
more.comfisiere ce, de asemenea, sunt versiuni mai vechi decat ale mele. Sigur ajungi la aceleasi versiuni daca faci update complet la Windows.
ntldr
fisier standard in Windows. Mai exact, este loader-ul. Nu ma pricep la virusi de boot, deci nu stiu daca exista malware ce se pot baga in acest fisier (asta ramane sa iti raspunda un analist)
stdole.tlb
Fisierul asta contine Microsoft OLE 2.1, iar la mine in sistem fisierul se numeste stdole32.tlb. Posibil ca in urma unui update de Windows sa se modifice si acest fisier.
Restul fisierelor sunt absolut identice, deci clar curate.
Concluzia: singurul punct oarecum vulnerabil, dupa parerea mea, este ntldr, desi ma cam indoiesc ca are ceva malitios in el (cum am spus, ramane sa raspunda un analist in legatura cu asta).
Care sunt cele 80 de fisiere de care vorbesti, ce inseamna "incadrate la warning", si la ce te referi prin "semnatura virusului"?
Eu as spune ca problemele tale se trag din alta parte, anume:
- probleme hardware (poate chiar ai probleme cu memoriile. Fa-le un test cu Memtest)
- probleme la driveri (nu e prima oara cand driverii provoaca astfel de probleme)
- probleme software (in cazuri destul de rare, si software-ul poate provoca BSOD-uri).
Cris.0 -
Fisierele atasate sunt clean. Problema poate sa fie legata de hardware sau chiar de CD-ul dumneavoastra cu Windows, in cazul in care nu este original.
Craciun fericit!0 -
Am sa caut exact fisiere infectate desi stiu sigur ca fisierele sunt afectate pentru ca virusi au semnaturi aparte iar fisierele afectate sau infectate contin data de creere sau de modificare a virusului gresesc? cel putin la astea de .exe.
cat despre o problema de hardw sau soft nu cred ca e vb pentru ca din cate am citit virusi de boot lucreaza in memoria psihica si are ca locatie primul sector in partitia de boot (mbr) ce-a ce inseamna ca virusu are acces la sistem inaintea anti-virusului cea ce il face invizibil
si atunci ce pot eu sa ii fac? nu prea imi pot permite o formatare totala sau sa umblu la mbr cu cmda mbr/fdisk sau cum era.Din cauza asta sper si va rog sa ma ajutati sa gasesc o solutie.
cat despre aplicatia spoolsv nu am zis ca nu o stiu doar ca de cand cu virusu asta e prima data cand o vad in task pornita permanent.
si mentionez faptu ca nu pot opri aplicatia stiu de unde am incercat si nimic..
Exista o posibilitate sau un program care sa citeasca MBR-u ? si poate copy/paste aici?
Multumesc si Craciun fericit0 -
stiu sigur ca fisierele sunt afectate pentru ca virusi au semnaturi aparte
Repet: ce intelegi prin "semnaturi aparte"? Cum anume ai ajuns la concluzia ca fisierele postate de tine sunt macar suspecte?iar fisierele afectate sau infectate contin data de creere sau de modificare a virusului gresesc? cel putin la astea de .exe.
Gresesti.
Data de creare/modificare/accesare a unui fisier se poate modifica extrem de usor. Nu acele date sunt importante (mai exact, data fisierului nu are absolut niciun fel de relevanta in a decide daca este sau nu modificat un fisier).
Din moment ce majoritatea fisierelor sunt identice cu cele din sistemul meu, iar eu nu am niciun fel de probleme cu sistemul (sa spunem ca sunt 101% sigur ca nu am niciun fel de malware in sistem), este absolut clar ca si fisierele postate de tine sunt curate.
In plus, raspunsul lui Andrei, care este analist la BitDefender, ar trebui sa-ti fie suficient sa ne crezi cand spunem ca nu exista nimic necurat in fisierele postate.cat despre o problema de hardw sau soft nu cred ca e vb pentru ca din cate am citit virusi de boot lucreaza in memoria psihica si are ca locatie primul sector in partitia de boot (mbr) ce-a ce inseamna ca virusu are acces la sistem inaintea anti-virusului cea ce il face invizibil
In primul rand, nu exista notiunea de memorie "psihica".
Cum am spus, nu ma pricep mai deloc la virusii de boot, insa stiu sigur o chestie: un virus de boot nu este invizibil. BitDefender are capacitatea de a scana sectoarele de boot, si de a detecta daca exista virusi in acele zone.
Malware-ul care se "ascunde" se numeste rootkit, si reuseste sa se ascunda cu ajutorul driver-elor, in special. Dar nici aceia nu sunt complet invizibili, si pot fi detectati prin anumite metode speciale.cat despre aplicatia spoolsv nu am zis ca nu o stiu doar ca de cand cu virusu asta e prima data cand o vad in task pornita permanent.
si mentionez faptu ca nu pot opri aplicatia stiu de unde am incercat si nimic..
Pe un sistem proaspat instalat, aplicatia ruleaza permanent pentru ca serviciul Print Spoler este setat pe Automat in mod implicit, ceea ce inseamna ca porneste odata cu sistemul, si se inchide cand se inchide sistemul.
Se poate opri din Control Panel -> Administrative Tools -> Services -> Print Spooler. Il setezi pe Disabled, eventual ii dai Stop.
Alternativ, se poate opri din consola (cmd), prin comandanet stop spooler
Si tot nu ai spus la ce te referi, in primul post, prin "fisiere incadrate la warning".
Daca tii neaparat, poti posta un log complet de AVIS (il gasesti aici: http://forum.bitdefender.com/index.php?showtopic=7006).
Cris.0 -
Am sa caut exact fisiere infectate desi stiu sigur ca fisierele sunt afectate pentru ca virusi au semnaturi aparte iar fisierele afectate sau infectate contin data de creere sau de modificare a virusului gresesc? cel putin la astea de .exe.
cat despre o problema de hardw sau soft nu cred ca e vb pentru ca din cate am citit virusi de boot lucreaza in memoria psihica si are ca locatie primul sector in partitia de boot (mbr) ce-a ce inseamna ca virusu are acces la sistem inaintea anti-virusului cea ce il face invizibil
si atunci ce pot eu sa ii fac? nu prea imi pot permite o formatare totala sau sa umblu la mbr cu cmda mbr/fdisk sau cum era.Din cauza asta sper si va rog sa ma ajutati sa gasesc o solutie.
cat despre aplicatia spoolsv nu am zis ca nu o stiu doar ca de cand cu virusu asta e prima data cand o vad in task pornita permanent.
si mentionez faptu ca nu pot opri aplicatia stiu de unde am incercat si nimic..
Exista o posibilitate sau un program care sa citeasca MBR-u ? si poate copy/paste aici?
Multumesc si Craciun fericit
Virusi de BOOT nu s-au mai scris de ani buni, si, chiar daca s-au scris, au fost doar in scopuri didactice/experimentale. De ce au disparut acesti virusi? Simplu: din cauza diferentlor arhitecturale intre sistemele de operare MS-DOS si Windows. Virusul de BOOT opereaza in majoritatea cazurilor rezident in memoria RAM superioara, insa in mod real, si nu protejat. De asemenea, modul in care el se face invizibil este facand hook ("furand") vectorul intrerupt 13h, care se ocupa in modul real (si MS-DOS implicit) cu operatiile de acces la disk si redirectioneaza orice operatie de scriere/citire spre MBR-ul sau sectorul de BOOT original. Windowsul nu numai ca nu mai ruleaza in mod real, dar nici nu foloseste intreruperea 13h pt. citiri directe de pe disk (cu exceptia procesului de BOOT, cand MBR-ul citeste o portiune din NTLDR in RAM), ci foloseste drivere de I/O. Prin urmare, chiar daca un virus de acest fel s-ar fi strecurat neobservat prin sectoarele d-voastra de BOOT, fiti sigur ca BD l-ar fi detectat.
Sarbatori fericite in continuare!0
Liderul tuturor timpurilor
Categorii de discuții
- Toate Categoriile
- 2 Știri și bloguri
- 10 Subiecte generale
- 2 Securitate pentru companii
- 4 Sugestii și idei pentru produse
- 12 Alte produse și servicii
- 19 Central & Abonamente
- 16 VPN
- 14 Mobile Security
- 2 Mac
- 39 Windows
- 1.3K Protectie utilizatori individuali
- 949 Arhiva
- 199 Discu355ii generale
- 199 Discu355ii malware
- 6 Discu355ii spam 351i phishing
- 58 Produse
- 49 Sta355ii de lucru
- 1 Unix
- Servere windows
- 3 Protec355ie enterprise
- 5 Mobile
- 487 350tiri