sleepless9 Δημοσ. 13 Οκτωβρίου 2009 Δημοσ. 13 Οκτωβρίου 2009 Καλημέρα, εδώ και καναδυό βδομάδες προσπαθώ να βρω λύση στο πρόβλημα ενός φίλου που εξακολουθεί να κολλάει έναν ιό που του σβήνει αρχεία συστήματος ώστε να μην ξεκινάνε τα Windows. Το πρόβλημα άρχισε μια μέρα που ανοίγοντας τον υπολογιστή δεν έμπαινε στα XP αλλα έβγαζε ένα μήνυμα πως λείπει το "hal.dll" . Μέσα απο το recovery console, αντέγραψα αυτό το αρχείο και μερικά άλλα που έλειπαν, ώστε τελικά καταφέραμε να μπούμε. Έκανα πλήρη ανίχνευση με το Malwarebytes και το Kaspersky (τα έχω portable σε ένα στικάκι και πλήρως ενημερωμένα) αλλά δεν βρήκαν τίποτα απολύτως. Το spybot επίσης δεν εντόπισε κάτι. Με λίγο χειροκίνητο ψάξιμο εντόπισα μέσα στο Startup του start menu ένα batch αρχείο που προφανώς έκανε τη ζημιά. Διαβάζοντάς το διαπιστώνει κανείς πως είναι κακογραμμένο από κάποιον τελείως αρχάριο (έχει ανύπαρκτες εντολές ή με λάθος σύνταξη) και σκοπός του είναι απλά να σβήσει τα πάντα. Είναι γνωστό script και το εντόπισα σε διάφορες ιστοσελίδες. Μπορείτε να δείτε τον κώδικα εδώ και να πάρετε μια ιδέα για τί μπούρδα-ιό μιλάω. http://www.freewebs.com/googlefrench/viruscode.txt Αυτό είναι σχεδόν πανομοιότυπο με το αρχείο που βρήκα. Υπήρχαν κι άλλα .bat που είχε δημιουργήσει καθώς και ενα .reg που δεν κατάφερε να τρέξει. Το καλό είναι ότι εχουμε κρατήσει ένα image του συστήματος από το στήσιμο, οπότε ηταν ζήτημα 10 λεπτών να ξαναφέρουμε το σύστημα σε λειτουργία (πολύ πιο γρήγορο από το να εντοπίζω ένα ένα τα αρχεία και τις αλλαγές που έκανε ο ιός). Όπως και να χει, του εγκατέστησα το Kaspersky 2010 και το Spybot και τον συμβούλεψα να μην ανοίγει attachments που δεν ξέρει τί είναι, καθώς και να μη χρισιμοποιεί Internet Explorer (τα κλασσικα ...). Δυο μέρες αργότερα πάλι το ίδιο, ξανά Scan, ξανά επαναφορά το Image, και πάλι τίποτα... Για καμια βδομάδα όλα καλά αλλα σήμερα ξανά το ίδιο και ισχυρίζεται ότι δεν εχει εγκαταστήσει τίποτα καινούριο, δεν έχει τρεξει κανένα attachment, δεν χρησιμοποίησε Explorer ή Outlook... αλλά πάλι το ίδιο πρόβλημα με το ίδιο αρχείο!!! Το σύστημα είναι Windows XP SP3 με όλες τις ενημερώσεις. Επειδή δεν είναι δουλειά να βάζουμε ξανά το Image κάθε 2 μέρες.... Έχει κανείς ξανακούσει για αυτό το shroom.bat? Καμιά ιδέα για το πώς μπορεί να μπαίνει? Ή πως να τον μπλοκάρω ώστε να μην μπορεί να μπαίνει στο startup? Δυστυχώς μπαίνει με απλή copy του αρχείου εκεί μέσα οπότε το Spybot ακόμα και σε "paranoid mode" δεν τον πιάνει... Επίσης απ'ότι φαίνεται είναι αρκετά παλιός αλλά δεν βρίσκω καθόλου πληροφόρηση πουθενά, πέρα από το πως να τον δημιουργήσεις (για επίδοξους καθυστερημένους pc-destroyers). Please HELP !!!!
flik Δημοσ. 13 Οκτωβρίου 2009 Δημοσ. 13 Οκτωβρίου 2009 To bat αυτή τη στιγμή το βρίσκει μονο το dr.web. Βαλε λοιπόν το Image και σκαναρε αυτό με το drweb cureit. Για να το κολλάει συνεχεια θα πει οτι υπαρχει στο image ήδη κατι που το επαναφερει
Προτεινόμενες αναρτήσεις
Αρχειοθετημένο
Αυτό το θέμα έχει αρχειοθετηθεί και είναι κλειστό για περαιτέρω απαντήσεις.