Otóż zainstalowałem sobie firewalla i pierwsze okno jakie mi wyskoczyło to czy zablokować TSU.exe? Plik siedział w C:\Documents&Settings\Mój Profil. Zablokowałem dostęp do internetu temu plikowi i łączenie ze stronami spowolniło się, strony dłużej się wczytują. Plik ma też swój własny serwis w menadżerze zadań, więc go wyłączyłem i przeniosłem. Po restarcie nie pojawił się w serwisach, ale strony nadal wolniej się wczytywały więc go odpaliłem z pulpitu(wcześniej go przeniosłem). Plik stworzył drugi o nazwie bflapa.exe więc prawie jestem pewien że to jakieś robactwo. Jak się tego pozbyć i naprawić połączenie z internetem, żeby dobrze chodziło. (wcześniej z odblokowanym dostępem tsu.exe strony szybko się wczytywały lecz w grach online miałem duży ping i strasznie skakał uniemożliwiając grę, po wyłączeniu dostępu do internetu tsu.exe strony wczytują się powoli, jednak w grach nie skacze już ping:/).
Podaj logi z HijackThis i ComboFix.
Logi dajesz na www.wklej.org lub www.wklej.eu a w poście tylko link.
Podczas pobierania i skanu ComboFix’em wyłącz antywirusa i zapory.
Log z HJT: http://www.wklej.org/id/81587/
Niestety ComboFix’a nie mogę uruchomić! Tzn. klikam na niego dwa razy, pokazuje się pasek ładowania i gdy dojdzie do końca nic się nie uruchamia:(
Nawet w google nie idzie znaleźć. Raczej na bank do sfixowania, ale najpierw przeskanuj je (tzn “bflapa.exe” i “qqlpcfi.exe”) na http://www.virustotal.com/pl/
i napisz co wyszło.
W opcjach folderów włącz pokazywanie plików ukrytych i wyłącz ukrywanie plików i folderów systemowych, bo inaczej możesz ich nie znaleźć.
Spróbuj uruchomić w trybie awaryjnym.
Tak jak myślałem C:\WINDOWS\system32\userinit.exe jest z systemu.
Jednak dwa pozostałe to wirusy. Po zeskanowaniu obu zamiast ich nazwy widnieje tvs.exe, zresztą jest to w linku http://www.virustotal.com/pl/analisis/1 … 4f47999e49. Po skanowaniu obu ten sam wynik, i pokazywany że skanowany ten sam plik. Co zrobić?
W HT usuń wpisy które podałem. Pobierz ComboFix
wygenerowany log daj na www.wklej.org lub www.wklej.eu a w poście tylko link.
Podczas pobierania i skanu ComboFix’em wyłącz antywirusa i zapory.
Wpisy usunąłem w HJT, jednak nie mogę uruchomić ComboFixa, nawet w trybie awaryjnym:/ Może mam jakieś usługi wyłączone którzych on potrzebuje do działania?
Przeskanuj:
http://dobreprogramy.pl/index.php?dz=2& … lware+1.36
http://dobreprogramy.pl/index.php?dz=2& … It!+4.44.5
Pełne skany. Pousuwaj wszystko co znajdą.
Przeskanowałem już tymi programami, w takiej kolejności jakiej podałeś. Nic nie znalazły. Szukałem jeszcze przyczyny i zauważyłem że aplikacje, które składają się z okienek DOSowych mi nie działają. Próbowałem ComboFix’a uruchomić, później SDFixa i nic. Chociaż przy uruchamianiu SDFixa pojawia się okienko dosowe i szybko się zamyka, z tego co zauważyłem nie może czegoś tam znaleźć…
Acha, przy starcie systemu po zalogowaniu i pokazaniu się pulpitu głośnik systemowy wydaje 3 krótkie sygnały jeden po drugim:/
Znaczy, że ComboFix coś tam napoczął. Poszukaj pliku ComboFix.txt. Te 3 piski to od TBPanel właśnie po działaniu ComboFix. Wyłącz TBPanel w msconfig.
Jak nie znajdziesz loga spróbuj uruchomić komputer w trybie awaryjnym z obsługą sieci i na nowo pobrać ComboFix, z tym, że zmień mu nazwę na losową, najlepiej z rozszerzeniem com.
Po uruchomieniu combofixa (wcześniej wyłączyłem TBPanel z uruchamiania) nie pojawia się Combofix.txt lecz Bug.txt
http://wklej.org/id/83621/ <–zawartość bug.txt
Mam dziwne foldery na C:\ których nazwy są:
C:\1b8795abb3998894a795a0ce
C:\50b5f7689196d714f3
C:\32788R22FWJFW
C:\161f437045371026f4f3aee55fab2f
C:\b24a08aac5b6dfd20130c7
C:\b75e9b770fcb6748fd205f4a236703cc
C:\b0428f3060b9c28c9b
C:\c8c77abc1a57a0f34b
C:\f27eb79430135a1cd0adab
C:\fe356ce09cd8a2e38bb1d33c3f3272
C:\Qoobox\Quarantine\Registry_backups <--nic tu nie ma:/
Najdziwniejsze jest to że w folderze C:\32788R22FWJFW po otworzeniu tak jak w innych jest dużo plików jednak w tym rzuciły mi się w oczy 3:
Combobatch.bat
Combo-Fix.sys
ComboFix-Download.cfexe
Możesz wkleić raport z gmer’a, bo kilka rootkit’ów blokuje ComboFix, a możliwe, że jakiegoś masz.
Pobierasz gmer, w momencie pobierania zmień mu nazwę na losową, i uruchamiasz (nic więcej nie naciskasz)
http://dobreprogramy.pl/index.php?dz=2& … 0.15.14966
Klikasz “kopiuj” i wklejasz to na http://www.wklej.org a tutaj dajesz tylko link do wklejki.
Sprawdź też w menadżerze zadań czy jakiś proces nie wykorzystuje za bardzo procesor.
danyll zmień nazwę na losową, ale z rozszerzeniem .com (inaczej gmer się nie włączy).
Jeśli ewentualnie DR. WEB CureIT też nie ruszy, to też mu zmień tak nazwę.
Log z gmer http://wklej.org/id/83768/
To co wykrył Dr. Web (skopiowane z excela)
Ps. Czy mogę usunąć te wszystkie foldery co wcześniej podałem?
Gmer Ok, usuń foldery co wyżej i
C:\32788R22FWJFW
