Częste "Zamykanie systemu" oraz niemożliwe usunięcie wirusa


(system) #1

Witam ;] Windows XP Home Ed. SP3: system, raz normalnie, a raz długo się zamykał - najprawdopodobniej przez instalowanie aktualizacji, lecz teraz "zamykanie systemu Windows" trwa albo tak jak powinno, albo bardzo długo [napewno 15 minut - po prostu wyłączyłem przyciskiem]. Następna sprawa: po uruchomieniu [bardzo często] pojawia się okienko "Zamykanie systemu" - nieoczekiwanie przerwany został proces services.exe [kod stanu: 1073741819]. Dzisiaj skanowałem system ESETem [wykupiona licencja] i 1 zagrożenie nie zostało usunięte: "C:\WINDOWS\system32\drivers\atapi.sys - odmiana wirusa Win32/Kryptik.ABX koń trojański - nie można wyleczyć" oraz uwaga do C:\pagefile.sys - Nie można otworzyć obiektu. Może on być używany przez inną aplikację lub system operacyjny. Log z HijackThis: http://www.wklejto.pl/49632


(Henio Mazurek) #2

Być może trzeba będzie użyć cięższych narzędzi ale na razie wklej logi z wymienionych niżej narzędzi:

1. OTL, uruchom program i pod Custom Scans/Fixes wklej

Następnie przestaw Processes i Modules na All, zaznaczasz Lop Check i Purity Check , kliknij Run Scan , wklej log który powstanie ( OTL.txt ) + log Extras.txt który powstanie jako drugi.

2. GMER, zakładka Rootkit/Malware , klikasz Szukaj , po skanie Kopiuj lub Zapisz.

UWAGA Przed uruchomieniem GMER'a odinstaluj (jesli posiadasz) wszelkie programy montujące napędy wirtualne typu Alcohol , Daemon Tools , StarBurn itp, następnie usuń za pomocą SPTDinst sterownik SPTD (uruchamiasz program, jeśli wyżej wymieniony sterownik zostanie wykryty pojawi się opcja Uninstall którą wybierasz, potem OK => restart komputera).

3. System Repair Engineer, instrukcja w linku.

Logi wklej na wklejto.pl a tutaj tylko link do wklejki.


(system) #3

CZy może tak być, że log z OTL i usunięcie tego sterownika zostało zrobione rano? Bo na resztę po prostu zabrakło czasu.

Logi z OTL:

http://www.wklejto.pl/49730

Extras: http://www.wklejto.pl/49731

Gmer: http://www.wklejto.pl/49732

System Repair Engineer: http://www.wklejto.pl/49733

Żeby móc cokolwiek zrobic na kompie to "Zamykanie systemu" likwiduę włączając skan w ESECIE. Zauwazyłem, że po takiej akcji nie mogę np włączyć FF czy Outlooka, a dając polecenie wyłączenia komputera - zawias :expressionless:

EDIT: po zaleconych zabiegach ESET poddał zawirusowany plik kwarantannie.


(krzysiekx) #4

To czy robiłeś logi rano czy wieczorem nie robi różnicy.


(Henio Mazurek) #5

Na początek chcę coś sprawdzić. Wpisz w Start => Uruchom => cmd

Enter.

Wyślij c:\plik.sys na www.speedyshare.com i podaj linka.

Zastosuj ComboFix

1. Przed pobraniem i uruchomieniem ComboFix'a należy wyłączyć wszelkie programy zabezpieczające.

2. W momencie pobierania zmień mu nazwę na losową (niektóre infekcje mogą go blokować pod oryginalną nazwą).

3. Przed uruchomieniem ComboFix'a wszelkie programy montujące wirtualne napędy (Alcohol, Daemon Tools, StarBurn, itp) powinny zostać odinstalowane oraz usunięty sterownik SPTD. Aby go usunąć pobierz SPTDinst - uruchamiasz program, jeśli wyżej wymieniony sterownik zostanie wykryty pojawi się opcja Uninstall którą wybierasz, potem OK => restart komputera.

4. Jeżeli ComboFix zaproponuje pobranie i instalację konsoli odzyskiwania koniecznie się na to zgódź.


(system) #6

Plik skopiowany [tzreba było wyłączyc antywir, bo zaraz "zajmował się tym plikiem"], link: http://www.speedyshare.com/files/19710913/plik.sys

Combofix przechodzi jedynie 3 etapy - dysk przestaje "rzęzic" i cisza, stał tak ponad 10 minut, restart - na nowo - i to samo się dzieje.


(Henio Mazurek) #7

Tym razem w Start => Uruchom => cmd, wpisz (po każdej linijce Enter)

Potem pobierz Avenger, wklej do niego

Klikasz Execute. Pokazujesz log jaki powstanie.

Następnie pobierz świeżego ComboFix'a (pamiętaj by wyłączyć antywirusa na czas pobierania i skanu).

Uruchom rkill , potem uruchom ComboFix


(system) #8

Log z Avengera: http://www.wklejto.pl/49809

Czym jest rkill? Bo nie bardzo rozumiem co mam dokładnie zrobić? Pewnie to proste, ale nie mam konceptu.


(Henio Mazurek) #9

Zapomniałem, że nie dałem linka, pobierz => rkill.scr


(system) #10

Ok, zdziałane. Podaję log z Combofix: http://www.wklejto.pl/49842.


(Henio Mazurek) #11

Właściwie to czysto, ale jeszcze chcę coś sprawdzić.

1. Pobierz SystemLook, wklej do niego

Kliknij Look i pokaż log.

2. Wklej w OTL

Kliknij Run Fix (loga już nie pokazuj). Potem w OTL kliknij CleanUp

3. Wyłącz na chwilę przywracanie systemu - XP/Vista/Windows 7

Wykonaj pełny skan Malwarebytes Anti-Malware, jeśli coś znajdzie - usuń i wklej log.

Przeczyść dysk i rejestr CCleaner'em.


(system) #12

System look: http://www.wklejto.pl/49938

Malwarebytes... : http://www.wklejto.pl/49939[/url

[Edit]](%7Boption%7D)http://www.wklejto.pl/49971


(Katalonczyk97) #13

zró Pełne skamnowanie


(Henio Mazurek) #14

Więc już jest czysto.


(system) #15

Super [: Dziękuję serdecznie za pomoc i życzę Wesołych Świąt!