Dcom exploit reaktywacja?

sznycle · 20 Marzec 2009 10:27

mam xp z sp3 wiec nie powinienem miec tego problemu,tak czytalem na wiekszosci forum.oczywiscie mam avasta lecz od niedawna i problem z ‘atakami’ dcom exploit.Komputer sie nie wylacza lecz powieksza pamiec wirtualna uparcie do maximum wolnego miejsca,lub pokazuje tylko komunikat o podjetym dzialaniu niezaleznie od ustawionej wartosci.Kiedy zacznie proces tak juz kaplica i zmusza mnie do radykalnych dzialan takich jak wyjecie baterii jesli nie reaguje na ‘standardowe’ wylaczenie. Bywa ze ‘proces’ zaczyna sie gdy wejde w ‘moj komputer’,gdy ogladam film,jak mnie poniesie i sciagam 7 pozycji na bitcomecie.

Z ciekawosci zostawilem go na noc by zobaczyc jaki bedzie efekt tego ‘maglowania’ i rano zastalem czarny ekran…Kasuje tapety jak i wpisane adresy w wyszukiwarce wraz z historia za kazdym razem.Instaluje uparcie nowy sprzet kontroler PCI simple communications,przy czy hd wydaje dzwieki jak by mial sie rozleciec.Jesli odrazy po wlaczeniu uda mi sie wylaczyc ‘nowy sprzet’ mam jakis czas spokuj.

Napoczatku 'ataki ’ byly z tego samego ip,teraz sa rozne ,nie sprawdzalem ich bo to podobno nie ma sensu.

Dawno temu na starym kompie mialem podobny problem lecz wtedy pokazywal komunikat i odliczal czas do zamkniecia programu.

Nie znalazlem aktualnych porad,wiekszosc byla kilkuletnia i za zloty srodek podawala sp2,mam sp3 wiec nie chce ingerowac na farta .

Prosze pomozcie bo w koncu wezme mlotek i dokonam brutalnej perswazji :shock:

Pokazuje komunikat w ktorym pamiec pod adresem 0xoo64oo5f jest niedostepna…

przerwal komunikatem niewlasciwie zainicjowana aplikacja 0xc0000142

A oto link:http://wklejto.pl/29232

Dr.Cyc · 20 Marzec 2009 11:00

Daj log z Combofix instrukcja i z HijackThis instrukcja

Logi dajesz na http://www.wklej.eu/, http://www.wklej.org/ lub http://www.wklejto.pl/, a w poście tylko link.

sznycle · 20 Marzec 2009 12:27

zamknolem mu tez porty programem Windows Worms Doors Cleaner,ale to nic nie dalo…znaczy moze i dalo ,w kazdym badz razie bez widocznych efektow :?

spandaupol · 20 Marzec 2009 13:18

Jest tego trochę do usunięcia

Pobierz Malwarebytes’ Anti-Malware przeskanuj wszystkie dyski usuń co znajdzie daj log na forum

Następnie pobierz Combofix przeskanuj system i daj log na forum.

Następnie daj nowy log z HijackThis zobaczymy co jeszcze zostało

sznycle · 20 Marzec 2009 16:51

Prawie zawalu dostalem gdy po pierwszej ‘akcji’ malwarebytes nie moglem ponownie uruchomic kompa,plyte windowsa xp zostawilem w domu na szczescie udalo sie przy pomocy win serwer…ale do tematu,oto logi:

malwarebytes:

http://wklejto.pl/29254

combofix:

http://wklejto.pl/29261

hijack:

http://wklejto.pl/29262

combofix wylaczyl mi zapore,moge ja wloczyc?czy jestem juz ‘uzdrowiony’? :?:

– Dodane 20.03.2009 (Pt) 16:55 –

w przyplywie geniuszu postawilem drugi system,teraz mam xp i serwer… :roll: jak sie pozbyc serwer’a?

Wielkie dzieki za pomoc

– Dodane 20.03.2009 (Pt) 17:25 –

to samo sie dzieje…

– Dodane 20.03.2009 (Pt) 17:30 –

tzn niezupelnie bo wciaz dziala… :roll:

– Dodane 20.03.2009 (Pt) 17:51 –

nawet avast sie wylaczyl…moze nie powinienem zapory wlaczac czy co…kurcze a juz mlotek schowalem…

– Dodane 20.03.2009 (Pt) 18:05 –

przyszly mi aktualizacje sp1 dla uslugi NET.instalowac?

spandaupol · 21 Marzec 2009 07:20

Usuń te wpisy w HJT

Uruchom HijackThis - Do a system scan only - w oknie programu pokaże się log - zaznacz kratki przy podanych wpisach - klikasz Fix checked

O2 - BHO: Smart-Shopper - {4A7C84E2-E95C-43C6-8DD3-03ABCD0EB60E} - C:\Program Files\Smart-Shopper\Bin\2.5.1\Smrt-Shpr.dll O2 - BHO: Symantec NCO BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Program Files\Norton Internet Security\Engine\16.0.0.69\coIEPlg.dll (file missing) O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\Program Files\Norton Internet Security\Engine\16.0.0.69\IPSBHO.DLL (file missing) O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Program Files\Macrogaming\SweetIMBarForIE\toolbar.dll (file missing) O3 - Toolbar: Show Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Program Files\Norton Internet Security\Engine\16.0.0.69\coIEPlg.dll (file missing) O4 - HKLM…\Run: [Audio LDevice] C:\WINDOWS\system32\audiold.exe O9 - Extra button: SmartShopper - Compare product prices - {3CC3D8FE-F0E0-4dd1-A69A-8C56BCC7BEBF} - C:\Program Files\Smart-Shopper\Bin\2.5.1\Smrt-Shpr.dll O9 - Extra button: SmartShopper - Compare travel rates - {3CC3D8FE-F0E0-4dd1-A69A-8C56BCC7BEC0} - C:\Program Files\Smart-Shopper\Bin\2.5.1\Smrt-Shpr.dll O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://C:\Documents and Settings\ppp\Pulpit\remek sf\BitComet\tools\BitCometBHO_1.3.3.2.dll/206 (file missing)

Pobierz Combofix ale nie uruchamiaj wklej do notatnika:

Zapisz plik jako CFScript.txt najlepiej aby ikonka tego pliku znajdowała się obok ikonki ComboFix.exe

Przeciągnij i upuść plik CFScript.txt na ikonkę ComboFix.exe powinno rozpocząć się usuwanie po tym daj log na forum.

Loga wklej na www.wklejto.pl lub http://www.wklej.org/ a w poście daj tylko linka

sznycle · 25 Marzec 2009 11:05

http://www.wklejto.pl/29699

spandaupol · 25 Marzec 2009 11:09

Log wygląda na czysty.

usuń ręcznie folder C: \Qoobox oraz instalkę Combofix z dysku.

Przeczyść system oraz rejestr CCleaner

Wykonaj optymalizacje Autostartu

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar Mój komputer Kaspersky Online Scanner Przeskanuj system daj raport na forum

lub Dr.WEB CureIt!

sznycle · 26 Marzec 2009 13:19

http://www.wklejto.pl/29823

huber2t · 26 Marzec 2009 13:23

Pobierz The Avenger

wklej do niego ten tekst:

Files to delete:

C:\Documents and Settings\ppp\Pulpit\cruxcalc_v5_setup.exe 

C:\Documents and Settings\ppp\Pulpit\WebfettiSetup2.2.60.11-2.exe 

C:\Program Files\Crux Calculator v5\Crux_Calc.exe 


Folders to delete:

C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Temporary Internet Files\Content.IE5

kopiuj to i klikasz na Paste Script from Clipboard wybierasz Execute oraz Potwierdzasz i zgadzasz się na restart klikając OK.

Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt

sznycle · 26 Marzec 2009 14:02

http://www.wklejto.pl/29829

huber2t · 26 Marzec 2009 14:06

Wszystko zostało usunięte

sznycle · 26 Marzec 2009 14:11

To juz?Wielkie dzieki xD