Przeskanowałem wczoraj Malwarebytes’ Anti-Malware i znalazło 1 obiekt, który zgodnie z zaleceniem usunąłem. Tutaj jest raport z usuwania: http://wklej.org/id/282412/.

Próbowałem zrobić skan GMER’em, ale znowu podczas skanu tym programem komputer się zawiesił. Coś tego GMER’a nie lubi mój komputer.

Zrobiłem jednak coś innego. Poprzez program Process Explorer zacząłem przyglądać się procesom svchost.exe i wydaje mi się, że znalazłem te odpowiadające za spam. Najeżdżając kursorem na dany proces pokazuje się ścieżka dostępu do niego oraz za co dany proces odpowiada. Tutaj jest to nazwane “Services”. http://www.fotosik.pl/pokaz_obrazek/662447be39896c2f.html. Jednak 3 procesy ewidentnie się różnią, bo najeżdżając na nie kursorem pokazuje się do nich tylko ścieżka dostępu, bez “Services”. http://www.fotosik.pl/pokaz_obrazek/6da8f9644ed9a6dd.html. Zatrzymując proces nr 1 ustaje wysyłanie spamu.

O matko, ile Ty tego masz. :shock:

Powyłączaj zbędne usługi: http://www.searchengines.pl/Services-Us … t7723.html

Pozamykaj porty programem WWDC.

Wśród narzędzi anty-rootkit jeszcze mamy RootRepeal.

Raport wykonujemy przechodząc na zakładkę Report oraz klikając przycisk Scan.

SysProt AntiRootkit - przechodzisz na zakładkę Log i zaznaczasz opcje jak na obrazku:

Następnie klikamy przycisk Create Log znajdujący się w prawym dolnym rogu okna programu.

Po kilku sekundach zostanie wyświetlone okno z wyborem lokalizacji do przeszukania - wybieramy opcje Scan root drive only.

Raport zostanie zapisany w tym samym folderze, w którym znajduje się narzędzie pod nazwą SysProtLog.txt.

Powyłączałem część usług, pozamykałem porty, przeskanowałem. Oto logi:

• z Root Repeal http://wklej.org/id/282658/ (znalazł 3 obiekty maskujące się pod svchost.exe!!)

• z SysProt AntiRootkit http://wklej.org/id/282660/.

Root Repeal nie zamykałem jeszcze na wypadek, gdyby można było przez niego usunąć szkodniki.

Chyba bez Combofixa się nie obędzie…

Instrukcję podałem na poprzedniej stronie tematu.

Ok. Problem chyba z głowy. Tutaj masz log z ComboFixa http://wklej.org/id/282767/.

Pojawiły się tylko 2 nowe problemy. Mógłbyś sprawdzić na logu, czy mi nie wykasowało jakichś sterowników, czy ważnych plików, bo niestety nie mam żadnego połączenia internetowego i nie mogę utworzyć nowego oraz nie można włączyć Zapory Systemu Windows. Mam spróbować powgrywać jakieś sterowniki, czy spróbować naprawić system z płytki z windowsem??

Winowajcą, a właściwie brakującym winowajcą jest to:

Jest problem. W czasie pracy combofixa pojawił się niebieski ekran błędu stop. Praca stanęła. Nie wiem co mam teraz zrobić. Czekać, czy wyciągnąć baterię(mój kompoter to laptop), żeby zrestartować?? Z obserwacji wiem że jak się poajwił ten blue screen to nic dalej nie ruszy bez resetu w formie wyjęcia baterii.

Wyjmij baterię, chociaż nie wiem czy to coś w ogóle da.

Bez formatowania systemu chyba się tutaj nie obędzie…

Wyciągnąłem baterię. Przy ponownym uruchomieniu pojawił się znowu niebieski ekran. Więc uruchomiłem kompa jeszcze raz w trybie awaryjnym i tutaj ruszył. Może z poziomu trybu awaryjnego da się coś zrobić??

Na pewno się da coś zrobić.

Pokaż nowy log Combofix.

Przeskanowałem. Oto nowy log: http://wklej.org/id/283172/

Dodatkowo podczas skanowania pojawił się w prawym dolnym rogu ekranu komunikat w postaci dymku:

"PEV.cfxxe - Uszkodzony plik

Plik lub katalog \Windows\System32\dllcache\ndis.sys jest uszkodzony i nie nadaje się do odczytu. Uruchom program CHKDSK"

To jest chyba wytłumaczenie tej katastrofalnej sytuacji. Bad sector na dysku “wżarł” ten plik w komunikacie i to mogło wywołać bluescreen. W każdym razie jakimś cudem plik został podmieniony czystą kopią.

Otwórz Notatnik i wklej do niego:

File::

c:\program files\Intel\Wireless\Bin\ifrmewrk .exe

c:\program files\Intel\Wireless\Bin\zcfgsvc .exe

c:\program files\SigmaTel\C-Major Audio\WDM\stsystra .exe


Driver::

vyohv


Registry::

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"MSMSGS"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"IgfxTray"=-

"HotKeysCmds"=-

"Persistence"=-

"IntelZeroConfig"=-

"IntelWireless"=-

"SigmatelSysTrayApp"=-

"SunJavaUpdateSched"=-

Plik zapisz pod nazwą CFScript , najlepiej w tym samym folderze co Combofix.exe

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę Combofix.exe

Powinno się rozpocząć usuwanie.

_ Potem dajesz log z usuwania Combofix. _

Zdążyłem dokonać naprawy systemu z płytki z systemem. Na razie Windows chodzi trochę wolno, ale internet i zapora wydają się działać w porządku. Więc na razie poczekam z tym użyciem ComboFixa. Chyba, że mimo to mam zrobić jak powiedziałeś i dać nowego loga??

Lepiej użyj skryptu, gdyż są tutaj dalej szkodliwe pliki.

oto log z combofixa: http://wklej.org/id/283416/

W końcu udało się pozbyć tych plików…

Wykonaj: Start -> Uruchom… -> Combofix /uninstall

Zastosuj OTC.

Wykonaj pełny skan Malwarebytes’ Anti-Malware - znalezione obiekty usuń.

Gdy będą wirusy pokaż raport po usuwaniu.

Wyczyść rejestr i dysk CCleaner oraz wyłącz nim zbędniki z autostartu (Narzędzia -> Autostart).

Uszkodzone/niedziałające programy do usunięcia i reinstalacji.

Komputer przeskanowany i działa poprawnie (choć dziwnie wolniej - może spróbuję zdefragmentować dysk). Skanery nie znalazły żadnych podejrzanych plików. Wyskakuje mi co jakiś czas błąd programu Microsoft Feeds Synchronization. Jak to naprawić?? A za przywrócenie komputera do stanu używalności wielkie dzięki.;D

To jest część IE7, więc wystarczyło by zaktualizować do IE8.

Dzięki jeszcze raz. Chyba można zamknąć temat.