Gdzie jest wirus? smtpdv.sys Ryf74.sys


(Mcek666) #1

Witam Wszystkich

Mam pewien problem. Robiłem dzisiaj re-instal windows'a xp prof sp2/formata c i d, czyściłem rejestr(przynajmniej tak mi sie wydaje) no i nie wiem gdzie jest haczyk. Czuje w powietrzu albo jakiś błąd oprogramowania albo wirusa. Na samym początku miałem problemy z "DEP - Zapobieganie wykonywaniu danych" - poradziłem sobie , potem z dyskiem ( znane pewnie Open(0), otwierany w nowym oknie dysk ) - tez poradziłem , Sasser tez mi sie pojawił - tez poradziłem , No i do tego mandadżer zadań mi nie odpowiada - tzn klikam na pasek albo ctrl+alt+delete i nic sie nie dzieje. Dalej nie mogę zainstalować niektórych antywirusów np. Avira AntiVirPersonal Edition pokazałbym screena ale wywaliło mi np. notatnika,ie,windows update, no i painta więc tylko wklejam co jest napisane w tym przypadku

The CRC sum off 

C:\DOCUME~1\Mcek\USTAWI~1\Temp\RarSFX0\basic\setup.exe

has been changed! This could be due to a virus!

Do you want to shut down Setup? [ok]

Chciałem zainstalować daemon'a tez sie nie dało i innych programów nie które sie da niektóre nie . Nie wiem co jest grane Jak ktoś jest w sanie pomóc to Bóg zapłać :slight_smile:

Wklejam tylko logi z Hijackthis < sorki admin poprawione

http://wklej.org/id/8b595d1d8b


(Jacu2008) #2

LOG czysty. Wyczyść temp za pomocą ATF CLEANER w trybie awaryjnym.

Przeskanuj kompa antyvirem online Z Tej Strony


(Asterisk) #3

Mcek

Proszę o dostosowanie się do tematu

Nowe zasady wklejania logów na forum


(Mcek666) #4

Dzieki Jacu08 za odpowiedź zrobiłem jak napisałeś w trybie awaryjnym z obsługą sieci zrobiłem pierw Clean ~TEMP faktycznie było tego z 160+ mb. A następnie scan z podanej strony . Niestety przy instalacji aviry wyskakuje dalej ten sam błąd, komputer jakos działa lepiej to czuje . Alt ctrl delete dalej nie kontaktuje . Podaje Logi

http://wklej.org/id/0033411334 < Logi ze skaner-u online

http://wklej.org/id/17e19eea31 < Jeszcze raz Logi z HijackThis

http://wklej.org/id/015d9e1373 < Dodatkowo logi z AVG Anti-Spyware 7.5 po wykonaniu wszystkich czynności z pozycji windy

http://mcek.binet.com.pl/1.htm < Dodatkowo logi z PC Tools Spyware Doctor po wykonaniu w.w czynności

dodatkowo AVG Anti-Spyware wykrywa mi Trojan.Agent.vj C:\WINDOWS\System32\svchost.exe po usunięciu oczywiście zamykanie systemu za minute

Można prosić o jakieś kolejne rady ?:slight_smile:

Dzieki za dotychczasowe,

Pozdro


(Jacu2008) #5

Nie podjąłeś żadnej opcji po skanie AVG Anti Spyware. Wybierz opcję delete on reboot, naciśnij apply i uruchom ponownie komputer. Ponów skan. Całą operację przeprowadzaj w trybie awaryjnym z wyłączonym przywracaniem systemu.


(Mcek666) #6

Nie no nie przesadzajmy aż taki głupek nie jestem hehe . To sa skany przed akcja skasowania bo niewiedziałem czy po skasowaniu będzie możliwość zapisania logów. Wszyskie pliki skasowałem . Obecnie po cleanie ~TMP i twoich zabiegach zrobiłem ponownie formata . Poki co wszystko działa dobrze . Zainstalowałem Avire oraz PC Tools Spyware Doctor ( moga one razem ze soba funkcjonowac? ) . Fakt faktem wirusy są znajdowe przez oba programy i niewiem czy wszystko wporządku


(Jacu2008) #7

Spyware Doctor, to średni program anti spyware. Wykrywa dużo a nie zawsze słusznie. Avira, pozostaw bo to jeden z lepszych darmowych AV. Zamiast SD, polecałbym ci Spybota S&D


(Arekmalek) #8

A ja bym tak zaproponował

Daj log z combofix


(Mcek666) #9

http://wklej.org/id/7197ec30ad < ComboFix log

Dodatkowo Guard Aviry znajduje mi ciągle te same 2 pliki pierw

WORM/Ntech.7.4 z C:\WINDOWS\TEMP\BN1.tmp

a potem

Trojan TR/Pandex.L.2 z C:\WINDOWS\system32\drivers\smtpdv.sys . Po delete i tak powracają

//na marginesie - Spybot zzera mi strasznie dużo pamięci mozna prosic o jakis inny programik ?


(Jacu2008) #10

Użyj ATF CLEANER w trybie awaryjnym z wyłączonym przywracaniem systemu.

Ściągnij

TEN PROGRAM.

Zastosuj

WWDC

Usuwanie trojana wykonaj również w trybie awaryjnym.


(Mcek666) #11

Zrobione , niewiem tylko co mam zrobic z tym WWDC , wlaczyc przywracanie systemu ?

btw. Teraz mam Worma WORM\Ntech.74 w C:\WINDOWS\TEMP\BN2.tmp a zaraz potym znow C:\WINDOWS\system32\drivers\smtpdrv.sys Trojan: TR\Pandex.l.2 ;/;/


(Jacu2008) #12

Zmień znaczki z disable na enable. Skanowałeś komputer np AVG-Antispyware, być może Avira generuje fałszywe alarmy.


(Mcek666) #13

http://wklej.org/id/94bcb9e7e0 < btw log ze scanu w trybie awaryjnym znaczki pozmieniane , zrobic scana "AVG-Antispyware" ?


(Jacu2008) #14

Jak najbardziej. Zrób Pełny Scan wszystkich dysków. Jeżeli coś zostanie wykryte wybierz opcję delete on reboot, daj akcept lub apply ( jak tam masz w programie0 i uruchom ponownie komputer. Potem zrób Scan jeszcze raz.

Z Logu Trojan Remover wynika, że wirus został usunięty, ale dla pewności zrób jeszcze wspomniany Scan AVG. :slight_smile:


(Mcek666) #15

Zrobilem wszystko i windowsie i w awaryjnym wirusy dalej sa, zauwazylem ze podczas skanowania AVG kiedy znajdowal te wirusy pisalo ze pliki sa hidden ukryte i ze nie mozna usunac czy jakos tak.


(Gutek) #16

Zastosuj się do tego Tematu i zmień tytuł tematu na konkretny inaczej KOSZ

Pozdrawiam Gutek2222

Wklej do Notatnika:

File::

C:\WINDOWS\system32\drivers\Ryf74.sys


Driver::

Ryf74


Registry::

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Ryf74.sys]

>>Plik>>Zapisz jako... >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )

– podobnie jak na tym obrazku -->88953CFScript-createdbyMiekiemoes.gif

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: **** Qoobox.

Po tym nowy log z Combo


(Mcek666) #17

no swietnie ;>

Po zrobieniu tego i restarcie komp mi zwariował, kiedy sie włacza windows i napisane jest ZAPRASZAMY czekam z 2minuty aż pokaże sie pulpit potem następne 2 aż eksplorer do tego pasek narzędzi jest szary wygląda jakby z win 98 . Połączenie z internetem nie działa wogle w panel sterowania/polaczenia sieciowe/ nie ma zadnego polaczenia dodanego , czynnosci typu kopiuj/wklej nie działają , precesy , 14 tylko jest, o wiele mniej niż było. Przywracanie systemu nie aktywne pisze coś typu : Przywracanie systemu nie moze chronic tego komputer, zrestartuj etc. Co teraz ?nie chce robic kolejnego formata


(Gutek) #18

Daj nowy log z Combo


(Mcek666) #19

http://wklej.org/id/d9a6102022 < łap

Procesy aktualne


(Gutek) #20

Nic nie widać

Wejdź w start>>>Uruchom>>>sfc /scannow

Możesz też użyć - http://www.kellys-korner-xp.com/taskbarplus!.htm opis - http://www.agavk.p9.pl/strony/skrzynka_naprawcza.php