Hijackthis - zamula komputer/internet

Dla specjalistów Bezpieczeństwo
#1

komputer strasznie zamula i internet

po logu widać że chyba aktualizacje się ściągają ale czy te procesy to normalka ?

#2

Ściągasz program KillBox, zaznaczasz Delete on reboot , w polu full path of file wklej ścieżki:

C:\WINDOWS\system32\adirss.exe

C:\WINDOWS\system32\alsys.exe

C:\WINDOWS\system32\clcbt.exe

po wklejeniu każdej ścieżki z osobna klikasz na czerwonego iksa, a dopiero po wklejeniu ostatniej zgadzasz się na restart.

Wpisy usuń HJT.

Po wykonaniu proszę pokazać nowy log z HijackThis plus z SilentRunners.

Przeskanuj te pliki na stronie http://virusscan.jotti.org/, a jeśli okażą się szkodnikami to ich ścieżki również wklej do killboxa.

#3
#4

Otwórz Notatnik i wklej w nim to:

Plik >>> Zapisz jako >>> Zmień rozszerzenie z TXT na Wszystkie pliki >>> Zapisz pod nazwą FIX.REG i uruchom go w trybie awaryjnym.

Po wykonaniu wklej nowe logi.

#5
#6

Zrobiłeś to co napisałem bo dalej siedzi :?

Start = uruchom => wpisz regedit i kliknij OK => przejdź do klucza:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

i skasuj z prawokliku znajdującą się tam wartość Agent

Przejdź do klucza:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler

i skasuj z prawokliku znajdującą się tam wartość {696BA0E1-9C52-4868-9CE9-0F7E7DAC0106}

Przejdź do klucza:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks

i skasuj następujące wartości:

{A46979D3-721C-4D68-A6A4-33EE4287B653}

{7A72D90A-A5C1-45E7-138A-DACF0990791C}

{F45BDCEF-A2AF-4F1B-D8A2-2784F1407FC4}

{574BD7DA-43BD-47B2-A6BB-B31A1AED2D6E}

{79A35455-0B86-492B-99BB-1C21E49E9D38}

Usuń HJT jeśli będą.

Po wykonaniu najlepiej uruchom ponownie komputer i wklej nowe logi.

#7

EDIT: Próbowałem to “All Player Ebay” usunąć Hi Jackiem , ale nic z tego dalej jest.

#8

Już jest ok.

To tylko kosmetyka więc nie musiałeś tego wpisu usuwać. Jeśli chcesz to przeczyść rejestr. Wykonanie tej czynności powinno przynieść taki sam efekt. opis

#9

Dobra .

Dzieki !!

EDIT:

Dzis rano znow zaczął mi mulić net. Zrobiłem scana Hi jackiem i zauważyłem że znów cos chyba siedzi ( alsys.exe)

#10

Użyj Windows Worms Doors Cleanera zmień znaczki z disable na enable (wszystkie znaczki maja być na zielono, jeżeli któryś z nich będzie na żółto to go zostaw). Po użyciu narzędzia wymagany jest restart.

Plik usuń ręcznie w trybie awaryjnym, a wpisy HJT.

Po wykonaniu proszę pokazać nowy log z HijackThis plus z SilentRunners.

#11

Uzyełem tego programiku , i oprocz jednego wszytkie mam na zielono. ( jedno jest żółte) .

Co sie tyczy tych alsys , jest maly problem.

Przeszłem na tryb awaryjny, ale nie mogłem znajść tych plików.

Wogóle nie było zadnego o takiej czy nawet podobnej nazwie.

To All player, usunałem ale dalej jest .

Sprobowac jeszcze raz Kill boxem?

PS: A tak marginesie musze wspomnieć , że odrana Komp SAM mi się zrestartowal juz chyba 7 razy.

#12

Ściągasz program KillBox, zaznaczasz Delete on reboot , w polu full path of file wklej ścieżkę:

C:\WINDOWS\system32\alsys.exe

Klikasz X czerwony i restart kompa.

Usuń HJT.

Po wykonaniu wklej nowe logi.

Podczas wykonywania jakich czynności komputer się zrestartował?

Czy wcześniej także tak się działo?

Instalowałeś coś ostatnio?

Wywołaj BSOD i spisz kod błędu na kartkę, który później przedstaw na forum.

http://portal.centrumxp.pl/forums/thread/169899.aspx

Sprawdź czy masz jakieś minidump’y, a jeśli tak to wklej zawartość np. 2 dwóch najnowszych.

http://forum.dobreprogramy.pl/viewtopic … 327#797327

#13

EDIT:

Weszlem tam do rejestru , ale nie musiałem zmieniać na 0 ponieważ juztak było.

Odznaczyełem tylko we właściwościach automatyczne uruchamianie.

Niestety nie wiem jak mam tego blue screena zrobic .

Włączałem go , naciskalem na net i sie restartował.

Nie naciskałem na nic, też się restartował,

I tak kilka razy od samego rana.

Nie, tak jak pisałem od rana dzisiejszego dnia .

Jak działa ten program do sprawdzania Minidumpow?

Ściągnałem to , otwieram ten programik i co mam zrobić?

#14

Zobacz http://portal.centrumxp.pl/forums/thread/165818.aspx na Debugging Tools for Windows

Jest już Ok log

#15

Chyba dam sobie spokój . Nie mam zielonego pojęcia jak to zrobić.

Dałem to Open Crush Dump i otowrzylo sie tam gdzie mam to zainstalowane i mam coś wybrać. Nazwa pliku Memory .

"…Pojawia sie okienko, w którym mysimy wskazać plik *.dmp.

Najcęsciej znajdują sie one w %windir%\minidump\

Wybieramy plik (np.: Mini082205–01.dmp) najlepiej źeby data odpowiadała BSOD’owi…"

A z tego opisu nie potrafię tego zrobić .

Ważnie że logi są już dobre .

A po odznaczeniu automatycznego restatru , już się nie restartuje. Więc raczej powinno być ok.

Dzięki jeszcze raz za pomoc.

EDIT: Jednak chyba się pospieszyłem :slight_smile:

Komp znowu sie SAM zrestartował , tylko tym razme pojawił sie na niebieskim tle jakiś komunikat. Z tego co zapamiętałem to chyba był to ten Blue Scrren . Przepisałem ten kod.

** STOP: 0x0000008E , 0x0000005 , 0x804FFE67 , 0xF02BCC98 , 0x00000000

#16

Test Ram-u(memtest) - http://hcidesign.com/memtest/

Insatlowałeś coś ostatnio?

#17

Ja nie. Ale na kompie siedzi kilka osób.

Ale z tego co patrzę na liste wszytkich programow to są jakieś 2 nowe.

Jakaś gra i KSPNKv 1.0 ->

Tam w tym testramie tylko nacisnąć start?

EDIT:

Dalej restartuje się sam . Co jakiś czas pojawia się niebieski ekran i jakiś komunikat. Piszę że przyczyną może być plik “wincon32.sys”

Co mam zrobić?

#18

Pokaż dwa logi z Gmer’a przy takich ustawieniach:

  1. Zakładka Rootkit >>> zaznaczone wszystko oprócz Pokazuj wszystko >>> kliknij Szukaj >>> czekaj cierpliwie aż skończy >>> Kopiuj >>> wklej do posta

  2. Zakładka Rootkit >>> zaznaczone tylko Usługi i Pokazuj wszystko >>> kliknij Szukaj >>> czekaj cierpliwie aż skończy >>> Kopiuj >>> wklej do posta

#19

^^^

Log 1

Log 2

#20

No i jednak jest rootkit, tak jak podejrzewałem.

Czy w Gmerze podczas wykonywania pierwszego loga zaznaczyłeś również pozycje Rejestr oraz Pliki , czy skróciłeś sobie skanowanie? Pytam ponieważ ten rootkit robi poza tym co widać w logu kilka kluczy w rejestrze oraz plik *.ini.

Uruchom system w trybie awaryjnym. Tylko jak podczas uruchamiania zostaniesz spytany czy chcesz uruchamiać sterownik sptd.sys to odpowiadasz przecząco wciskając w tym celu klawisz ESC. Gdy już będziesz w trybie awaryjnym, uruchom Gmer’a, poczekaj chwilkę, kliknij na zakładkę >>> w celu otworzenia pozostałych. Następnie w zakładce CMD z zaznaczoną opcją CMD.EXE wklej:

następnie kliknij Uruchom po czym zostanie samo okienko Gmer’a, zostaną wykonane czynności i komputer się zrestartuje.

Po wykonaniu pokaż kompletne (tak jak poprzednio prosiłem) logi z Gmer’a.