podaje loga i prosze rzucic na niego okiem, wydaje mi sie ze wczoraj kompa znow cos “ugryzlo” bo dziwnie sie zachowuje. Szukalem tutoriali do photoshopa, otworzylem duzo zakladek i nagle komp sie zwiesil, otwarl sie wiersz polecen (zdarzylem zauwazyc ze cos z system32) i od wtedy co jest nie tak. Nawet nic nie robiac uzycie procesora jest na poziomie 100%.
Ściągnij -->Avenger.
wklej do niego ten tekst:
Files to delete:
C:\WINDOWS\System32\drivers\vdolwkg.sys
C:\Documents and Settings\Adrian\Dane aplikacji\avdrn.dat
C:\Documents and Settings\NetworkService\Dane aplikacji\fvgqad.dat
Drivers to delete:
vdolwkg
Kliknij w " Execute" i zatwierdź restart komputera.
Zrestartuj komputer.
Daj Raport z Avengera z C:\avenger.txt.
Oraz nowy log z OTL, bo u Ciebie brakuje jeszcze jednego elementu tej infekcji (siszyd.exe), może w nowym logu już będzie?
jessi
Avenger.
wklej do niego ten tekst:
Files to delete:
C:\WINDOWS\System32\drivers\nhaykke.sys
C:\zip.exe
C:\cleanup.exe
C:\cleanup.bat
Drivers to delete:
nhaykke
Kliknij w " Execute" i zatwierdź restart komputera.
Zrestartuj komputer.
Daj Raport z Avengera z C:\avenger.txt.
I znów nowy log z OTL.
jessi
zrobilem j/w i:
po ponownym uruchomieniu kompa nie dzialaly ani myszka, ani klawaitury, wiec RESET
drugi raz wszystko ok
wlaczylem OTL i w szedl skanw pewnym momencie znany scenariusz: wiersz polecen (katalog widnows/system32/netsh.exe - tym razem spisalem), a zapora “zapytala mnie” czy pozwolic na dostep do neta.
komp znow muli, choc juz tego nie bylo…
chwile pozniej avast pokazal ze znaleziono podejrzany plik: system32/drivers/qfdwkb.sys, ktory usunalem…
oto log OTL, ktory byl robiony w trakcie tego incydentu: http://wklejto.pl/51139
raport z avengera - http://wklejto.pl/txt51138
To wygląda tak, jakby plik tego półRotkita zmieniał tylko nazwę, więc Avenger nie może go usunąć.
Avenger.
wklej do niego ten tekst:
Files to delete:
C:\WINDOWS\System32\drivers\qfdwkb.sys
C:\WINDOWS\System32\fjhdyfhsn.bat
C:\Documents and Settings\Adrian\Dane aplikacji\avdrn.dat
Drivers to delete:
qfdwkb
Kliknij w " Execute" i zatwierdź restart komputera.
Zrestartuj komputer.
Daj Raport z Avengera z C:\avenger.txt.
Oraz log z OTL.
jessi
Raport z Avengera jest stary, a nie z ostatniego usuwania.
Infekcja coraz bardziej się rozpędza: są już trzy pół-Rootkity!
>Avenger>
wklej do niego ten tekst:
Files to delete:
C:\WINDOWS\System32\drivers\vqnkg.sys
C:\WINDOWS\System32\drivers\qfdwkb.sys
C:\Documents and Settings\Adrian\Dane aplikacji\avdrn.dat
C:\WINDOWS\System32\drivers\vdolwkg.sys
Drivers to delete:
vqnkg
qfdwkb
vdolwkg
Kliknij w " Execute" i zatwierdź restart komputera.
Zrestartuj komputer.
Daj Raport z Avengera z C:\avenger.txt.
I log z OTL
jessi
stare? przepraszam, przez przypadek jesli tak. oto nowe:
http://wklejto.pl/txt51152 - OTL
http://wklejto.pl/txt51153 - avenger
W chwili robienia logu OTL - było czysto.
Ale jakoś nie jestem przekonana, że to już koniec… Czy za kilka minut/godzin to się znów nie odrodzi.
Jutro zrób jeszcze raz log z OTL do kontroli.
jessi
Tak, na szczęście jest czysto.
Wesołych Świąt!
jessi
ok, bardzo dziekuje
pozdrawiam i rowniez zycze Wesolych Swiat
– Dodane 15.02.2010 (Pn) 23:59 –
Komp cos jakby mulil co kilka sekund i nad czyms “myslal”.
log z OTL: http://wklej.to/OjkQ/text
czysto?