Komputer od dwoch dni muli, avast wariuje


(ardianekkk) #1

podaje loga i prosze rzucic na niego okiem, wydaje mi sie ze wczoraj kompa znow cos "ugryzlo" bo dziwnie sie zachowuje. Szukalem tutoriali do photoshopa, otworzylem duzo zakladek i nagle komp sie zwiesil, otwarl sie wiersz polecen (zdarzylem zauwazyc ze cos z system32) i od wtedy co jest nie tak. Nawet nic nie robiac uzycie procesora jest na poziomie 100%.

http://wklejto.pl/txt51056


(jessica) #2

Ściągnij -->Avenger.

wklej do niego ten tekst:

Files to delete:

C:\WINDOWS\System32\drivers\vdolwkg.sys

C:\Documents and Settings\Adrian\Dane aplikacji\avdrn.dat

C:\Documents and Settings\NetworkService\Dane aplikacji\fvgqad.dat


Drivers to delete:

vdolwkg

Kliknij w " Execute" i zatwierdź restart komputera.

Zrestartuj komputer.

Daj Raport z Avengera z C:\avenger.txt.

Oraz nowy log z OTL, bo u Ciebie brakuje jeszcze jednego elementu tej infekcji (siszyd.exe), może w nowym logu już będzie?

jessi


(ardianekkk) #3

http://wklejto.pl/txt51071 - raport

http://wklejto.pl/txt51072 - log OTL


(jessica) #4

Avenger.

wklej do niego ten tekst:

Files to delete:

C:\WINDOWS\System32\drivers\nhaykke.sys

C:\zip.exe

C:\cleanup.exe

C:\cleanup.bat


Drivers to delete:

nhaykke

Kliknij w " Execute" i zatwierdź restart komputera.

Zrestartuj komputer.

Daj Raport z Avengera z C:\avenger.txt.

I znów nowy log z OTL.

jessi


(ardianekkk) #5

zrobilem j/w i:

po ponownym uruchomieniu kompa nie dzialaly ani myszka, ani klawaitury, wiec RESET

drugi raz wszystko ok

wlaczylem OTL i w szedl skanw pewnym momencie znany scenariusz: wiersz polecen (katalog widnows/system32/netsh.exe - tym razem spisalem), a zapora "zapytala mnie" czy pozwolic na dostep do neta.

komp znow muli, choc juz tego nie bylo...

chwile pozniej avast pokazal ze znaleziono podejrzany plik: system32/drivers/qfdwkb.sys, ktory usunalem..

oto log OTL, ktory byl robiony w trakcie tego incydentu: http://wklejto.pl/51139

raport z avengera - http://wklejto.pl/txt51138


(jessica) #6

To wygląda tak, jakby plik tego półRotkita zmieniał tylko nazwę, więc Avenger nie może go usunąć.

Avenger.

wklej do niego ten tekst:

Files to delete:

C:\WINDOWS\System32\drivers\qfdwkb.sys

C:\WINDOWS\System32\fjhdyfhsn.bat

C:\Documents and Settings\Adrian\Dane aplikacji\avdrn.dat


Drivers to delete:

qfdwkb

Kliknij w " Execute" i zatwierdź restart komputera.

Zrestartuj komputer.

Daj Raport z Avengera z C:\avenger.txt.

Oraz log z OTL.

jessi


(ardianekkk) #7

http://wklejto.pl/txt51144 OTL

http://wklejto.pl/txt51145 - avenger


(jessica) #8

Raport z Avengera jest stary, a nie z ostatniego usuwania.

Infekcja coraz bardziej się rozpędza: są już trzy pół-Rootkity!

>Avenger>

wklej do niego ten tekst:

Files to delete:

C:\WINDOWS\System32\drivers\vqnkg.sys

C:\WINDOWS\System32\drivers\qfdwkb.sys

C:\Documents and Settings\Adrian\Dane aplikacji\avdrn.dat

C:\WINDOWS\System32\drivers\vdolwkg.sys


Drivers to delete:

vqnkg

qfdwkb

vdolwkg

Kliknij w " Execute" i zatwierdź restart komputera.

Zrestartuj komputer.

Daj Raport z Avengera z C:\avenger.txt.

I log z OTL

jessi


(ardianekkk) #9

stare? przepraszam, przez przypadek jesli tak. oto nowe:

http://wklejto.pl/txt51152 - OTL

http://wklejto.pl/txt51153 - avenger


(jessica) #10

W chwili robienia logu OTL - było czysto.

Ale jakoś nie jestem przekonana, że to już koniec... Czy za kilka minut/godzin to się znów nie odrodzi.

Jutro zrób jeszcze raz log z OTL do kontroli.

jessi


(ardianekkk) #11

skan zrobiony przed minuta:

http://wklejto.pl/txt51224

i jak, wszystko ok?


(jessica) #12

Tak, na szczęście jest czysto.

Wesołych Świąt!

jessi


(ardianekkk) #13

ok, bardzo dziekuje :slight_smile:

pozdrawiam i rowniez zycze Wesolych Swiat :slight_smile:

-- Dodane 15.02.2010 (Pn) 23:59 --

Komp cos jakby mulil co kilka sekund i nad czyms "myslal".

log z OTL: http://wklej.to/OjkQ/text

czysto?