Komputer zaczął się wyłączać przy wykonywaniu różnych operacji, np przy włączaniu przeglądarki, open office, skanowaniu. Jak się zawiesi pojawia się niebieska strona w paski i włącza się ponownie, pojawia się komunikat z windowsa dotyczący chyba przyczyn złego zamknięcia:

Dateien, die bei der Beschreibung des Problems hilfreich sind:

C:\Windows\Minidump\Mini010509-06.dmp

C:\Users\Agata Smędzik\AppData\Local\Temp\WER-152678-0.sysdata.xml

C:\Users\Agata Smędzik\AppData\Local\Temp\WERE281.tmp.version.txt

Avast wykrywa trojana, nie da się tego poddać kwarantannie:

nie mozna przetworzyc pliku C:\Windows\System32\msqpdxhpvrvibb.dll

Usuwam ale potem znowu jest:

Plik C:\Windows\System32\msqpdxhpvrvibb.dll

Nazwa Pasożyta Win32:Fasec [Trj]

Typ kon trojanski

Wersja VPS 090104-0, 2009-01-04

Chciałem skanować innym programem, ale się zawiesił i już nie chciał normalnie włączyć. Włączył się w trybie awaryjnym. Przeskanowałem HijackThis, log:

http://www.wklejto.pl/21467

Proszę o pomoc!

Podaj log z Combofix

Logi dajesz na http://wklej.eu lub na http://wklej.org a w poście dajesz tylko link

Próbowałem ale cały czas jest napisane że trzeba mieć zgodę administratora, daje otwórz jako administrator i też tak jest, potem pojawia się komunikat że combofix wykryl rootkit i potrzebuje ponownie uruchomic komputer, zaczyna się włączać w normalnym trybie, zawiesza się, włączam w trybie awaryjnym, znowu to samo…

Skorzystaj z Malwarebytes’ Anti-Malware

też próbowałem ale zawiesza się nawet w trybie awaryjnym…

będę próbować jeszcze, nie wiem…

Spróbuj pobrać stąd

http://rapidshare.com/files/180008881/124.com.exe.html Combofix (nazwa specjalnie zmieniona)

Następnie wejdź w tryb awaryjny windows (F8 przed bootem windowsa) i uruchom Combofixa dwuklikiem

Ściągnąlem,robi się to samo.

przeskanowałem AVG Anti-Rootkit Free i wykryło to:

C:\Windows\System32\drivers\msqpdxyvkveepr.sys Hidden driver file

C:\Windows\System32\Drivers\a7ofeni2.SYS Hidden driver file

C:\Windows\System32\drivers\msqpdxyvkveepr.sys Hidden file

C:\Windows\System32\msqpdxhpvrvibb.dll Hidden file

C:\Windows\System32\msqpdxhpvrvibb.dl_ Hidden file

moge to usunąć ale jest komunikat:

The following action can be dangerous. It is only recommended for expert users. Removal of some files can damage the system and leave it in an unbootable state.

Are you sure you want to continue? This cancause irreversible changes to your computer! (The files will not be removed but renamed.)

Usunąć to?

Pobierz The Avenger

wklej do niego ten tekst:

Files to delete:

C:\Windows\System32\drivers\msqpdxyvkveepr.sys

C:\Windows\System32\Drivers\a7ofeni2.SYS

C:\Windows\System32\drivers\msqpdxyvkveepr.sys

C:\Windows\System32\msqpdxhpvrvibb.dll

C:\Windows\System32\msqpdxhpvrvibb.dl_

kopiuj to i klikasz na Paste Script from Clipboard wybierasz Execute oraz Potwierdzasz i zgadzasz się na restart klikając OK.

Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt

Podaj log z Combofix

Logi dajesz na http://wklej.eu lub na http://wklej.org a w poście dajesz tylko link

Jupiiiii!

Do wyleczenia pendrive z wirusów użyj tych programów

otwórz notatnik i wklej

Z menu Notatnika -> Plik -> Zapisz jako -> Zmień rozszerzenie z .txt na wszystkie pliki -> zapisz pod nazwą Fix.reg

Uruchom ten plik, uruchom ponownie komputer

usuń ręcznie folder C:\Qoobox , usuń instalkę Combofix z dysku.

Przeczyść system Ccleanerem

Wykonaj optymalizację autostartu

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar całego komputera http://www.kaspersky.pl/virusscanner.html Daj raport z niego na forum

lub

Dr.WEB CureIt!

Zrobiłem to wszystko, z tą optymalizacją autostartu to średnio bo nie rozumiem wszystkiego co jest napisane w instrukcji, kaspersky nic nie wykrył, 2 razy robiłem i raport był pusty, Dr. WEB CureIt tez nic nie wykryło.

Już myślalem że koniec ale włączyłem AVG i znalazło jakąś ukrytą aplikację- coś.exe, chciałem to avenger zrobić ale nie zadziałało, teraz AVG Anti-Rootkit Free nie wykrywa już tej aplikacji tylko dalej wykrywa Hidden driver file, to co zmienia nazwe:

C:\Windows\System32\Drivers\aek2bcxn.SYS

Zrobiłem jeszcze raz Combofix, log:

http://wklej.org/id/37865/

Da sie coś jeszcze zrobic? Może źle coś zrobilem?

Skorzystaj z Malwarebytes’ Anti-Malware

Nic nie znalazł, log:

http://www.wklej.org/id/38075/

Czy AVG nadal coś wykrywa?

Tak.

Rootkit path: C:\Windows\System32\Drivers\ai8mt5bd.SYS, rootkit type: hidden driver file

Daj nowy log z Combo plik usuń ai8mt5bd.SYS,

Nowy log:

http://www.wklej.org/id/39260/

Nie wiem jak usunąć ten plik, już takiego nie ma, przy kolejnych skanowaniach AVG wykrywany jest jeden plik w tej samej lokalizacji, kończący się na SYS i mający inną nazwę. Nie ma też folderu Drivers chyba że jest ukryty a nie wiem jak go zrobić widocznym na viście po niemiecku:) Szukam takiego folderu przez to okienko do szukania i znajduje mi 2 foldery drivers z malej litery tez dziwne.