Problem rozpoczął się prawdopodobnie po naciśnięciu linka odnośnika w Wikipedii. Otworzyła się strona z niczym, a po chwili Avast znalazł wirusa fjhdyfhsn.bat. Kazałem to usunąc, nastepnie zrobiłem skan avastem, po którym znalazł jeszcze ze 20 plików, wszystkie kazałem usunać. Wszystko działało w porządku do kolejnego uruchomienia kompa. Do momentu całkowitego uruchomienia się windowsa a nawet trochę później wszystko jest w porządku, ale jak już się uruchomi to po chwili wszystko się zamula - jedynie mysz można przesuwać, ale nie da się nic uruchomić, uruchomione programy zamarzają; komputer działa, bo miga w nim od czasu do czasu lampka. Jednak wyłaczyć go mogę tylko resetem z przycisku.

Mam zainstalowane 2 systemy (2xXP home), więc zadziałałem z poziomu drugiego systemu (w którym nie mam internetu ani aktualizacji) uruchomiłem internet, zainstalowałem avasta i zaktualizowałem; przeskanowałem komp, kazałem mu usunąć wszystko co napotka; oto raport:

2010-01-29 20:53:55 Kephas 2600 Sign of “Win32:Rootkit-gen [Rtk]” has been found in “C:\System Volume Information_restore{3EE4CBE5-0F23-42CE-A75E-57169A7CB04F}\RP89\A0032553.sys” file.

2010-01-29 21:04:46 Kephas 2600 Sign of “VBS:Malware-gen” has been found in “C:\WINDOWS\system32\fjhdyfhsn.bat” file.

Nic to nie zmieniło, mój podstawowy system zamula się, a właściwie zawiesza, nic nie można zrobić. POMOCY!

Daj log z ComboFix

Sorry, proszę napisz jak to się robi.

Czy robiąc to z drugiego-dobrze działającego systemu- jest ok?

– Dodane 30.01.2010 (So) 0:27 –

orajt, przeczytam link, sorry

– Dodane 30.01.2010 (So) 0:46 –

http://wklejto.pl/56020

wklej tekst, a nie plik, bo tej sieczki nie da się rozczytać

Poza tym chciałam log z ComboFixa, a nie z OTL.

Ale na razie niech będzie z OTL

http://wklejto.pl/56026

zrobię combofixem (mam nadzieję)

– Dodane 30.01.2010 (So) 9:22 –

combofix http://wklejto.pl/56027

Zrób skan skanerem internetowym.

lub usuń avasta i zainstaluj AVG

ComboFix troszeczkę usunął, ale poza tym - czysto.

Czy na pewno te logi były robione na tym “problemowym” Systemie?

Logi pokazują tylko to, co jest na dysku “L”.

jessi

No właśnie, a zainfekowany jest dysk C, zresztą pisałem o tym, że działam z pozycji drugiego systemu, więc dziwi mnie nieporozumienie. Oto co zrobiłem: Udało mi się uruchomić kompa z dysku c w trybie awaryjnym; tam zastosowałem przywracanie systemu; następnie uruchomił się w normalnym trybie; zrobiłem gruntowny skan avastem, znalazł i usunął 7 infekcji (niestety nie zapisałem pliku raportu ze skanowania, czy grdzies on jest? w opcjach programu miałem niezapisywanie).

czy jeszcze raz przeskanować dysk c combofixem? dzięki.

Tak, na wszelki wypadek zrób log ComboFixa.

jessi

Combofix z dysku c

http://wklejto.pl/56082

dzięki

ps. avast cały czas znajduje wirusa, nawet po gruntownym skanie i usunięciu tego co znalazł

W logu wcale nie widać głównych plików infekcji, ani ewentualnego związanego z tą infekcją Rootkita, ani też zarażonych przez tą infekcję plików Systemowych.

Usuń jeszcze te:

Wklej do Notatnika :

File::

c:\windows\system32\config\systemprofile\Dane aplikacji\anvkgp.dat

c:\documents and settings\NetworkService\Dane aplikacji\anvkgp.dat

>>Plik>>Zapisz jako… >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

-------->

Ma się rozpocząć usuwanie. (i powstanie log).

Daj ten log, który powstanie w trakcie usuwania.

jessi

Jessi, log nie powstał, bo combofix się zawiesił. cała sprawa wygladała tak:

Zrobiłem co napisałaś. Combofix zrobił swoje i kazał mi zapisac, ze znalazł tekie rootkity:

L:\WINDOWS\system32\ntos.exe

L:\WINDOWS\system32\oembios.exe

L:\WINDOWS\system32\twext.exe

L:\WINDOWS\system32\twex.exe

L:\WINDOWS\system32\sdra64.exe

L:\WINDOWS\system32\intel64.exe

L:\WINDOWS\system32\wsupoema.exe

Następnie napisał, że usuwa te rzeczy i musi ponownie uruchomić kompa. Uruchomiła. Działa dalej, i zatrzymał się z komunikatem "Uruchamianie systemu Windows - prosze czekać. Czekałem z 10-15 min, nie było żadnej reakcji, komputer nie działał. Więc zresetowałem przyciskiem. Windows ni uruchamia sie poprawnie, tzn. dochodzi do momentu wyboru użytkowników, dalej się nie da. W tej chwili działam z drugiego systemu L: (aby go zresztą uruchomić musiałem właczyć tryb awaryjny i przywrócić system: w systemie C: ta opcja nie zadziałała) HELP!

A więc była jednak potężna infekcja.

Szkoda tylko, że jej usunięcie już się na nic nie przyda, bo przy okazji przestał istnieć także cały System.

Spróbuj coś kombinować z Konsolą Odzyskiwania, poszperaj na dole tej strony : http://www.searchengines.pl/ComboFix-vs-DDS-OTL-t86306.html

Teraz, patrząc z perspektywy, lepiej się opłaciło od razu sformatować dysk, no ale nie można było przewidzieć, że akurat u Ciebie zdarzy się katastrofa.

.

Ale usunął chociaż syfy?

Zrobiłem tez dzisiaj obraz dysku (zainfekowanego) komputera. Czy przywrócenie tu coś da?

Infekcja też zostanie przywrócona.

Ale może to dobre rozwiązanie, bo wtedy można by zacząć usuwanie od nowa, ale już bez ComboFixa.

Tylko logi z OTL, GMER, SRENG (TU

Sorry, ale powiedz mi szczerze czy dla mnie jako laika to się opłaca? Moze prościej bedzie jednak sformatować dysk. Wczytywanie się we wszystkie instrukcje i przeglądanie stron zabiera mnóstwo czasu. Odnośniki do stron któe mi dałas to masakra.

I jeszcze jedno. Regularnie tworzę obrazy dysku programem seagate disc wizard, ale to podstawowa wersja, nie mogę np. nadpisać pliku obrazu. mogę tylko usunąć stary i utworzyć nowy. Niestety stało sie tak z różnych przyczyn, że komp się zaraził jak usunąłem stary obraz dysku, a nie utworzyłem jeszcze nowgo. tego pliku starego obrazu nie ma w koszu, bo to zbyt wielki plik, ok 130GB, więc musiał być usunięty. ale może jest jakies narzędzie, które odzyskało by mi z dysku ten stary obraz??? ya know what I mean?

To Ty musisz zdecydować.

.

a drugie pytanie?

Nie odpowiedziałam na drugie pytanie, bo się na tym nie znam. Myśląlam, że to oczywiste - brak odpowiedzi.

Jeszcze:-( Sformatowałem c:, zainstalowałem WinXP od nowa. Avast dalej znajduje wirusy na c:

Help!