Narqwe.sys wirus


(Werty019) #1

Witam, mam problem, ściągnąłem jakieś pliki z internetu i odezwał się avast. Kilka trojanów, ale avast je usunął.

Po ponownym włączeniu komputera avast się odzywa, że wykrył "podejrzany" plik c:\windows\system32\narqwe.sys

Usuwam go, ale przy każdym włączeniu komputera sytuacjia się powtarza.

Objawy: komputer się włącza minimalnie wolniej; Nie mogę wchodzić na niektóre strony www - nawet na dobreprogramy.pl (teraz piszę z innej przeglądarki gdzie mam ustawione inne proxy).

Szukałem w googlach, ale jest tylko adres do jakiejś francuskiej strony.

Czy da radę pozbyć się tego dziadostwa innym sposobem niż reinstalacja systemu?


(Taaz4) #2

Daj loga z HijackThis i ComboFix (instrukcja: viewtopic.php?f=16&t=36654)

:slight_smile:


(Werty019) #3

tak jak prosiłeś:

combofix:

ComboFix 08-06-12.2 - Wojtek 2008-06-14 12:19:55.1 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.645 [GMT 2:00]

Running from: C:\Documents and Settings\Wojtek\Pulpit\ComboFix.exe

 * Created a new restore point


[color=red][b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED [/b][/color]

.


((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.


C:\Documents and Settings\Wojtek\Dane aplikacji\ShoppingReport

C:\Documents and Settings\Wojtek\Dane aplikacji\ShoppingReport\cs\Config.xml

C:\Documents and Settings\Wojtek\Dane aplikacji\ShoppingReport\cs\db\Aliases.dbs

C:\Documents and Settings\Wojtek\Dane aplikacji\ShoppingReport\cs\db\Sites.dbs

C:\Documents and Settings\Wojtek\Dane aplikacji\ShoppingReport\cs\dwld\WhiteList.xip

C:\Documents and Settings\Wojtek\Dane aplikacji\ShoppingReport\cs\report\aggr_storage.xml

C:\Documents and Settings\Wojtek\Dane aplikacji\ShoppingReport\cs\report\send_storage.xml

C:\Documents and Settings\Wojtek\Dane aplikacji\ShoppingReport\cs\res1\WhiteList.dbs

C:\Program Files\ShoppingReport

C:\Program Files\ShoppingReport\Uninst.exe

C:\WINDOWS\BM43b2f9fc.xml

C:\WINDOWS\pskt.ini

C:\WINDOWS\system32\acfojgdh.dll

C:\WINDOWS\system32\bmf.cs

C:\WINDOWS\system32\byXOIYpQ.dll

C:\WINDOWS\system32\ccs.so

C:\WINDOWS\system32\ddcCUkll.dll

C:\WINDOWS\system32\hdgjofca.ini

C:\WINDOWS\system32\ho.ln

C:\WINDOWS\system32\ko.o

C:\WINDOWS\system32\mn.n

C:\WINDOWS\system32\narqwe.sys

C:\WINDOWS\system32\ntpl.bin

C:\WINDOWS\system32\nvrsma.dll

C:\WINDOWS\system32\qfscclkq.dll

C:\WINDOWS\system32\ssqRLETL.dll

C:\WINDOWS\system32\vEKmmUvw.ini

C:\WINDOWS\system32\vEKmmUvw.ini2

C:\WINDOWS\system32\wvUmmKEv.dll

C:\WINDOWS\system32\yayyWpoO.dll


.

((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.


-------\Service_narqwe



((((((((((((((((((((((((( Files Created from 2008-05-14 to 2008-06-14 )))))))))))))))))))))))))))))))

.


2008-06-13 18:23 . 2008-06-14 10:07	45	--a------	C:\TEST.XML

2008-06-12 17:25 . 2008-06-12 17:25	29	--a------	C:\WINDOWS\system32\epodoreu.tmp

2008-06-12 17:24 . 2008-06-12 17:24	124,416	--a------	C:\WINDOWS\system32\drivers\Jpl49.sys

2008-06-12 17:23 . 2008-06-12 17:23	93,696	--a------	C:\d.exe

2008-06-12 17:23 . 2008-06-12 17:23	55,808	--a------	C:\d1.exe

2008-06-12 17:22 . 2008-06-12 17:22	5,120	--a------	C:\waxd.exe

2008-06-12 17:21 . 2008-06-12 17:22	167,936	--a------	C:\nxhfo.exe

2008-06-12 17:18 . 2008-06-12 17:20	69,120	--a------	C:\axer.exe

2008-06-11 16:35 . 2008-06-11 16:35	46,020	--ah-----	C:\WINDOWS\system32\mlfcache.dat

2008-06-11 07:24 . 2008-04-14 17:53	273,024	---------	C:\WINDOWS\system32\drivers\bthport.sys

2008-06-11 07:24 . 2008-04-14 17:53	273,024	-----c---	C:\WINDOWS\system32\dllcache\bthport.sys

2008-06-01 18:15 . 2008-06-01 18:15	




HijackThis

[code]Logfile of HijackThis v1.99.1 Scan saved at 12:39:24, on 2008-06-14 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16674) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\nvsvc32.exe C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe C:\Program Files\Winamp\winampa.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\system32\MSTMON_N.EXE C:\WINDOWS\system32\ctfmon.exe C:\Program Files\TGTSoft\StyleXP\StyleXP.exe C:\Program Files\DAEMON Tools Lite\daemon.exe C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe C:\Program Files\Alwil Software\Avast4\ashWebSv.exe C:\WINDOWS\explorer.exe C:\WINDOWS\system32\notepad.exe E:\ !!


(huber2t) #4

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

File::

C:\d.exe

C:\d1.exe

C:\waxd.exe

C:\nxhfo.exe

C:\axer.exe

C:\WINDOWS\system32\epodoreu.tmp

C:\WINDOWS\system32\drivers\Jpl49.sys


Driver::

jpl49

Plik -> zapisz jako -> CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->

02f8f1e3c410a4cc.gif

Rozpocznie się usuwanie i powstanie log, daj ten log na forum.


(Werty019) #5
ComboFix 08-06-12.2 - Wojtek 2008-06-14 13:03:47.2 - NTFSx86

(huber2t) #6

Log wyglada na czysty

usuń ręcznie folder C: \Qoobox , usuń instalkę Combofix z dysku.

Przeczyść komputer Ccleanerem

Wykonaj optymalizację autostartu

Wyłącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum

lub

Dr.WEB CureIt!

Logi dajesz na http://www.wklej.org a w poście dajesz tylko link

Włącz przywracanie systemu.


(Werty019) #7

czy to jest na pewno konieczne? Po tym co mi wczesniej kazałeś zrobić wszystko działa dobrze:)

pomogłeś mi :slight_smile: dziękuje


(huber2t) #8

Przeskanuj antywirusem dla pewności czy jest czysto