ketjoww
(Werty019)
14 Czerwiec 2008 09:30
#1
Witam, mam problem, ściągnąłem jakieś pliki z internetu i odezwał się avast. Kilka trojanów, ale avast je usunął.
Po ponownym włączeniu komputera avast się odzywa, że wykrył “podejrzany” plik c:\windows\system32\narqwe.sys
Usuwam go, ale przy każdym włączeniu komputera sytuacjia się powtarza.
Objawy: komputer się włącza minimalnie wolniej; Nie mogę wchodzić na niektóre strony www - nawet na dobreprogramy.pl (teraz piszę z innej przeglądarki gdzie mam ustawione inne proxy).
Szukałem w googlach, ale jest tylko adres do jakiejś francuskiej strony.
Czy da radę pozbyć się tego dziadostwa innym sposobem niż reinstalacja systemu?
tAAz
(Taaz4)
14 Czerwiec 2008 09:52
#2
Daj loga z HijackThis i ComboFix (instrukcja: viewtopic.php?f=16&t=36654 )
ketjoww
(Werty019)
14 Czerwiec 2008 10:39
#3
tak jak prosiłeś:
combofix:
ComboFix 08-06-12.2 - Wojtek 2008-06-14 12:19:55.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.645 [GMT 2:00]
Running from: C:\Documents and Settings\Wojtek\Pulpit\ComboFix.exe
* Created a new restore point
[color=red][b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED [/b][/color]
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\Documents and Settings\Wojtek\Dane aplikacji\ShoppingReport
C:\Documents and Settings\Wojtek\Dane aplikacji\ShoppingReport\cs\Config.xml
C:\Documents and Settings\Wojtek\Dane aplikacji\ShoppingReport\cs\db\Aliases.dbs
C:\Documents and Settings\Wojtek\Dane aplikacji\ShoppingReport\cs\db\Sites.dbs
C:\Documents and Settings\Wojtek\Dane aplikacji\ShoppingReport\cs\dwld\WhiteList.xip
C:\Documents and Settings\Wojtek\Dane aplikacji\ShoppingReport\cs\report\aggr_storage.xml
C:\Documents and Settings\Wojtek\Dane aplikacji\ShoppingReport\cs\report\send_storage.xml
C:\Documents and Settings\Wojtek\Dane aplikacji\ShoppingReport\cs\res1\WhiteList.dbs
C:\Program Files\ShoppingReport
C:\Program Files\ShoppingReport\Uninst.exe
C:\WINDOWS\BM43b2f9fc.xml
C:\WINDOWS\pskt.ini
C:\WINDOWS\system32\acfojgdh.dll
C:\WINDOWS\system32\bmf.cs
C:\WINDOWS\system32\byXOIYpQ.dll
C:\WINDOWS\system32\ccs.so
C:\WINDOWS\system32\ddcCUkll.dll
C:\WINDOWS\system32\hdgjofca.ini
C:\WINDOWS\system32\ho.ln
C:\WINDOWS\system32\ko.o
C:\WINDOWS\system32\mn.n
C:\WINDOWS\system32\narqwe.sys
C:\WINDOWS\system32\ntpl.bin
C:\WINDOWS\system32\nvrsma.dll
C:\WINDOWS\system32\qfscclkq.dll
C:\WINDOWS\system32\ssqRLETL.dll
C:\WINDOWS\system32\vEKmmUvw.ini
C:\WINDOWS\system32\vEKmmUvw.ini2
C:\WINDOWS\system32\wvUmmKEv.dll
C:\WINDOWS\system32\yayyWpoO.dll
.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Service_narqwe
((((((((((((((((((((((((( Files Created from 2008-05-14 to 2008-06-14 )))))))))))))))))))))))))))))))
.
2008-06-13 18:23 . 2008-06-14 10:07 45 --a------ C:\TEST.XML
2008-06-12 17:25 . 2008-06-12 17:25 29 --a------ C:\WINDOWS\system32\epodoreu.tmp
2008-06-12 17:24 . 2008-06-12 17:24 124,416 --a------ C:\WINDOWS\system32\drivers\Jpl49.sys
2008-06-12 17:23 . 2008-06-12 17:23 93,696 --a------ C:\d.exe
2008-06-12 17:23 . 2008-06-12 17:23 55,808 --a------ C:\d1.exe
2008-06-12 17:22 . 2008-06-12 17:22 5,120 --a------ C:\waxd.exe
2008-06-12 17:21 . 2008-06-12 17:22 167,936 --a------ C:\nxhfo.exe
2008-06-12 17:18 . 2008-06-12 17:20 69,120 --a------ C:\axer.exe
2008-06-11 16:35 . 2008-06-11 16:35 46,020 --ah----- C:\WINDOWS\system32\mlfcache.dat
2008-06-11 07:24 . 2008-04-14 17:53 273,024 --------- C:\WINDOWS\system32\drivers\bthport.sys
2008-06-11 07:24 . 2008-04-14 17:53 273,024 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys
2008-06-01 18:15 . 2008-06-01 18:15
HijackThis
[code]Logfile of HijackThis v1.99.1 Scan saved at 12:39:24, on 2008-06-14 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16674) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\nvsvc32.exe C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe C:\Program Files\Winamp\winampa.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\system32\MSTMON_N.EXE C:\WINDOWS\system32\ctfmon.exe C:\Program Files\TGTSoft\StyleXP\StyleXP.exe C:\Program Files\DAEMON Tools Lite\daemon.exe C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe C:\Program Files\Alwil Software\Avast4\ashWebSv.exe C:\WINDOWS\explorer.exe C:\WINDOWS\system32\notepad.exe E:\
huber2t
(huber2t)
14 Czerwiec 2008 10:49
#4
Pobierz ComboFix , ale nie uruchamiaj
Wklej do notatnika:
File::
C:\d.exe
C:\d1.exe
C:\waxd.exe
C:\nxhfo.exe
C:\axer.exe
C:\WINDOWS\system32\epodoreu.tmp
C:\WINDOWS\system32\drivers\Jpl49.sys
Driver::
jpl49
Plik -> zapisz jako -> CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->
Rozpocznie się usuwanie i powstanie log, daj ten log na forum.
ketjoww
(Werty019)
14 Czerwiec 2008 11:18
#5
ComboFix 08-06-12.2 - Wojtek 2008-06-14 13:03:47.2 - NTFSx86
huber2t
(huber2t)
14 Czerwiec 2008 11:19
#6
Log wyglada na czysty
usuń ręcznie folder C: \Qoobox , usuń instalkę Combofix z dysku.
Przeczyść komputer Ccleanerem
Wykonaj optymalizację autostartu
Wyłącz przywracanie systemu na wszystkich dyskach. Instrukcja
Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum
lub
Dr.WEB CureIt!
Logi dajesz na http://www.wklej.org a w poście dajesz tylko link
Włącz przywracanie systemu.
ketjoww
(Werty019)
14 Czerwiec 2008 11:56
#7
czy to jest na pewno konieczne? Po tym co mi wczesniej kazałeś zrobić wszystko działa dobrze:)
pomogłeś mi dziękuje
huber2t
(huber2t)
14 Czerwiec 2008 13:35
#8
Przeskanuj antywirusem dla pewności czy jest czysto