Podejrzane procesy

Morsad · 1 Maj 2011 09:50

Witam. Wczoraj sobie normalnie siedziałem gdy nagle firewall (zonealarm) zaczął wywalać mi jakieś dziwne procesy. Oczywiście poblokowałem dostęp jednak komputer zaczął wolno chodzić i mulić a gdy chciałem wyłączyć któryś z procesów to mam blue screen. Postanowiłem się tym zająć jutro. Włączyłem tryb awaryjny i zrobiłem skanowanie. Wykryło mi trochę wirusów i je usunąłem. Włączyłem normalnie komputer i te same procesy znów chciały mieć dostęp do internetu (oczywiście zablokowałem) jednak po zablokowaniu nic się nie dzieje. Boję się je normalnie usunąć żeby nie mieć blue screen i nie zepsuć kompa po raz kolejny… Więc moje pytanie brzmi czy mogę je normalnie usunąć? Niżej logi z OTL

Dodam jeszcze że zmieniły mi się ustawienia połączenia na proxy (niedziałające) i w menu start pojawiło mi się “oddokuj komputer”

OTL

http://wklej.to/1DaRS

Extras

http://wklej.to/NcgA4

jessica · 1 Maj 2011 10:12

Użyj > TDSSKiller >http://www.bezpieczenstwosystemow.pl/index.php?topic=7461.0

Jeśli wykryje qpxjmomi.sys i gomae.sys to daj na DELETE (lub QUARANTINE).

Daj raport.

Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:

:OTL [2011-05-01 10:51:00 | 000,054,016 | ---- | C] () – C:\WINDOWS\System32\drivers\qpxjmomi.sys [2011-05-01 11:22:24 | 000,054,016 | ---- | C] () – C:\WINDOWS\System32\drivers\gomae.sys [2011-05-01 00:04:34 | 000,196,608 | RHS- | M] (Larssss) – C:\Documents and Settings\GOD\Dane aplikacji\680922543.exe [2011-05-01 00:04:06 | 000,610,304 | ---- | M] (Larssss) – C:\Documents and Settings\GOD\Dane aplikacji\wuimip.exe [2011-05-01 11:35:33 | 000,000,150 | ---- | M] () – C:\Documents and Settings\GOD\Dane aplikacji\data.dat MsConfig - StartUpReg: BBProtect - hkey= - key= - C:\Documents and Settings\GOD\Dane aplikacji\680922543.exe (Larssss) MsConfig - StartUpReg: Voiiid - hkey= - key= - C:\Documents and Settings\GOD\Dane aplikacji\Voiiid.exe File not found MsConfig - StartUpReg: wiumip - hkey= - key= - C:\Documents and Settings\GOD\Dane aplikacji\wuimip.exe (Larssss) MsConfig - StartUpReg: Xliiif - hkey= - key= - File not found O4 - HKLM…\Run: [NPSStartup] File not found O4 - HKLM…\Run: [wiumip] C:\Documents and Settings\GOD\Dane aplikacji\wuimip.exe (Larssss) O4 - HKU.DEFAULT…\Run: [msdrm] File not found O4 - HKU\S-1-5-18…\Run: [msdrm] File not found O4 - HKU\S-1-5-21-1123561945-162531612-725345543-1004…\Run: [bBProtect] C:\Documents and Settings\GOD\Dane aplikacji\680922543.exe (Larssss) O4 - HKU\S-1-5-21-1123561945-162531612-725345543-1004…\Run: [startup] C:\Documents and Settings\GOD\Dane aplikacji\Microsoft\svhosts.exe (Larssss) O4 - HKU\S-1-5-21-1123561945-162531612-725345543-1004…\Run: [wiumip] C:\Documents and Settings\GOD\Dane aplikacji\wuimip.exe (Larssss) O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run: wiumip = C:\Documents and Settings\GOD\Dane aplikacji\wuimip.exe (Larssss) FF - prefs.js…network.proxy.http_port: 58202 SRV - File not found [Auto | Stopped] – -- (MSPnPService) :Files C:\Documents and Settings\GOD\Dane aplikacji\Microsoft\Run5.exe :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] “C:\Documents and Settings\GOD\Dane aplikacji\Microsoft\Run5.exe”=- “C:\Documents and Settings\GOD\Dane aplikacji\wuimip.exe”=- :Commands [emptyflash] [emptytemp]

Kliknij w Wykonaj Script. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.

Pokaż nowy log OTL.txt oraz raport z usuwania.

jessi

Morsad · 1 Maj 2011 10:45

Nic nie wykrył
Jak dam wykonaj skrypt to mam blue screen STOP 0x000000f4

jessica · 1 Maj 2011 12:13

Do Notatnika wklej:

Windows Registry Editor Version 5.00

[HKEY_USERS.default\software\microsoft\windows\currentversion\run]

“msdrm”=-

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]

“msdrm”=-

[HKEY_USERS\S-1-5-21-1123561945-162531612-725345543-1004\software\microsoft\windows\currentversion\run]

“BBProtect”=-

[HKEY_USERS\S-1-5-21-1123561945-162531612-725345543-1004\software\microsoft\windows\currentversion\run]

“Startup”=-

[HKEY_USERS\S-1-5-21-1123561945-162531612-725345543-1004\software\microsoft\windows\currentversion\run]

“wiumip”=-

Z Menu Notatnika >> Plik >> Zapisz jako >> Ustaw rozszerzenie na Wszystkie pliki >> Zapisz jako > FIX.REG >> plik uruchom (dwuklik i OK). 2) Ściągnij -->Avenger. wklej do niego ten tekst:

Files to delete:

C:\Documents and Settings\GOD\Dane aplikacji\wuimip.exe

C:\WINDOWS\System32\drivers\qpxjmomi.sys

C:\WINDOWS\System32\drivers\gomae.sys

C:\Documents and Settings\GOD\Dane aplikacji\680922543.exe

C:\Documents and Settings\GOD\Dane aplikacji\data.dat

C:\Documents and Settings\GOD\Dane aplikacji\680922543.exe

C:\Documents and Settings\GOD\Dane aplikacji\Voiiid.exe

C:\Documents and Settings\GOD\Dane aplikacji\Microsoft\svhosts.exe


Registry values to delete: 

HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List | "C:\Documents and Settings\GOD\Dane aplikacji\Microsoft\Run5.exe"

HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List | "C:\Documents and Settings\GOD\Dane aplikacji\Microsoft\wuimip.exe"

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run | wiumip

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run | NPSStartup

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run | wiumip


Registry keys to delete:

HKLM\software\microsoft\shared tools\msconfig\startupreg\BBProtect

HKLM\software\microsoft\shared tools\msconfig\startupreg\Voiiid

HKLM\software\microsoft\shared tools\msconfig\startupreg\wiumip

HKLM\software\microsoft\shared tools\msconfig\startupreg\Xliiif


Drivers to delete:

MSPnPService

gomae

qpxjmomi

Kliknij w " Execute" i zatwierdź restart komputera.

Zrestartuj komputer.

Daj Raport z Avengera z C:\avenger.txt.

Daj nowe logi.

jessi

Morsad · 1 Maj 2011 17:03

Poszło normalnie
jak zatwierdziłem reboot to blue screen a avenger.txt się nie zrobił

OTL

http://wklej.to/mF33l

Extras

http://wklej.to/gIwYa

jessica · 1 Maj 2011 18:02

Nic się nie usunęło.

Masz chyba jakiś “chiński” System, który nie pozwala na usuwanie infekcji.

Spróbuj w Trybie Awaryjnym (F8 przed startem Systemu) wykonać usuwanie zarówno przy pomocy Scriptu OTL, jak i Avenger’a.

jessi

Morsad · 2 Maj 2011 09:20

Wszystko poszło gładko, wygląda na to że się usunęło. Najpierw zrobiłem skrypt OTL potem Avenger

z OTL

http://wklej.to/c6ZVw

z avenger

http://wklej.to/FRAF6

Normalny skan OTL OTL

http://wklej.to/lcdQy

Extras

http://wklej.to/3YjEG

Jeszcze pytanie. Czy można usunąć pliki z _OTL/MovedFiles?