Podejrzenie rootkita, zamula kompa, avast przestał działac,


(Moonlightshadow) #1

Zaczeły dziac mi się dziwne rzeczy na kompie,

przeskanowałem avastem, spyware terminatorem i spyware doctorem, ale jakoś niewiele to daje.

już po tym pierwszym sprawdzeniu widze że komp działa lepiej, ale dalej coś nie tak.

http://wklejto.pl/19784

z góry dziękuje za pomoc


(huber2t) #2

Do wyleczenia pendrive z wirusów użyj tych programów

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

File::

C:\fsaua.data

C:\~WRD0424.tmp

c:\windows\system32\winetn32.dll

c:\windows\system32\winzzd32.dll

C:\sq.com

C:\2fiji.com


Registry::

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

Plik -> zapisz jako -> CFScript.txt.

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu->

cfscript10uc2.gif

Rozpocznie się usuwanie i powstanie log, który dasz na forum.

Logi dajesz na http://wklej.eu lub na http://wklej.org a w poście dajesz tylko link


(Monczkin) #3

lightofshadow , nazwij proszę temat konkretnie.

viewtopic.php?f=16&t=66889


(Moonlightshadow) #4

a zaczęło się od komunikatu avastu o podejrzanym procesie w pamięci operacyjnej, które to okienko często się pojawiało, zignorowałem to niestety, potem nie mogłem wchodzi na poszczególne dyski klikając, --> musiałem wpisywac ręcznie, ale kiedy komputer nie chciał się wyłanczac to się przestraszyłem, wiec zainstalowałem dwa kolejne antywirusy(też niewiem czy dobrze) spyware terminator i spyware doctor, coś tam wykryły i usunęły, przeskanowałem ponadto kompa sophosem i pokazał mi 3 ukryte procesy... może rootkit? nieznam się na tym, po tym zabiegu komp może się wyłanczac, ale dalej pozostał problem z dyskami, uruchomiłem combofix i problem z wchodzeniem na dyski też zniknął,

ale aktualnie

komp strasznie zamula, żaden program nie właczony a menadżer pokazuje użycie pliku stron 950mb, wahania użycia procesora, a jak wlacze corela czy coś podobnego wyskakuje komunikat o zbyt małej ilości pamięci wirtualnej.

nie wiem czy ma to jakiś związek... ale avast nie pobiera aktualizacji baz danych, ( nie mogłem wchodzic na strone avasta jeszcze niedawno, jakby zablokowana? )

a więc, tam był wklejony pierwszy log z combofix

tutaj wklejam drugi, według instrukcji

http://wklej.eu/index.php?id=61a465962e


(huber2t) #5

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

File::

c:\windows\Tasks\At1.job 

c:\windows\Tasks\At10.job 

c:\windows\Tasks\At11.job 

c:\windows\Tasks\At12.job 

c:\windows\Tasks\At13.job 

c:\windows\Tasks\At14.job

c:\windows\Tasks\At15.job 

c:\windows\Tasks\At16.job 

c:\windows\Tasks\At17.job 

c:\windows\Tasks\At18.job

c:\windows\Tasks\At19.job 

c:\windows\Tasks\At2.job 

c:\windows\Tasks\At20.job 

c:\windows\Tasks\At21.job 

c:\windows\Tasks\At22.job 

c:\windows\Tasks\At23.job 

c:\windows\Tasks\At24.job 

c:\windows\Tasks\At3.job 

c:\windows\Tasks\At4.job

c:\windows\Tasks\At5.job 

c:\windows\Tasks\At6.job 

c:\windows\Tasks\At7.job

c:\windows\Tasks\At8.job

c:\windows\system32\wtP1uim3.exe 

c:\windows\Tasks\At9.job


Driver::

HP24X

MEMSWEEP2

Plik -> zapisz jako -> CFScript.txt.

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu->

cfscript10uc2.gif

Rozpocznie się usuwanie i powstanie log, który dasz na forum.

Logi dajesz na http://wklej.eu lub na http://wklej.org a w poście dajesz tylko link


(Moonlightshadow) #6

dzięki

komp tak jakby działał sprawniej, ale pamięc fizyczna dalej zapełniona

http://wklej.eu/index.php?id=f52a2bd379


(huber2t) #7

Skorzystaj z Malwarebytes' Anti-Malware


(Moonlightshadow) #8

dzięki wielkie, git