Witam, forum polecil mi moj kolega, zarejestrowalam sie i od razu przechodze do rzeczy

Od 2 dni moj system ( win XP) zwariowal. Objawy to bluescreeny z komunikatami IRQL not LESS OR EQUAL, a takze okienka informujace mnie ze w Generic Host for Win32 nastapil blad. System rowniez bardzo powaznie zwolnil, czesto zaskakujace wrecz uzycie zasobow systemowych ( do 80%! ) zuzywa proces winlogon.exe i proces drwtsn32.exe. System sam sie nie jest w stanie wylaczyc ani zrestartowacPodejrzewam ostra infekcje i zalaczam oba logi, uprzejmie proszac o pomoc

HIJACK

Cytat:

Silent Runners

Cytat:

Dziekuje z gory za poswiecony mi czas!

Pozdrawiam.

Użyj Windows Worms Doors Cleanera zmień znaczki z disable na enable (jeżeli jakieś znaczki są żółte, to niech takie zostaną). Po użyciu tego narzędzia wymagany jest reset sysa.

Wyczyść folder TEMP (w trybie awaryjnym), czyli Start -> uruchom -> cmd i wpisujesz:

W trybie awaryjnym z wyłączonym przywracaniem systemu usuwasz (wpisy Hijackiem, pliki/foldery na czerwono ręcznie z dysku):

Po zabiegach nowy log z Hijacka + log z Silent Runners

Bluescreen Wyskakuje Podczas ładowania się XP , czy podczas Wyłaczania??

Gdy Wyskoczy przepisz kod zaczynający się od “Stop” i podaj go na forum

Czesc!

Wykonalam co radziliscie. I zalaczam nowe skany

Hijack

Silent

Zrobilam jeszcze skana combofixem, i na czerwono wywalil mi cos takiego

Rootkit driver pe386 is present. A rootkit scan is required

co to takiego?

Otwórz notatnik i wklej w nim to:

Plik -> zapisz jako -> zmień rozszerzenie na wszystkie pliki -> zapisz pod nazwą FIX.REG

Odpal plik FIX.REG i potwierdź dodanie do rejestru i reset kompa

Użyj narzędzia -> Rustock.b-fix

Po zabiegach nowe logi + raport z Rustock.b.fix

Zrobilam jak mi poleciles

Nowe logi :

HIJACK

Silent Runners

rustbfix pomogl, usunal tego rootkita, i to raport z niego z przed chwilki

Dzieki wielkie za pomoc :). Cos jeszcze w tym rejestrze siedzi do usuniecia/ naprawy?

( system w dalszym ciagu nie jest w stanie sam sie zamknac/zrestartowac, trzeba uzywac resetu, albo ‘guziczka’

Zafixuj.

Użyj ATF-Cleaner w trybie awaryjnym – wyczyści tempy.

Wklej jeszcze raz logi

Zrobione

zalaczam logi

Hijack

Silent

dzieki

Możesz zafixować.

Już czysto

Przeczyść rejestr – użyj do tego jv16 PowerTools 2006 1.5.2.344.

Pozatym przejrzyj: Lista zbędników w autostarcie oraz Optymalizacja XP.

Wejdź: Start > uruchom > msconfig i w zakładce „Uruchamianie” odznacz, niepotrzebne według Ciebie, programy w autostarcie.

Te dwa wpisy znowu samoczynnie wrocily do rejestru. Wywalilam je, ale troche mnie to niepokoi ;/

Cytat:

ponadto, gdy zamykam system, otwiera sie okienko ze system nie moze zamnac programu “co6meiy” - coz to jest?

log z przed chwili, z kolejnym podejrzanym wpisem ;/

Zrób skan AVG AntySpyware 7.5 po update

Przeskanuj komputer programami Ad-aware SE Personal 1.06 oraz Spybot Search & Destroy 1.4

Zastosuj jeszcze raz to

Po zabiegach wklej raprot z AVG

Update

przy starcie systemu ( straaasznie dlugo )dostaje nastepujacy blad uruchamia go program retemp.exe

Cytat:

instrukcja spod 0x77f83905 odwoluje sie do pamieci pod adresen 0x0000000 pamiec nie moze byc “written”

System w dalszym ciagu nie jest w stanie sam sie wylaczyc, a jego rozruch jest znacznie dluzszy niz przedtem. W tle chodzi z 6 kopii svchost, jedna zajmuje prawie 17.000 K

Podejrzewam ze cos jeszcze tam siedzi, jakies pomysly? Moge wkleic nowe logi z dowonego programu, jesli tylko chcecie.

raport z AVG

Sprawdź, w jakiej lokazliacji znajduje się ten plik.

Poczytaj tutaj -> http://portal.centrumxp.pl/forums/thread/169899.aspx

Plik znajduje sie w windows/system32

Testowalam pamiec przez 12 godzin bez bledow, nic nowego tez nie istalowalam od 3 miesiecy. Wiec to pewnie jakis ukryty trojan/rootkit…

Sprawdź ten plik na stronie -> http://virusscan.jotti.org/ a następnie wrzuć wyniki

plik oczywiscie poszedl do skasowania.