Poważny robak - NTkrnl


(Maciek Stepien1) #1

Witam,

ostatnio moj komputer został zainfekowany robakiem, ktory strasznie spowalnia prace internetu (podstawowe portale ładują sie po kilka minut :frowning: )

oraz bazgrze po ekranie, tworzac zakłocenia podobne do tych, ktore sa wywolywane przez dzwoniacy w poblizu telefon. Podobno rozprzestrzenia sie przez maila, ja jednak takiej wiadomosci nie dostalem, musialem to zlapac z jakiegos downloadu.. Jak to usunąć? Log z hijacka:

Prosze o pomoc


(adam9870) #2

Użyj Windows Worms Doors Cleanera zmień znaczki z disable na enable (wszystkie znaczki maja być na zielono, jeżeli któryś z nich będzie na żółto to go zostaw). Po użyciu narzędzia wymagany jest restart.

W trybie awaryjnym z wyłączonym przywracaniem systemu usuń:

Pliki zaznaczone usuń ręcznie z dysku natomiast wpisy w HijackThis.

Użyj narzędzia SmitFraudFix z opcji numer 2 w trybie awaryjnym.

Puść w ruch SDFix.

Przeskanuj http://www.kaspersky.pl/virusscanner.html i http://www.ewido.net/en/

Po wykonaniu wklej komplet logów:


(Maciek Stepien1) #3

Wszystko wykonałem, niestety robak nie ustapil :cry: mimo ze internet troche przyspieszyl, to zuzycie procesora jest nadal 100% i w dalszym ciagu pojawiaja sie te zakłocenia. Przedstawiam logi:

HijackThis

SmitFraudFix


(adam9870) #4

Otwórz Notatnik i wklej w nim to:

Plik >>> Zapisz jako >>> Zmień rozszerzenie z TXT na Wszystkie pliki >>> Zapisz pod nazwą FIX.BAT

Pobierz Gmer'a.

Teraz czynności będziesz wykonywał w Gmerze więc uruchom go, poczekaj chwilkę, kliknij na zakładkę >>> w celu otworzenia pozostałych.

  • W zakładce Procesy wybierz Gmer awaryjny. Komputer się zrestartuje i zostanie tylko okienko Gmer'a

  • W zakładce Procesy przez ... (trzy kropki) wskaż plik FIX.BAT. Przez chwilkę mignie ekran i komputer się zrestartuje. Jeśli pokażą się jakieś błędy - nie przejmuj się nimi, bo dałem wszystko co możliwe do usunięcia po tym co widać w logu.

  • Po resecie otwórz Gmer'a i do zakładki CMD z zaznaczoną opcją REGEDIT.EXE wklej:

  • Kliknij Uruchom i reset.

Usuń wpis HJT jeśli będzie.

Po wykonaniu wklej nowy log z ComboScan i dwa logi z Gmer'a wykonane przy takich ustawieniach:

  1. Zakładka Rootkit >>> zaznaczone wszystko oprócz Pokazuj wszystko >>> kliknij Szukaj >>> czekaj cierpliwie aż skończy >>> Kopiuj >>> wklej do posta

  2. Zakładka Rootkit >>> zaznaczone tylko Usługi i Pokazuj wszystko >>> kliknij Szukaj >>> czekaj cierpliwie aż skończy >>> Kopiuj >>> wklej do posta

Jeśli wszystkie logi nie zmieszczą się bezpośrednio do posta, to umieść je w jakimś serwisie hostingowym jako pliki *.txt, a tu tylko zlinkuj.

http://forum.dobreprogramy.pl/viewtopic.php?t=96929


(Maciek Stepien1) #5

wykonane, robak w dalszym ciagu nie ustapil. Logi Gmer'a:

Opcja 1: wykonałem 2 skanowania, za jednym razem pokazał tylko to

a za drugim http://www.sendspace.com/file/predxr

Opcja 2:

EDIT:

zapomniałem o ComboScan, dodaję.

Co robić?


(adam9870) #6

Ściągasz program KillBox, zaznaczasz Delete on reboot , w polu full path of file wklej ścieżki:

D:\WINDOWS\System32\miila.exe

D:\WINDOWS\System32\mmp.exe

Po wklejeniu każdej ścieżki z osobna klikasz na czerwonego iksa, ale dopiero po wklejeniu ostatniej zgadzasz się na restart. Jeśli po wklejeniu którejś ze ścieżek pokaże się jakiś błąd, nie przejmuj się nim tylko przejdź do wykonywania dalszych czynności.

Otwórz Notatnik i wklej w nim to:

Plik >>> Zapisz jako >>> Zmień rozszerzenie z TXT na Wszystkie pliki >>> Zapisz pod nazwą FIX.REG >>> kliknij dwa razy na utworzony plik FIX.REG i potwierdź dodanie do rejestru >>> restart.

Usuń wpisy HJT jeśli będą.

Po wykonaniu wklej nowy log z Cobmbo i SilentRunners.


(Maciek Stepien1) #7

i dalej to samo :frowning:

Comboscan

A przy SilentRunners wywala mi jakis błąd przy uruchamianiu.

Aha i jesli to pomoże - to nazwa tego robaka znaleziona na jednej stronce W32.Cervivec.A@mm. A takim ekranem objawia sie jego uruchomienie przy starcie systemu http://domi-mikolka.w.interia.pl/NTkrnl.jpg

I cytat ze strony Kaspersky -

Ale tu wystepuje pod nazwa I-Worm.Cervivec.


(adam9870) #8

W logach nic nie widać ale zastanawia mnie ten msnmsgr.exe uruchamiany z kluczy:

Skoro Messenger jest już:

Poszukaj pliku msnmsgr.exe w katalogu c:\windows a jeśli będzie, to go usuń, a dodatkowo usuń wartość Msn Messenger z start => uruchom => regedit =>

Możesz usunąć ręcznie foldery narzędzi.

W żadnych z logów, które zamieściłeś go nie widać. Zresztą sam możesz sprawdzić w logu Combo czy w kluczu:

masz auto-run.

Na koniec możesz przeskanować http://www.kaspersky.pl/virusscanner.html

O problemach z silentem poczytaj TUTAJ.