Witam, kompa przeskanowałem programami OTL i Hijjackthis, oto logi:

OTL: http://wklej.org/id/241462/

Hijjack: http://wklej.org/id/241465/

Avastem skanowałem przy uruchomieniu kompa - wykrył pliki wirusa w w folderze system restore information i usunął je, ale po uruchomieniu windowsa dalej jest to samo. Procesor na 100% obciążenia przez svchost. Pliku hvvhqsp.sys nie usuwałem bo w końcu to systemowy a avast podejrzewa, że dopadł go wirus.

Aha, wyłączyłem przywracanie systemu na wszystkich dyskach.

To nie jest plik Systemowy. To jest plik pół-Rootkita, tworzonego przez wirusa BREDOLAB, który jest widoczny w logu.

Usługa tego pół-Rootkita jest wykrywana tylko przez GMER! Nie widzi jej ani OTL, ani SRENG, ani ComboFix.

Uruchom OTL i w oknie Custom Scans/Fixes wklej to:

Kliknij w Run Fix. Zatwierdź restart komputera.

Następnie uruchom OTL ponownie, tym razem wywołaj opcję Run Scan.

Pokaż nowy log OTL.txt oraz log z czyszczenia.

Potem wyłącz “wirtuale” (np. Daemon Tools) przy pomocy http://www.bezpieczenstwosystemow.pl/index.php?topic=6280.0 Defogger

I daj log z >GMER

na ustawieniu:>>gmer>>Rootkit>>zaznacz tylko “Usługi” i “Pokaż wszystko”>>Szukaj>

jessi

wkleiłem to do OTL, dałem run fix ale się zwiesił i wołał o jakieś pliki z płyty z windowsem. Włożyłem płytę i nic. Zrestartowałem kompa i teraz otl nie chce się uruchomić. Gmer skanuje i znalazł jakieś podejrzane pliki

Dobra, zostaw OTL, bo Ci zniszczy System.

Albo kliknij w nim na przycisk “ClearUp”, to go usunie z Twojego komputera.

Daj log z GMER, pomyślimy, co dalej z tym fantem zrobić.

jessi

Jak narazie log z malwarebytes:

http://wklej.org/id/241627/

Pousuwać te pliki?

Gmer mysli jeszcze :?

Tak usuń

Po trudach i znojach, log z gmera

http://wklej.org/id/242147/

Wcale się nie dziwię, że zrobienie logu tak długo trwało - po prostu ustawienia były inne, niż zaleciłam. Log na ustawieniach, które podałam, powstaje tylko ok 1 minuty!

>>Gmer >>> zakładka CMD i zaznaczyć w niej opcję REGEDIT a do okna wkleić:

Windows Registry Editor Version 5.00


[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\hvvhqsp]


[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\hvvhqsp]


[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]

"Start Page"="about:blank"


[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]

"{37B85A29-692B-4205-9CAD-2626E4993404}"=-


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"sysgif32"=-

Kliknij na Uruchom.

Potem znów >>GMER>>>rozwiń>>>zakładka CMD >>zaznacz CMD —w górne czarne pole wklej to:

Kliknij „Uruchom” z prawej strony. Komputer powinien się samoczynnie wyłączyć i włączyć.

Nie wiem, czy to się wszystko uda, bo widzę aktywny proces “sp…” jakiegoś “wirtuala” (DaemonTools?)

Potem zrób log z GMER na ustawieniu:

>Rootkit>>zaznacz tylko “Usługi” i “Pokaż wszystko”>>Szukaj>

Tylko tym razem przypilnuj tego ustawienia, żeby znów nie trwało to godzinami!

I spróbuj zrobić nowy log z OTL.

jessi

Były błędy, nie można było odnaleźć określonego modułu, pliki najwyraźniej nie zostały usunięte

gmer: http://wklej.org/id/242335/

otl nie daje się uruchomić :?

Ściągnij -->Avenger.

wklej do niego ten tekst:

Files to delete:

C:\Documents and Settings\user\Dane aplikacji\avdrn.dat

C:\WINDOWS\System32\fjhdyfhsn.bat

C:\Documents and Settings\user\Menu Start\Programy\Autostart\siszyd32.exe

C:\WINDOWS\Temp\~TM16F.tmp

C:\Program Files\Mozilla Firefox\searchplugins\sukoku119.xml

C:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\d4rgd9fc.default\searchplugins\mywebsearch.xml

C:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\d4rgd9fc.default\searchplugins\askcom.xml

C:\WINDOWS\System32\drivers\hvvhqsp.sys


Registry keys to delete:

HKLM\SYSTEM\CurrentControlSet\Services\hvvhqsp

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\hvvhqsp


Registry values to delete: 

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run | sysgif32


Drivers to delete:

hvvhqsp

NMIndexingService

"Sukoku Service"

Kliknij w " Execute" i zatwierdź restart komputera.

Zrestartuj komputer.

Daj Raport z Avengera z C:\avenger.txt.

Oraz nowy log z GMER, też “usługowy”!

jessi

avenger: http://wklej.org/id/242643/

log gmera pusty, nic nie znalazł podejrzanego w usługach

Procesor już działa na normalnych obrotach, svchost nie zużywa więcej jego mocy niż zazwyczaj.

Tego nie rozumiem - GMER robi ten “usługowy” log bez szukania zmian. Może znów były niewłaściwe ustawienia?

Piszesz, że jest OK, więc biorąc pod uwagę także raport Avengera, możemy uznać, że już jest OK.

jessi

Ustawienia były na skanowanie tylko usług więc zgodnie z zaleceniem, log był pusty, a gmer nic w okienku nie pokazał oprócz komunikatu, że nic nie wykrył:)

Dzięki za pomoc, komp odzyskał oddech

Aha, folder na dysku C pozostały po skanowaniu OTL-em mogę bezkarnie skasować?

W OTL kliknij na przycisk “CleanUp” - to go usunie razem z tą jego Kwarantanną (_OTL)

.

otl bardzo długo się uruchamiał a kiedy juz się uruchomił pojawiły się komunikaty o tym że pliki xp zostały podmienione i kliknąłem tak kiedy pytał czy zostać przy tych podmienionych. Potem włożyłem płytę z xp bo wołał o nią i dałem “ponów próbę” a kiedy zrestartowałem nie ma paska startu, menedżer zadań się nie uruchamia a kiedy próbuję otworzyć jakiś plik wyskakuje błąd, że dana aplikacja nie jest prawidłowa.

Czy przez pomyłkę zastąpiłem jakieś pliki systemowe? Jak to naprawić? np z poziomu konsoli odzyskiwania

Co Ty narozrabiałeś?

Miałeś tylko kliknąć w przycisk “CleanUp”, i nic więcej!

Teraz nie wiadomo, co tam się stało.

Spróbuj w Trybie Awaryjnym włączyć na “Ostatnia dobra konfiguracja”.

jessi

niestety nic to nie dało…

Co teraz zrobić? Jak przywrócić jakoś pliki systemowe z poziomu konsoli? Czy już tylko format został

Nie pamiętam, jaki masz System, a strona “wklej.org” nie działa, by to sprawdzić ale jeśli masz WinXP, to zrób reinstal bez utraty danych >http://www.searchengines.pl/phpbb203/index.php?showtopic=24500&st=0&p=109540?entry109540

jessi