Witam miałem doczynienie z siszyd32.exe
Wydaje mi się, że problem został załatwiony jednak proszę o sprawdzenie loga
http://www.wklej.org/id/236913 - log z Hijack
http://www.wklej.org/id/236919/ - log z OTL
http://www.wklej.org/id/236920/ - OTL extras
Gutek
(Gutek)
15 Grudzień 2009 22:15
#2
Pokaż log z: OTL
Przestawiasz w nim Processes i Modules na All oraz wklejasz w dolne białe okienko Custom Scans/Fixes :
Klikasz Run Scan .
Już dodałem pliki z OTL
A tu jeszcze jeden po wpisaniu komendy, którą podałeś powyżej
http://wklej.org/id/237003/ - log OTL
jessica
(jessica)
16 Grudzień 2009 07:18
#4
Uruchom OTL i w oknie Custom Scans/Fixes wklej to:
:OTL O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - No CLSID value found. O2 - BHO: (Adobe PDF Reader Link Helper) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll File not found O4 - HKLM…\Run: [GEST] File not found [2009-12-15 15:08:16 | 00,000,008 | ---- | M] () – C:\Documents and Settings\Paweł Gold-Sat\Dane aplikacji\avdrn.dat [2009-12-15 22:06:19 | 00,000,016 | ---- | C] () – C:\Documents and Settings\NetworkService\Dane aplikacji\fvgqad.dat [2009-12-12 12:00:14 | 00,000,148 | ---- | C] () – C:\WINDOWS\System32\fjhdyfhsn.bat :Commands [emptytemp] [Reboot]
Kliknij w Run Fix . Zatwierdź restart komputera.
Następnie uruchom OTL ponownie, tym razem wywołaj opcję Run Scan.
Pokaż nowy log OTL.txt oraz log z czyszczenia.
Ostatnio ta infekcja ma w sobie także Rootkita, OTL go nie potrafi dostrzec.
Najlej byłoby to sprawdzić w logu z GMER’a, ale może wystarczy log z >>SRENG (System Repair Engineer)
(Po uruchomieniu kliknij “SmartScan”, zaznacz “Verify…”, kliknij “Scan”, czekasz na raport, klik na “Save…”, potem na “Close”).,
jessi
ciemnowidz
(Henio Mazurek)
16 Grudzień 2009 09:10
#5
OTL potrafi go dostrzec pod warunkiem, że da mu się szansę. Przecież sterownik SPTD kryje zmodyfikowany przez program do wirtualnych napędów atapi.sys. Infekcja podmienia (już raz zmodyfikowany) sterownik który dalej działa pod kryciem SPTD. Czy to tak trudno zrozumieć. Dlatego przed tworzeniem skanu należ usunąć wszelkie programy do wirtualizacji + rootkitowy sterownik SPTD. Po jego usunięciu żadnego rootkita nie będzie, jedynie modyfikacja na sterowniku + kilka drobnych pliczków do wywalenia. Z tego co widzę to demontaż pochodnych od wirtuali to rzadkość tutaj nawet przy podejrzeniu tej konkretnej infekcji.
Ogromne dzięki za pomoc. Wieczorem zrobię resztę. Teraz wklejam log po usunięciu tych wpisanych wartości i raport, który wyświetlił się po wyczyszczeniu:
http://wklej.org/id/237284/ - raport OTL po czyszczeniu
http://wklej.org/id/237285/ - log po ponownym uruchomieniu kompa
jessica
(jessica)
16 Grudzień 2009 12:19
#7
Uruchom OTL i w oknie Custom Scans/Fixes wklej to:
:OTL FF - prefs.js…browser.search.selectedEngine: “Ask” [2009-08-24 01:37:15 | 00,001,649 | ---- | M] () – C:\Documents and Settings\Paweł Gold-Sat\Dane aplikacji\Mozilla\Firefox\Profiles\vafidwwp.default\searchplugins\Ask.xml O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - No CLSID value found. O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - No CLSID value found. :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp] [Reboot]
Kliknij w Run Fix . Zatwierdź restart komputera.
Daj oczywiście log z SRENG.
jessi
Pokaż nowy log OTL.txt oraz log z czyszczenia.
http://wklej.org/id/238003/ - log z programu SRENG (System Repair Engineer)
a to jeszcze dodatkowo logi z OTL
http://wklej.org/id/238036/ - wyniki czyszczenia z dziennika OTL
http://wklej.org/id/237999/ - nowy log po skasowaniu podanych wartości
jessica
(jessica)
16 Grudzień 2009 22:29
#9
Wg mnie - jest czysto.
W OTL kliknij na przycisk “CleanUp” - to go usunie.
Usuń kopie szkodników z folderu “System Volume Information” poprzez chwilowe wyłączenie “Przywracania Systemu”:
>START>Panel Sterowania>System>Przywracanie Systemu>>zaznacz w okienku przy “Wyłącz przywracanie na wszystkich dyskach”>Zastosuj>OK. (W czasie tego chwilowego wyłączenia te kopie usuną się samoczynnie, więc nie ma potrzeby zaglądania do folderu.) Potem możesz powrócić do poprzedniego ustawienia (czyli usunąć zaznaczenie z okienka).
jessi