Regedit32, restartuje kompa


(system) #1

Witam! Tak jak w temacie. Przeglądałem dziś po południu informacje na necie dosłownie kilka minut. Włączyłem po jakiś 2h kompa i wyskoczyła informacja że system zostanie zrestartowany po 60 sec. ponieważ wystąpiło uszkodzenie spowodowane jakimś kodem w C:\WINDOWS\system32\services.exe. Po restarcie już loguje się normalnie, ale użycie procesora nie schodzi poniżej 50%.

Oto logi:

Hijack: http://wklejto.pl/48903

GMER http://wklejto.pl/48908

SRE http://wklejto.pl/48910

gdy uruchamiam OTL i zaczynam skanowanie wyskakuje błąd "List index out of bounds (0)".

Proszę o szybka pomoc. Muszę na jutro zrobić pilne rysunki, problem w tym że przez to coś nie mogę. Jestem tak zdesperowany że chyba zaraz zaczne robić format aby się tylko tego pozbyć.

Z góry Dziękuje.


(jessica) #2

Niestety, konieczne jest użycie > ComboFix

Od razu przy ściąganiu zapisz go pod jakąś inną nazwą, koniecznie z rozszerzeniem .com , zamiast .exe! (np. "fgfgfg.com")

Daj z niego log.

Sprawdź go na --> JOTTI/

albo na VIRUSTOTAL.

Wpis sfiksuj w Hijacku.

jessi


(Leon$) #3

włącz HijackThis >> Do a system scan only >> w oknie programu pokaże się log >> zaznacz kratki przy podanych wpisach >> klikasz Fix checked

usuń plik

C:\Documents and Settings\user\Menu Start\Programy\Autostart\ siszyd32.exe

Pobierz OTListIt2: http://www.searchengines.pl/index.php?s ... =392369 przeskanuj daj log OTListIT.txt oraz Extras.txt.

:slight_smile:


(system) #4

log z combofixa

http://wklejto.pl/48933

-- Dodane 02.12.2009 (Śr) 18:27 --

usuwanie przez hijack nic nie daje

do OTL mam wpisywać coś dodatkowego?


(jessica) #5

Właśnie dlatego potrzebny był ComboFix - ta infekcja wstrzykuje swój złośliwy kod do tego pliku Systemowego.

Ale to nie koniec, bo zaraz ta nowa kopia też zostanie zarażona.

I znów ComboFix będzie ją podmieniał.

W końcu sam będziesz musiał podmienić ten plik ze swojej płytki instalacyjnej, bo zabraknie już kopii zapasowych w komputerze.

Wklej do Notatnika :

File::

c:\windows\system32\fjhdyfhsn.bat

c:\documents and settings\LocalService\Dane aplikacji\fvgqad.dat

c:\documents and settings\user\Dane aplikacji\avdrn.dat

c:\documents and settings\LocalService\Dane aplikacji\zxcvbd.dat

>>Plik>>Zapisz jako... >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

-------->cfscript10gm1.gif

Ma się rozpocząć usuwanie. (i powstanie log).

Daj ten log, który powstanie w trakcie usuwania.

jessi


(system) #6

kolejny log

http://wklejto.pl/48936


(jessica) #7

Jestem trochę zaskoczona, że "atapi" nie został ponownie zarażony, (ComboFix tym razem go nie podmieniał), ale to bardzo dobrze.

Log jest czysty.

Usuń ręcznie folder C:**** Qoobox.

Usuń kopie szkodników z folderu "System Volume Information" poprzez chwilowe wyłączenie "Przywracania Systemu":

jessi


(Leon$) #8

Combofixa usuń komendą

Start >> uruchom >> Combofix /u

:slight_smile:


(system) #9

zrobiłem jak pisałeś z tym że combofix zamiast się usunąć wygenerował nowy log http://wklejto.pl/48948


(deFco247) #10

Od pewnego czasu Combofix używa komendy Combofix /uninstall.


(system) #11

log z hijack:

http://wklejto.pl/48951

O4 - HKCU..\RunOnce: [shockwave Updater] C:\WINDOWS\system32\Adobe\Shockwave 11\SwHelper_1151601.exe -Update -1151601 -"Mozilla/5.0_(Windows;_U;_Windows_NT_5.1;_pl;_rv:1.9.0.15)_Gecko/2009101601_Fir efox/3.0.15_(.NET_CLR_3.5.30729)" -"http://www8.agame.com/games/shockwave/d/designer_trends_3d/designer_trends_3d_ girlsgogames_pl.htm"

czy ten wpis jest bezpieczny?

po usuwaniu pokazał się dymek że komputer może być zagrożony ponieważ nie mam antywirusa. Wybrałem opcje nie monitoruj. Zawsze gdy jest tak ustawiony, przy okresowym skanowaniu spybotem (co jakies 2 tyg) spybot wykrywa ten wpis jako szkodliwy. Więc program się myli czy coś jest nie tak?

A i bardzo, bardzo, bardzo wielkie Dzięki za pomoc. :slight_smile:


(Leon$) #12

dzięki za poprawienie

Pobierz i uruchom narzędzie The Avenger Zaznaczasz tekst podany do usunięcia na forum

kopiuj >> klikasz na Paste Script from Clipboard >> Execute >> Potwierdzasz i zgadzasz się na restart klikając OK.

Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt

:slight_smile:

wpis możesz usunąć HijackThisem >> Fix checked

:slight_smile:


(system) #13

Sory że dopiero teraz ale nie miałem dostępu do neta. Pobrałem ten program robie wszystko jak piszesz ale wyskakuje komenda "Invalid script"


(deFco247) #14

Brakuje dwukropka po Drivers to delete


(system) #15

oto log

http://wklejto.pl/49144

-- Dodane 04.12.2009 (Pt) 19:05 --

a tutaj malwarebytes coś znalazło http://wklejto.pl/49147