Sdqxgrcs.sys - wirus w pamięci podręcznej?

Krzysiek21 · 14 Grudzień 2009 16:25

Witam,

Od dwóch dni dostaję przy aknowaniu avastem! inofrmacje o następującym wirusie;

C:\WINDOWS\System32\Drivers\sdqxgrcs.sys

Patrzyłem w googlach ale niestety brak info o tego typu robaku.Jest to chyba jakis plik systemowy bo w ostrzezeniach pisze:

PLIK: C:\WINDOWS\System32\Drivers\sdqxgrcs.sys

TYP: ukryte usługi

dochodzi do tego momentu przy skanowaniu a pózniej wywala bład o wirusie w pamięci podręcznej komputera,po kliknieciu ok i przeskanowaniu w trybie awaryjnym problem niestety nie znika.

Czy ktos wie czy to jest wirus napewno i jak to zwalczyc bez formatu?

Zamieszczam LOG z Hi Jack This!;

http://wklejto.pl/50247

jessica · 14 Grudzień 2009 16:36

Jest też drugi problem.

Ponieważ ta infekcja wstrzykuje swój złośliwy kod do pliku Systemowego “atapi.sys”, więc trzeba użyć ComboFixa, bo on potrafi go podmienić, o ile znajdzie jego zapasową kopię.

ComboFix jest na razie niedostępny na oficjalnej stronie, więc użyj mojego:

>http://www.speedyshare.com/files/19764394/kombik.com

jessi

Krzysiek21 · 14 Grudzień 2009 20:02

Podaje log zrobiony ComboFixem;

http://wklejto.pl/50275

jessica · 14 Grudzień 2009 20:45

Wklej do Notatnika :

File::

c:\windows\system32\drivers\sdqxgrcs.sys

c:\windows\system32\fjhdyfhsn.bat

c:\documents and settings\LocalService\Dane aplikacji\fvgqad.dat

c:\documents and settings\Nina\Dane aplikacji\avdrn.dat


Driver::

sdqxgrcs


Registry::

[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\sdqxgrcs]

>>Plik>>Zapisz jako… >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

–> [

Rozpocznie się usuwanie i powstanie log.

jessi

Krzysiek21 · 15 Grudzień 2009 12:37

podaje nowy log po operaqcji

http://wklejto.pl/50337

jessica · 15 Grudzień 2009 12:45

W logu nie widać już niczego szkodliwego.

Usuń ręcznie folder C:** Qoobox**.

Usuń kopie szkodników z folderu “System Volume Information” poprzez chwilowe wyłączenie “Przywracania Systemu”:

jessi

Krzysiek21 · 15 Grudzień 2009 12:48

przepraszaqm,ale czy w tym Combofixe siedzi koń trojanski?

Avast mnie poinformował o takowym… ;|

Win32:Small-NDO [Trj]

Koń trojański

anon53382939 · 15 Grudzień 2009 13:05

To nie jest koń trojański!

Jessi powinna powiedzieć żeby wyłączyć programy antywirusowe.

Źródło: http://www.bleepingcomputer.com/combofix/pl/instrukcja-uzycia-combofix

Krzysiek21 · 15 Grudzień 2009 13:11

oke w takim razie nie wyrzucam tego,dzieki wielkie za pomoc

anon53382939 · 15 Grudzień 2009 13:35

Jak po infekcji to usuń program i

Jak Jessi powiedziała