Sdqxgrcs.sys - wirus w pamięci podręcznej?


(Krzysiek21) #1

Witam,

Od dwóch dni dostaję przy aknowaniu avastem! inofrmacje o następującym wirusie;

C:\WINDOWS\System32\Drivers\sdqxgrcs.sys

Patrzyłem w googlach ale niestety brak info o tego typu robaku.Jest to chyba jakis plik systemowy bo w ostrzezeniach pisze:

PLIK: C:\WINDOWS\System32\Drivers\sdqxgrcs.sys

TYP: ukryte usługi

dochodzi do tego momentu przy skanowaniu a pózniej wywala bład o wirusie w pamięci podręcznej komputera,po kliknieciu ok i przeskanowaniu w trybie awaryjnym problem niestety nie znika.

Czy ktos wie czy to jest wirus napewno i jak to zwalczyc bez formatu?

Zamieszczam LOG z Hi Jack This!;

http://wklejto.pl/50247


(jessica) #2

Jest też drugi problem.

Ponieważ ta infekcja wstrzykuje swój złośliwy kod do pliku Systemowego "atapi.sys", więc trzeba użyć ComboFixa, bo on potrafi go podmienić, o ile znajdzie jego zapasową kopię.

ComboFix jest na razie niedostępny na oficjalnej stronie, więc użyj mojego:

>http://www.speedyshare.com/files/19764394/kombik.com

jessi


(Krzysiek21) #3

Podaje log zrobiony ComboFixem;

http://wklejto.pl/50275


(jessica) #4

Wklej do Notatnika :

File::

c:\windows\system32\drivers\sdqxgrcs.sys

c:\windows\system32\fjhdyfhsn.bat

c:\documents and settings\LocalService\Dane aplikacji\fvgqad.dat

c:\documents and settings\Nina\Dane aplikacji\avdrn.dat


Driver::

sdqxgrcs


Registry::

[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\sdqxgrcs]

>>Plik>>Zapisz jako... >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

--> [cfscript10gm1.gif

Rozpocznie się usuwanie i powstanie log.

jessi


(Krzysiek21) #5

podaje nowy log po operaqcji

http://wklejto.pl/50337


(jessica) #6

W logu nie widać już niczego szkodliwego.

Usuń ręcznie folder C:**** Qoobox.

Usuń kopie szkodników z folderu "System Volume Information" poprzez chwilowe wyłączenie "Przywracania Systemu":

jessi


(Krzysiek21) #7

przepraszaqm,ale czy w tym Combofixe siedzi koń trojanski?

Avast mnie poinformował o takowym.... ;|

Win32:Small-NDO [Trj]

Koń trojański


(dethloe123) #8

To nie jest koń trojański!

Jessi powinna powiedzieć żeby wyłączyć programy antywirusowe.

Źródło: http://www.bleepingcomputer.com/combofix/pl/instrukcja-uzycia-combofix


(Krzysiek21) #9

oke w takim razie nie wyrzucam tego,dzieki wielkie za pomoc :slight_smile:


(dethloe123) #10

Jak po infekcji to usuń program i

Jak Jessi powiedziała