Secdrv.sys i wiele innych :(

Dla specjalistów Bezpieczeństwo
#1

Po ostatniej poradzie… tj. mój komputer stacjonarny, udaję się o pomoc do Was w “uzdrowieniu” mojego laptopa. Komputer strasznie “muli” ciągle przy starcie pokazują się jakieś mirce itp… praktycznie nic nie da się zrobić! Notebook pochodzi z Norwegii więc niestety nie działają niektóre przyciski… :frowning: przepraszam za pismo…

Combo l=ix

http://www.wklej.org/id/10da2bdd8f

HJT:

http://www.wklej.org/id/c807fbf035

Dzięki za pomoc… liczę na Wasz profesjonalizm!

Pozdro

#2

Robaki, Robaki, Robaki, Trojany, Robaki, Robaki…ogromna ilość Robaków.

Zamknij robaczywe porty przy pomocy --> Windows Worms Doors Cleaner

Ustaw znaczki na zielono, Netbios może być na żółto.

Po użyciu narzędzia wymagany jest restart.

Wklej do Notatnika :

File::

C:\WINDOWS\System32\svcchosst.exe

C:\WINDOWS\system32\kmd.exe

C:\WINDOWS\system32\srvdc.exe

C:\WINDOWS\system32\pnew.exe

C:\WINDOWS\System32\algs.exe

C:\WINDOWS\system32\amsndas.exe

C:\WINDOWS\System32\ffzjq.exe

C:\WINDOWS\System32\ochyl.exe

C:\WINDOWS\System32\winserv.exe

C:\WINDOWS\System32\chans.exe

C:\WINDOWS\System32\fvist.com

C:\WINDOWS\system32\ymsng2.exe

C:\WINDOWS\system32\srvd.exe

C:\WINDOWS\Temp\startdrv.exe

C:\WINDOWS\system32\ymsndas.exe

C:\WINDOWS\System32\ahm1d.exe

C:\WINDOWS\system32\ubfl.exe

C:\WINDOWS\system32\lcsass.exe

C:\WINDOWS\System32\Isass.exe

C:\WINDOWS\tmp.tmp.tmp1

C:\Documents and Settings\BOOS\sy44.exe

C:\Documents and Settings\BOOS\sxe5C.tmp

C:\WINDOWS\system32\remm.exe 

C:\WINDOWS\system32\3_exception.nls 

C:\WINDOWS\system32\sxe11.tmp 

C:\WINDOWS\system32\lbioyhnl.exe 

C:\WINDOWS\system32\WLCtrl32.dll 

C:\WINDOWS\system32\sxe5D.tmp 

C:\WINDOWS\system32\iudhqv.exe 

C:\WINDOWS\system32\sxe3B.tmp 

C:\WINDOWS\system32\pfvsdvk.exe 

C:\WINDOWS\system32\LogCrypt.dll 

C:\WINDOWS\system32\sxe48.tmp 

C:\WINDOWS\system32\myupk.exe 

C:\WINDOWS\system32\sxe55.tmp 

C:\WINDOWS\system32\xhljef.exe 

C:\WINDOWS\system32\sxe33.tmp 

C:\WINDOWS\system32\ruacw.exe 

C:\Documents and Settings\BOOS\sy44.exe 

C:\WINDOWS\system32\sxe1B.tmp 

C:\WINDOWS\system32\inskwzha.exe 

C:\WINDOWS\system32\sxe25.tmp 

C:\WINDOWS\system32\ftllrlvr.exe 

C:\WINDOWS\system32\sxe27.tmp 

C:\WINDOWS\system32\vnqgzkmz.exe 

C:\WINDOWS\system32\sxe1C.tmp 

C:\WINDOWS\system32\tsyiy.exe 

C:\WINDOWS\system32\sxe24.tmp 

C:\WINDOWS\system32\uelacsf.exe 

C:\WINDOWS\system32\sxe61.tmp 

C:\WINDOWS\system32\axfe.exe 

C:\WINDOWS\system32\sxe5E.tmp 

C:\WINDOWS\system32\ycfuu.exe 

C:\Documents and Settings\Agatka\sys54.exe 

C:\WINDOWS\system32\sxe10.tmp 

C:\WINDOWS\system32\wzmvxi.exe 

C:\Documents and Settings\Agatka\niiclcxi.bat 

C:\WINDOWS\system32\sxe4A.tmp 

C:\WINDOWS\system32\hdhscv.exe 

C:\WINDOWS\system32\sxe21.tmp 

C:\WINDOWS\system32\gpkutmh.exe 

C:\WINDOWS\system32\sxe49.tmp 

C:\WINDOWS\system32\mxveqpda.exe 

C:\WINDOWS\system32\ochyl.exe 

C:\Documents and Settings\BOOS\afhkds.exe 

C:\WINDOWS\system32\lcsass.exe 

C:\WINDOWS\system32\helperlcsass.exe 

C:\WINDOWS\system32\gvlmuv.exe 

C:\WINDOWS\system32\vyubg.exe 

C:\WINDOWS\system32\jbymfta.exe

C:\WINDOWS\system32\drivers\Epa78.sys 

C:\WINDOWS\Tck07.sys 

C:\WINDOWS\system32\msmsnger.exe 

C:\WINDOWS\system32\pwrrbdwu.exe 

C:\WINDOWS\system32\ffzjq.exe 

C:\WINDOWS\system32\eg.exe 

C:\WINDOWS\system32\sxxkkngu.exe 

C:\WINDOWS\system32\udbxmlf.exe 

C:\WINDOWS\system32\jhqjaom.exe 

C:\WINDOWS\system32\aapvzj.exe 

C:\WINDOWS\system32\nblr.exe 

C:\WINDOWS\system32\nctevgvg.exe 

C:\WINDOWS\system32\amwsl.exe 

C:\WINDOWS\system32\sguq.exe 

C:\WINDOWS\system32\ekirn.exe 

C:\WINDOWS\system32\gnqnb.exe 

C:\WINDOWS\system32\gkfb.exe 

C:\WINDOWS\system32\iyysj.exe 

C:\WINDOWS\system32\ubfl.exe 

C:\WINDOWS\system32\cmvhg.exe 

C:\WINDOWS\system32\pnsln.exe 

C:\WINDOWS\system32\ymsndas.exe 

C:\WINDOWS\system32\drivers\Tck07.sys 

C:\WINDOWS\system32\aglnewj.exe 

C:\WINDOWS\system32\ekdosl.exe 

C:\WINDOWS\system32\kddrx.exe 

C:\WINDOWS\system32\fngsiid.exe 

C:\WINDOWS\system32\amsndas.exe 

C:\WINDOWS\system32\bpxygdw.exe 

C:\WINDOWS\system32\hglayqb.exe 

C:\WINDOWS\system32\srvd.exe 

C:\WINDOWS\system32\hfaun.exe 

C:\WINDOWS\system32\sgudpzx.exe 

C:\WINDOWS\system32\rzofs.exe 

C:\WINDOWS\system32\xbwpo.exe 

C:\WINDOWS\system32\eutv.exe 

C:\WINDOWS\system32\qfxg.exe 

C:\WINDOWS\system32\tksh.exe 

C:\WINDOWS\system32\wcdraxg.exe 

C:\WINDOWS\system32\ucdx.exe 

C:\WINDOWS\system32\gcol.exe 

C:\WINDOWS\system32\fogyiph.exe 

C:\WINDOWS\system32\wnfrmv.exe 

C:\WINDOWS\system32\spicyx.sys 

C:\WINDOWS\system32\gurlsexy.exe 

C:\WINDOWS\system32\MrSonic.exe 

C:\WINDOWS\system32\jzz.exe 

C:\WINDOWS\system32\Spex.sys 

C:\Documents and Settings\Agatka\jzz.exe 

C:\Documents and Settings\Agatka\gurlsexy.exe 

C:\Documents and Settings\Agatka\ff00.exe 

C:\Documents and Settings\Agatka\swe.exe 

C:\Documents and Settings\Agatka\fng.exe

C:\WINDOWS\ver32.exe 

C:\WINDOWS\system32\amwba.exe 

C:\WINDOWS\system32\helpermfceee.exe 

C:\WINDOWS\system32\helperpnew.exe 

C:\WINDOWS\system32\helpersrvdc.exe 

C:\WINDOWS\system32\kcy.exe 

C:\WINDOWS\system32\lvtxpvz.exe 

C:\WINDOWS\system32\mfceee.exe 

C:\WINDOWS\system32\pin.exe 

C:\WINDOWS\system32\pnew.exe 

C:\WINDOWS\system32\pqcrvjq.exe 

C:\WINDOWS\system32\rtq.exe 

C:\WINDOWS\system32\srvdc.exe 

C:\WINDOWS\system32\svcchosst.exe 

C:\WINDOWS\system32\vshtlia.exe 

C:\WINDOWS\system32\winns.exe 

C:\WINDOWS\system32\wumz.exe

C:\WINDOWS\System32\twissxe\m1RC.exe 

C:\WINDOWS\System32\casx\Start.exe

C:\WINDOWS\system32\rtq.exe


Registry::

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 

"johnj3cd"=-

"ymsgupdate2"=-

"pgrnew"=-

"amsgupdate"=-

"johdfs"=-

"ymsgudsa"=-

"drtg"=-

"dsgb"=-

 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 

"NvCplDaemon"=-

"msvccc66"=-

"msngers"=-

"Win XP Service"=-

"WinServ 32"=-

"johnj3cd"=-

"ymsgupdate2"=-

"pgrnew"=-

"Application Layer Gateway Service"=-

"amsgupdate"=-

"johdfs"=-

"startdrv"=-

"ymsgudsa"=-

"ISPSERVICE"=-

"ubass"=-

"drtg"=-

"dsgb"=-

"ubasss"=-

"Local Security Authority Service"=-

"Services"=-

 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices] 

"msvccc66"=-

"WinServ 32"=-

"ubass"=-

"msnmessenger"=-

"ubasss"=-

 [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] 

"Windows LoL Layer"=-

"syswin.txt"=-

[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LogCrypt] 

[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\WLCtrl32] 

[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISPSERVICE] 

[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\johnj3cd] 

[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\meshal] 

[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msmss.exe] 

[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\pgrnew] 

[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\staeck122] 

[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows LoL Layer] 

[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ymsgupdate2]

>>Plik>>Zapisz jako… >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

– podobnie jak na tym obrazku –>88953CFScript-createdbyMiekiemoes.gif

Ma się rozpocząć usuwanie. (i powstanie log).

Daj ten log, który powstanie w trakcie usuwania.

Jeśli pójdzie dobrze, to:

Po restarcie usuń ręcznie folder C: ** Qoobox**.

jessi