Services.exe na 50% procesora oraz rootkit nmdfgds0.dll

joshrob · 6 Marzec 2009 07:24

Witam,

Po powrocie laptopa z autoryzowanego serwisu producenta (jak na ironię) laptop dziwnie zaczął się zachowywać. Services.exe zajmował dokładnie 50% jednordzeniowego procesora, a po instalacji Avast Home, wykrył on w pamięci rootkit bazujący na bibliotece nmdfgds0.dll.

Ściągnąłem szybko HiJack oraz Combo oraz odłączyłem się od internetu; oto logi Combo oraz HiJack.

Combo coś wyktyl i pousuwał, po restarcie i update Avast, ten drugi również wykrył i wykasował rootkit i jednego trojana.

Proszę o wskazówki, co jeszcze mogę pousuwać, jaki program zainstalować?

Pozdrawiam,

J.

spandaupol · 6 Marzec 2009 07:47

Wylecz pendriva lub kartę pamięci

Flash Disinfector lub Perlovga Removal Tool

lub format

wklej do notatnika:

Zapisz plik jako CFScript.txt najlepiej aby ikonka tego pliku znajdowała się obok ikonki ComboFix.exe

Przeciągnij i upuść plik CFScript.txt na ikonkę ComboFix.exe powinno rozpocząć się usuwanie po tym daj log na forum.

Loga wklej na www.wklejto.pl lub http://www.wklej.org/ a w poście daj linka

joshrob · 6 Marzec 2009 09:37

Dzięki za szybką odpowiedź

Oto log z combofix.

Zauważyłem natomiast ze na dysku C pojawiły się:

spandaupol · 6 Marzec 2009 09:42

Ten plik c:\temp\ catchme.dll usuń w trybie awaryjnym windows

Tak te pliki i katalog są efektem zainstalowania przez Combofixa konsoli odzyskiwania, proszę nie usuwać

Wszystko na temat konsoli znajdziesz tutaj http://www.searchengines.pl/index.php?showtopic=14270

Log wygląda na czysty.

usuń ręcznie folder C: \Qoobox oraz instalkę Combofix z dysku.

Przeczyść system oraz rejestr CCleaner

Wykonaj optymalizacje Autostartu

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar Mój komputer Kaspersky Online Scanner Przeskanuj system daj raport na forum

lub Dr.WEB CureIt!

joshrob · 6 Marzec 2009 11:34

Wszystko czyste. Serdecznie dziękuję za pomoc.

Czy są jakieś przeciwwskazania aby pliki założone przez instalatora konsoli odzyskiwania zamianić na systemowe/ukryte ?

spandaupol · 6 Marzec 2009 12:45

Co Ty właściwie chcesz zrobić? Przecież masz wszystko jak trzeba. Jeśli chcesz odinstalować konsole odzyskiwania windows to w linku który podałem jest wszystko jak to zrobić.

joshrob · 6 Marzec 2009 14:08

Na dysku C stworzone zostały m.in. 2 pliki

Oba nieukryte i niesystemowe.

Skoro są częścią konsoli odzyskiwania, aby uniknąć ich przypadkowego skasowania, pytam się, czy są jakieś przeciwwskazania by dodać do nich atrybuty H i S, tak aby przy zalecanych/domyslnych ustawianiach folderów, były niewidoczne?

spandaupol · 6 Marzec 2009 15:26

Plik " boot.bak" to kopia bliku systemowego boot.ini u mnie ma atrybut ukryty a widzę go dlatego że mam zaznaczoną opcję Pokaż ukryte pliki i foldery

Plik cmldr należy do konsoli odzyskiwania windows u mnie też ma atrybut ukryty jak wyżej Jeśli rzeczywiście u Ciebie jest inaczej to nadaj tym plikom atrybut ukryty (H) i tyle.

Aby były one niewidoczne

Start - Mój komputer - Narzędzia - Opcje Folderów - Widok - zaznacz - Nie pokazuj ukrytych plików i folderów

joshrob · 7 Marzec 2009 09:43

Dzięki za pomoc,

Pozdrawiam,

J.