Witam, moja siostra dzisiaj prawie nie zdążyła na sesję przez to paskudztwo. Miała na kompie wszystkie zdjęcia i prace semestralną, na szczęście udało się wszystko odzyskać w trybie awaryjnym.
Ale teraz mam prośbę. Pomożecie mi usunąć to paskudztwo z komputera, bo nie działa on w żadnym trybie - jedynie awaryjny jakoś daje radę.
W autostarcie zobaczyłem siszyd.exe i vvsn.exe, oba wydały mi się podejrzane ;/
Dzięki i pozdrawiam
http://wklej.to/fWhL
jessica
(jessica)
15 Styczeń 2010 21:04
#2
Uruchom OTL i w oknie Custom Scans/Fixes wklej to:
:OTL SRV - File not found [Auto | Stopped] – -- (PEVSystemStart) SRV - File not found [Auto | Stopped] – -- (ipfw) O3 - HKU\S-1-5-21-3014734096-2153117991-2368763743-1005…\Toolbar\WebBrowser: (no name) - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - No CLSID value found. [2010-01-15 20:39:42 | 00,000,000 | -HSD | C] – C:\FOUND.084 [2010-01-15 20:32:15 | 00,000,000 | —D | C] – C:\Qoobox [2010-01-14 11:42:56 | 00,000,000 | -HSD | C] – C:\FOUND.083 [2010-01-12 11:59:54 | 00,000,000 | -HSD | C] – C:\FOUND.082 [2010-01-08 22:19:12 | 00,000,000 | -HSD | C] – C:\FOUND.081 [2010-01-08 12:26:50 | 00,000,000 | -HSD | C] – C:\FOUND.080 [2009-12-30 21:48:57 | 00,000,000 | —D | C] – C:\Program Files\VVSN [2009-12-20 22:06:40 | 00,000,000 | -HSD | C] – C:\FOUND.079 [2010-01-15 16:12:56 | 00,000,004 | ---- | C] () – C:\Documents and Settings\ACER\Dane aplikacji\avdrn.dat :Files C:\FOUND.078 C:\FOUND.077 C:\FOUND.076 C:\FOUND.075 C:\FOUND.074 C:\FOUND.073 C:\FOUND.072 C:\FOUND.071 C:\FOUND.070 :Commands [emptytemp] [Reboot]
Kliknij w Run Fix . Zatwierdź restart komputera.
Następnie uruchom OTL ponownie, tym razem kliknij “Run Scan”.
Pokaż nowy log OTL.txt oraz log z usuwania.
Pokaż też tamten log z ComboFixa, gdy go używałeś.
jessi
Fix OTL - http://wklej.to/bxq3
Scan OTL - http://wklej.to/AxmV
niestety lugu z COMBO nie mam, bo w momencie rozpoczęcia skanowania komputer doznał BSOD’a
jessica
(jessica)
15 Styczeń 2010 21:37
#4
Chciałam zobaczyć log ComboFixa, bo ta infekcja bardzo często wstrzykuje swój złośliwy kod do dwóch plików Systemowych:
atapi.sys
cdrom.sys
ComboFix potrafi zamienić te zarażone pliki na ich kopie, o ile znajdzie takie kopie na komputerze.
Teraz nie wiadomo, czy u Ciebie któryś z tych plików był zarazony, czy znalezine zostały kopie do zamiany.
Nowy log z OTL jest czysty.
jessi
To mam wykonać jeszcze raz skan Combo ?
jessica
(jessica)
15 Styczeń 2010 21:42
#6
Jeśli wszystko “gra”, to nie widzę takiej potrzeby.
Ale jeśli coś dalej jest “nie tak”, to możesz zrobić log - przynajmniej byłoby widać, czy po tych usuwaniach ComboFix wykrywa pliki Systemowe zarażone.
jessi
deFco247
(deFco247)
15 Styczeń 2010 21:50
#7
Można to sprawdzić w inny, nie ingerujący w system sposób…
W OTL kliknij na przycisk None , a następnie wklej w niego ten tekst:
Klikasz Run Scan (nie Run Fix) i pokazujesz wynikowy log.
Prawidłowe sumy MD5 dla systemu XP SP3 PL:
00,042,368 | ---- | M] (Microsoft Corporation) MD5=08FD04AA961BDC77FB983F328334E3D7 – C:\WINDOWS\system32\drivers\agp440.sys 00,096,512 | ---- | M] (Microsoft Corporation) MD5=9F3A2F5AA6875C72BF062C712CFA2674 – C:\WINDOWS\system32\drivers\atapi.sys 00,004,224 | ---- | M] (Microsoft Corporation) MD5=DA1F27D85E0D1525F6621372E7B685E9 – C:\WINDOWS\system32\drivers\beep.sys 00,062,976 | ---- | M] (Microsoft Corporation) MD5=1F4260CC5B42272D71F79E570A27A4FE – C:\WINDOWS\system32\drivers\cdrom.sys
jessica
(jessica)
15 Styczeń 2010 23:29
#9
Jak widać - jest OK.
Czyżby dalej tylko w Trybie Awaryjnym?
jessi
Tak dalej tylko tryb awaryjny. Mimo, że OTL pokazuje, że niby jest czysto, to i tak gdy włączam kompa to on staje dęba i w autostarcie siszyd32 i VVSN tez
jessica
(jessica)
16 Styczeń 2010 08:43
#11
No to daj nowe logi z OTL i z ComboFixa.
jessi
Log OTL - http://wklej.to/RGFD
Combo zaraz dam ;-0
– Dodane 16.01.2010 (So) 10:56 –
Combo jednak nie dam Przy tworzeniu logu ze skanowania był BSOD i tyle go widzieli