Siszyd32, ntldr is missing, zamulanie plus inne syfy


(Kuba Kubek) #1

Na początek logi: http://www.wklej.org/id/259734/ <- otl

http://wklej.org/id/259736/ <- otl extras

http://wklej.org/id/259738/ <-combofix

A teraz maly opis problemu.

Zauwazylem 90% procentowe obciazenie generowane przez jeden z procesow svhost.

W msconfigu zauwazylem owego siszyd32. Proby jego wylaczenia, powodowaly automatyczne wlaczenie w msconfigu.

Uruchomilem wiec komputer w trybie awaryjnym i usunalem plik siszyd32.exe z autostartu (bo tam wlasnie sie dziad wrzucil) i po restarcie zobaczylem komunikat ntldr is missing.

Wrzucilem wiec plytke windowsa i przez konsole poleceniem bootcfg /default przywrocilem go do normalnego bootowania (fixboot, fixmbr - nie pomagaly)

Log z gmera wkleje troche pozniej - jeszcze sie skanuje.

Z gory dziekuje za pomoc


(jessica) #2

Wklej do Notatnika :

File::

c:\windows\system32\drivers\pxbgek.sys

c:\documents and settings\NetworkService\Dane aplikacji\fvgqad.dat


Driver::

pxbgek


Registry::

[-HKEY_LOCAL_MACHINE\System\ControlSet002\Services\pxbgek]

>>Plik>>Zapisz jako... >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

-------->60876047vu9.gif

Ma się rozpocząć usuwanie. (i powstanie log).

Daj ten log, który powstanie w trakcie usuwania.

jessi


(Kuba Kubek) #3

Dzięki za szybką reakcję.

http://wklej.org/id/259769/ <- nowy log


(jessica) #4

Usunięte, i nic więcej szkodliwego nie widzę.

Usuń ręcznie folder C:\Qoobox.

Usuń kopie szkodników z folderu "System Volume Information" poprzez chwilowe wyłączenie "Przywracania Systemu":

jessi


(Łukasz) #5

@jessi

JAK NIE WIDZISZ NIC SZKODLIWEGO ?? , a proces " svhost ", powinien być svchost , czyli ten proces jest zainfekowany !!

Nieprawidłowy zapis o tym świadczy, to proces virusa w taki sposób podszywa się pod krytyczne usługi systemu operacyjnego .

@wolnylogin

Zakończ ten proces z menadżera zadań .


(jessica) #6

@ Łukasz - skąd wytrzasnąłeś ten proces? Bo w logu takiego nie ma.

jessi