Na początek logi: http://www.wklej.org/id/259734/ <- otl
http://wklej.org/id/259736/ <- otl extras
http://wklej.org/id/259738/ <-combofix
A teraz maly opis problemu.
Zauwazylem 90% procentowe obciazenie generowane przez jeden z procesow svhost.
W msconfigu zauwazylem owego siszyd32. Proby jego wylaczenia, powodowaly automatyczne wlaczenie w msconfigu.
Uruchomilem wiec komputer w trybie awaryjnym i usunalem plik siszyd32.exe z autostartu (bo tam wlasnie sie dziad wrzucil) i po restarcie zobaczylem komunikat ntldr is missing.
Wrzucilem wiec plytke windowsa i przez konsole poleceniem bootcfg /default przywrocilem go do normalnego bootowania (fixboot, fixmbr - nie pomagaly)
Log z gmera wkleje troche pozniej - jeszcze sie skanuje.
Z gory dziekuje za pomoc
jessica
(jessica)
8 Styczeń 2010 10:46
#2
Wklej do Notatnika :
File::
c:\windows\system32\drivers\pxbgek.sys
c:\documents and settings\NetworkService\Dane aplikacji\fvgqad.dat
Driver::
pxbgek
Registry::
[-HKEY_LOCAL_MACHINE\System\ControlSet002\Services\pxbgek]
>>Plik>>Zapisz jako… >>> CFScript
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe
-------->
Ma się rozpocząć usuwanie. (i powstanie log).
Daj ten log, który powstanie w trakcie usuwania.
jessi
Dzięki za szybką reakcję.
http://wklej.org/id/259769/ <- nowy log
jessica
(jessica)
8 Styczeń 2010 11:29
#4
Usunięte, i nic więcej szkodliwego nie widzę.
Usuń ręcznie folder C:\Qoobox .
Usuń kopie szkodników z folderu “System Volume Information” poprzez chwilowe wyłączenie “Przywracania Systemu”:
>START>Panel Sterowania>System>Przywracanie Systemu>>zaznacz w okienku przy “Wyłącz przywracanie na wszystkich dyskach”>Zastosuj>OK. (W czasie tego chwilowego wyłączenia te kopie usuną się samoczynnie, więc nie ma potrzeby zaglądania do folderu.) Potem możesz powrócić do poprzedniego ustawienia (czyli usunąć zaznaczenie z okienka).
jessi
Lukasz6
(Łukasz)
8 Styczeń 2010 11:54
#5
@jessi
JAK NIE WIDZISZ NIC SZKODLIWEGO ?? , a proces " svhost ", powinien być svchost , czyli ten proces jest zainfekowany
Nieprawidłowy zapis o tym świadczy, to proces virusa w taki sposób podszywa się pod krytyczne usługi systemu operacyjnego .
@wolnylogin
Zakończ ten proces z menadżera zadań .
jessica
(jessica)
8 Styczeń 2010 12:00
#6
@ Łukasz - skąd wytrzasnąłeś ten proces? Bo w logu takiego nie ma.
jessi