Siszyd32 w autostarcie nie do usunięcia


(Monika Mioduszewska) #1

Nie mogę usunąć uruchamianego procesu z autostartu o nazwie sziszyd32.exe - wydaje mi się, że powoduje iż svchost zajmuje 90 % czasu procesora.

tu logi z HIJ.

Może ktoś mi pomoże

http://www.wklej.org/id/231777/


(jessica) #2

Ponieważ ta infekcja wstrzykuje swój złośliwy kod do pliku Systemowego "atapi.sys" to daj log z >ComboFix , bo ComboFix potrafi podmienić ten plik, o ile znajdzie jego zapasową kopię.

jessi


(Monika Mioduszewska) #3

Zgodnie z instrukcją uruchomiłam combofixa.

Coś tam porobił pousuwał pliki - i teraz 90 % zajmuje proces bezczynności - więc chyba jest ok - ale wklejam link do loga. Jak można na niego rzucić okiem i potwierdzić moje przypuszczenia.

Z góry dzięuję

http://www.wklej.org/id/231800/


(jessica) #4

Ściągnij ten plik i umieść go na C:\

Zaraz podam, co dalej


(Monika Mioduszewska) #5

Który plik?


(jessica) #6

http://www.speedyshare.com/files/19731473/grpconv.exe

Potem:

Wklej do Notatnika :

File::

c:\windows\system32\fjhdyfhsn.bat

c:\documents and settings\NetworkService\Dane aplikacji\fvgqad.dat

c:\documents and settings\tarndt\Dane aplikacji\avdrn.dat


FCopy::

c:\grpconv.exe | cc:\windows\system32\grpconv.exe

>>Plik>>Zapisz jako... >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

-------->cfscript10gm1.gif

Ma się rozpocząć usuwanie. (i powstanie log).

Daj ten log, który powstanie w trakcie usuwania.

jessi


(Monika Mioduszewska) #7

Zrobione

Tu log

http://www.wklej.org/id/231817/


(jessica) #8

Nie wszystko się wykonało, bo zrobiłam mały błąd, więc:

Wklej do Notatnika :

FCopy::

c:\grpconv.exe | c:\windows\system32\grpconv.exe

>>Plik>>Zapisz jako... >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

-------->cfscript10gm1.gif

Ma się rozpocząć kopiowanie. (i powstanie log).

Daj ten log, który powstanie w trakcie kopiowania.

jessi


(Monika Mioduszewska) #9

Zrobione zgodnie z instrukcją ale teraz patrzę w logu że chyba nie wszystko poszło ok

log

http://www.wklej.org/id/231817/


(jessica) #10

za szybko działasz, jak na moje możliwości - zajrzyj do mojego poprzedniego postu


(Monika Mioduszewska) #11

\dobra to jest log po wykonaniu skryptu tylko z tą jedną linią.

Mam nadzieję że już jest dobrze.

\obiecuję działać trochę wolniej :slight_smile:

http://www.wklej.org/id/231833/


(jessica) #12

Teraz jest OK.

Ten ściągnięty plik możesz już usunąć (ręcznie), bo został już skopiowany na właściwe miejsce.

Usuń ręcznie folder C:**** Qoobox.

Usuń kopie szkodników z folderu "System Volume Information" poprzez chwilowe wyłączenie "Przywracania Systemu":

To wszystko z mojej strony.

jessi


(Monika Mioduszewska) #13

Wszystko zgodnie z zaleceniami zrobione i kompurter w końcu działa jak należy.

Jeszcze raz bardzo dziękuję za pomoc i poświęcony czas