Witam,

Od kilku dni mam problem z moim komputerem.

Koło zegarka wyświetla mi się cały czas skaner poczty z avasta, przy czym co chwilę wyskakuje mi informacja o wirusie

“Zbyt dużo identycznych wiadomości w wyznaczonym czasie” z avasta. Kilka razy miałem komunikat o wirusie - proźba o skan przy rozruchu, ale niestety nic on nie wykazał.

Zastosowałem się do wskazówek zawartych tu: http://www.searchengines.pl/Usuwanie-trojana-RpcxSs-t87175.html , jednak po godzinie problem znów się pojawił.

Oto log z HJT

http://www.wklejto.pl/50251

Z góry dziękuję za pomoc

Pozdrawiam

Log HJT to nic nam nie mówi.

Przed uruchomieniem poniższych narzędzi odinstaluj (jeśli posiadasz) wszelkie programy tworzące wirtualne napędy (Daemon Tools, Alcohol itp.) oraz usuń sterownik SPTD narzędziem SPTDInst z opcji Uninstall (jeśli będzie zszarzałe, to OK).

Pokaż logi:

OTL

Przestawiasz w nim Processes i Modules na All oraz wklejasz w dolne białe okienko Custom Scans/Fixes :

Klikasz Run Scan.

System Repair Engineer

Smart Scan -> klikasz Scan.

Po skanie klikasz w okienku Save Reports i wklejasz zawartość powstałego logu.

GMER

W GMER nic nie zmieniamy -> wciskamy Szukaj (skan potrwa kilkadziesiąt minut) -> po skanie Kopiuj.

(Na Windows Vista i 7 uruchamiamy programy z menu Uruchom jako Administrator… ).

podstawowe pytanie to czy windows legalny i czy masz aktualizacje włączone

i np. załatana dziura confickera itd…

podejrzane wpisy:

O4 - HKLM…\Run: [sysgif32] C:\WINDOWS\TEMP~TM4D.tmp

O4 - Startup: siszyd32.exe

Niestety, podany link nie bardzo działa. Wstępne poszukiwania na innych stronach nie powiodły się.

Od dłuższego czasu w tym temacie nic nie ruszałem, po prostu nic dziwnego się nie działo, więc zostawiłem całość w spokoju.

Edytowałem posta.

OTL

http://www.wklejto.pl/50274

System Repair Engineer

http://www.wklejto.pl/50273

GMER

http://wklejto.pl/50272

Proszę, wszystko dokładnie tak jak napisałeś.

Przepraszam, że to trochę trwało - GMER skanował 90 minut.

Przy okazji, avast zaczął krzyczeć o virusie

C:\WINDOWS\system32\Drivers\rgzyfh

Jest tutaj ciężka infekcja rootkitowa i zwykle się używa Combofixa, który jest akurat niedostępny.

Potrzebne więc będzie użycie b. starych metod sprzed kilku lat.

Uruchom GMER -> zakładka CMD -> wklejasz w górne czarne okno:

Klikasz Uruchom , restart.

Pokaż log z AVZ

Klikasz na dole po prawej przycisk

Po update zaznacz wszystkie partycje - menu File - Standard Scripts - opcja 2 - Execute selected scripts.

Po zakończeniu skanu klikasz ikonę dyskietki, zapisujesz log i wklejasz jego zawartość.

Po wykonaniu tych czynności w dolnym oknie GMER’a (log) wyświetla mi się:

Próbowałem jedynie przy CMD.EXE - REGEDIT.EXE nie ruszałem

edit.

Komendy są podobne do tych, które używałem przy metodzie http://www.searchengines.pl/Usuwanie-trojana-RpcxSs-t87175.html , więc może udałoby się to usunąć przy rozruchu systemu z Konsoli Odzyskiwania, z tym że moja znajomość w tym temacie jest łagodnie mówiąc znikoma, więc nie chce niczego próbować sam.

Zapomniałem o losowej nazwie GMERa… #-o

Zrobiłem jak kazałeś - po wciśnięciu uruchom dostałem wiadomość

Po uruchomieniu avast nadal trąbi o wirusie “C:\WINDOWS\system32\drivers\rgzyfh.sys”, prosząc o skan podczas rozruchu.

Jedyna zmiana jest taka, że komputer przestał spamować, za co jestem Ci niezmiernie wdzięczny.

AVZ

http://www.wklejto.pl/50283

Tyle że ja do tej pory nic nie wykonałem… ;]

Pobierz The Avenger i uruchom.

Wklej w niego ten tekst:

Execute i zgadzasz się na restart.

Po restarcie kasujesz plik C:\Avenger\backup.zip i dajesz tutaj do sprawdzenia raport C:\avenger.txt

Plik C:\Avenger\backup.zip usunięty.

raport C:\avenger.txt

http://www.wklejto.pl/50287

edit.

Avast ponownie wzywa do skana podczas rozruchu z powodu wirusa_…\rgzyfh_

edit2.

Komputer znów zaczął rozsyłać spam ;\

Wykonaj pełny skan Dr. Web CureIt

Postaram się to zrobić, jednak ściąganie tego zajmie mi trochę - dzisiaj nie da rady.

To co jest nowego to to, że oprócz: rgzyfh.sys teraz mam jeszcze szisyd32.exe o czym wspominał hINDUss

Uruchamiałem SophosAntiRootkit - wykrył parę rootkitów jednak tych dwóch o których napisałem wyżej nie dał rady usunąć.

Napiszcie czy w ogóle da się coś z tym zrobić.

No pewnie, że da się zrobić. Nie jesteś pierwszy i nie ostatni, który ma zarówno CONFICKERA, jaki i tego wirusa zarażającego plik systemowy “atapi.sys”.

Wykonuj, co Ci zalecą.

Choć, wg mnie, najszybszym sposobem jest użycie i danie tu logu z ComboFix >http://www.speedyshare.com/files/19764394/kombik.com

jessi

jessi - co do Combo na 14.12.2009:

ComboFix is not available for download until an issue with the program has been resolved. Please be patient while the developer fixes the program and makes it available once again. As more information becomes available, we will update this page. 


DO NOT attempt to download ComboFix from sites other than BleepingComputer.com and Forospyware.com! 


Other sites hosting ComboFix are not authorized mirrors and are hosting outdated copies of ComboFix that contain a bug that may render some machines unbootable. Using unauthorized mirrors of ComboFix puts your computer at risk of not booting again. Please wait for the official version to be fixed and released again. 


We will also announce when ComboFix is available on our Twitter and Facebook pages.

proszą, aby nie używać

Co więc mogę zrobić ?

Używać ComboFix czy wstrzymać się z tym ?