detri
(detri)
7 Luty 2010 20:34
#1
Problem przedstawia się następująco. Co około 30 sekund wyskakuje mi błąd aplikacji svchost.exe W internecie wyczytałem że to wirus niestety ale usunięcie go nie przyniosło żadnej zmiany. Do tego przy kursorze widnieje klepsydra a gdy otwieram program pojawia się on w procesach ale nie otwiera się.
Log z HijackThis: http://www.wklejto.pl/56867
Proszę o jakąś pomoc
deFco247
(deFco247)
7 Luty 2010 21:31
#2
Jest tutaj kilka infekcji, lecz HijackThis to za mało…
Pokaż logi z narzędzi:
OTL
Przestawiasz w nim Processes i Modules na All oraz wklejasz w dolne białe okienko Custom Scans/Fixes :
Klikasz Run Scan .
System Repair Engineer
detri
(detri)
7 Luty 2010 22:20
#3
deFco247
(deFco247)
7 Luty 2010 22:38
#4
Będzie ciężko… Tyle infekcji to ja widuję w ciągu całego tygodnia, ale na kilkunastu komputerach… :shock:
Uruchom system w trybie awaryjnym .
Pobierz Combofix , ale nie uruchamiaj.
Przed uruchomieniem odinstaluj wszelkie programy tworzące wirtualne napędy (Daemon Tools, Alcohol itp.) oraz usuń sterownik SPTD narzędziem SPTDInst z opcji Uninstall (jeśli będzie zszarzałe, to OK).
Podczas pobierania i skanowania Combofixem należy wyłączyć wszelkie antywirusy i firewalle .
Otwórz Notatnik i wklej do niego bez frazy Code:
File::
C:\ecjew.exe
C:\WINDOWS\updated7.exe
C:\WINDOWS\system32\app_dll.dll
C:\WINDOWS\system32\cwmrq.dll
C:\WINDOWS\system32\drivers\KGootkit.sys
C:\WINDOWS\system\winsma32.exe
C:\WINDOWS\System32\drivers\yhcnky.sys
C:\WINDOWS\tasks\At23.job
C:\WINDOWS\tasks\At22.job
C:\lsass.exe
C:\WINDOWS\MEMORY.DMP
C:\WINDOWS\tasks\At9.job
C:\WINDOWS\tasks\At8.job
C:\WINDOWS\tasks\At7.job
C:\WINDOWS\tasks\At6.job
C:\WINDOWS\tasks\At5.job
C:\WINDOWS\tasks\At4.job
C:\WINDOWS\tasks\At3.job
C:\WINDOWS\tasks\At24.job
C:\WINDOWS\tasks\At21.job
C:\WINDOWS\tasks\At20.job
C:\WINDOWS\tasks\At2.job
C:\WINDOWS\tasks\At19.job
C:\WINDOWS\tasks\At18.job
C:\WINDOWS\tasks\At17.job
C:\WINDOWS\tasks\At16.job
C:\WINDOWS\tasks\At15.job
C:\WINDOWS\tasks\At14.job
C:\WINDOWS\tasks\At13.job
C:\WINDOWS\tasks\At12.job
C:\WINDOWS\tasks\At11.job
C:\WINDOWS\tasks\At10.job
C:\WINDOWS\tasks\At1.job
C:\WINDOWS\System32\driversx.exe
C:\rkfo.exe
C:\Documents and Settings\Ekri\oashdihasidhasuidhiasdhiashdiuasdhasd
C:\WINDOWS\System32\imPlayok.exe
C:\Documents and Settings\Ekri\imPlayok.exe
C:\abuhg.exe
C:\WINDOWS\System\winsma32.exe
C:\brhpxf.exe
C:\uipcafn.exe
C:\lhnttkix.exe
C:\xksbjacq.exe
C:\ainu.exe
C:\nkorf.exe
C:\tpywb.exe
C:\rhgnlg.exe
C:\ecjew .exe
C:\Documents and Settings\Ekri\rthdcpl.exe
C:\Documents and Settings\Ekri\rundll32.exe
C:\Documents and Settings\Ekri\nwiz.exe
C:\Documents and Settings\Ekri\rundll32 .exe
C:\WINDOWS\tbpanel.exe
C:\WINDOWS\System32\xraidsetup.exe
C:\WINDOWS\msa.exe
Folder::
C:\WINDOWS\Temp
C:\RECYCLER
Driver::
sxlndv
KGootkit
yhcnky
Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Taskman"=-
"Shell"="Explorer.EXE"
"UserInit"="C:\WINDOWS\system32\userinit.exe,"
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=-
Plik zapisz pod nazwą CFScript , najlepiej w tym samym folderze co Combofix.exe
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę Combofix.exe
Powinno się rozpocząć usuwanie.
_ Potem dajesz log z usuwania Combofix. _
detri
(detri)
8 Luty 2010 17:13
#5
Oto log wygenerowany przez combofix: http://www.wklejto.pl/56956
deFco247
(deFco247)
8 Luty 2010 17:51
#6
Miałeś:
odinstaluj (jeśli posiadasz) wszelkie programy tworzące wirtualne napędy (Daemon Tools, Alcohol itp.) oraz usuń instalowany przez nie sterownik SPTD narzędziem SPTDInst z opcji Uninstall (jeśli będzie zszarzałe, to OK).
Nie zrobiłeś tego i teraz mam w logu niejednoznaczne informacje. Nie wiem, czy masz kolejnego rootkita, czy nie.
Koniecznie usuń wszystko co związane z Daemon Toolsem i usuń sterownik SPTD.
Otwórz Notatnik i wklej do niego:
Plik zapisz pod nazwą CFScript , najlepiej w tym samym folderze co Combofix.exe
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę Combofix.exe
Powinno się rozpocząć usuwanie.
_ Potem dajesz log z usuwania Combofix. _
detri
(detri)
9 Luty 2010 20:00
#7
Nie mogę odinstalować Demon Tools Lite i nie wiem co zrobić.
deFco247
(deFco247)
9 Luty 2010 20:16
#8
No to zastosuj Defogger , a następnie wykonaj powyższy skrypt Combofixa.
detri
(detri)
9 Luty 2010 20:42
#9
Taki log wygenerował combofix: http://www.wklejto.pl/57115
deFco247
(deFco247)
9 Luty 2010 20:49
#10
Na kasację pójdą niektóre programy niestety…
Otwórz Notatnik i wklej do niego bez frazy Code:
File::
c:\program files\Adobe\Reader 9.0\Reader\reader_sl .exe
c:\program files\Common Files\Ahead\Lib\nerocheck .exe
c:\program files\Common Files\Ahead\Lib\nmbgmonitor .exe
c:\program files\Common Files\LightScribe\lightscribecontrolpanel .exe
c:\program files\Common Files\Real\Update_OB\realsched .exe
c:\program files\DAEMON Tools Lite\daemon .exe
c:\program files\GIGABYTE\GEST\run .exe
c:\program files\HP\HP Software Update\hpwuschd2 .exe
c:\program files\Java\jre6\bin\jusched .exe
c:\program files\Nokia\Nokia PC Suite 7\pcsuite .exe
c:\program files\Nowe Gadu-Gadu\gg .exe
c:\program files\Steam\steam .exe
c:\windows\RaidTool\xinside .exe
Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Adobe_Reader"=-
Plik zapisz pod nazwą CFScript , najlepiej w tym samym folderze co Combofix.exe
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę Combofix.exe
Powinno się rozpocząć usuwanie.
_ Potem dajesz log z usuwania Combofix. _
detri
(detri)
10 Luty 2010 19:39
#11
deFco247
(deFco247)
10 Luty 2010 19:47
#12
W logu już nie widać niczego po Vundo.
Uruchom OTL i kliknij w nim CleanUp .
Wyłącz i włącz Przywracanie Systemu na wszystkich dyskach. Instrukcja XP .
Wykonaj pełny skan Dr.Web CureIt .
Gdy będą wirusy, pokaż raport.
Wyczyść rejestr i dysk CCleaner oraz wyłącz nim zbędniki z autostartu (Narzędzia -> Autostart).
No i zaktualizuj system do stanu Service Pack 3 .
Reinstalacja niedziałających/uszkodzonych programów również do wykonania.
detri
(detri)
11 Luty 2010 15:59
#13
Taki raport otrzymałem ze skanowania http://www.wklejto.pl/57295
deFco247
(deFco247)
11 Luty 2010 16:02
#14
Skala infekcji była duża i do tego nie Vundo.
W każdym razie obiekty zostały wyleczone/usunięte i powinno być czysto.