Syf po kliknięciu w linka gg


(Old Diesel) #1

Na wstepie: nieopatrznie kliknalem jakiegos linka podeslanego na gg. Skurczybyk odpalil sie w IE... no i dalej sami wiecie...

Objawy sa takie: odpala sie kopia svchost'a, ktora pozera sporo zasobow procesora i sukcesywnie pozera pamiec RAM zaczynajac od poziomu 14 MB, potem dochodzi do 110. Ta kopia svchosta probuje laczyc sie z netem (podejrzewam, ze skutecznie) - moglem to sprawdzic dzieki Process Explorerowi. Po kliknieciu wlasciwosci tej kopii svchost'a w zakladce TCP/IP pojawia sie duzo zdalnych adresow - duzo numerow IP w takiej postaci: xxx.xxx.xxx.xxx:smtp Najlepsze jest to, ze zabicie procesu nic nie daje - sam wstaje ponownie i wszystko zaczyna sie od nowa.

A teraz log:


(Bbieniol) #2

W trybie awaryjnym usuwasz (wpisy Hijackiem, pliki/foldery na czerwono ręcznie z dysku):

Po zabiegach nowy log z Hijacka + log z Silent Runners


(Old Diesel) #3

Wyglada na to, ze pomoglo juz to. Nie uruchamia sie ta kopia svchost'a, ktora pochlaniala zasoby i probowala laczyc sie z netem.

Tutaj logi po kasowaniu:

i Silent Runners:

Dzieki za blyskawiczna pomoc i przepraszam za wyslanie dwa razy tego samego tematu - myslalem, ze mi sie Opera zwiesila. Oczywiscie czekam na komentarz do nowych logow.


(adam9870) #4

Użyj Windows Worms Doors Cleanera zmień znaczki z disable na enable (wszystkie znaczki maja być na zielono, jezeli któryś z nich bedzie na żółto to go zostaw). Po użyciu narzędzia wymagany jest restart.

Proszę otworzyć Notatnik i wkleić w nim to:

Plik >>> Zapisz jako >>> Zmień rozszerzenie z TXT na Wszystkie pliki >>> Zapisz pod nazwą FIX.REG i uruchom go w trybie awaryjnym


(Old Diesel) #5

Zrobione.

BTW: wpis O20 z hijack'a tez jest usuniety - czego nie widac w ostatnim logu.

Wszystko wrocilo do normy. Wielkie dzieki za pomoc.