Trojany i inne wirusy


(Kamilpkp6) #1

Witam!

Mam kilka problemów z komputerem i podejrzewam wirusa/y a właściwie Trojana którego znalazł mi Avast lecz go usunąłem poprzez usunięcie folderu z Program files bo bez przerwy znajdywał chyba nawet 3 trojany i odciął mi internet.Te wirusy znajdowały się w Ustawienia lokalne\Temp i tam siedziały w jakiś plikach.

Oto lista problemów:

-Jak się coś zawiesi to restartuje komputer ale po restarcie i po około 3 minutach pojawia się okienko którego nie da się skasować a mianowicie zamykanie systemu. Pisze że: Trwa zamykanie systemu. Zapisz wszystkie rozpoczęte prace i wyloguj się. Wszystkie niezapisane zmiany zostaną utracone. Zamknięcie zostało zainicjowane przez ZARZĄDZANIE NT\SYSTEM czas do zamknięcia: 00:01:00.

-w Program files są jakieś programy chyba szkodniki nie znam ich: NewDotNet,WinPcap itd

-Winamp wywala z błędem podczas uruchamiania: wyślij nie, wysyłaj

-Movie Maker też wywala z błędem i się zawiesza podczas tworzenia filmu (pliki w avi i mp3).

-Spowolnienie systemu

-Rzadko bo 1 raz na około 2 miesiące potrafi się sam zrestartować.

-Otwiera 50 okienek Explorera także 1 raz na 2-3 miesiące.

-Często po włączenie kompa po około 3 min. od pokazaniu się pulpitu wywala z błędem wyślij\nie wysyłaj svchost.exe

-Na klawiaturze mam dodatkowe przyciski regulacji głośności to po naciśnięciu któregoś z nich kursor myszki nie reaguje na naciśnięcia (reaguje tylko na ruchy myszki)

-W podglądzie zdarzeń najczęściej są błędy typu: Aplikacja powodująca błąd svchost.exe...

-W autostarcie są jakieś 2 podejrzane pliki: rncsys32.exe i ikowin32.exe

-Czasami na ułamek sekundy pokazuje się wiersz polecenia tylko tak szybko że nie widziałem jego lokalizacji.

Inne:

-Mam kopię większości plików ściągniętych z neta na dysku D i wirusy też tam mogą być.

-Podczas skanowania OTL-em i po zmianie standardowych ustawień tak jak pisało w instrukcji na forum pojawił się dźwięk błędu ale błędu nie było widać lecz system się zawiesił i zrestartowałem

kompa ale po włączeniu pojawił się na pulpicie wygaśnięty plik Thumbs.db i w innych folderach też są jakieś wygaśnięte pliki a na końcu tytułów filmów są końcówki avi. itd jak się tego pozbyć ? Zrobiłem 2 skan tym razem bez zmiany ustawień i znowu były błędy: brak dysku,kontynuuj,anuluj,ponów próbę,lecz się udało.

To wszystko.

Z góry dziękuję za pomoc.

Oto logi:

HijackThis: http://www.wklej.org/id/137821/

OTL: http://www.wklej.org/id/137826/

Extras: http://www.wklej.org/id/137828/

GMER:Nie dało się zrobić loga bo po ok. 2 godzinach zaczęły się błędy: odcięło mi internet,zniknęły ikonki z pulpitu,pisało że jakieś pliki zostało potracone albo skasowane musiałem zrestartować kompa i podczas skanowania dźwięk był lekko zniekształcony.


(Henio Mazurek) #2

W tym wypadku zastosuj ComboFix, zmień mu nazwę już w momencie pobierania, bo może być blokowany. Jak w normalnym trybie nie pójdzie to uruchom w awaryjnym.

Podczas pobierania i skanu ComboFix'em wyłącz antywirusa i zapory.

Logi wklej na wklej.to a tutaj tylko link do wklejki.


(Kamilpkp6) #3

Po skanowaniu ComboFixem wszystko szło dobrze tylko że usunął NewDotNet przez co straciłem internet i musiałem zrobić przywracanie systemu i wirusy znowu powróciły. Jak usunąć NewDotNeta żeby nie stracić połączenia z internetem ? Próbowałem zainstalować ponownie oprogramowanie internetowe ale to nic nie dało. Oto log z Combo:

http://wklej.org/id/138352/


(Henio Mazurek) #4

Wklej w notatnik taki tekst

Zapisz jako CFScript.txt. Ten plik przeciągasz na ikonę ComboFix'a. Rozpocznie się usuwanie, wklej powstały log.


(Kamilpkp6) #5

Po przywracaniu systemu ściągnąłem jeszcze raz Combofixa i chcę odinstalować Nortona ale jest błąd w dodaj lub usuń programy: Nie można odnaleźć określonego modułu., a gdy chcę usunąć folder z Nortonem to jest odmowa dostępu.

Nowe problemy:

-W trakcie zamykania systemu pojawia się: ccApp i klikam zakończ teraz.

-Niektóre programy się nie uruchamiają: Media Player i Explorer.

PS: Nie zrobiłem tego co pisałeś bo Combowi przeszkadza Norton.


(Henio Mazurek) #6

Masz tutaj same ciężkie infekcje. I wręcz wskazane jest użycie ComboFix'a.

No to jeszcze tak - pobierz usuwacz na Nortona i pozbądź się go

http://service1.symantec.com/Support/ts ... 3108162039

Jak normalnie nie pójdzie to w trybie awaryjnym.

Potem zastosuj skrypt, jak nie w trybie normalnym to w awaryjnym.

Jak i tym razem się nie będzie dało to trzeba będzie kombinować innymi narzędziami.


(Kamilpkp6) #7

Norton odinstalowany. Upuszczam plik CFScript.txt na ikonkę ComboFixa i pyta się czy uruchomić, czy zgadzam się na licencje itp. I tu pytanie. Widziałem animacje upuszczania tego pliku na ikonkę Combo i trwało to kilka sekund i nie było żadnych komunikatów a u mnie są więc czy coś robię źle czy wszystko robię dobrze. Mają być te komunikaty tak jak przy zwykłym skanowaniu ?


(Henio Mazurek) #8

Dobrze robisz. Są takie komunikaty i to jest normalne.


(Kamilpkp6) #9

Znowu musiałem zrobić przywracanie systemu przez tego NewDotNeta. Log z Combo:

http://wklej.org/id/139469/


(Henio Mazurek) #10

Tym razem na początek pobierz WinsockFix.

Jeśli i tym razem stracisz internet po zastosowaniu skryptu to w WinsockFix kliknij Fix i powinno się naprawić.

Taki skrypt rób

Powtarzasz operację i dajesz nowy log.


(Kamilpkp6) #11

Kilka pytań:

-Nie rozumiem: Powtarzasz operację.

-A nowy log z jakiego programu ?

-Ten skrypt mam wkleić w polu w WinsockFix bo nigdzie nie widzę tego pola i myślę, że w ComboFix'ie ?

-Może przed tą operacją lepiej kliknąć w WinsockFix: ReG-Backup ?

-Wątpię ale czy Ci się nie pomyliło z programem LspFix: http://cybertrash.pl/images/tata/New.ne ... otnet.html ?

Sorki, że tak dużo pytań ale jestem w tym zielony.


(Henio Mazurek) #12

Powtarzasz operację znaczy wklejasz skrypt do notatnika, zapisujesz jako CFScript.txt i upuszczasz na ComboFix'a => log który powstanie pokazujesz (nowy log => ten co powstanie po zastosowaniu skryptu).

Jeśli stracisz internet po zastosowaniu skryptu => w programie WinsockFix klikasz Fix, żebyś nie musiał przywracać systemu z infekcją.

Reg backup nie jest wymagany (ComboFix tworzy backup rejestru), poza tym i tak nie działa.

Nic mi się nie pomyliło.

Wykonać, bo tak zawirusowanego komputera to jeszcze nie widziałem.


(Kamilpkp6) #13

Log z usuwania: http://wklej.org/id/140003/

Nareszcie odpalił net bez tego szkodnika.

Uwagi: -W autostarcie nadal są: ikowin32.exe i rncsys32.exe

-W program files pojawił się folder: NewDotNet(2) lecz jest pusty

-Programy działają po włączeniu ich ale gdy chcę obejrzeć film to nie idzie tylko muszę odpalać media playera

-Po zastosowaniu 1 skryptu komp przyśpieszył tym razem nie


(Henio Mazurek) #14

To wygląda na log robiony wczoraj i to ten pierwszy. Wklej najświeższy.


(Kamilpkp6) #15

http://wklej.org/id/140016/

Mój błąd, a co do tych programów to nie działają filmy w avi i mp3 reszta chodzi.

I przeglądarka coś dziwnie chodzi (zjeżdżanie w dół i w górę jest oporne)


(Henio Mazurek) #16

Zazwyczaj strumienie podpięte pod folder systemowy ComboFix kasuje z automatu, tym razem ma jakiś problem. Cóż to inaczej się tego pozbędziemy. Ale na razie wklej w notatnik

Robisz to samo co poprzednio bo sytuacja dalej niewesoła. Dajesz log.


(Kamilpkp6) #17

Log z usuwania: http://wklej.org/id/140422/

W autostarcie nadal są ikowin i rncsys.

Na dysku D jest jakiś folder: 97db803da01d3f98fad1a4026cc45073


(Henio Mazurek) #18

Ten folder to od aktualizacji - nie ruszać.

Na początek pobierz GMER.

W GMER przejdź do zakładki CMD i w górne czarne okno wklej

Klikasz Uruchom.

Uwaga: za gmer.exe wpisujesz aktualną nazwę GMER'a (taką pod jaką się zapisał) bo ściąga się pod losową.

Następnie pobierz Streams.

Umieść go w c:\windows\system32

Następnie start => uruchom => cmd i wpisz, enter

Potem wklejasz log z ComboFix robiony z dwukliku i log z gmer (zakładka Rootkit/Malware, klikasz Szukaj, jak skończy klikasz Kopiuj i wklejasz log).