Avast ciągle znajduje nowe trojany w system32, które po prostu pojawiają się “znikąd”. Gdy próbowałem go usunąć ręcznie, wyskoczyła odmowa dostępu. Używając Unlockera dowiedziałem się, że używa go svchost.
Dodatkowo na starcie systemu wywala mi się lsass.exe z komunikatem, że pamięć pod adresem jakimśtam nie może być “written”.
Log z hjt:
log czysty
Pobierz Combofix http://www.searchengines.pl/index.php?s … ntry395642 przeskanuj daj log
Pamięć nie może być ‘read’/‘written’ http://forum.centrumxp.pl/default.aspx?g=posts&t=108100
Log z ComboFix
Ponadto… przy ostatnich dwóch włączeniach systemu, lsass już się nie wywalił. Nadal są niepokojące mnie rzeczy:
http://www.zapisztekst.yoyo.pl/upl/jani … aaaaaa.PNG (screen z Active Ports)
Pobierz ComboFix, ale nie uruchamiaj
Wklej do notatnika:
File::
C:\WINDOWS\system32\x
C:\WINDOWS\system32\hqghumea.dll
C:\WINDOWS\system32\wyj.exe
C:\WINDOWS\system32\wdb.exe
C:\adware.exe
Plik -> zapisz jako -> CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->
Rozpocznie się usuwanie i powstanie log, daj ten log na forum.
Logi dajesz na http://wklejto.pl a w poście dajesz tylko link
Otwórz notatnik i wklej
zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe
http://img.wklej.org/images/88953CFScri … iemoes.gif
Powinno rozpocząć się usuwanie
Potem log z usuwania Combofix
Oto nowy log:
Podmieniłem z konsoli odzyskiwania ftp.exe i svchost.exe na oryginalne… Coś jednak nadal uruchamia ftp.exe i tą drogą ściąga trojany i zmodyfikowany svchost - przynajmniej takie są moje przypuszczenia.
Pobierz ComboFix, ale nie uruchamiaj
Wklej do notatnika:
File::
C:\WINDOWS\system32\ntz.exe
C:\WINDOWS\system32\jea.exe
C:\WINDOWS\system32\dhi.exe
C:\WINDOWS\system32\lgn.exe
C:\WINDOWS\system32\sjz.exe
C:\WINDOWS\system32\gptmi.exe
C:\WINDOWS\system32\etvzeh.exe
C:\WINDOWS\system32\jyd.exe
C:\WINDOWS\system32\bxp.exe
Plik -> zapisz jako -> CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe ) Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->Rozpocznie się usuwanie i powstanie log, daj ten log na forum. Logi dajesz na http://wklejto.pl a w poście dajesz tylko link_W dniu_ 30.06.2008 , o godzinie 5:55 został dopisany post przez huber2t Pobierz ComboFix, ale nie uruchamiaj Wklej do notatnika:
File::
C:\WINDOWS\system32\ntz.exe
C:\WINDOWS\system32\jea.exe
C:\WINDOWS\system32\dhi.exe
C:\WINDOWS\system32\lgn.exe
C:\WINDOWS\system32\sjz.exe
C:\WINDOWS\system32\gptmi.exe
C:\WINDOWS\system32\etvzeh.exe
C:\WINDOWS\system32\jyd.exe
C:\WINDOWS\system32\bxp.exe
Plik - zapisz jako - CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu -
Rozpocznie się usuwanie i powstanie log, daj ten log na forum.
Logi dajesz na http://wklejto.pl a w poście dajesz tylko link