witam!

wiec zacznę od tego ze jak codziennie gram sobie w CS i nagle wyskoczył komunikat oto co wyskoczyło:

http://img200.imageshack.us/img200/5693/75317280.jpg pierwsze co wyskoczyło to co zaznaczyłem czarna ramka

ten wirus zawsze wyskakuje w tej samej kolejności, wyskakuje tak mniej więcej 5 do 10 razy dziennie

dodam ze używam AV: Avast 4.8 Pro

FW: ZoneAlarm Pro

log z HJ:http://wklej.org/id/101436/

log z ComboFix:http://wklej.org/id/101449/

ponieważ nie jestem jakimś dzieckiem neo który próbowałem googlowac ale żadna z odpowiedzi nie pomogła a wydaje mi się ze wasza witryna nawet jeśli nie będzie wiedziała zawsze pomoże wiec pisze tu

dodam ze skanowałem dysk avastem 2 razy gruntownym skanowaniem

combofixem chyba z 5-6 razy

i skanerami online kilka razy

( a zapomniałbym mam jeszcze 1 problem może i coś ma z tym nie wiem ale w menadżerze zadań mam zawsze 7 plików svchost.exe wiem ze to jest ważny plik i ze sie dzieli na kilka ale czasami 1 z nim się wyłącza -ten co najwięcej ciągnie jakieś 24k kb sam się wyłącza gdy się wyłączy net się odcina zmienia się kompozycja Windowsa na taka jakby z 98 po chwili się odświeża komputer kompozycja cały wygląd już działa ale neta nadal nie ma by internet działał muszę resetować komputer)

pozdrawiam! i proszę o pomoc

Wyłącz przywracanie systemu. Odpal główne okno Avasta/menu/ustaw skanowanie podczas rozruchu…

Pozamykaj porty programem Windows Worms Door Cleaner.

Widźę sporo zbędnych usług. Wpisz w google zbędne usługi i wejdź w bodajże 3 link wiodący do ciekawego artykułu na searchengines

ComboFix się raz tylko używa i wkleja log z pierwszego skanu. I tak nic więcej sam nie usunie. Masz podpiętego szkodnika pod svchost stąd z nim problem. Wklej do notatnika

Zapisz jako CFScript.txt. Przeciągasz na ikonę ComboFix. Do pokazania log który powstanie.

Ja bym radził do skryptu dorzucić:

File::

c:\windows\Internet Logs\xDB6.tmp

c:\windows\Internet Logs\xDB7.tmp

c:\windows\Internet Logs\xDB4.tmp

c:\windows\Internet Logs\xDB5.tmp

c:\windows\Internet Logs\xDB2.tmp

c:\windows\Internet Logs\xDB3.tmp


Driver::

GarenaPEngine

Czyli cały skrypt będzie taki:

Killall::


Driver::

avast!VSS

GarenaPEngine


File::

c:\windows\system32\wpv241237070981.cpx

c:\windows\Internet Logs\xDB6.tmp

c:\windows\Internet Logs\xDB7.tmp

c:\windows\Internet Logs\xDB4.tmp

c:\windows\Internet Logs\xDB5.tmp

c:\windows\Internet Logs\xDB2.tmp

c:\windows\Internet Logs\xDB3.tmp


Registry::

[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\avast!VSS]

Nie wiem co to ten GarenaPEngine, ale to nic groźnego. Widać zresztą jaki ma zapis w logu.

Stąd pytanie do autora tematu czy to zna.

W większości sytuacji wywalają tą usługę.

Tak jak tutaj: post1934310.html#p1934310

Uważam, że można to bez obaw wywalić.

Mnie się wydaje, że to było instalowane celowo i ma jakiś związek z CS. Ale decyzja należy do autora tematu, oczywiście.

GarenaPEngine to program coś podobnego do steam by grac ze znajomymi w gry typy CS czy WoW

a co do killall zaraz zrobie i dam loga

a to sa logi z Avasta:

http://wklej.org/id/101569/ (to jest aswBoot)

http://wklej.org/id/101570/ (aswAr)

kolejny log z CombiFix: http://wklej.org/id/101579/

powie mi ktoś jeszcze czemu combo usuną mi program do przyspieszenia internetu za który zapłaciłem i to nie mała sumę?? (cfosspeed)

– Dodane 06.06.2009 (So) 14:17 –

nadal atakuje…

No to przywróć cFosSpeed. Wchodzisz w C:\Qoobox, znajdujesz ten plik, usuwasz rozszerzenie .vir i wrzucasz go na swoje miejsce. ComboFix nie usunął całego programu.

Pokaż log z gmer

http://www.gmer.net/

oto co znalazło

http://wklej.org/id/102230/

a i zapomniałem powiedzieć ze za każdym razem jak avast wykryje tego wirusa to jest w innym formacie raz *.jpg raz *.bmp i raz *.gif mniej więcej te formaty są ciągle

Czy dopisywałeś coś do skryptu ComboFix’a, bo usunęło też sterownik Daemona (jest do przeinstalowania).

Poszukaj tego tajemniczego pliku x który wywala Avast w komunikacie i usuń.

Usuń zawartość folderów tymczasowych CCleaner’em lub przez ATF Cleaner.

Przeskanuj system Spybot’em.

Poza tym, nie wiem czy problem nie będzie siedział tu

Mogły zostać uszkodzone biblioteki podpięte pod winlogon i svchost co może prowadzić do restartów, samoczynnego zamykania svchost, no i rozłączania sieci.

co do

c:\windows\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.dll

c:\windows\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.dll

c:\windows\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon.dll

to sa pliki by upodobnic mojego xp’eka do visty

skrypt w combo byl taki:

Killall::

Driver::

avast!VSS

File::

c:\windows\system32\wpv241237070981.cpx

c:\windows\Internet Logs\xDB6.tmp

c:\windows\Internet Logs\xDB7.tmp

c:\windows\Internet Logs\xDB4.tmp

c:\windows\Internet Logs\xDB5.tmp

c:\windows\Internet Logs\xDB2.tmp

c:\windows\Internet Logs\xDB3.tmp

Registry::

[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\avast!VSS]

plik x o którym mowa usuwałem go sam chyba z 3 razy a avastem ze 100 za kazdym razem avast usuną ten plik sprawdzałem!

jesli chodzi o spybot proszę mi polecić jakiś bo nie znam się na spybotach

Wiem, że to program upodobniający XP do Visty. Chodziło mi o to, że ingeruje w system i może co nieco popsuć.

A, że zamykany jest svchost to może świadczyć o jakiejś uszkodzonej bibliotece pod niego podpiętej. Gdyby to była biblioteka szkodnika to gmer powinien to wykryć a tutaj nic nie widać.

Chodziło mi o program Spybot Search&Destroy.

http://dobreprogramy.pl/index.php?dz=2& … y+1.6.2.46

Wykonaj również skan tym

http://dobreprogramy.pl/index.php?dz=2& … lware+1.37

Pozamykaj też robaczywe porty programem Windows Worm Door Cleaner.

ok zrobię jak mówisz a co do tego programu upodobniającego nie ma mowy by on to robił ponieważ 3 dni temu reinstalowałem go a problem mam już z 1.5tygodnia

a i nie wiem czy to ma coś wspólnego ale zauważyłem dużą aktywność plików svchost.exe

i moze to jeszcze pomoze czasami wyskakuje ale zanim nacisnę usuń sam usuwam go z w32

– Dodane 08.06.2009 (Pn) 15:03 –

on jest zawsze w tym samym miejscu:

– Dodane 08.06.2009 (Pn) 15:46 –

oto logi z Spybot - Search Destroy

http://wklej.org/id/102869/

http://wklej.org/id/102870/

– Dodane 08.06.2009 (Pn) 15:47 –

oczywiście wszystko usnąłem

– Dodane 08.06.2009 (Pn) 15:56 –

log z Malwarebytes’ Anti-Malware

http://wklej.org/id/102874/

nowy wirus typu rootkit w folerze temp

Wg loga to on siedzi już co najmniej 1,5 tygodnia

Logi absolutnie nic nie pokazują. System jest czysty.

Może to fałszywe trafienie Avasta. Gdyby był tutaj rootkit to gmer + combofix by go pokazały, a tutaj nic nie ma.

Co do svchostów, to normalne, ze tyle ich jest. Dziwny jest rozmiar pamięci jaki zajmują, ale nie wiem jak się zachowuje zpatchowany system i może jest to normalne.

Jeszcze co mi przychodzi do głowy to dokładny skan DR.WEB CureIt

http://dobreprogramy.pl/index.php?dz=2& … 00.4.05282

Poza tym za dużo złego naczytałem się o upiększaczach do XP by ich nie brać pod uwagę.

hmm dziwne ale ten wirus chyba siedział gdzieś w rejestrze ponieważ nie wyskakują mnie już błędy dzięki za wszystko