Winword oraz xcopy podejrzane procesy

Dla specjalistów Bezpieczeństwo
#1

A więc tak jak w temacie. Wczoraj weszłam w menadżer zadań i w procesy. Dodam, że nie miałam uruchomionego worda, ani nic z pakietu Office. Dzisiaj uruchamiam komputer wchodzę w menadżer zadań (jeszcze nic nie robiłam w ogóle), i procesy znów są. Chciałam dodać screeny, ale imageshack ani inne strony jak wklejam obrazek się zacinają. A na pasku zadań mam jedno puste, i jak na nie najade to pisze “Load! 0.48.13”. Dodaje logi z HJT. Dodam jeszcze, że komputer trochę zwolnił i niestety dosyć często się zacina np. nawet przy starcie systemu.

źle zrobiłam loga z OTL, mógłby ktoś dać instrukcje bo dawno nie robiłam i nie pamiętam. xD

HJT: http://wklej.org/id/247899/

Pozdrawiam i z góry dzięki.

#2

Ja nic nie widzę, oprócz svchost.exe umieszczonego w System32 z dużej litery. Przy innych plikach jest z małej. Sprawdź w C://Windows/ czy są tam 2 foldery system32 z małej i dużej litery, bo u mnie jest jeden :P. Poczekaj na ekspertów, bo ja sie nie znam za bardzo :smiley:

#3

winword.exe umieszczony w C:\WINDOWS\system32 jest szkodliwy…

Przed uruchomieniem poniższych narzędzi odinstaluj (jeśli posiadasz) wszelkie programy tworzące wirtualne napędy (Daemon Tools, Alcohol itp.) oraz usuń sterownik SPTD narzędziem SPTDInst z opcji Uninstall (jeśli będzie zszarzałe, to OK).

Pokaż logi z narzędzi:

:arrow: OTL

Przestawiasz w nim Processes i Modules na All oraz wklejasz w dolne białe okienko Custom Scans/Fixes :

Klikasz Run Scan.

:arrow: System Repair Engineer

:arrow: GMER

#4

Usunęłam Deamon Tools i Alcohol. Mam pytanie który plik z tamtych pobrać, żeby usunąć ten sterownik?

Dodane 27.12.2009 (N) 13:42

Już wiem. :smiley: 32 bit.

Dodane 27.12.2009 (N) 13:50

Uruchomiłam właśnie OTL. Mam pytanie, bo po usunięciu sterownika musiałam zrestartować system, i znów pojawił się taki problem. Że jest problem z wyłączeniem winword, i musiałam kliknąć zakończ teraz. I z cmd.exe i też musiałam kliknąć zakończ teraz. Oraz gdy już się włączył komputer, to na sekundę pokazała się konsola i zdążyłam tylko przeczytać “System nie może…”, ale dalej nie wiem co.

Dodane 27.12.2009 (N) 14:08

OTL: http://www.wklej.org/id/248014/

SRENG: http://wklej.to/yEYQ

GMER’a jeszcze nie uruchomialam i dam go zachwile (sorry, za bledy ale cos jest teraz z klawiatura, gdy klikam alt. ;/) bo zawsze jest bluescreen.

Dodane 27.12.2009 (N) 14:15

Loga z GMER’a nie podam, bo wyskakuje po uruchomieniu od razu Blue Screen. :confused:

Kaspersky, nawet nie wykrywa winword, jako Trojana, a z tego wynika, że to trojan:

http://www.virustotal.com/pl/analisis/33f5d94e5b033e401dd472ffcef52bf1b8fe2c4cca42017b32ac918db7f09f02-1255915806

a “xcopy.exe”, jest bezpieczny.

#5

xcopy.exe to narzędzie do zaawansowanego kopiowania, które jest integralną częścią systemów Windows.

W białe dolne okno Custom Scans/Fixes w OTL wklej:

Run Fix. Restart, jeśli będzie potrzebny.

Potem log z usuwania oraz nowy log robiony opcją Run Scan.

#6

Log z usuwania: http://www.wklej.org/id/248175/

Process i Moduless na all? Czy od razu Run Scan? Jeśli od razu, to tu jest log:

http://www.wklej.org/id/248181/

#7

W logu już nic nie ma.

W OTL kliknij CleanUp.

Masz na dysku MBAM, to go zaktualizuj i przeskanuj nim.

Wyczyść rejestr i dysk CCleaner oraz wyłącz nim zbędniki z autostartu (Narzędzia -> Autostart).

#8

Ok. Bardzo dziękuję. :slight_smile: Pozdrawiam. :smiley: