Winxp.exe i Sclo(126) - jak usunac wirusa


(Masaj) #1

Witam.

mam taki problem w C:Docuent and Settings/Windows/System32 mam plik winxp.exe -male szare "e" pozostałość po Samurize , ktore ktos mi na cholere sciagnal,

na szczescie nie był używany. Program usunięty całkowicie.

jednak zostawił po sobie pozostalosci, ktore pomimo usuwania powracja -winxp.exe w S32 i cala masa .gif Sclo(1,2,3,50,126,200...), nie byloby to nic dziwnego gdyby nie zawartosc tych obrazkow - screeny wszystkiego co robie od ekranu bootowania, logowania do wylaczenia kompa.

Wyglada to tak :

sclo125.th.pngsclo129.th.pngsclo124.th.png

To nie sa wykonane przeze mnie screeny to .gif Sclo. - nie da sie ich usunac inaczej niz Unlockerem lub przez restart, co dziwne mozna przeniesc w inna lokalizacje.

Po restarcie kompa pojawił sie BSOD :

STOP: c000021a {Fatal System Error}

The windows Logon Process system process terminated unexpectedly with a status of 0xc00005 (0x00000000 0x00000000). The system has been shut down.

Znalazlem cos takiego, ale nie wiem za bardzo co z tym dalej : http://www.dailyautocad.com/announcemen ... dangerous/


(greh) #2

Pokaż logi z HijackThis i ComboFix.

Logi wklejasz na www.wklej.org a w poście tylko link. :wink:


(deFco247) #3

Najpierw skan Combofix, a potem HiJackThis 2.0.2.


(Masaj) #4

HJT : http://www.wklejto.pl/34816

CF : http://www.wklejto.pl/34817

Usunąłem ręcznie same pliki winxp i Sclo z kompa, ale jak już pisałem co jakiś czas mam je powrotem.


(deFco247) #5

Otwórz Notatnik i wklej do niego:

File::

c:\windows\system32\6940.tmp


Driver::

MEMSWEEP2

Plik zapisz jako CFScript.txt , najlepiej w tym samym folderze co Combofix.exe

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę Combofix.exe

Powinno się rozpocząć usuwanie.

Potem dajesz log z usuwania Combofix.


(Henio Mazurek) #6

Chwilka, jeszcze nie wykonuj skryptu deFco247, to tylko usunie Sophos Anti-Rootkit.

Możesz to później zrobić bo nie opłaca się go trzymać na dysku, a może pozostawić nawet po deinstalacji puste drivery.

Zrób jeszcze raz skan nim, tzn pokaż to okienko które jest widoczne w Twoim pierwszym poście w środku, ale tym razem najedź na more details. Poza tym to nie wygląda na rootkita tylko na spyware. Do wykonania skan z Malwarebytes Anti-Malware i Spybot'a. Jeszcze log z gmer

http://dobreprogramy.pl/index.php?dz=2& ... y+1.6.2.46

http://dobreprogramy.pl/index.php?dz=2& ... lware+1.37

http://www.gmer.net/

Co do tego błędu, spróbuj komendy sfc /scannow , widocznie brakuje bibliotek ładowanych pod winlogon - płyta z Windows musi być w napędzie.


(Masaj) #7

Log z AM : http://www.wklejto.pl/34850

Log z GMERa : http://www.wklejto.pl/34851

Log z CF : http://www.wklejto.pl/34853

Logz Ad-Aware : http://www.wklejto.pl/34854

Mam w regedit takie klucze puste , ale nie wiem czy sa /czy nie sa uzywane i czy moge je usnac.

Obrazek z Sophosa.

beztytuuztx.th.jpg

Jak ESET mógł przepuścić tyle wirusów ??

W C:\WINDOWS plik MSRSTRT - brak jakichś informacji o nim w systemie - co to jest ? usunąć ?


(Henio Mazurek) #8

Wklej do notatnika

Powtarzasz instrukcję z przeciąganiem. Zobaczymy ile się usunie.

Dalej są tworzone te dziwne zrzuty? Z jaką są datą?

Nie znam tego pliku. A na pewno nie jest od Windows. Polecałbym usunąć.

Nie widzę, żebyś stosował Spybot'a. Ma być użyty.


(Masaj) #9

Log z CF : http://www.wklejto.pl/34885

Co zrobić z kluczami rejestru z powyższego postu - usunąć czy zostawić ?

SP S%D - podaj choć 3 rozsądne powody jego użycia jeśli masz logi ze skanu HJT, Anti -Malwre ,CF i Ad-Awre 8 .

Nie widzę powodu robienia z komputera śmietnika , poza tym miałem już ten program i Nie mam nim najlepszej opinii.

plikow winxp.exe i SClo nie ma.


(Henio Mazurek) #10

Wg ComboFix'a tych plików już nie ma. Usunął tylko tą dziwną usługę.

Nie znam tych kluczy. Możesz się zabezpieczyć wcześniej eksportując je do jakiegoś folderu jako backup, potem kasacja w regedit a jak coś będzie nie tak to przez dwuklik przywracasz.

Co do powodów użycia Spybota: ComboFix nic nie znajdował, HT czysty, gmer wykrył jedynie szczątek po jakimś dziwnym pliku którego nie ma, z AdAware nie miałem styczności i nie wiem co jest wart. W dodatku piszesz o winxp.exe który klasyfikuje się do backdoorów, tyle, ze nic po nim nie widać. Widać jedynie plik xpwin.exe i wygląda na bezpieczny, jeżeli nie da się go usunąć to zobacz jeszcze tą stronę

http://www.searchengines.pl/index.php?showtopic=10662

Poza tym te dziwne zrzuty ekranu, ComboFix by je pokazał gdyby robione były niedawno. Dlatego chciałem żebyś przeskanował komputer Spybotem, bo AdAware nic nie pokazywał.

Problem nadal jest? Bo już nic tutaj nie widać.

Z tego co wyszukałem o tym Samurize to nie jest podejrzany program (do pobrania z vortalu zresztą) i te zrzuty to nie od niego raczej.