Wirus w pamięci RAM?

Dla specjalistów Bezpieczeństwo
#1

Witam

Na forum jestem nowym użytkownikiem ale na komputerach się znam coś nie coś :wink: Mam jakiś okrutny problem… Zniknęło mi wiele opcji z systemu, np. “pokaż ukryte pliki i foldery” lub “pomoc i obsługa techniczna systemu Windows”. Cały czas działają u mnie jakieś dwa dziwne procesy at2bvxx.exe i at2avxx.exe. Jeśli chcę zakończyć któryś z tych dwóch procesów wyłącza mi się menedżer zadań, a gdy chcę przez msconfig wyłączyć te procesy to mi się msconfig zawiesza… Do tego przy starcie komputera włącza mi się proces hldrr.exe który obciąża cały procesor ale tego na szczęście mogę wyłączyć.

Do tej pory miałem Kaspersky’ego ale pewnego dnia po prostu przestał działać… jak chciałem go włączyć to nie było żadnej reakcji. Aż zainstalowałem Avasta który znalazł stado wirusów… Skanowałem dyski różnymi opcjami jakie Avast daje ale zawsze przy starcie komputera pokazuje się komunikat znaleziono wirusa “Win trj dimes upack.dll” który znajduje się w folderze system32. No to zrobiłem formata… ale po formacie dalej to samo! :expressionless: Wiem że przy formacie usuwa się tylko index plików ale czy bez indexu pliki dalej mogą działać?

W końcu gdzieś tam w necie znalazłem że być może w pamięci siedzi wirus… Mam dwie kości i faktycznie, jak wyjąłem jedną z nich (niestety tę większą) to wszystko działało prawie normalnie.

Jeśli jest to wirus z RAMu to jak go wyplenić? A jeśli nie to co zrobić by było ok…

Mam nadzieję że mi pomożecie :slight_smile:

#2

cała zawartość pamięci RAM jest usuwana zaraz po wyłączeniu komputera.

Wrzuć na forum log z hijackthis i combofix (instrukcja)

#3

Pamięć RAM ulega czyszczeniu jeśli przestanie dopływać napięcie:)

Wystarczy wyłączyć komputer:P

#4

To że Ram traci zawartość przy braku napięcia to wiem! :wink:

@bartisz

Program który mi dałeś nie uruchamia sie tak jak Kaspersky… zero reakcji :confused:

#5

Mike91 , o to kolego, jeżeli atywir nie działa to kopiuj pliki na drugi dysk i rób…formata :frowning: nic więcej si e nie poradzi(chyba).

#6

No mówiłem już że formata robiłem ale to nic nie dało. Wirus dalej był…

Udało mi się uruchomić tylko Combofix. Oto raport:

________________________________________________________________________________________________

ComboFix 08-06-12.2 - Rodzinka 2008-06-13 12:46:12.1 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.544 [GMT 2:00]

Running from: C:\Documents and Settings\Rodzinka\Pulpit\ComboFix.exe

* Created a new restore point

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED!!

.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.

C:\Autorun.inf

C:\Documents and Settings\Rodzinka\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows Media\10.0\WMSDKNSD.XML

C:\WINDOWS\system32\IMES.dll

C:\WINDOWS\system32\xmszs.dll

D:\Autorun.inf

.

((((((((((((((((((((((((( Files Created from 2008-05-13 to 2008-06-13 )))))))))))))))))))))))))))))))

.

2008-06-13 12:50 . 2004-08-13 14:50 72,583 --------- C:\WINDOWS\system32\guqeocp.nls

2008-06-13 12:50 . 2004-08-13 14:50 72,583 --------- C:\WINDOWS\system32\guqeocp.dll

2008-06-13 12:50 . 2008-06-12 14:50 72,583 —hs---- C:\WINDOWS\system32\at2bvxx.exe

2008-06-13 12:50 . 2008-06-12 14:50 72,583 —hs---- C:\lwkfpng.exe

2008-06-13 12:50 . 2008-06-13 12:50 31,563 —hs---- C:\WINDOWS\system32\IMES.dll

2008-06-13 12:50 . 2008-06-13 12:50 151 —hs---- C:\WINDOWS\system32\lwkfpng.inf

2008-06-13 12:50 . 2008-06-13 12:50 151 —hs---- C:\autorun.inf

2008-06-13 12:48 . 2004-08-13 14:49 72,583 --a------ C:\WINDOWS\system32\guqeocp.exe

2008-06-13 12:38 . 2008-06-13 12:38

2008-06-13 11:36 . 2005-02-11 10:21 89,872 --a------ C:\WINDOWS\system32\drivers\k750mdm.sys

2008-06-13 11:36 . 2005-02-11 10:22 81,728 --a------ C:\WINDOWS\system32\drivers\k750mgmt.sys

2008-06-13 11:36 . 2005-02-11 10:19 55,216 --a------ C:\WINDOWS\system32\drivers\k750bus.sys

2008-06-13 11:36 . 2005-02-11 10:21 6,576 --a------ C:\WINDOWS\system32\drivers\k750mdfl.sys

2008-06-13 11:36 . 2005-02-11 10:24 6,144 --a------ C:\WINDOWS\system32\drivers\k750cmnt.sys

2008-06-13 11:36 . 2005-02-11 10:24 6,144 --a------ C:\WINDOWS\system32\drivers\k750cm.sys

2008-06-13 11:36 . 2005-02-11 10:19 5,744 --a------ C:\WINDOWS\system32\drivers\k750whnt.sys

2008-06-13 11:36 . 2005-02-11 10:19 5,744 --a------ C:\WINDOWS\system32\drivers\k750wh.sys

2008-06-13 11:27 . 2008-06-13 11:27

2008-06-12 20:14 . 2008-06-12 20:14

2008-06-12 20:13 . 2008-06-12 20:25

2008-06-12 20:09 . 2008-06-12 20:09

2008-06-12 20:09 . 2008-06-12 20:09

2008-06-12 18:24 . 2008-06-12 18:24

2008-06-12 17:51 . 2008-06-12 17:51

2008-06-12 17:51 . 2008-06-12 17:51

2008-06-12 10:52 . 2004-08-03 23:08 26,496 --a–c— C:\WINDOWS\system32\dllcache\usbstor.sys

2008-06-12 10:13 . 2004-08-18 01:34 442,368 -ra------ C:\WINDOWS\system32\vp6vfw.dll

2008-06-12 09:41 . 2008-06-12 09:41

2008-06-12 09:39 . 2008-06-12 09:39

2008-06-12 09:39 . 2008-06-12 09:39 717,296 --a------ C:\WINDOWS\system32\drivers\sptd.sys

2008-06-12 09:37 . 2008-06-12 09:37

2008-06-12 09:34 . 2008-06-12 09:35

2008-06-11 20:53 . 2008-06-12 14:01

2008-06-11 20:51 . 2008-06-11 20:51

2008-06-11 20:48 . 2008-06-11 20:48

2008-06-11 20:48 . 2005-06-24 18:36 39,036 --a------ C:\WINDOWS\system32\drivers\lgusbmodem.sys

2008-06-11 20:48 . 2005-05-26 11:01 38,144 --a------ C:\WINDOWS\system32\drivers\lgusbdiag.sys

2008-06-11 20:48 . 2005-05-26 11:01 21,344 --a------ C:\WINDOWS\system32\drivers\lgusbbus.sys

2008-06-11 20:47 . 2008-06-11 20:47

2008-06-11 20:47 . 2008-06-11 20:48

2008-06-11 20:00 . 2004-08-04 00:44 221,184 --a------ C:\WINDOWS\system32\wmpns.dll

2008-06-11 17:58 . 2008-06-11 17:58 0 --a------ C:\WINDOWS\nsreg.dat

2008-06-11 17:56 . 2008-06-11 17:56

2008-06-11 17:56 . 2008-06-11 17:56

2008-06-11 17:55 . 2000-03-29 16:17 5,824 --a------ C:\WINDOWS\system32\drivers\ASUSHWIO.SYS

2008-06-11 17:55 . 2008-06-11 17:55 2,817 --a------ C:\WINDOWS\Ascd_tmp.ini

2008-06-11 17:51 . 2008-06-11 17:51

2008-06-11 17:51 . 2003-03-18 22:20 1,060,864 --a------ C:\WINDOWS\system32\MFC71.dll

2008-06-11 17:51 . 2003-03-18 21:14 499,712 --a------ C:\WINDOWS\system32\MSVCP71.dll

2008-06-11 17:51 . 2003-02-21 05:42 348,160 --a------ C:\WINDOWS\system32\MSVCR71.dll

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-06-13 10:45 --------- d-----w C:\Program Files\Neostrada TP

2008-06-12 18:24 --------- d-----w C:\Program Files\eMule

2008-06-11 16:30 --------- d-----w C:\Program Files\Sun

2008-06-11 16:29 --------- d-----w C:\Program Files\Java

2008-06-11 16:22 --------- d-----w C:\Program Files\Common Files\Java

2008-06-11 16:15 --------- d-----w C:\Program Files\Common Files\InstallShield

2008-06-11 16:13 --------- d-----w C:\Documents and Settings\Rodzinka\Dane aplikacji\Winamp

2008-06-11 16:12 --------- d-----w C:\Program Files\Winamp Toolbar

2008-06-11 16:12 --------- d-----w C:\Program Files\Winamp

2008-06-11 16:12 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\Winamp Toolbar

2008-06-11 16:12 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\OrbNetworks

2008-06-11 16:11 --------- d-----w C:\Program Files\Winamp Remote

2008-06-11 16:07 --------- d-----w C:\Documents and Settings\Rodzinka\Dane aplikacji\Gadu-Gadu

2008-06-11 16:05 --------- d-----w C:\Program Files\Gadu-Gadu

2008-06-11 14:42 --------- d-----w C:\Program Files\ZTE Corporation

2008-06-11 14:29 --------- d-----w C:\Program Files\Kaspersky Lab

2008-06-11 14:28 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab Setup Files

2008-06-11 14:07 --------- d-----w C:\Program Files\microsoft frontpage

2008-06-11 14:05 --------- d-----w C:\Program Files\Usługi online

.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* empty entries legit default entries are not shown

REGEDIT4

[HKEY_LOCAL_MACHINE~\Browser Helper Objects{25CEE8EC-5730-41bc-8B58-22DDC8AB8C20}]

2008-03-20 00:36 1267040 --a------ C:\Program Files\Winamp Toolbar\winamptb.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]

“{EBF2BA02-9094-4C5A-858B-BB198F3D8DE2}”= “C:\Program Files\Winamp Toolbar\winamptb.dll” [2008-03-20 00:36 1267040]

[HKEY_CLASSES_ROOT\clsid{ebf2ba02-9094-4c5a-858b-bb198f3d8de2}]

[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand.1]

[HKEY_CLASSES_ROOT\TypeLib{538CD77C-BFDD-49b0-9562-77419CAB89D1}]

[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

“CTFMON.EXE”=“C:\WINDOWS\system32\ctfmon.exe” [2004-08-04 00:44 15360]

“Orb”=“C:\Program Files\Winamp Remote\bin\OrbTray.exe” [2008-04-01 03:54 507904]

“Gadu-Gadu”=“C:\Program Files\Gadu-Gadu\gg.exe” [2008-03-20 12:04 2127296]

“DAEMON Tools Lite”=“C:\Program Files\DAEMON Tools Lite\daemon.exe” [2008-04-01 11:39 486856]

“at2bvxx”=“C:\WINDOWS\system32\at2bvxx.exe” [2008-06-12 14:50 72583]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

“CnxDslTaskBar”=“C:\Program Files\ZTE Corporation\ZXDSL852\CnxDslTb.exe” [2005-07-21 22:52 278528]

“WOOWATCH”=“C:\PROGRA~1\NEOSTR~1\Watch.exe” [2005-07-21 08:33 20480]

“WOOTASKBARICON”=“C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe” [2005-07-21 08:33 53248]

“NvCplDaemon”=“C:\WINDOWS\system32\NvCpl.dll” [2006-10-22 12:22 7700480]

“nwiz”=“nwiz.exe” [2006-10-22 12:22 1622016 C:\WINDOWS\system32\nwiz.exe]

“NvMediaCenter”=“C:\WINDOWS\system32\NvMcTray.dll” [2006-10-22 12:22 86016]

“SunJavaUpdateSched”=“C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe” [2008-03-25 04:28 144784]

[HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

“CTFMON.EXE”=“C:\WINDOWS\system32\CTFMON.EXE” [2004-08-04 00:44 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Gadu-Gadu]

–a------ 2008-03-20 12:04 2127296 C:\Program Files\Gadu-Gadu\gg.exe

[HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

“%windir%\system32\sessmgr.exe”=

“C:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab Setup Files\Kaspersky Anti-Virus 7.0.1.325\Polish\setup.exe”=

“C:\Program Files\Winamp Remote\bin\OrbTray.exe”=

R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-05-16 01:20]

R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-05-16 01:16]

R3 CnxEtP;ZTE ZXDSL852 Adapter Filter Driver;C:\WINDOWS\system32\DRIVERS\CnxEtP.sys [2005-05-20 20:27]

R3 CnxEtU;ZTE ZXDSL852 Interface Device Driver;C:\WINDOWS\system32\DRIVERS\CnxEtU.sys [2005-05-20 20:27]

R3 CnxTgNW;ZTE ZXDSL852 WAN PPPoA Adapter Driver;C:\WINDOWS\system32\DRIVERS\CnxTgNW.sys [2005-05-20 20:28]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{117dc103-392c-11dd-be66-00d0d08471d0}]

\shell\explore\Command - G:\lwkfpng.exe

\shell\open\Command - G:\lwkfpng.exe

.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-06-13 12:50:47

Windows 5.1.2600 Dodatek Service Pack 2 NTFS

scanning hidden processes …

scanning hidden autostart entries …

scanning hidden files …

scan completed successfully

hidden files: 0

**************************************************************************

.

--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\explorer.exe

  • ?:\WINDOWS\system32\urlmon.dll

  • ?:\WINDOWS\system32\urlmon.dll

  • ?:\WINDOWS\system32\urlmon.dll

  • ?:\WINDOWS\system32\urlmon.dll

.

------------------------ Other Running Processes ------------------------

.

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\wdfmgr.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\system32\guqeocp.exe

.

**************************************************************************

.

Completion time: 2008-06-13 12:53:35 - machine was rebooted

ComboFix-quarantined-files.txt 2008-06-13 10:53:29

Pre-Run: 13,833,060,352 bajtów wolnych

Post-Run: 13,926,711,296 bajt˘w wolnych

169

____________________________________________________________________________________________

#7

Przeczytaj to viewtopic.php?f=16&t=213350

#8

@Nowator

Ok, tego nie czytałem :wink:

A oto jest log wklejony poprawnie:

http://wklej.org/id/cbb9275c17

#9

OTy - kosmos.JNJN

#10

Dobra, tu jest następny log. http://wklej.org/id/3ee24f4eac

O dziwo przy włączeniu komputera nie pojawił się komunikat że znaleziono wirusa :wink:

#11

możesz jeszcze raz zrobić loga?

#12

http://www.wklej.org/id/6320da7bfd

Ej możesz mi powiedzieć jak te logi działają? Pytam z czystej ciekawości… ja wam loga jakiegoś pokazuję, wy mi dajecie jakieś komendy do wklejenia i dalej robię loga. Jak to działa? :wink:

#13

Najpierw wylecz pendrive/kartę pamięci programem flash disinfector, a następnie:

Wklej do Notatnika:

File::

C:\WINDOWS\system32\guqeocp.nls

C:\WINDOWS\system32\guqeocp.dll

C:\WINDOWS\system32\at2bvxx.exe

C:\lwkfpng.exe

C:\WINDOWS\system32\IMES.dll

C:\WINDOWS\system32\lwkfpng.inf

C:\autorun.inf 

G:\lwkfpng.exe


Registry::

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"at2bvxx"=-

Plik–>Zapisz jako… -->CFScript

Przeciągnij plik CFScript.txt na plik ComboFix.exe

02f8f1e3c410a4cc.gif

Podczas usuwanie powstanie log. Wrzuć go na forum.

Po restarcie usuń folder C:\Qoobox**.**

combofix daje log (oraz automatycznie usuwa), który pokazuje ostatnio utworzone/zmodyfikowane pliki, foldery oraz wpisy w rejestrze (wpisy mówiące o uruchamianiu), procesy itp… Dzięki niemu możemy napisać skrypt, który usuwa wirusy, spyware itp.

:arrow: Poszukaj tutaj.

:arrow: Interpretacja logów z hijackthis

#14

Otwórz notatnik i wklej

zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe

http://img.wklej.org/images/88953CFScri … iemoes.gif

Powinno rozpocząć się usuwanie

Potem log z usuwania Combofix

:slight_smile:

#15

http://wklej.org/id/2002ecc368

#16

Wklej do Notatnika:

File::

C:\WINDOWS\system32\guqeocp.exe

Plik–>Zapisz jako… -->CFScript

Przeciągnij plik CFScript.txt na plik ComboFix.exe

02f8f1e3c410a4cc.gif

Podczas usuwanie powstanie log. Wrzuć go na forum.

Po restarcie usuń folder C:\Qoobox**.**

#17

http://wklej.org/id/c5bbb2995e

#18

Log jest czysty

  1. Usuń ręcznie folder C: \Qoobox oraz instalkę Combofix z dysku.

  2. Przeczyść komputer Ccleanerem

  3. Wykonaj optymalizację autostartu

  4. Wyłącz przywracanie systemu na wszystkich dyskach

  5. Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE), daj raport z niego na forum lub Dr.WEB CureIt!

  6. Włącz przywracanie systemu.

#19

http://wklej.org/id/8452678819

Raport z Doktora bo na Kaspersky brak reakcji…

#20

No to Ok powinno już być