Wirusy ,powodujące 'restart' przy włączaniu windowsa


(chmur0n) #1

To będzie troche długa historia ;d

Zaczęło się tak:

Zainstalowałem NIS 2009 - byłem bardzo ,ale to bardzo zadowolony! wg. mnie najlepszy antywirus ,0 mulenia komputera,tryb dyskretny ,każdy wirus wyłapywany. Po 30 dniach (próbne) skończyła się 'ochrona' dla mojego komputera to zainstalowałem nortona 360... I właśnie od tego się zaczeło.. Komp czasem dzięki temu antywirusowi 'nie reagował' na polecenia - klikam winamp ,nic ,klikam ccleaner - nic ,firefox i wszystko zacięło się i nie odpowiadało. Odinstalowałem nortona ,a raczej... nie do końca:/ no właśnie o to chodzi ,że nie mogłem go odinstalować bo przy włączeniu deinstalacji ,czekałem 40 min i było 'czekaj na rozpoczęcie...' - restarty kompa nie pomagały ,więc dałem Uruchom -> services.msc i dałem "Wstrzymaj" przy norton 360 - wyłączył się i go usunąłem ręcznie (shift+del) i postanowiłem zainstalować Norton AntiVirus 2008 albo 2009 ,nie pamiętam już ale nie ważne. Zainstalowałem i okazało się że kolejny SYF i to jeszcze gorszy. Również nie mogłem odinstalować ale tu było troche lepiej. Deinstalator się włączył ,lecz przy 80% stanął ... Komp mi się "sam" zresetował po czym już deinstalatora uruchomić nie mogłem (w dodaj lub usuń programy wyskakiwał error w tym że nie od Microsoftu ,tylko od samego Symanteca.) mówie : "no ,ok zrobie to samo co przy nortonie 360" ,usunąłem ręcznie ale jakies pozostałości zostały ,dopiero wtedy przypomniało mi się że norton ma jakiś tam program do usuwania swojego oprogramowania (szkoda właśnie że troche późno) ,no więc rejestry przeczyściłem ccleanerem ,ściągnąłem Norton Removal Tool no i niby usunęło.. Pozbyłem się prawdopodobnie. No ,ale źle byłem przekonany - próbując zainstalować KIS 2009 natknął się na błąd - było coś tam zainstalowane jeszcze od nortona ,to dałem mój komputer , ctrl+f (szukajke) i wpisuje "Symantec" - no i poznajdowało właśnie akurat ten plik to usunąłem go. Zainstalowałem i teraz nie muli kompa ,ale jest jeszcze gorzej!

Jak zaktualizuje kaspersky'iego to windows mi się po prostu "nie działa". Ładuje się windows ,skończy się ładować to przed pojawieniem się "Zapraszamy" restartuje się komputer. cały czas musiałem dawać "Ostatnia dobrze działająca konfiguracja". Dodam że w czasie Odinstalowania NIS 2009 (to dziś ;d) aż do kaspersky'iego - wkradło się pare wirusów ,m.in. koń trojański który sam się dodał do autostartu (tzn domyśliłem się bo wątpie że by był "Windows Updater.exe" - no i kaspersky potwierdził moje 'domyślenia' - skanując znalazł konia trojańskiego) lecz w czasie skanowania przyciął się i ... no i nic teraz nie mogę zrobić;d musze resetnąć kompa ale juz mnie bania boli bo się 5h z tym męcze.

logi z HijackThis:

http://www.wklej.org/hash/ff633bf6de/

edit btw. jeszcze zauważyłem że nie tu napisałem - jak można prosze o przeniesienie tego do "Logi z HijackThis".

Btw2. dodam że zapewne jak teraz wyłącze kompa to już go nie uruchomie (tj. będę znowu musiał dać 'Ostatnia dobrze działająca konfiguracja')


(Umpfh) #2
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [WinampAgent] C:\Winamp\winampa.exe

O4 - HKLM\..\Run: [PWRISOVM.EXE] C:\PowerISO\PWRISOVM.EXE

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'USŁUGA LOKALNA')

O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'USŁUGA SIECIOWA')

O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O18 - Protocol: symres - {AA1061FE-6C41-421F-9344-69640C9732AB} - (no file)

O23 - Service: Norton 360 (N360) - Unknown owner - C:\Program Files\Norton 360\Norton 360\Engine\3.0.0.134\ccSvcHst.exe (file missing)

Zaznaczasz i dajesz Fix.

Daj loga z OTL: http://forum.dobreprogramy.pl/hijackthis-rsit-otl-dds-inne-instrukcja-t36654.html


(chmur0n) #3

troche dużo tego ;d

http://www.wklej.org/hash/c8824e1c2f/

a tak btw. to w ogóle nie wiem czy to wina wirusa ale przy KAŻDYM antywirusie 'coś' musiało nie działać ,mam wersje testową kaspersky'iego i jakby 'połowa' mi nie działa -.-'

już nie mówiąc że jak go zaktualizuje to komputer mi się nie chce włączyć ;O

btw. robić punkty kontrolne przywracania systemu co jakiś czas?

edit: jeszcze widze że mam Extras.txt - wklejka:

http://www.wklej.org/hash/1a1827c174/

btw2. kaspersky pare luk wykrył teraz m.in. w Winampie ,firefoxie i Flash'u.

btw3. kolejne wirusy!

2a5x5z8.jpg

i odrazu pytam czy da się jakoś sprawdzić ten oto plik (czy nie ma wirusa) :

2jcbnf5.jpg

I prosze o pomoc z góry thx ,jak wszystko będzie działać jak wczoraj to nie wiem jak się odwdzięcze :wink: ;D


(Umpfh) #4

Utwórz punkt przywracania.

Wyłącz na chwilę przywracanie systemu i włącz ponownie: http://support.microsoft.com/kb/310405/pll

Włącz OTL, to niżej skopiuj i wklej w okienko OTL na dole i Run Fix.

Dasz później po restarcie nowy log z OTL + ten po kasowaniu.

UWAGA! Dużo tego, przesuń suwakiem w dół i skopiuj całość!

:Processes

explorer.exe


:OTL

O4 - HKU\.DEFAULT..\RunOnce: [nltide_2] File not found

O4 - HKU\S-1-5-18..\RunOnce: [nltide_2] File not found

O4 - HKU\S-1-5-19..\RunOnce: [nltide_2] File not found

O4 - HKU\S-1-5-20..\RunOnce: [nltide_2] File not found

O18 - Protocol\Handler\ipp - No CLSID value found

O18 - Protocol\Handler\msdaipp - No CLSID value found

O18 - Protocol\Handler\symres {AA1061FE-6C41-421f-9344-69640C9732AB} - Reg Error: Key error. File not found

O32 - AutoRun File - [2008-05-30 08:54:04 | 00,000,047 | R--- | M] () - E:\Autorun.inf -- [UDF]

O33 - MountPoints2\E\Shell - "" = AutoRun

O33 - MountPoints2\E\Shell\AutoRun\command - "" = E:\autorun.exe -- [2008-08-22 07:57:52 | 00,230,728 | R--- | M] (Konami Digital Entertainment Co., Ltd.)


:Files

C:\WINDOWS\System32\drivers\N360 -- (N360 [On_Demand | Stopped])

C:\WINDOWS\System32\drivers\N360\0305020.00A\SymEFA.sys

C:\WINDOWS\System32\drivers\N360\0305020.00A\srtsp.sys

C:\WINDOWS\System32\drivers\N360\0305020.00A\symtdi.sys

C:\WINDOWS\System32\drivers\N360\0305020.00A\symfw.sys

C:\WINDOWS\System32\drivers\N360\0305020.00A\symndisv.sys

C:\WINDOWS\System32\drivers\N360\0305020.00A\srtspx.sys

C:\WINDOWS\System32\drivers\N360\0305020.00A\symndis.sys

C:\WINDOWS\System32\drivers\N360\0305020.00A\symids.sys

C:\WINDOWS\System32\drivers\N360\0305020.00A\SymNet.cat

C:\WINDOWS\System32\drivers\N360\0305020.00A\SymEFA.cat

C:\WINDOWS\System32\drivers\N360\0305020.00A\srtspx.cat

C:\WINDOWS\System32\drivers\N360\0305020.00A\SymEFA.inf

C:\WINDOWS\System32\drivers\N360\0305020.00A\SymNet.inf

C:\WINDOWS\System32\drivers\N360\0305020.00A\srtspx.inf

C:\WINDOWS\System32\drivers\N360\0305020.00A\srtsp.inf

C:\WINDOWS\System32\drivers\N360\0305020.00A\cchpx86.sys

C:\WINDOWS\System32\drivers\N360\0305020.00A\BHDrvx86.sys

C:\WINDOWS\System32\drivers\N360\0305020.00A\srtsp.cat

C:\WINDOWS\System32\drivers\N360\0305020.00A\bhdrvx86.cat

C:\WINDOWS\System32\drivers\N360\0305020.00A\ccHPx86.cat

C:\WINDOWS\System32\drivers\N360\0305020.00A\ccHPx86.inf

C:\WINDOWS\System32\drivers\N360\0305020.00A\BHDrvx86.inf

C:\WINDOWS\System32\drivers\N360\0305020.00A\symnetv.cat

C:\WINDOWS\System32\drivers\N360\0305020.00A\SymNetV.inf

C:\WINDOWS\System32\drivers\N360\0305020.00A\isolate.ini

C:\WINDOWS\System32\drivers\N360\0305020.00A

C:\WINDOWS\System32\drivers\N360\0300000.086\Cat.DB

C:\WINDOWS\System32\drivers\N360\0300000.086\cchpx86.sys

C:\WINDOWS\System32\drivers\N360\0300000.086\SymEFA.sys

C:\WINDOWS\System32\drivers\N360\0300000.086\srtsp.sys

C:\WINDOWS\System32\drivers\N360\0300000.086\BHDrvx86.sys

C:\WINDOWS\System32\drivers\N360\0300000.086\symtdi.sys

C:\WINDOWS\System32\drivers\N360\0300000.086\symfw.sys

C:\WINDOWS\System32\drivers\N360\0300000.086\srtspx.sys

C:\WINDOWS\System32\drivers\N360\0300000.086\symndisv.sys

C:\WINDOWS\System32\drivers\N360\0300000.086\symndis.sys

C:\WINDOWS\System32\drivers\N360\0300000.086\symids.sys

C:\WINDOWS\System32\drivers\N360\0300000.086\SymEFA.inf

C:\WINDOWS\System32\drivers\N360\0300000.086\SymNet.inf

C:\WINDOWS\System32\drivers\N360\0300000.086\srtspx.inf

C:\WINDOWS\System32\drivers\N360\0300000.086\srtsp.inf

C:\WINDOWS\System32\drivers\N360\0300000.086\isolate.ini

C:\WINDOWS\System32\drivers\N360\0300000.086\ccHPx86.inf

C:\WINDOWS\System32\drivers\N360\0300000.086\BHDrvx86.inf

C:\WINDOWS\System32\drivers\N360\0300000.086\SymNet.cat

C:\WINDOWS\System32\drivers\N360\0300000.086\SymEFA.cat

C:\WINDOWS\System32\drivers\N360\0300000.086\srtspx.cat

C:\WINDOWS\System32\drivers\N360\0300000.086\BHDrvx86.CAT

C:\WINDOWS\System32\drivers\N360\0300000.086\srtsp.cat

C:\WINDOWS\System32\drivers\N360\0300000.086\ccHPx86.cat

C:\WINDOWS\System32\drivers\N360\0300000.086

C:\WINDOWS\System32\drivers\N360

C:\Documents and Settings\banan\Ustawienia lokalne\Dane aplikacji\Symantec_Corporation

C:\ac9cde4218e2147b8221b83d85

C:\Documents and Settings\All Users\Dane aplikacji\Norton

C:\Documents and Settings\All Users\Dane aplikacji\NortonInstaller

C:\WINDOWS\$hf_mig$

C:\WINDOWS\System32\drivers\N360\0305020.00A\cchpx86.sys

C:\WINDOWS\System32\drivers\N360\0305020.00A\SymEFA.sys

C:\WINDOWS\System32\drivers\N360\0305020.00A\srtsp.sys

C:\WINDOWS\System32\drivers\N360\0305020.00A\BHDrvx86.sys

C:\WINDOWS\System32\drivers\N360\0305020.00A\symtdi.sys

C:\WINDOWS\System32\drivers\N360\0305020.00A\symfw.sys

C:\WINDOWS\System32\drivers\N360\0305020.00A\symndisv.sys

C:\WINDOWS\System32\drivers\N360\0305020.00A\srtspx.sys

C:\WINDOWS\System32\drivers\N360\0305020.00A\symndis.sys

C:\WINDOWS\System32\drivers\N360\0305020.00A\symids.sys

C:\WINDOWS\System32\drivers\N360\0305020.00A\SymEFA.inf

C:\WINDOWS\System32\drivers\N360\0305020.00A\ccHPx86.inf

C:\WINDOWS\System32\drivers\N360\0305020.00A\SymNet.inf

C:\WINDOWS\System32\drivers\N360\0305020.00A\srtspx.inf

C:\WINDOWS\System32\drivers\N360\0305020.00A\srtsp.inf

C:\WINDOWS\System32\drivers\N360\0305020.00A\BHDrvx86.inf

C:\WINDOWS\System32\drivers\N360\0305020.00A\SymNet.cat

C:\WINDOWS\System32\drivers\N360\0305020.00A\SymEFA.cat

C:\WINDOWS\System32\drivers\N360\0305020.00A\srtspx.cat

C:\WINDOWS\System32\drivers\N360\0305020.00A\srtsp.cat

C:\WINDOWS\System32\drivers\N360\0305020.00A\bhdrvx86.cat

C:\WINDOWS\System32\drivers\N360\0305020.00A\ccHPx86.cat

C:\Documents and Settings\All Users\Dane aplikacji\Norton

C:\Documents and Settings\All Users\Dane aplikacji\NortonInstaller


:Reg

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]

"{BB4C402F-882A-4526-8C08-51278EA437C1}"=-

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]

"SuperHidden"=dword:00000001

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]

"Hidden"=dword:00000001

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]

"ShowSuperHidden"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]

"CheckedValue"=dword:00000001

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]

@=""


:Commands

[emptytemp]

[start explorer]

[Reboot]

(chmur0n) #5

OK mam ten log ,tylko dodam że najpierw skopiowałem tylko część tj.

:Processes

explorer.exe


:OTL

O4 - HKU\.DEFAULT..\RunOnce: [nltide_2] File not found

O4 - HKU\S-1-5-18..\RunOnce: [nltide_2] File not found

O4 - HKU\S-1-5-19..\RunOnce: [nltide_2] File not found

O4 - HKU\S-1-5-20..\RunOnce: [nltide_2] File not found

O18 - Protocol\Handler\ipp - No CLSID value found

O18 - Protocol\Handler\msdaipp - No CLSID value found

O18 - Protocol\Handler\symres {AA1061FE-6C41-421f-9344-69640C9732AB} - Reg Error: Key error. File not found

O32 - AutoRun File - [2008-05-30 08:54:04 | 00,000,047 | R--- | M] () - E:\Autorun.inf -- [UDF]

O33 - MountPoints2\E\Shell - "" = AutoRun

i dopiero jak zauważyłem że jest suwak to wszystko zaznaczyłem :wink: tutaj log:

http://www.wklej.org/hash/ac2731e5b1/

Btw. dodam że mam czasem zwieszki których nie miałem niedawno/wczoraj ,tzn zacina mi się czasem strasznie windows ,a komputer mam nowy. Tj.

Intel Core2Duo E8400 @ 3.00GHz x2 , 4 GB RAMu (3,25 GB RAM czyta XP).

I w ogóle dzięki za pomoc;)


(Umpfh) #6

no to teraz od początku do końca zaznacz. :slight_smile:

log z usuwania po resecie się pojawi to dasz + utworzysz nowy z OTL jak wcześniej

Teraz uruchom OTL i Run Scan i dajesz loga nowego :slight_smile:


(chmur0n) #7

I teraz znowu 3x ścine miałem taką po 5 sek ,tj. jakby 'zawiesił' mi się komp na 5 sek... :x 5 sek x3 w odstępie ~10 sek.

Nowy log z OTL:

http://www.wklej.org/hash/a3742c03b9/

ten po restarcie masz w poście u góry;)


(Umpfh) #8

Nie usunęło wszystkiego.

Pobierz i rozpakuj: http://swandog46.geekstogo.com/avenger.zip

Uruchamiasz i wklejasz w okienko to:

[suwak w dół :P]

Files to delete:


C:\WINDOWS\System32\drivers\N360\0305020.00A\SymEFA.sys

C:\WINDOWS\System32\drivers\N360\0305020.00A\srtsp.sys

C:\WINDOWS\System32\drivers\N360\0305020.00A\symtdi.sys

C:\WINDOWS\System32\drivers\N360\0305020.00A\symfw.sys

C:\WINDOWS\System32\drivers\N360\0305020.00A\symndisv.sys

C:\WINDOWS\System32\drivers\N360\0305020.00A\srtspx.sys

C:\WINDOWS\System32\drivers\N360\0305020.00A\symndis.sys

C:\WINDOWS\System32\drivers\N360\0305020.00A\symids.sys

C:\WINDOWS\System32\drivers\N360\0305020.00A\SymNet.cat

C:\WINDOWS\System32\drivers\N360\0305020.00A\SymEFA.cat

C:\WINDOWS\System32\drivers\N360\0305020.00A\srtspx.cat

C:\WINDOWS\System32\drivers\N360\0305020.00A\SymEFA.inf

C:\WINDOWS\System32\drivers\N360\0305020.00A\SymNet.inf

C:\WINDOWS\System32\drivers\N360\0305020.00A\srtspx.inf

C:\WINDOWS\System32\drivers\N360\0305020.00A\srtsp.inf

C:\WINDOWS\System32\drivers\N360\0305020.00A\cchpx86.sys

C:\WINDOWS\System32\drivers\N360\0305020.00A\BHDrvx86.sys

C:\WINDOWS\System32\drivers\N360\0305020.00A\srtsp.cat

C:\WINDOWS\System32\drivers\N360\0305020.00A\bhdrvx86.cat

C:\WINDOWS\System32\drivers\N360\0305020.00A\ccHPx86.cat

C:\WINDOWS\System32\drivers\N360\0305020.00A\ccHPx86.inf

C:\WINDOWS\System32\drivers\N360\0305020.00A\BHDrvx86.inf

C:\WINDOWS\System32\drivers\N360\0305020.00A\symnetv.cat

C:\WINDOWS\System32\drivers\N360\0305020.00A\SymNetV.inf

C:\WINDOWS\System32\drivers\N360\0305020.00A\isolate.ini

C:\WINDOWS\System32\drivers\N360\0300000.086\Cat.DB

C:\WINDOWS\System32\drivers\N360\0300000.086\cchpx86.sys

C:\WINDOWS\System32\drivers\N360\0300000.086\SymEFA.sys

C:\WINDOWS\System32\drivers\N360\0300000.086\srtsp.sys

C:\WINDOWS\System32\drivers\N360\0300000.086\BHDrvx86.sys

C:\WINDOWS\System32\drivers\N360\0300000.086\symtdi.sys

C:\WINDOWS\System32\drivers\N360\0300000.086\symfw.sys

C:\WINDOWS\System32\drivers\N360\0300000.086\srtspx.sys

C:\WINDOWS\System32\drivers\N360\0300000.086\symndisv.sys

C:\WINDOWS\System32\drivers\N360\0300000.086\symndis.sys

C:\WINDOWS\System32\drivers\N360\0300000.086\symids.sys

C:\WINDOWS\System32\drivers\N360\0300000.086\SymEFA.inf

C:\WINDOWS\System32\drivers\N360\0300000.086\SymNet.inf

C:\WINDOWS\System32\drivers\N360\0300000.086\srtspx.inf

C:\WINDOWS\System32\drivers\N360\0300000.086\srtsp.inf

C:\WINDOWS\System32\drivers\N360\0300000.086\isolate.ini

C:\WINDOWS\System32\drivers\N360\0300000.086\ccHPx86.inf

C:\WINDOWS\System32\drivers\N360\0300000.086\BHDrvx86.inf

C:\WINDOWS\System32\drivers\N360\0300000.086\SymNet.cat

C:\WINDOWS\System32\drivers\N360\0300000.086\SymEFA.cat

C:\WINDOWS\System32\drivers\N360\0300000.086\srtspx.cat

C:\WINDOWS\System32\drivers\N360\0300000.086\BHDrvx86.CAT

C:\WINDOWS\System32\drivers\N360\0300000.086\srtsp.cat

C:\WINDOWS\System32\drivers\N360\0300000.086\ccHPx86.cat

C:\WINDOWS\System32\drivers\N360\0305020.00A\cchpx86.sys

C:\WINDOWS\System32\drivers\N360\0305020.00A\SymEFA.sys

C:\WINDOWS\System32\drivers\N360\0305020.00A\srtsp.sys

C:\WINDOWS\System32\drivers\N360\0305020.00A\BHDrvx86.sys

C:\WINDOWS\System32\drivers\N360\0305020.00A\symtdi.sys

C:\WINDOWS\System32\drivers\N360\0305020.00A\symfw.sys

C:\WINDOWS\System32\drivers\N360\0305020.00A\symndisv.sys

C:\WINDOWS\System32\drivers\N360\0305020.00A\srtspx.sys

C:\WINDOWS\System32\drivers\N360\0305020.00A\symndis.sys

C:\WINDOWS\System32\drivers\N360\0305020.00A\symids.sys

C:\WINDOWS\System32\drivers\N360\0305020.00A\SymEFA.inf

C:\WINDOWS\System32\drivers\N360\0305020.00A\ccHPx86.inf

C:\WINDOWS\System32\drivers\N360\0305020.00A\SymNet.inf

C:\WINDOWS\System32\drivers\N360\0305020.00A\srtspx.inf

C:\WINDOWS\System32\drivers\N360\0305020.00A\srtsp.inf

C:\WINDOWS\System32\drivers\N360\0305020.00A\BHDrvx86.inf

C:\WINDOWS\System32\drivers\N360\0305020.00A\SymNet.cat

C:\WINDOWS\System32\drivers\N360\0305020.00A\SymEFA.cat

C:\WINDOWS\System32\drivers\N360\0305020.00A\srtspx.cat

C:\WINDOWS\System32\drivers\N360\0305020.00A\srtsp.cat

C:\WINDOWS\System32\drivers\N360\0305020.00A\bhdrvx86.cat

C:\WINDOWS\System32\drivers\N360\0305020.00A\ccHPx86.cat


Folders to delete:


C:\WINDOWS\System32\drivers\N360

C:\WINDOWS\System32\drivers\N360\0305020.00A

C:\Documents and Settings\All Users\Dane aplikacji\Norton

C:\Documents and Settings\All Users\Dane aplikacji\NortonInstaller

C:\WINDOWS\System32\drivers\N360\0300000.086

C:\WINDOWS\System32\drivers\N360

C:\Documents and Settings\banan\Ustawienia lokalne\Dane aplikacji\Symantec_Corporation

C:\ac9cde4218e2147b8221b83d85

C:\Documents and Settings\All Users\Dane aplikacji\Norton

C:\Documents and Settings\All Users\Dane aplikacji\NortonInstaller

C:\WINDOWS\$hf_mig$

Klik na Execute. I wklejasz powstałego loga.


(chmur0n) #9

Znowu bez suwaka zrobiłem xD

http://www.wklej.org/hash/f37a6b840d/

tutaj jest bez suwaka ,teraz mi sie znowu komp zresetuje to dam z suwakiem ;d


(Umpfh) #10

ale w całości rób.. nie kawałkami, wklej całość


(chmur0n) #11

No wiem ,niechcąco zapomniałem o suwaku :stuck_out_tongue:

tutaj całe wklejone:

http://www.wklej.org/hash/29530118db/

teraz będę cały czas klikać po prostu 'zaznacz całość' :wink:


(Umpfh) #12

Teraz odpal OTL i Run Scan i daj loga , powinno poznikać, ale upewnimy się :slight_smile:


(chmur0n) #13

http://www.wklej.org/hash/176da0a97f/


(Umpfh) #14

http://forum.dobreprogramy.pl/hijackthis-rsit-otl-dds-inne-instrukcja-t36654.html odpal Combofixa i podaj loga, wyłącz antywirusa na czas skanowania, może krzyczeć, że Combofix to wirus, ale zignoruj, fałszywy alarm

Uruchom jeszcze OTL i wklej:

:Processes

explorer.exe


O4 - HKU\S-1-5-21-1935655697-1770027372-682003330-1003..\Run: [Nowe Gadu-Gadu] C:\Program Files\Nowe Gadu-Gadu\gg.exe (GG Network S.A.)

O4 - HKU\S-1-5-21-1935655697-1770027372-682003330-1003..\Run: [Steam] c:\valve\steam\steam.exe (Valve Corporation)


:Commands

[emptytemp]

[start explorer]

[Reboot]

Run fix. Dajesz loga.


(chmur0n) #15

HijackThis zaraz odpale ,teraz ComboFix ,log:

http://www.wklej.org/hash/a555fb6236/

i dodam że ComboFix "kazał" mi zanotować:stuck_out_tongue:

Rootkit !!

Combofix wykrył obecność infekcji typu rootkit i potrzebuje uruchomić komputer ponownie. Prosze zanotować na kartce papieru nazwę każdego z plików. Możemy tej informacji później potrzebować.

c:\windows\system32\drivers\kbiwkmxfqhtprr.sys

c:\windows\system32\kbiwkmbwvyqjow.dll

c:\windows\system32\kbiwkmiqxmljdw.dat

c:\windows\system32\kbiwkmvamrhoiy.dat

c:\windows\system32\kbiwkmwxwaqjbi.dll

log z OTL (chociaż nowe gg i steam to dwa znane mi programy;d) -

http://www.wklej.org/hash/124fdfb24b/

Btw. spać mi się chce troszke ,więc zapytam - dużo jeszcze jest roboty? ew. o której jutro byś był ; )


(Umpfh) #16

{ciach} ściągasz, dajesz pełne skanowanie i usuwasz wszystkie wyskakujące zagrożenia, po czym log po usuwaniu wklejasz na forum

Jak się komputer zachowuje?


(chmur0n) #17

Troche lepiej tzn. Nie odczuwam ścin ,chociaż denerwuje mnie już ten kaspersky ;x znowu się nie uruchomił ,nie rozumiem - 'wypisał' się z autostartu o_O ?

No a programik już ściągam;p


(Umpfh) #18

Kasperskyego później po wszystkim trzeba będzie odinstalować i zainstalować ponownie.

Teraz skanowanie powyższym programem, pamiętaj usuwaj wszystko co znajdzie i daj loga :slight_smile:

Później rootkity usuniesz tym: http://dobreprogramy.pl/index.php?dz=2...=55&id=1497 - wszystko co pokaże program jako infekcję usuwasz oczywiście

dasz tylko logi ze skanu i później reszta


(chmur0n) #19

http://www.wklej.org/id/138198/

Nic nie było zainfekowane co do malware.

RootkitReavler'a właśnie odpaliłem ,ale log mi się nie zapisał tzn program się zaciął,zrobie to jutro :stuck_out_tongue:

narka :wink: jak będziesz to napisz co mam zrobić później i WIELKIE DZIĘKI ZA POMOC! :slight_smile:


(Umpfh) #20

użyj tego teraz: http://www.f-secure.com/en_EMEA/securit ... ments.html

zrzut z wyniku wklej