Wyświetlające się nowe procesy

kuba123456 · 29 Kwiecień 2010 13:08

Witam, jestem nowy i mam problem z wirusami tzn. jak korzystam z internetu to po chwili mój antywirus(NOD32) wyświetla mi powiadomienie o nieznanym połączeniu przez IE i oczywiście kilkam “rozłącz” jednak cały czas się coś pojawia w dodatku w temp użytkownika pojawiają się nieznane pliki z rozszerzeniem exe, po długich męczarniach i korzystania z kilku programów trochę tych plików udało mi się usunąć, ale podejrzewam, że jeszcze kilka zostało więć poniżej są linki z loga OTL:

http://wklej.org/id/325316/

http://wklej.org/id/325314/

Proszę o pomoc.

deFco247 · 29 Kwiecień 2010 17:26

Tutaj jest sprawa cięższego kalibru, gdyż widać nowo modyfikowane pliki sterowników.

Zastosuj Combofix.

Przed uruchomieniem odinstaluj wszelkie programy tworzące wirtualne napędy (Daemon Tools, Alcohol itp.) oraz usuń sterownik SPTD narzędziem SPTDInst z opcji Uninstall (jeśli będzie zszarzałe, to OK).

Podczas pobierania i skanowania Combofixem należy wyłączyć wszelkie antywirusy i firewalle.

Pokaż log.

kuba123456 · 30 Kwiecień 2010 14:47

już to właśnie zauważyłem i obecnie mam problem, ponieważ nawet na wyłączonym połączeniu internetowym i wyłączonych antywirusach uruchamiają się jakieś dziwne procesy w tym oczywiście iexplorer.exe ;/ zauważyłem też wcześniej tylko, że z tym się uporałem, że ten wirus popodmieniał sobie pliki w programie anty-wirusowym(NOD) i kilku innych, ale z tym sobie dałem rade, zostały jeszcze ogólnie chyba z 4 które są uznawane jako złośliwe, szczególnie “Registry HKLM\WINDOWS\system32\NvCpl.dll,NvStartup” do tego jakiś MRGLS.exe w Shell-u, ale żeby go usunąć trzeba usunąć explorer.exe ;/ i teraz nie wiem co mam zrobić ?

deFco247 · 30 Kwiecień 2010 14:51

Zastosuj Combofix tak jak pisałem i się to pozmienia, ewentualne pliki systemowe powinien dać radę naprawić podmieniając je znalezionymi czystymi kopiami.

kuba123456 · 30 Kwiecień 2010 16:41

http://wklej.org/id/325966/

nie wiem czy to od tego sie zaczęło, ale wydaje mi sie, że pierwszym podejrzanym plikiem był “csrss.exe”, ktory ukrywał się w documents and settings na moim koncie “ppp” ;] pozniej systemowy plik ktory wiadomo jest w system32 sie przelaczyl na ten nowy i sie zaczelo ;/ pozniej mi pozmieniam prawie wszystko

deFco247 · 30 Kwiecień 2010 16:59

Wszystkie programy znajdujące się na autostarcie będą do reinstalacji, gdyż nawet antywirus padł.

Otwórz Notatnik i wklej do niego:

File:: c:\windows\system32\dllcache\lbrtfdc.sys c:\windows\system32\drivers\lbrtfdc.sys c:\windows\system32\dllcache\i2omgmt.sys c:\windows\system32\drivers\i2omgmt.sys c:\windows\system32\dllcache\changer.sys c:\windows\system32\drivers\changer.sys c:\documents and settings\All Users\Dane aplikacji\PKP_DLdw.DAT c:\documents and settings\All Users\Dane aplikacji\PKP_DLdu.DAT c:\documents and settings\ppp\Menu Start\Programy\Autostart\System NOD32.lnk Folder:: c:\windows\system32\config\systemprofile\Ustawienia lokalne\Dane aplikacji\Windows Server\yesybr.dll RenV:: c:\program files\Adobe\Reader 8.0\Reader\reader_sl .exe c:\program files\Eset\nod32kui .exe c:\program files\Java\jre6\bin\jusched .exe c:\program files\Spyware Terminator\spywareterminatorshield .exe c:\program files\Winamp\winampa .exe Registry:: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “SpywareTerminator”=- “nod32kui”=- “NvCplDaemon”=- [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher] [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent] [-HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager\appcertdlls] [-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\cdfss]

Plik zapisz pod nazwą CFScript , najlepiej w tym samym folderze co Combofix.exe

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę Combofix.exe

Powinno się rozpocząć usuwanie.

_ Potem dajesz log z usuwania Combofix. _

kuba123456 · 30 Kwiecień 2010 17:55

http://wklej.org/id/326005/