Za dużo Services (sprawdzenie logów)


(Mordor 13) #1

Witam

pewnego razu wyłączyłem antyvirusa bo miałem zamiar grać. Po skończonej grze antywirusa zapomniałem wyłączyć i chodziłem po stronach internetowych, ostatnio zauważyłem że są jakieś pliki services. Nie wiem skąd się wzięły a usunięcie HJT nie pomogło

http://wklejto.pl/28780

proszę o pomoc

pozdrawiam


(13 Alek) #2

Uruchom HijackThis :arrow: Do a system scan only :arrow: zaznacz kratki przy podanych niżej wpisach :arrow: Naciśnij "Fix checked":

Pobierz Combofix, ale nie uruchamiaj go. Otwórz notatnik i wklej

File::

C:\WINDOWS\services.exe

Plik>Zapisz jako...> CFScript.txt

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe

combofix_cfscript.gif

To uruchomi combofixa, wygenerowany log dajesz na http://www.wklej.eu/, http://www.wklej.org/ lub http://www.wklejto.pl/, a w poście tylko link.


(Mordor 13) #3

Kombinowałem wczoraj do 2.00 w nocy bo podczas tworzenia punktu przywracania systemu ComboFix.exe resetował komputer, na szczęście jakoś udało mi się ręcznie usunąć to services.exe, teraz log z HJT wygląda tak:

http://www.wklej.org/id/64572/


(Spandau) #4

Log HJT może być czysty, co nie znaczy że infekcja została usunięta

  1. Pobierz program SDFix

* Dwuklik na SDFix.exe następnie program wypakuje się na dysk systemowy (standardowo C:\SDFix)

* Zrestartuj komputer i wejdź do trybu awaryjnego (klawisz F8 przed bootem Windowsa)

* Wejdź do folderu z SDFix kliknij dwa razy na plik RunThis.bat

* Wciśnij Y nastąpi proces usuwania.

* Kiedy usuwanie się ukończy wciśnij dowolny klawisz (Any Key). Nastąpi restart komputera.

* Po restarcie SDFix uruchomi się ponownie, żeby dokończyć proces usuwania kiedy pojawi się w oknie programu Finished, wciśnij dowolny klawisz do zakończenia scryptu i załadowania ikon na pulpicie.

* Pokaż Report.txt znajdujący się w folderze SDFix.

  1. Pobierz ponownie Combofix Wejdź w tryb awaryjny windows (F8 przed bootem windowsa) i uruchom Combofixa dwuklikiem Jak się uda przeskanuj system i daj log na forum

(Mordor 13) #5

http://www.wklej.org/id/64899/

Co do Combofixa to zrobiłem ale nie mam loga, nie wiem gdzie się zapisał.


(matio) #6

Log powinien znajdować się bezpośrednio na dysku C


(Mordor 13) #7

To niestety nie utworzył się ;/

I mam jeszcze problem, nie wiem czy to przez jakiegoś trojana ale jak chcę zainstalować jakąś gierkę ze stajni Electronic Arts to podczas instalacji, zazwyczaj na początku instalacja się zawiesza po czym resetuje się komputer bez żadnej przyczyny.


(Spandau) #8

Myślę że przez Viruta ten wirus infekuje wszystkie exe Dlatego

  1. Wyłącz przywracanie systemu na wszystkich dyskach. Instrukcja

  2. Pobierz i użyj narzędzie do usuwania Viruta http://translate.google.pl/translate?hl ... D%26sa%3DG win32/Virut instrukcja podana w linku Przy pobieraniu pliku exe proszę zmienić mu nazwę i rozszerzenie na com może wtedy wirus nie zdąży go zainfekować zanim go uruchomisz

  3. Pobierz Dr.WEB CureIt! Już w trakcie pobierania zmień mu nazwę na losową np 123.com (rozszerzenie com nie exe) Uruchom, wykonaj pełne skanowanie. Jeśli podczas skanowania będzie się wieszać to wejdź w tryb awaryjny windows i tam spróbuj przeskanować system. Wylecz co się da co nie musisz usunąć Jaki to przyniesie skutek zobaczymy Skanujesz do skutku aż skaner nic nie znajdzie

  4. Jeśli skaner nic nie znajdzie pobierz Combofix przeskanuj system i daj nowy log na forum


(Mordor 13) #9

Zrobiłem to co się da, CureIt pousuwałem rzeczy ale po restarcie systemu muj antywirus ESET NOD32 Antivirus i wyszukuje same wirusy w procesach tj. explorer.exe, ctfmon.exe

i niektóre pliki exe nie otwierają się, jakby ktoś je usuną a tak naprawdę istnieją.

np:

---------------------------

C:\Program Files\Teamspeak\TeamSpeak.exe

---------------------------

System Windows nie może uzyskać dostępu do określonego urządzenia, ścieżki lub pliku. Możesz nie mieć odpowiednich uprawnień, aby uzyskać dostęp do elementu.

---------------------------

OK   

---------------------------

(Spandau) #10

Jeśli masz dostęp do innego komputera Pobierz na nim Kaspersky Rescue Disk http://dobreprogramy.pl/index.php?dz=2& ... k+8.8.1.18 nagraj na płytkę Uruchom z płytki zainfekowany komputer przeskanuj cały system usuń co znajdzie skaner

Następnie (ponieważ windows nie będzie się chciał uruchomić) wykonaj instalacje nakładkową windows bez utraty danych http://www.searchengines.pl/index.php?s ... 0&p=109540 Zanim cokolwiek zrobisz sprawdź czy jest możliwe wykonanie takiej instalacji z twojej płyty instalacyjnej windowsa


(Mordor 13) #11

Postaram się zrobić co się da.

Nie wiem jaki to ma związek ale w trybie awaryjnym te pliki które w trybie normalnym nie chcą się uruchomić, tutaj się uruchamiają(w trybie awaryjnym).


(Spandau) #12

Pliki są ale widocznie zostały uszkodzone przez infekcje. Mam rozumieć że tryb awaryjny działa Możesz w trybie awaryjnym przeskanować ponownie system DrWeb'em?

Jeśli skaner nic nie znajdzie to instalacja nakładkowa windows zobacz post powyżej


(Mordor 13) #13

Tak, przeskanowałem i usunąłem ale głównie były to pliki z Combofixa i SDFixa które usunąłem.

Antyvirus wyszukuje mi podstawowe funkcje systemu ale nie wiem czy to ma różnice z jakiej litery są napisane np:

ogólnie procesy są napisane z malej a tutaj jako obiekt jest napisany z dużej, nie wiem czy mogę je usunąć czy lepiej już tą nakładkę zrobić.


(Spandau) #14

Chodzi o to że plik systemowy został zainfekowany Virutem i chyba nie tylko ten jeden. Jeśli najpierw nie oczyścisz systemu to nakładkowa instalacja jest stratą czasu gdyż infekcja pozostanie Więc powinieneś zrobić to co napisałem w poście wyżej