Zamulony komputer i podejrzane pliki

Dla specjalistów Bezpieczeństwo
#1

Witam,

Przez ostatnie kilka dni zauważyłem, że komputer ma ogólna “zamułę”, pracuje wolniej, itd. Mam też problemy z podejrzanymi plikami, takimi jak smss. exe. Czytałem w google, że jest to tzw. “tibijski keylogger”. Próbowałem jakoś ten plik usuwać, ale nie wiem czy mi się powiodło. Prosiłbym o sprawdzenie loga z HijackThis. Log: http://wklej.org/id/100550/

Pozdrawiam

#2

Fix w HiJackThis: ( Do a system scan only -> zaznaczasz pola przy podanych niżej wpisach -> Fix checked )

Pobierz Combofix, ale nie uruchamiaj.

Podczas pobierania i skanowania Combofixem należy wyłączyć wszelkie antywirusy i firewalle.

Otwórz Notatnik i wklej do niego:

File::

C:\WINDOWS\system32\netdll32.exe

C:\WINDOWS\system32\hattric\smss.exe

Plik zapisz jako CFScript.txt , najlepiej w tym samym folderze co Combofix.exe

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę Combofix.exe

Powinno się rozpocząć usuwanie.

Potem dajesz log z usuwania Combofix.

#3

Dzięki za szybką pomoc :slight_smile: Odnośnie czynności w HijackThis zrobiłem wszystko, ale jeśli chodzi o ComboFix to mam pewien problem. Mianowicie, wyłączyłem antywirusa (Noda mam) poprzez kliknięcie na quit i ok, pokazało, że wszelkie monitorowanie zostało wyłączone, a gdy włącza się ten ComboFix to pisze, że ochrona antywirusowa (Nod) jest dalej włączona. Muszę usunąć Noda czy da się go jeszcze w jakiś inny sposób wyłączyć, żeby ComboFix zadziałał? Tak na marginesie, reszta tego loga jest w porządku? I czy ten plik smss.exe jest dużym zagrożeniem?

Pozdrawiam

#4

Jak nie przez Combo, to ubijemy te szkodniki innym sposobem.

Pobierz The Avenger.

Skopiuj ten tekst:

Files to delete:

C:\WINDOWS\system32\netdll32.exe

C:\WINDOWS\system32\hattric\smss.exe

W oknie The Avengera klikasz Paste Script from Clipboard , wybierasz Execute i zgadzasz się na restart.

Po restarcie kasujesz plik C:\Avenger\backup.zip i dajesz nam do przejrzenia plik C:\avenger.txt

#5

Wielkie dzięki za szybką odpowiedź, zrobiłem co kazałeś - log z Avengera - http://wklej.org/id/100609/.

#6

Widać tych plików już nie ma… :?

Usuń The Avenger, folder C:\Qoobox oraz Combofix z dysku.

Wyłącz i włącz Przywracanie systemu na wszystkich dyskach. Instrukcja

Przeczyść system CCleanerem.

Usuń zbędniki z autostartu.

Wykonaj pełny skan Dr Web CureIt!.

Jeśli będą wirusy, to usuń je.

#7

Wszystko wykonane. Dr Web nie znalazł żadnych wirusów a cleaner nie miał dużo do usuwania, ponieważ używam go codziennie :wink: Jeszcze raz dzięki za szybką i fachową pomoc.

Pozdrawiam