Prosze o sprawdzenie skanu z OTL , podejrzewam ze mam jakiegos wirusa internet chodzi mi strasznie wolno komputer rowniez zamula , z góry dzieki.
http://wklej.org/id/402375/
Logi - Internet spowolnił
Rozpoczęty przez
szaba
, 17 10 2010 10:05
-
Temat jest zamknięty
14 odpowiedzi w tym temacie
#2
ordynat
-
-
- 804 postów
Zaawansowany użytkownik
Napisano 17 10 2010 - 11:45
Jest CONFICKER.
Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:
Zrób nowy log, ale na dodatkowym ustawieniu:
Ale oprócz normalnych ustawień, dodaj jeszcze jedno:
W pole Własne opcje skanowania/Scrypt wklej:
Pokaż nowy log OTL.txt oraz raport z usuwania.
.
Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:
Kliknij w Wykonaj Script. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.:OTL
NetSvcs: xwawgnyg - C:\WINDOWS\system32\lgscdth.dll
SRV - [2009-03-21 16:21:24 | 000,168,371 | RHS- | M] () [Auto | Stopped] -- C:\WINDOWS\system32\lgscdth.dll -- (xwawgnyg)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\02E.tmp -- (qlkgh)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\024.tmp -- (jfpquhye)
O4 - HKLM..\Run: [KernelFaultCheck] File not found
O4 - Startup: C:\Documents and Settings\Damian\Menu Start\Programy\Autostart\WinSvc.exe ()
:Services
xwawgnyg
:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
:Commands
[emptytemp]
[Reboot]
Zrób nowy log, ale na dodatkowym ustawieniu:
Ale oprócz normalnych ustawień, dodaj jeszcze jedno:
W pole Własne opcje skanowania/Scrypt wklej:
i dopiero wtedy kliknij Skanuj.
msconfig
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List
Pokaż nowy log OTL.txt oraz raport z usuwania.
.
#3
szaba
-
-
- 8 postów
Obserwator
Napisano 17 10 2010 - 12:15
Wykonalem ten skrypt który podałeś lecz komputer zacina sie w polowie , probowalem dwa razy , dlatego nie ma raportu z usuwania oto nowy LOG z OTL , nie wiem czy dobrze umiescilem ten skrypt :
http://wklej.org/id/402632/
zacina sie w tym miejscu : C:\WINDOWS\system32\lgscdth.dll skanując ten plik
http://wklej.org/id/402632/
zacina sie w tym miejscu : C:\WINDOWS\system32\lgscdth.dll skanując ten plik
Użytkownik szaba edytował ten post 17 10 2010 - 12:16
#4
ordynat
-
-
- 804 postów
Zaawansowany użytkownik
Napisano 17 10 2010 - 12:32
Zaciina się, ale wygląda na to, że jednak CONFICKER został usunięty.
Za to inne Rootkity zostały.
Ściągnij -->Avenger.
wklej do niego ten tekst:
Zrestartuj komputer.
Daj Raport z Avengera z C:\avenger.txt.
.
Za to inne Rootkity zostały.
Ściągnij -->Avenger.
wklej do niego ten tekst:
Files to delete: C:\WINDOWS\System32\02E.tmp C:\WINDOWS\System32\024.tmp C:\Documents and Settings\Damian\Menu Start\Programy\Autostart\WinSvc.exe C:\WINDOWS\system32\lgscdth.dll Registry values to delete: HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List | 6710:TCP Drivers to delete: qlkgh jfpquhye xwawgnygKliknij w "Execute" i zatwierdź restart komputera.
Zrestartuj komputer.
Daj Raport z Avengera z C:\avenger.txt.
.
#5
szaba
-
-
- 8 postów
Obserwator
Napisano 17 10 2010 - 12:38
Dziekuje za odpowiedz. zrobilem jak kazales , niestety problem nadal istnieje : ( , oto raport z avengera.
http://wklej.org/id/402642/
http://wklej.org/id/402642/
#6
ordynat
-
-
- 804 postów
Zaawansowany użytkownik
Napisano 17 10 2010 - 12:50
Wszystko "not found" - nie wiem dlaczego, skoro np. usługi były w logu OTL.
1) Daj log z VBA32arkit >http://www.searchengines.pl/index.php?showtopic=58269&pid=611948&st=0&#entry611948 - post nr 5.
2) Daj log z MBRCheck >http://www.bezpieczenstwosystemow.pl/index.php?topic=7494.0
.
Oraz nowy log z OTL, na ustawieniu jak ostatnio.
.
1) Daj log z VBA32arkit >http://www.searchengines.pl/index.php?showtopic=58269&pid=611948&st=0&#entry611948 - post nr 5.
2) Daj log z MBRCheck >http://www.bezpieczenstwosystemow.pl/index.php?topic=7494.0
.
Oraz nowy log z OTL, na ustawieniu jak ostatnio.
.
Użytkownik ordynat edytował ten post 17 10 2010 - 12:52
#7
szaba
-
-
- 8 postów
Obserwator
Napisano 17 10 2010 - 13:24
Postaram sie sciagnac te programy jak narazie transfer mam niecale 2,0 Kb , troche to potrwa , dzieki za pomoc : )
http://wklej.org/id/402667/ MBRCHECK
Vba32arkit : http://www.speedyshare.com/files/24733895/Vba32ArkitLog_2010-10-17_13-40-6.html
+ OTL
http://wklej.org/id/402697/
http://wklej.org/id/402667/ MBRCHECK
Vba32arkit : http://www.speedyshare.com/files/24733895/Vba32ArkitLog_2010-10-17_13-40-6.html
+ OTL
http://wklej.org/id/402697/
Użytkownik szaba edytował ten post 17 10 2010 - 13:28
#8
ordynat
-
-
- 804 postów
Zaawansowany użytkownik
Napisano 17 10 2010 - 14:03
MBRCheck: nie ma Rootkita w MBR.
OTL - nie ma nic podejrzanego.
VBA32Arkit - jest jakaś nieznana usługa, ale już nieaktywna.
Usuniemy ją:
>Avenger:
wklej do niego ten tekst:
Daj Raport z Avengera z C:\avenger.txt.
.
OTL - nie ma nic podejrzanego.
VBA32Arkit - jest jakaś nieznana usługa, ale już nieaktywna.
Usuniemy ją:
>Avenger:
wklej do niego ten tekst:
Drivers to delete: p4v9q9a9.sysKliknij w "Execute" i zatwierdź restart komputera.
Daj Raport z Avengera z C:\avenger.txt.
.
#9
szaba
-
-
- 8 postów
Obserwator
Napisano 17 10 2010 - 14:11
http://wklej.org/id/402733/ Oto raport ,
widze ze jest napisane not found : / to chyba nie dobrze , a wlasnie zauwazylem w VBA32 ze jest wpis "Zombie process" moj kolega zajmowal sie tym jest to plik ktory przejmuje czesc łącza i komputer z ktorego zostal wyslany plik moze wysylac pakiety z komputera na ktorym jest "PLIK ZOMBIE" np w celu spingowania łącza wybranej osoby. ale nie mam pojecia czy tak moze byc ?
NIESTETY problem nadal istnieje : /
umieszczam rowniez log z RSIT , jesli to w czyms pomoze
http://wklej.org/id/402721/ - rsit log.txt
http://wklej.org/id/402722/ - info.txt
widze ze jest napisane not found : / to chyba nie dobrze , a wlasnie zauwazylem w VBA32 ze jest wpis "Zombie process" moj kolega zajmowal sie tym jest to plik ktory przejmuje czesc łącza i komputer z ktorego zostal wyslany plik moze wysylac pakiety z komputera na ktorym jest "PLIK ZOMBIE" np w celu spingowania łącza wybranej osoby. ale nie mam pojecia czy tak moze byc ?
NIESTETY problem nadal istnieje : /
umieszczam rowniez log z RSIT , jesli to w czyms pomoze
http://wklej.org/id/402721/ - rsit log.txt
http://wklej.org/id/402722/ - info.txt
Użytkownik szaba edytował ten post 17 10 2010 - 14:15
#10
ordynat
-
-
- 804 postów
Zaawansowany użytkownik
Napisano 17 10 2010 - 14:55
Ja w logu RSIT nie widzę niczego podejrzanego.
Proces Zombie - to niezupełnie tak, jak myślisz.
Gdy proces już jest zakończany ("umarł"), otrzymując sygnał do tego, może trzymać się na trochę, aby zakończyć kilka ostatnich zadań.
Należą do nich zamknięcia otwartych plików i zamykanie wszelkich przydzielonych zasobów (pamięć, przestrzeń wymiany, coś w tym stylu).
Tak więc to nie ma nic wspólnego z komputerem "zombie".
>
U mnie też jest kilkadziesią różnych zombie, i wcale się tym nie przejmuję, bo to nie ma nic wspólego z infekcjami.
Proces Zombie - to niezupełnie tak, jak myślisz.
Gdy proces już jest zakończany ("umarł"), otrzymując sygnał do tego, może trzymać się na trochę, aby zakończyć kilka ostatnich zadań.
Należą do nich zamknięcia otwartych plików i zamykanie wszelkich przydzielonych zasobów (pamięć, przestrzeń wymiany, coś w tym stylu).
Tak więc to nie ma nic wspólnego z komputerem "zombie".
>
U mnie też jest kilkadziesią różnych zombie, i wcale się tym nie przejmuję, bo to nie ma nic wspólego z infekcjami.
#11
szaba
-
-
- 8 postów
Obserwator
Napisano 17 10 2010 - 15:01
Aha no za pewne jest tak jak mowisz. Chodzilo mi o ten wpis 1788 0x862CF860 ntvdm.exe C:\WINDOWS\system32\ntvdm.exe Zombie process
Hmm dzieki wielkie za poswiecony czas , gdybys jeszcze na cos wpadl bede wdzieczny : )
Hmm dzieki wielkie za poswiecony czas , gdybys jeszcze na cos wpadl bede wdzieczny : )
#12
ordynat
-
-
- 804 postów
Zaawansowany użytkownik
Napisano 17 10 2010 - 15:19
C:\WINDOWS\system32\ntvdm.exe
Description: NTVDM.EXE
Company name: Microsoft Corporation
Size: 420352 Attrs: ----a
Created: 17:30:00 26.10.2001
Modified: 22:44:26 03.08.2004
Accessed: 11:10:31 17.10.2010
To opis Twojego pliku.
Zresztą, u mnie też jest.
#13
szaba
-
-
- 8 postów
Obserwator
Napisano 17 10 2010 - 15:29
gadam z kolega , mowi ze moze byc to wirusa z pendriva , jest to mozliwe zebys go nie wykrył w logu OTL?
#14
ordynat
-
-
- 804 postów
Zaawansowany użytkownik
Napisano 17 10 2010 - 16:54
Log z OTL nie jest "wszystkopokazujący", ale nic nie wskazuje na infekcję pendrivową.
Jeśli chcesz, to możesz użyć USBFix http://www.bezpieczenstwosystemow.pl/index.php?topic=7405.0
Kliknij w nim na DELETION.
"ntvdm.exe" - nie jest dziwne, że jest, ale trochę dziwi, że pokazało się w logu VBA32Arkit, bo bardzo rzadko w takim logu się to pojawia.
Być może używał tego jakiś Twój program - tego już nie ustalimy.
.
Jeśli chcesz, to możesz użyć USBFix http://www.bezpieczenstwosystemow.pl/index.php?topic=7405.0
Kliknij w nim na DELETION.
"ntvdm.exe" - nie jest dziwne, że jest, ale trochę dziwi, że pokazało się w logu VBA32Arkit, bo bardzo rzadko w takim logu się to pojawia.
Być może używał tego jakiś Twój program - tego już nie ustalimy.
.
#15
szaba
-
-
- 8 postów
Obserwator
Napisano 17 10 2010 - 16:56
W takim razie pozostaje mi zrobic tylko format ? : P jesli nic nie pomaga
Użytkownicy przeglądający ten temat: 0
0 użytkowników, 0 gości, 0 anonimowych
