Logi - Internet spowolnił
#1
Napisano 17 10 2010 - 10:05
http://wklej.org/id/402375/
#2
Napisano 17 10 2010 - 11:45
Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:
Kliknij w Wykonaj Script. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.:OTL
NetSvcs: xwawgnyg - C:\WINDOWS\system32\lgscdth.dll
SRV - [2009-03-21 16:21:24 | 000,168,371 | RHS- | M] () [Auto | Stopped] -- C:\WINDOWS\system32\lgscdth.dll -- (xwawgnyg)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\02E.tmp -- (qlkgh)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\024.tmp -- (jfpquhye)
O4 - HKLM..\Run: [KernelFaultCheck] File not found
O4 - Startup: C:\Documents and Settings\Damian\Menu Start\Programy\Autostart\WinSvc.exe ()
:Services
xwawgnyg
:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
:Commands
[emptytemp]
[Reboot]
Zrób nowy log, ale na dodatkowym ustawieniu:
Ale oprócz normalnych ustawień, dodaj jeszcze jedno:
W pole Własne opcje skanowania/Scrypt wklej:
i dopiero wtedy kliknij Skanuj.
msconfig
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List
Pokaż nowy log OTL.txt oraz raport z usuwania.
.
#3
Napisano 17 10 2010 - 12:15
http://wklej.org/id/402632/
zacina sie w tym miejscu : C:\WINDOWS\system32\lgscdth.dll skanując ten plik
Użytkownik szaba edytował ten post 17 10 2010 - 12:16
#4
Napisano 17 10 2010 - 12:32
Za to inne Rootkity zostały.
Ściągnij -->Avenger.
wklej do niego ten tekst:
Files to delete: C:\WINDOWS\System32\02E.tmp C:\WINDOWS\System32\024.tmp C:\Documents and Settings\Damian\Menu Start\Programy\Autostart\WinSvc.exe C:\WINDOWS\system32\lgscdth.dll Registry values to delete: HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List | 6710:TCP Drivers to delete: qlkgh jfpquhye xwawgnygKliknij w "Execute" i zatwierdź restart komputera.
Zrestartuj komputer.
Daj Raport z Avengera z C:\avenger.txt.
.
#5
Napisano 17 10 2010 - 12:38
http://wklej.org/id/402642/
#6
Napisano 17 10 2010 - 12:50
1) Daj log z VBA32arkit >http://www.searchengines.pl/index.php?showtopic=58269&pid=611948&st=0&#entry611948 - post nr 5.
2) Daj log z MBRCheck >http://www.bezpieczenstwosystemow.pl/index.php?topic=7494.0
.
Oraz nowy log z OTL, na ustawieniu jak ostatnio.
.
Użytkownik ordynat edytował ten post 17 10 2010 - 12:52
#7
Napisano 17 10 2010 - 13:24
http://wklej.org/id/402667/ MBRCHECK
Vba32arkit : http://www.speedyshare.com/files/24733895/Vba32ArkitLog_2010-10-17_13-40-6.html
+ OTL
http://wklej.org/id/402697/
Użytkownik szaba edytował ten post 17 10 2010 - 13:28
#8
Napisano 17 10 2010 - 14:03
OTL - nie ma nic podejrzanego.
VBA32Arkit - jest jakaś nieznana usługa, ale już nieaktywna.
Usuniemy ją:
>Avenger:
wklej do niego ten tekst:
Drivers to delete: p4v9q9a9.sysKliknij w "Execute" i zatwierdź restart komputera.
Daj Raport z Avengera z C:\avenger.txt.
.
#9
Napisano 17 10 2010 - 14:11
widze ze jest napisane not found : / to chyba nie dobrze , a wlasnie zauwazylem w VBA32 ze jest wpis "Zombie process" moj kolega zajmowal sie tym jest to plik ktory przejmuje czesc łącza i komputer z ktorego zostal wyslany plik moze wysylac pakiety z komputera na ktorym jest "PLIK ZOMBIE" np w celu spingowania łącza wybranej osoby. ale nie mam pojecia czy tak moze byc ?
NIESTETY problem nadal istnieje : /
umieszczam rowniez log z RSIT , jesli to w czyms pomoze
http://wklej.org/id/402721/ - rsit log.txt
http://wklej.org/id/402722/ - info.txt
Użytkownik szaba edytował ten post 17 10 2010 - 14:15
#10
Napisano 17 10 2010 - 14:55
Proces Zombie - to niezupełnie tak, jak myślisz.
Gdy proces już jest zakończany ("umarł"), otrzymując sygnał do tego, może trzymać się na trochę, aby zakończyć kilka ostatnich zadań.
Należą do nich zamknięcia otwartych plików i zamykanie wszelkich przydzielonych zasobów (pamięć, przestrzeń wymiany, coś w tym stylu).
Tak więc to nie ma nic wspólnego z komputerem "zombie".
>
U mnie też jest kilkadziesią różnych zombie, i wcale się tym nie przejmuję, bo to nie ma nic wspólego z infekcjami.
#11
Napisano 17 10 2010 - 15:01
Hmm dzieki wielkie za poswiecony czas , gdybys jeszcze na cos wpadl bede wdzieczny : )
#12
Napisano 17 10 2010 - 15:19
C:\WINDOWS\system32\ntvdm.exe
Description: NTVDM.EXE
Company name: Microsoft Corporation
Size: 420352 Attrs: ----a
Created: 17:30:00 26.10.2001
Modified: 22:44:26 03.08.2004
Accessed: 11:10:31 17.10.2010
To opis Twojego pliku.
Zresztą, u mnie też jest.
#13
Napisano 17 10 2010 - 15:29
#14
Napisano 17 10 2010 - 16:54
Jeśli chcesz, to możesz użyć USBFix http://www.bezpieczenstwosystemow.pl/index.php?topic=7405.0
Kliknij w nim na DELETION.
"ntvdm.exe" - nie jest dziwne, że jest, ale trochę dziwi, że pokazało się w logu VBA32Arkit, bo bardzo rzadko w takim logu się to pojawia.
Być może używał tego jakiś Twój program - tego już nie ustalimy.
.
#15
Napisano 17 10 2010 - 16:56
Użytkownicy przeglądający ten temat: 0
0 użytkowników, 0 gości, 0 anonimowych