Mam identyczny problem, próbowałem już wszystkiego ;/
skanowałem CClenerem, ATF Clenerem, SpyHunterem, AVG Anti-Spywere, FlashDisinfectorem, Stingerem, Clrav i już mi normalnie ręce opadaja...
przeczesałem sieć pod każdym tematem i próbowalem odnieść logi OTLa do moich i niestety nie potrafię sobie tego przerobić na swoją ZARAZĘ... dlatego postanowiłem wkleić log i prosić o pomoc z usunięciem tego SYFU...
z góry dzięki
Dostępne tylko dla zarejestrowanych użytkowników
//Wydzielam do nowego tematu,
djkamil09061991
Wirus csrss.exe
-
deFco247
- Posty: 371
- Rejestracja: 02 sty 2011, 17:27
- Kontaktowanie:
Wirus csrss.exe
Sytuacja jest krótko mówiąc dosyć ciężka. Nie wstawiłeś drugiego raportu z OTL, czyli Extras.txt. Żeby on powstał opcja Rejestr - skan dodatkowy musi być ustawiona na Użyj filtrowania. Oprócz tego skan z GMER jest tutaj potrzebny do dokładnego przeszukania systemu pod kątem rootkitów. Instrukcję co i jak podałem na końcu posta.
-----------------------
Już w OTL widać rootkita, którego trzeba będzie usuwać inną metodą. Więc po kolei:
1. Pobierz Dostępne tylko dla zarejestrowanych użytkowników i uruchom.
Wklej w niego ten tekst:
Po restarcie kasujesz plik C:\Avenger\backup.zip i dajesz tutaj do sprawdzenia raport C:\avenger.txt
2. W białe dolne okno Własne opcje skanowania/skrypt w OTL wklej:
3. Odinstaluj poprzez Dodaj/Usuń programy śmiecia Vinfo Toolbar.
4. Wykonaj nowy zestaw logów OTL + GMER oraz pokaż raport z usuwania OTL powstały po wykonaniu powyższego skryptu.
-------------------------
-----------------------
Już w OTL widać rootkita, którego trzeba będzie usuwać inną metodą. Więc po kolei:
1. Pobierz Dostępne tylko dla zarejestrowanych użytkowników i uruchom.
Wklej w niego ten tekst:
Execute i zgadzasz się na restart.Drivers to delete:
irgvvai
Files to delete:
C:\WINDOWS\System32\drivers\irgvvai.sys
Po restarcie kasujesz plik C:\Avenger\backup.zip i dajesz tutaj do sprawdzenia raport C:\avenger.txt
2. W białe dolne okno Własne opcje skanowania/skrypt w OTL wklej:
Uruchom to poprzez Wykonaj skrypt i zatwierdź restart.:OTL
O4 - HKLM..\Run: [conhost] C:\Documents and Settings\Administrator\Dane aplikacji\Microsoft\conhost.exe ()
O4 - HKLM..\Run: [Microsoft Driver Setup] C:\WINDOWS\gwdrive32.exe File not found
O4 - HKU\S-1-5-21-1801674531-1708537768-682003330-500..\Run: [12CFG214-K641-12SF-N85P] C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe ()
O4 - HKU\S-1-5-21-1801674531-1708537768-682003330-500..\Run: [engel] C:\Documents and Settings\Administrator\Dane aplikacji\updates\updates.exe File not found
O4 - HKU\S-1-5-21-1801674531-1708537768-682003330-500..\Run: [Z30KYPG3WS] C:\WINDOWS\Rdezyd.exe File not found
F3 - HKU\S-1-5-21-1801674531-1708537768-682003330-500 WinNT: Load - (C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\csrss.exe) - C:\Documents and Settings\Administrator\Ustawienia lokalne\Temp\csrss.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: Microsoft Driver Setup = C:\WINDOWS\gwdrive32.exe File not found
:Files
autorun.inf /alldrives
RECYCLER /alldrives
C:\WINDOWS\System32\ltimg80np.dll
C:\WINDOWS\tasks\fyexjizt.job
C:\WINDOWS\tasks\{BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job
C:\WINDOWS\tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job
C:\WINDOWS\tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job
C:\WINDOWS\tasks\fyexjizt.job
C:\Documents and Settings\Administrator\Dane aplikacji\dwm.exe
C:\Documents and Settings\Administrator\Dane aplikacji\ohydy.exe
:Reg
[HKU\S-1-5-21-1801674531-1708537768-682003330-500\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="C:\\WINDOWS\\Explorer.EXE"
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"TaskMan"=-
:Commands
[emptytemp]
[emptyflash]
3. Odinstaluj poprzez Dodaj/Usuń programy śmiecia Vinfo Toolbar.
4. Wykonaj nowy zestaw logów OTL + GMER oraz pokaż raport z usuwania OTL powstały po wykonaniu powyższego skryptu.
-------------------------
- Pobierz GMER z jednego z tych linków:
- Dostępne tylko dla zarejestrowanych użytkowników
Pobierany plik będzie miał losową nazwę. Polecany w przypadku infekcji blokujących działanie GMER-a.
- Dostępne tylko dla zarejestrowanych użytkowników z plikiem gmer.exe
Wersja ***** na blokady. - Odłącz się od sieci i wyłącz wszelkie zbędne programy. Wyłączyć należy również wszelkie oprogramowanie antywirusowe i podobne posiadające ochronę czasu rzeczywistego (real-time).
- Zastosuj się do tego: Dostępne tylko dla zarejestrowanych użytkowników
- Uruchom GMER. Przy uruchomieniu program wykonuje tzw. preskan. Jeśli zostanie wyświetlony komunikat informujący o znalezieniu modyfikacji w systemie, zatwierdź go przyciskiem OK.
- Uruchom pełny skan przyciskiem Szukaj i czekaj cierpliwie na zakończenie skanu (może on trwać nawet do kilku godzin). W trakcie skanu nie wolno nic robić na komputerze.
- Po zakończonym skanie skopiuj raport przyciskiem Kopiuj i wklej go na Dostępne tylko dla zarejestrowanych użytkowników lub Dostępne tylko dla zarejestrowanych użytkowników. Zapisz również kopię logu na dysku przyciskiem Zapisz.
-
- Reklama
Kto jest online
Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 1 gość
