Skocz do zawartości

Win32:Morphex [Cryp] svchost.exe


Rekomendowane odpowiedzi

Witam po raz 2 na forum, nie zastosowałem się ostatnio co do końcowych porad w związku z czym wróciłem tu szybciej aniżeli nawet myślałem... Tym razem nie popełnie tego błedu.

Objawy:

- po podpięciu pendrive'a uruchamia avast natychmias krzyczał wyświetlając komunikat: " Obiekt: j:\suze\nebrises.exe Zarażenie: Win32:Morphex [Cryp] Proces: C:\Windows\system32\svchost.exe" svchost.exe - dopiero po wyłączeniu tego procesu mogłem sformatować pendrive.

- podczas uruchomionej przeglądarki (firefox, chrome) otwierały się nowe karty od czasu do czasu. [ informanization . com oraz salesmentary . com]

- w weekend gdy padł mi net avast zaczął świrować.. zabierał 99% CPU i dosłownie nie mogłem zrobić nic.. po dłuższych męczarniach odinstalowałem.

- gdy ściągam coś przez uTorrent wyskakuje mi: "błąd torrenta Plik: Prison Break2 proces nie moze uzyskac dostepu do pliku poniewaz jest on używany przez inny proces" - wyłączałem wszystkie mozliwe procesy - nadal to sam

 

To chyba tyle z objaw. Jeszcze tylko dodam,że odinstalowałem jakiś czas temu daemona ale ikona stacji dysków nadal jest więc nie wiem jak to tam sie ma jedno z drugim..

 

Z góry dziękuje i jestem naprawdę pełen podziwu, że to ogarniacie...

pozdrawiam

adamss

Extras.Txt

OTL.Txt

gamer.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:Files
C:\Program Files\Ask.com
C:\Program Files\RelevantKnowledge
C:\Documents and Settings\adamss\fswagz.exe
C:\WINDOWS\Tasks\Scheduled Update for Ask Toolbar.job
 
:OTL
[2011-01-09 23:20:11 | 000,000,000 | ---D | M] (PandoraTV Toolbar) -- C:\Documents and Settings\adamss\Dane aplikacji\Mozilla\Firefox\Profiles\798c1s7g.default\extensions\toolbar@ask.com
O2 - BHO: (PandoraTV Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)
O3 - HKLM\..\Toolbar: (PandoraTV Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)
O3 - HKU\S-1-5-21-823518204-602162358-725345543-1003\..\Toolbar\WebBrowser: (PandoraTV Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)
 
:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Program Files\RelevantKnowledge\rlvknlg.exe"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"TaskMan"=-
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{86D4B82A-ABED-442A-BE86-96357B70F4FE}]
 
:Commands
[emptyflash]
[emptytemp]

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

 

 

 

Odnośnik do komentarza

OTL nie poradził sobie z jednym istotnym obiektem infekcji. Zmiana metody usuwania.

 

1. Uruchom BlitzBlank i w karcie Script wklej:

 

DeleteFile: 
"C:\Documents and Settings\adamss\fswagz.exe"
 
DeleteRegValue: 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\TaskMan

 

Klik w Execute Now. Zatwierdź restart komputera.

 

2. Wklejasz wynikowy log z BlitzBlank i nowy log z OTL (otl.txt)

 

 

 

Odnośnik do komentarza
BlitzBlank nie wyrzucił żadnego raportu.. po restarcie wszystko było zamknięte.

 

To się zgadza, on nie otwiera raportu jak OTL, ale raport jest tworzony. W opisie BlitzBlank było napisane:

 

Narzędzie produkuje plik raportu C:\blitzblank.log

 

BlitzBlank usunął plik infekcji, ale pozostał po niej jeszcze pusty wpis.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Taskman"=-

Klik w Wykonaj skrypt. To będzie błyskawiczna akcja.

 

2. Zaprezentuj nowy (i zapewne już ostatni) log z OTL do oceny.

 

 

 

.

Odnośnik do komentarza

Infekcja pomyślnie usunięta. Przejdźmy do czynności końcowych:

 

1. Użyj opcji Sprzątanie z OTL.

 

2. Wykonaj obowiązkowe aktualizacje:

 

Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation

Internet Explorer (Version = 6.0.2900.2180)

Należy zainstalować SP3 i IE8: KLIK.

 

3. Wyzeruj stan przywracania systemu: KLIK

 

 

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...