Elektroda.pl
Elektroda.pl
X
Elektroda.pl
Proszę, dodaj wyjątek dla www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Bardzo sprytna infekcja - Proszę o pomoc

vic2000 24 Lut 2012 09:44 1107 3
  • Poziom 8  
    Witam !!

    Od 3 dni próbuję się uporać z jakimś złośliwym ustrojstwem.

    Zaczęło się od znacznego obniżenia wydajności systemu. Gdy uruchamiałem komputer, szybkość jego pracy sukcesywnie malała. Po około godzinie, nie dawało się już w ogóle pracować. Uruchomiłem skan avast'a który usunął 8 wirusów, później z 2 inne skanery malware które też coś tam wyleczyły.
    Pojawił się kolejny problem, zawsze gdy włączam przeglądarkę (IE lub FIREFOX) wyskakuje komunikat że nie może się połączyć z serverem proxy. gdy wchodzę na jego ustawienia jest on podany ręcznie 127.0.0.1 port 53455, więc kasuję to i ustawiam bez serwera proxy - wtedy działa aż do kolejnego uruchomienia przeglądarki.
    po drodze natknąłem się też na plik winlogon - myślałem że tutaj jest jakiś problem i po prostu go skasowałem. Teraz przy każdym uruchomieniu systemu wyskakuje komunikat że nie można odnaleźć tego pliku.

    Już nie wiem jak się mam bronić, jeśli ktoś z was ma doświadczenie w tym temacie, będę bardzo wdzięczny za pomoc

    Poniżej wklejam loga z hijacka




    Pozdrawiam
  • Poziom 8  
    ehh

    Robiłem właśnie skan dr Web live cd
    poszedłem sobie zrobić kawę, wracam a tutaj monitor w trybie safe mod, komputer nie reaguje, więc go resetuję i nic oprócz wiatraczka od zasilacza nic nie słychać, zero jakiejkolwiek reakcji :((
    Dobiło mnie to

    chyba już po kompie :((
    Nie wiem co to było ale jak już ktoś znajdzie coś w moim logu to ostrzeżcie innych

    Pozdrawiam
  • Poziom 14  
    O4 - HKLM\..\Run: [crrss] C:\WINDOWS\system32\crrss.exe
    O4 - HKCU\..\Run: [\\Artur\EPSON SX110 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIFBE.EXE /FU "C:\DOCUME~1\UKASZ~1\USTAWI~1\Temp\E_S512.tmp" /EF "HKCU"
    O4 - HKCU\..\Run: [Auto EPSON SX110 Series na Artur] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIFBE.EXE /FU "C:\WINDOWS\TEMP\E_SE8.tmp" /EF "HKCU"
    Te są na pewno do usunięcia.
    Tryb awaryjny i edytor rejestu, ręcznie wyszukać i usunąć z rejestru, potem z plików tmp.