Skocz do zawartości

Komputer się wyłącza


Rekomendowane odpowiedzi

witam serdecznie wszystkich

sprawa wyglada tak moja jest komputer w którym po uruchomieniu wyskakuje taki komunikat

 

zapobieganie wykonywaniu danych

aby pomoc w ochronie tego komputera system windows zamknął

generic host process for win32 services

 

gdzy zamknę ten komunikat komputer odrazu sie wylacza jesli nie zamkne kego komunikaty pracuje ale do 20 min max zamulony strasznie

wczesniej wsykakuwal jeszcze taki blad windows/kesenjangansosial.exe

po tym bledzie komputer sie zawieszal i widac bylo tylko tapete z pulpitu

 

gdy zalaczalem combofixa pracowal doslownie min i sie wylaczal caly komputer

logi jakie udalo mi sie zrobic

 

brontoka tez mi szaleje na kompie da sie cos jeszcze z tego zrobic czy musze formata?? prosze o pomoc

OTL.Txt

Extras.Txt

DDS.txt

Attach.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Rozmnożone logi standardowe, ale brak loga z rootkit detekcji. Obowiązkowo się podaje OTL (lub DDS / najmniejsze znaczenie ma tu RSIT jako bazujący na niepełnosprawnym HijackThis) + GMER (a jeśli nie da się go uruchomić to z Root Repeal). Podane tu nie są specjalizowane w rootkitach.

 

Wstępny rzut oka i sytuacja mocno nieciekawa, skomasowanie różnych szkodników (ów Brontok też), ale na czoło wychodzi infekcja wirusem Sality:

 

DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\drivers\mfpkhl.sys -- (abp470n5)

 

Infekcja rozmnaża się poprzez pliki wykonywalne, psuje wszystkie na wszystkich dyskach. Spróbujmy coś tu zrobić jeszcze, ale to może być ciężkie...

 

1. Wstępnie próba sprzątnięcia tego co jest "naokoło" Sality + całkowite zablokowanie odczytu pliku autorun.inf w systemie (stąd wszedł conajmniej jeden typ infekcji). Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Services
abp470n5
 
:Files
autorun.inf /alldrives
2u.com /alldrives
SYSTEM /alldrives
C:\WINDOWS\System32\gasretyw0.dll
C:\WINDOWS\System32\acovcnt.exe
C:\WINDOWS\System32\cmd-brontok.exe
C:\WINDOWS\KesenjanganSosial.exe
C:\WINDOWS\ShellNew\RakyatKelaparan.exe
C:\WINDOWS\System32\Ola's Setting.scr
C:\Documents and Settings\Ola\Dane aplikacji\sysdate32.exe
C:\Documents and Settings\Ola\Dane aplikacji\sysdate.dll
C:\Documents and Settings\Ola\Moje dokumenty\Moje dokumenty.exe
C:\Documents and Settings\Ola\Ustawienia lokalne\Dane aplikacji\winlogon.exe
C:\Documents and Settings\Ola\Ustawienia lokalne\Dane aplikacji\smss.exe
C:\Documents and Settings\Ola\Ustawienia lokalne\Dane aplikacji\services.exe
C:\Documents and Settings\Ola\Ustawienia lokalne\Dane aplikacji\lsass.exe
C:\Documents and Settings\Ola\Ustawienia lokalne\Dane aplikacji\inetinfo.exe
C:\Documents and Settings\Ola\Ustawienia lokalne\Dane aplikacji\csrss.exe
C:\Documents and Settings\Ola\Ustawienia lokalne\Dane aplikacji\ListHost15.txt
C:\Documents and Settings\Ola\Ustawienia lokalne\Dane aplikacji\Kosong.Bron.Tok.txt
C:\Documents and Settings\Ola\Ustawienia lokalne\Dane aplikacji\Bron.tok.*
C:\Documents and Settings\Ola\Menu Start\Programy\Autostart\Empty.pif
 
:Reg
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{28ABC5C0-4FCB-11CF-AAX5-21CX1C643131}]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot]
"AlternateShell"="cmd.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
""="@SYS:DoesNotExist"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="explorer.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Bron-Spizaetus"=-
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"api32"=-
"kamsoft"=-
"systemadd"=-
"Tok-Cirrhatus"=-
"Tok-Cirrhatus-1827"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"=-
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoFolderOptions"=-
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"E:\2u.com"=-
"C:\WINDOWS\Explorer.exe"=-
 
:Commands
[resethosts]
[emptyflash]
[emptytemp]

 

Uruchom przez Wykonaj skrypt. Nastąpi restart i otrzymasz z tego log. Zachowaj go.

 

2. Natychmiast po ukończeniu pracy OTL zastosuj szczepionkę SalityKiller: KLIK / KLIK (drugi link podany, jeśli nie otworzy się pierwszy). Zanotuj ile i co jest naprawiane.

 

3. Po ukończeniu prac wygeneruj nowe logi OTL + GMER + USBFix z opcji Listing. Dołącz także log powstały z usuwania OTL w punkcie 1.

 

 

 

 

.

Odnośnik do komentarza

To log z USBFix z błędnej opcji, miało być Listing.

 

otl po tym jak wleilem co co mi kazales pracował pare sekund a potem sie zawiesil

 

Zróbmy to inaczej, usuwanie będzie prowadzone z poziomu izolowanego środowiska. Zakładam, że SalityKiller już jest pobrany. Zaopatrz się w płytę OTLPE. Zastartuj z tej płyty i wykonaj log wstępny do prezentacji. Na podstawie tego wyniku podam przeobrażone instrukcje.

Edytowane przez picasso
21.12.2010 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...