svchost x 10 + rundll x 4 jak wywalic te zarazone?

IP: *.internetdsl.tpnet.pl 29.04.08, 18:02
Witam! Mam od rana taki problem. Zauwazylem ze avast! skanuje co chwile poczte
wysylaną z mojego kompa, zdziwilem sie bo po ostanim formacie przestalem
uzywac outlooka. Pare razy wyskoczyl mi komunikat z avastu ze za duzo poczty
jest wysylane i to jest podejrzane, i faktycznie to co sie wysylalo to byl
jakis spam. Pozniej zauwazylem ze mam nadmiar svchostow i jeden np ma ponad 50MB.

Sciagalem juz rozne programy bo avast! nic mi nie wykryl i juz samym Spybotem
usunalem z 40 roznych wpisow i plikow ale to nic za bardzo nie dalo bo
svchost.exe wg avasta ciagle cos wysyla. Zauwazylem ze rundll32 tez jest za
duzo bo 4.

Zainstalowalem juz WWDC i zablokowalem wszystkie porty dla robakow.
Mam GMERA i HijackIt'a ale nie wiem w sumie jak sie nimi efektownie poslugiwac.

Co mam robic? Bo wszystko mi strasznie powoli działa :(
    • Gość: poszkodowany Re: svchost x 10 + rundll x 4 jak wywalic te zara IP: *.internetdsl.tpnet.pl 29.04.08, 18:51
      Zrobilem combofixa, zainstalowalem Trojan Guardera i kazdy z nich mi cos
      pousuwal. Ale svchostow jest dalej 8 i te maile sie dalej wysylaja.

      To jest log z Combofixa:
      wklej.org/id/f0044612e1
      A ten HijackThis:
      wklej.org/id/98087cffa7
      • Gość: Kolobos Re: svchost x 10 + rundll x 4 jak wywalic te zara IP: *.escom.net.pl 29.04.08, 19:13
        Osintaluj: Trojan Guarder Gold Version

        W hijackthis usun:
        R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.defaulthomepage.info
        R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.defaulthomepage.info
        O2 - BHO: (no name) - {76839180-A8D2-4B28-8F74-F1341F5942B8} - (no file)
        O2 - BHO: (no name) - {f50b3f5e-856e-4757-9bb1-b35d46ca7719} - (no file)
        O4 - HKLM\..\Run: [f476a400] rundll32.exe "C:\WINDOWS\system32\wqismbeh.dll",b
        O4 - HKLM\..\Run: [BMf745979c] Rundll32.exe "C:\WINDOWS\system32\ijkthohi.dll",s
        O4 - Global Startup: Trojan Guarder Gold Version.lnk = D:\Program Files\\Trojan Guarder.exe
        O20 - Winlogon Notify: geBsppmk - C:\WINDOWS\
        O20 - Winlogon Notify: WinNt32 - C:\WINDOWS\

        Podlacz zainfekowane pendrive'y G: i H:.
        Utworz na pulpicie plik CFScript.txt i wklej do niego:

        Driver::
        Msx84

        File::
        C:\WINDOWS\system32\sys_dll.dll
        C:\WINDOWS\system32\blxygegd.tmp
        C:\WINDOWS\BMf745979c.xml
        C:\oq.cmd
        C:\WINDOWS\system32\drivers\Msx84.sys
        C:\WINDOWS\system32\WinData.cab
        H:\oq.cmd
        G:\t.com
        D:\t.com
        C:\t.com
        C:\WINDOWS\system32\WinNt32.dll
        C:\WINDOWS\system32\Drivers\Msx84.sys

        Registry::
        [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Msx84.sys]
        [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\C]
        [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]
        [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9996f860-099a-11dd-88fe-00304f257e8c}]
        [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{feba6b92-ccc9-11dc-88d7-b499e596587a}]

        Zapisz i przeciagnij go na ikone combofix.exe, po uzyciu daj nowy log z combofix.

        Pamietaj tez o zabezpieczeniu sie przed ponowna infekcja! -> www.searchengines.pl/index.php?showtopic=94761&st=0&p=476016&#entry476016
        • Gość: poszkodowany Re: svchost x 10 + rundll x 4 jak wywalic te zara IP: *.internetdsl.tpnet.pl 29.04.08, 19:44
          ZRobiłem jak powiedziałeś.

          Oto log:
          wklej.org/id/9e47f8764f
          Na starcie systemu są dwa komunikaty o nieznalezieniu biliotek dla jakichs
          dll'i. Dwa osobne, dziwne nazwy maja te dlle.
          Pozatym nawet po tym combofixie, rezydent spybota ciagle mnie monituje o
          zmianach w rejestrze ktore odrzucam, nie wiem - czy combo fix moze robic takie
          zmiany?
          • Gość: Kolobos Re: svchost x 10 + rundll x 4 jak wywalic te zara IP: *.escom.net.pl 29.04.08, 20:13
            Na czas uzywania combofix powinienes wylaczyc spybot oraz inne programy do ochrony.

            Wklej do notatnika:
            REGEDIT4

            [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{76839180-A8D2-4B28-8F74-F1341F5942B8}]

            [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{f50b3f5e-856e-4757-9bb1-b35d46ca7719}]

            [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
            "f476a400"=-
            "BMf745979c"=-

            [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
            "System"=""

            [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\geBsppmk]

            [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\WinNt32]

            [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Msx84.sys]

            Zapisz jako fix.reg i uruchom + dla pewnosci jeszcze raz sprawdz w hjt czy wszystkie wpisy, ktore podalem zostaly usuniete.


            • Gość: poszkodowany Re: svchost x 10 + rundll x 4 jak wywalic te zara IP: *.internetdsl.tpnet.pl 29.04.08, 21:08
              www.wklej.org/id/de15082039
              to link do najnowszego raportu.

              wczesniej wylaczylem spybota, zmienilem rejestr tymi komendami ktore Ty mi
              wyslales, i odpalilem combofixa. Zauwazylem ze jeszcze raz musialem w hijacku
              usowac te rzeczy ale zrobilem to jeszcze przed tym 'robieniem' rejestru.

              Mam teraz 6 svchostow w tym najwiekszy 23 mb. CZy juz jest ok? JAk sprawdzic
              czy pozostale svhosty sa ok? Pozdrawiam i dzieki za dotychczasową pomoc :) Bez
              Ciebie bym sobie nie poradził!:)
              • Gość: Kolobos Re: svchost x 10 + rundll x 4 jak wywalic te zara IP: *.escom.net.pl 29.04.08, 22:00
                Wszystko jest juz ok.
Pełna wersja