system32.exe

19.12.08, 22:14
Witam,
znowu mam wirusa:
Zainfekował:
C:\SYSTEM\
E:\System Volume Information {Nie wiem czy napewno bo to jest na E:)
Poza tym na każdym pendrive instaluje pliki\foldery:
X:\autorun.inf (To już zablokowałem)
X:\SYSTEM\*
Po każdej próbie usunięcia odzyskuje te pliki/foldery.

Ale udało mi się użyć konsoli odzyskiwania: nie ma już
C:\SYSTEM\* ,a reszta została usunięta potem w windzie.

Teraz jest taki problem: Nie mam muzyki!

Nie wiem co zrobić: Dać log z ComboFix? Coś zainstalować? Co?

Ps. Znikł mi plik C:\WINDOWS\system32\audiosr.dll , czy to normalne?
Ps2. Kolobos, liczę na pomoc.

Z góry dzięki!!!
    • Gość: Kolobos Re: system32.exe IP: *.escom.net.pl 19.12.08, 22:28
      Podlacz zainfekowane nosniki i uzyj Flash Disinfector.
      Daj log z combofix.
      • payl Re: system32.exe 20.12.08, 13:27
        wklej.org/id/29985/
        A, próbowałem reinstalke directX , i driverów.
        Flash Disinfector nic nie dawał. Skopiowałem ten katalog z innego
        dysku, i szybko podmieniłem - zadziałało.
        • Gość: Kolobos Re: system32.exe IP: *.escom.net.pl 20.12.08, 14:23
          Czy w katalogu C:\Windows\System32 masz plik audiosrv.dll? (Wczesniej pomyliles nazwe i pewnie dlatego zepsules usluge systemowa odpowiedzialna za dzwiek myslac, ze to trojan..) Jezeli nie to wypakuj z plyty instalacyjnej XP, nastepnie wklej do notatnika:
          Windows Registry Editor Version 5.00

          [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AudioSrv]
          "DependOnService"=hex(7):50,00,6c,00,75,00,67,00,50,00,6c,00,61,00,79,00,00,00,\
          52,00,70,00,63,00,53,00,73,00,00,00,00,00
          "Description"="Zarządza urządzeniami audio dla programów dla systemu Windows. Jeśli ta usługa zostanie zatrzymana, urządzenia audio i efekty nie będą działały właściwie. Jeśli ta usługa zostanie wyłączona, wszelkie usługi jawnie od niej zależne przestaną się uruchamiać."
          "DisplayName"="Windows Audio"
          "ErrorControl"=dword:00000001
          "Group"="AudioGroup"
          "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
          74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
          00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
          6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
          "ObjectName"="LocalSystem"
          "Start"=dword:00000002
          "Type"=dword:00000020

          [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AudioSrv\Parameters]
          "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
          00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
          61,00,75,00,64,00,69,00,6f,00,73,00,72,00,76,00,2e,00,64,00,6c,00,6c,00,00,\
          00
          "ServiceDllUnloadOnStop"=dword:00000001

          [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AudioSrv\Enum]
          "0"="Root\\LEGACY_AUDIOSRV\\0000"
          "Count"=dword:00000001
          "NextInstance"=dword:00000001

          Zapisz jako fix.reg i uruchom.

          CFScript.txt:

          Driver::
          Ndisprot

          File::
          C:\WINDOWS\system32\drivers\Ndisprot.sys
          c:\windows\Tasks\NOTEPAD.job
          c:\documents and settings\Paul Studio\jkl.exe

          Registry::
          [-HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{28ABC5C0-4FCB-11CF-AAX5-21CX1C643131}]

          Po wykonaniu daj log z combofix.
          • payl Re: system32.exe 20.12.08, 14:40
            audiosrv.dll jest. O kur*, przepraszam ale coś sobie przypomniałem:
            Coś o audiosrv.dll z rejstru wywaliłem!!!!!!!!!!!! Zmieniłem wartość
            na pustą - myślałem że to pozostałość po starym wirusie ....
            Na szczęście mam ten klucz:
            HKLM\system\currentControlSet\Services\AudioSrc\Parameters\ServiceDLL
            -to chyba powód tylko podajcie wartość! Jeśli nie pomoże to użyje
            ComboFix.
            • Gość: Kolobos Re: system32.exe IP: *.escom.net.pl 20.12.08, 14:57
              Przeciez wszystko Ci podalem.. czy mozesz wykonac to co napisalem bez zbednych postow?
              • payl Re: system32.exe 20.12.08, 16:34
                Przepraszam, oto log z ComboFix : wklej.org/id/30046/ .
                Muzyka wróciła. Mam też pytanie co to za proces: spoolsv (Czy jakoś
                tak) ???
                • Gość: Kolobos Re: system32.exe IP: *.escom.net.pl 20.12.08, 16:43
                  Opisy wszystkich procesow systemowych znajdziesz na google. Ten proces jest odpowiedzialny za bufor wydruku.

                  Log jest ok.
                  • payl Re: system32.exe 20.12.08, 16:46
                    Dzięki za pomoc, sorry za to głupie pytanie :). Ale moje ostatnie
                    pytanie: Czy ten bufor może być groźny? Nie posiadam drukarki. Jeśli
                    nie, to nie pisz nic.

                    Jeszcze raz thx.
Inne wątki na temat:
Pełna wersja