nika22
(Frezja22)
8 Wrzesień 2008 11:38
#1
Przepraszam, że znów Was męczę, ale mam jeszcze w pracy 2 zarażone komputery i 3 pendrive’y. Nie mogę uruchomić hijackthis, pojawia się komunikat:
system windows nie może odnaleźć pliku C:\Program Files\Trend Micro\Hijackthis\Hijakcthis.exe
Stosowałam Flash_Disinfector.exe, ale wirusy nadal są.
djarta
(djarta)
8 Wrzesień 2008 11:39
#2
Daj log z -----> ComboFix (niżej na stronie linku).
========================
K.
nika22:
Przepraszam, że znów Was męczę, ale mam jeszcze w pracy 2 zarażone komputery i 3 pendrive’y. Nie mogę uruchomić hijackthis, pojawia się komunikat: system windows nie może odnaleźć pliku C:\Program Files\Trend Micro\Hijackthis\Hijakcthis.exe Stosowałam Flash_Disinfector.exe, ale wirusy nadal są.
link - viewtopic.php?f=16&t=269631
nika22
(Frezja22)
8 Wrzesień 2008 11:56
#4
log z combofix przy pierwszym pendrive podłączonym do komputera:
http://wklej.org/id/3112/
djarta
(djarta)
8 Wrzesień 2008 11:58
#5
Wylecz pendriv’ y (jeden po drugim) tymi programami:
Perlovga Removal Tool
Flash Disinfector
lub format
Jeśli zrobisz to mówisz nam na forum i ułożymy Ci Scripta.
========================
K.
nika22
(Frezja22)
8 Wrzesień 2008 12:06
#6
Jak narazie nie usunęłam nawet z jednego, tak jak mówiłam, użyłam Flash Disinfector, a tego programu Perlovga Removal Tool nie mogę uruchomić, pojawia się okno, w którym trzeba wpisać kod, jest już jakiś wpisany, klikam ok, pojawia się komunikat, że kod nieprawidłowy i program się zamyka.
Na pendrive nadal są ukryte pliki typu: t1ypkh.exe więc chyba syf jeszcze jest
djarta
(djarta)
8 Wrzesień 2008 12:07
#7
No to sformatuj.Oczywiście bez Autoodtwarzania.Naciskasz nie podejmuj żadnej akcji i formatujesz.
Jeśli to zrobisz, to robisz taką czynność:
Wklej do Notatnika :
File::
C:\jdhc2x2.com
D:\jdhc2x2.com
G:\jdhc2x2.com
C:\bpu.exe
D:\bpu.exe
G:\bpu.exe
C:\r2nl.com
D:\r2nl.com
G:\r2nl.com
C:\xqf.com
D:\xqf.com
G:\xqf.com
C:\uis.com
D:\uis.com
G:\uis.com
C:\g2pfnid.com
D:\g2pfnid.com
G:\g2pfnid.com
C:\e.com
D:\e.com
G:\e.com
C:\e9ehn1m8.com
D:\e9ehn1m8.com
G:\e9ehn1m8.com
C:\ybj8df.exe
D:\ybj8df.exe
G:\ybj8df.exe
C:\p83gjy.exe
D:\p83gjy.exe
G:\p83gjy.exe
C:\0gjn3yw.exe
D:\0gjn3yw.exe
G:\0gjn3yw.exe
C:\00hoeav.com
D:\00hoeav.com
G:\00hoeav.com
C:\m88coaim.exe
D:\m88coaim.exe
G:\m88coaim.exe
C:\Program Files\ymmpucn.inf
C:\WINDOWS\system32\ddr.exe
C:\WINDOWS\system32\DRIVERS\videX32.sys
D:\Fxdrv.sys
D:\FXDrv32.sys
Driver::
videX32
FXDRV
FXDrv32
Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1131b8d2-15ca-11dd-849f-001d608a7254}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1131b8d3-15ca-11dd-849f-001d608a7254}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1e6eacfa-ec29-11dc-8457-001d608a7254}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2bd34584-dd53-11dc-8442-001d608a7254}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{31be189f-d311-11dc-843b-001d608a7254}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5cb7cfd6-c5d3-11dc-8421-001d608a7254}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{642e3b54-d0b1-11dc-8435-001d608a7254}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{821007c0-d097-11dc-8434-001d608a7254}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a52cd666-ffae-11dc-8473-001d608a7254}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b6692f1d-c59d-11dc-841e-001d608a7254}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c2a8f009-3203-11dd-84c0-001d608a7254}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{cad1b74c-c7ef-11dc-8422-001d608a7254}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{cad1b757-c7ef-11dc-8422-001d608a7254}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d96d24a3-0c49-11dd-848d-001d608a7254}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e604df50-c983-11dc-8425-001d608a7254}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f86aac26-bf5e-11dc-8416-001d608a7254}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f9d602d8-bf48-11dc-8414-001d608a7254}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f9d602e2-bf48-11dc-8414-001d608a7254}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{fdb02e00-7a44-11dd-851e-001d608a7254}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{014409c3-f71a-11dc-8463-001d608a7254}]
>>Plik>>Zapisz jako… >>> CFScript
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe
–>
Ma się rozpocząć usuwanie. (i powstanie log).Daj ten log, który powstanie w trakcie usuwania.
Jeśli pójdzie dobrze, to: Po restarcie usuń ręcznie folder C:* * Qoobox.**
======================
K.
nika22
(Frezja22)
8 Wrzesień 2008 12:34
#8
Mam nadzieję, że pierwszy już jest ok i mogę zacząć czyścić drugi?
http://wklej.org/id/3114/
Edit:
Po skanowaniu z drugim penem:
http://wklej.org/id/3116/
djarta
(djarta)
8 Wrzesień 2008 12:46
#9
Narazie wszystko jest Ok, zrób tak samo z trzecim pendrivem i wrzuć normalnego loga z ComboFixa.
========================
K.
nika22
(Frezja22)
8 Wrzesień 2008 13:02
#10
Nie do końca rozumiem co znaczy normalny log? Po usunięciu przez comboFix uruchomiłam go jeszcze raz i to jest log:
http://wklej.org/id/3122/
Ale Nod32 nadal wykrywa wirusy:
http://www.fotosik.pl/pokaz_obrazek/bf2256937a1ee131.html
Edit:
Czy te pliki ukryte “systemowe” z pendrive’a mogę usunąć ręcznie z pominięciem kosza?
huber2t
(huber2t)
8 Wrzesień 2008 13:16
#11
Podłącz pendrive do komputera i pokaż log z Combofix
Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja
Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum