Dziwny proces NTCOM


(Bait) #1

Witam,

ludziska potrzebuję waszej pomocy! !!

  • NTCOM

  • *NTCOM

wszelkie próby usunięcia tego pliku zawiodły poczawszy od antywirusów po grzebanie w rejestrze... za karzdym razem plik jest odbudowywany i spokojnie siedzi sobie w katalogu System... nawet gdy usuwam w systemie awaryjnym...

Jeśli ktos powie poszukaj w google to odrazu mówie ze praktycznie tematu nie ma... no poza hiszpańskim czy coś w tym stylu ;/. No ale nei będę sobą jeśli nei wygrzebię choc troszkę i udło mi sie wyszukać coś na temat procesu współdziałającego a jest to konkrernie " BNHIDE" to mi się udało wygrzebac z rejestru. Plik ten jest powiązany z wirusem " Banbot S - CA", co tez na temat tego wirusa za wiele informacji nie ma... no jedno mnie zaniepokoilo bardzo... zczytuje wszystko co wyklepie na klawiszach! !!

Z tego co widzę plik jest podpięty tylko pod plik Opera.exe i ciągle wysyła pakieciki. jak opzbyłem się opery to NTCom zaczyna szaleć nie wie do czego ma się odwołać...

Nie zamieszczam całego loga bo nie ma tam nic na temat czego nie wiem poza tymi dziwnymi dwoma procesami NTCOm i *NTCOm co mysle ze ten drugi proces jest tylko pochodna pierwszego...

Jeśli ktokolwiek miał juz taki problem to niech da znać !!

Oto te dwa dziwne zapisa klucza rejestru:

O4 - HKCU..\Run: [NTCOM] C:\WINDOWS\system32\NTCOM.exe

O4 - HKLM..\RunOnce: [*NTCOM] C:\WINDOWS\system32\NTCOM.exe


(Leon$) #2

Pobierz Combofix http://www.searchengines.pl/index.php?showtopic=86306&st=0&p=395642entry395642 daj log

potem HijackThis 2,02 http://forum.dobreprogramy.pl/viewtopic.php?f=16&t=36654

kolejność skanu jak podałem

i nie pisz że w logu nic nie ma do analizy jest potrzebny cały a nie kawałek

:slight_smile:


(Bait) #3

Witam,

pisze dlatego w ten sposób poniewaz conieco orjentuję sie co powinno byc a czego nie… no ale wczoraj jednak udało mi sie pozbyc drania za pomoca programiku KillBox… usuwa pliczki wraz z powiazaniami… całkiem całkiem… po ponownym sprawdzeniu rejestru nic nie udalo mi sie wyszykac, a szukałem pod wieloma hasłami… dzieki za odzew:)))) co jak co ale przesle moje logi moze uda sie jeszcze cos wyszukac zawsze jest dobrze dowiedziec sie czegoś nowego:))))) pozdr…

pierwszy log: http://wklej.org/id/def764fd95

drugi log: http://www.wklej.org/id/5dcc7cee1c


(Leon$) #4

Logi czyste wpisy rejestru do usunięcia

otwórz notatnik i wklej

zapisz jako plik.reg >> wszystkie pliki >> scal z rejestrem >> restart

b57f17008275c957m.jpg

powstanie plik o takiej ikonie

062aec4c9b51c033m.jpg

w który dwa razy klikniesz potwierdzisz chęć dodania do rejestru potem restart

Po restarcie usuń ręcznie folder C: \Qoobox

usuń instalkę Combofix z dysku.

Te wpisy o których pisałeś mogą mieć związek z

Service: 3Com Ethernet DSL (NTcom)

:slight_smile: