Internet widocznie zwolnił i dziwne zachowanie sie komputera


(Vojtoos) #1

Witam,

Znowu wołam o pomoc.

Komputer dziala szybko. Ale co mnie nie pokoi jest że nie wiem jakim cudem, bez przerwy mam obok kursora klepsydre.

JEszcze internet stanowczo zwolnil. Sprawdzilem adawarem, wykasowalem pare rzeczy ale dalej nic.

Co robic? Wrzucam log z hijack'a

Z góry dzieki!

VT


(jessica) #2

Używasz pendrive'a? Bo masz infekcję właśnie z pendrive'a.

Daj log z ComboFix

Log wklej na http://wklej.org/, a w poście daj tylko link.(czyli skopiuj adres z paska adresów)

jessi


(Vojtoos) #3

oto link do mojego log's

http://wklej.org/id/26f43322b9

Dzieki Jessi

VT


(jessica) #4

Wklej do Notatnika :

File::

C:\WINDOWS\system32\wsctf.exe

C:\WINDOWS\system32\mswinsck.ocx 

C:\WINDOWS\uda.exe


Folder::

C:\WINDOWS\system32\Recycled 


Registry::

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 

"wsctf.exe"=-

"EXPLORER.EXE"=-

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0bb429cb-fb09-11dc-981b-0016362ae0f4}] 

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{63dd3d81-8525-11dc-9747-0016362ae0f4}] 

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6bc57bcc-32b1-11dd-985c-0016362ae0f4}] 

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8a85faf7-61cc-11dc-96f5-0016362ae0f4}] 

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ae476ad1-e925-11dc-97fe-0016362ae0f4}]

>>Plik>>Zapisz jako... >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

-->CFScript3.gif

Ma się rozpocząć usuwanie. (i powstanie log). Daj ten log, który powstanie w trakcie usuwania.

Jeśli pójdzie dobrze, to: Po restarcie usuń ręcznie folder C:**** Qoobox.

jessi


(Vojtoos) #5

log:

http://wklej.org/id/e38e069245

Dzieki

czekam na odp

VT


(jessica) #6

Ten l og jest już czysty.

Sprawdź, czy na innych partycjach/dyskach nie masz tych usuwanych przez Script obiektów, bo przy infekcji z pendrive'a jest to bardzo prawdopodobne.

jessi