Kxvo.exe_ntvdm.exe_100%użycia_procesora


(Drzastinka) #1

od pewnego czasu przy starcie systemu uruchamia się proces ntvdm pożerający 100% użycia procesora. wiem że ntvdm jest systemowym procesem, tylko nie wiem co go uruchamia...skanowanie antywirusami niewiele daje. wczoraj przy starcie pojawiał się monit o błędzie z pamięcią spowodowanym aplikacją kxvo. exe. ściągnęłam combofixa. aha, po użyciu combofixa przy starcie systemu nie było tego 100% zajętości przez ntvdm. mimo to nie jestem pewna czy wszystko jest ok. BARDZO proszę o sprawdzenie loga. wybaczcie jak robię coś nie tak, ale pierwszy raz używam combofixa.

http://wklej.org/id/c1caac1f87


(huber2t) #2

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

File::

C:\bud3.bat

C:\WINDOWS\scsE.tmp

C:\WINDOWS\system32\drivers\hosts

C:\WINDOWS\scs4C37.tmp 

C:\WINDOWS\scsC.tmp

C:\WINDOWS\scsB.tmp


Folder::

C:\FOUND.008


Registry::

[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winjks32]

Plik -> zapisz jako -> CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->

02f8f1e3c410a4cc.gif

Rozpocznie się usuwanie i powstanie log, daj ten log na forum.

Logi dajesz na http://www.wklej.org a w poście dajesz tylko link


(Drzastinka) #3

zrobiłam to co napisałeś. oto nowy log:

http://wklej.org/id/779cfe4106

aha, w rejestrze znów pojawiły się wpisy(sukcesywnie je usuwam, ale w po ostatnim usunięciu żaden dysk wymienny nie był podłączany do kompa,a wpisy są znowu):

HKEY_USERS\S-1-5-21-982049731-2641825263-3278134444-1005\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2{10102522-3aca-11dd-aa8c-806d6172696f}

HKEY_USERS\S-1-5-21-982049731-2641825263-3278134444-1005\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2{10102523-3aca-11dd-aa8c-806d6172696f}

HKEY_USERS\S-1-5-21-982049731-2641825263-3278134444-1005\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2{10102524-3aca-11dd-aa8c-806d6172696f}

... i jeszcze :

HKEY_USERS\S-1-5-21-982049731-2641825263-3278134444-1005\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\CPC razem z podkluczami

a może one są w porządku??? usuwam je, bo często do nich dołączone są pliki typu autostart(wirusy przenoszone przez pendrivy). wychodzę z założenia, że mają tam być tylko nazwy dysków( czyli u mnie:C, D, E, F, G).

  • co więcej przy dysku F jest status _AutorunStatus z RegBinary (bardzo długim i dziwnym: 01 00 01 00 00 01 00 df df sf 01 00 01 01 ee ff ff ff ff.....) - czy mogę spokojnie usunąć ten klucz? mam mnóstwo infekcji właśnie przez pendrivy.

proszę o pomoc.


(huber2t) #4

Log wyglada na czysty

usuń ręcznie folder C: \Qoobox , usuń instalkę Combofix z dysku.

Przeczyść komputer Ccleanerem

Wykonaj optymalizację autostartu

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum

lub

Dr.WEB CureIt!


(Drzastinka) #5

dzięki.

proszę jeszcze o sprawdzenie co z tymi wpisami w rejestrze (dodałam je do wcześniejszego posta).

W dniu 21.06.2008 , o godzinie 14:35 został dopisany post przez justi44

dzięki.

proszę jeszcze o sprawdzenie co z tymi wpisami w rejestrze (dodane do poprzedniego posta).


(huber2t) #6

dla pewności:

Do wyleczenia pendrive z wirusów użyj

Perlovg Removal Tool

Flash Disinfector

lub format

otwórz notatnik i wklej

Z menu Notatnika -> Plik -> Zapisz jako -> Zmień rozszerzenie z .txt na wszystkie pliki -> zapisz pod nazwą Fix.reg

Uruchom ten plik, uruchom ponownie komputer


(Drzastinka) #7

uruchomiłam plik, restartowałam kompa.... i co?

w rejestrze pozostał klucz CPC razem z woluminami numerycznymi:

HKEY_USERS\S-1-5-21-982049731-2641825263-3278134444-1005\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\CPC

tak ma być czy mam to usunąć?

oczywiście w MountPoints2 poza tym CPC nie ma innych wpisów.


(huber2t) #8

Pozostaw to

przeskanuj antywirusem