od pewnego czasu przy starcie systemu uruchamia się proces ntvdm pożerający 100% użycia procesora. wiem że ntvdm jest systemowym procesem, tylko nie wiem co go uruchamia…skanowanie antywirusami niewiele daje. wczoraj przy starcie pojawiał się monit o błędzie z pamięcią spowodowanym aplikacją kxvo. exe. ściągnęłam combofixa. aha, po użyciu combofixa przy starcie systemu nie było tego 100% zajętości przez ntvdm. mimo to nie jestem pewna czy wszystko jest ok. BARDZO proszę o sprawdzenie loga. wybaczcie jak robię coś nie tak, ale pierwszy raz używam combofixa.
Pobierz ComboFix, ale nie uruchamiaj
Wklej do notatnika:
File::
C:\bud3.bat
C:\WINDOWS\scsE.tmp
C:\WINDOWS\system32\drivers\hosts
C:\WINDOWS\scs4C37.tmp
C:\WINDOWS\scsC.tmp
C:\WINDOWS\scsB.tmp
Folder::
C:\FOUND.008
Registry::
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winjks32]
Plik -> zapisz jako -> CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->
Rozpocznie się usuwanie i powstanie log, daj ten log na forum.
Logi dajesz na http://www.wklej.org a w poście dajesz tylko link
zrobiłam to co napisałeś. oto nowy log:
http://wklej.org/id/779cfe4106
aha, w rejestrze znów pojawiły się wpisy(sukcesywnie je usuwam, ale w po ostatnim usunięciu żaden dysk wymienny nie był podłączany do kompa,a wpisy są znowu):
HKEY_USERS\S-1-5-21-982049731-2641825263-3278134444-1005\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2{10102522-3aca-11dd-aa8c-806d6172696f}
HKEY_USERS\S-1-5-21-982049731-2641825263-3278134444-1005\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2{10102523-3aca-11dd-aa8c-806d6172696f}
HKEY_USERS\S-1-5-21-982049731-2641825263-3278134444-1005\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2{10102524-3aca-11dd-aa8c-806d6172696f}
… i jeszcze :
HKEY_USERS\S-1-5-21-982049731-2641825263-3278134444-1005\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\CPC razem z podkluczami
a może one są w porządku??? usuwam je, bo często do nich dołączone są pliki typu autostart(wirusy przenoszone przez pendrivy). wychodzę z założenia, że mają tam być tylko nazwy dysków( czyli u mnie:C, D, E, F, G).
- co więcej przy dysku F jest status _AutorunStatus z RegBinary (bardzo długim i dziwnym: 01 00 01 00 00 01 00 df df sf 01 00 01 01 ee ff ff ff ff…) - czy mogę spokojnie usunąć ten klucz? mam mnóstwo infekcji właśnie przez pendrivy.
proszę o pomoc.
Log wyglada na czysty
usuń ręcznie folder C: \Qoobox , usuń instalkę Combofix z dysku.
Przeczyść komputer Ccleanerem
Wykonaj optymalizację autostartu
Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja
Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum
lub
dzięki.
proszę jeszcze o sprawdzenie co z tymi wpisami w rejestrze (dodałam je do wcześniejszego posta).
W dniu 21.06.2008 , o godzinie 14:35 został dopisany post przez justi44
dzięki.
proszę jeszcze o sprawdzenie co z tymi wpisami w rejestrze (dodane do poprzedniego posta).
dla pewności:
Do wyleczenia pendrive z wirusów użyj
lub format
otwórz notatnik i wklej
Z menu Notatnika -> Plik -> Zapisz jako -> Zmień rozszerzenie z .txt na wszystkie pliki -> zapisz pod nazwą Fix.reg
Uruchom ten plik, uruchom ponownie komputer
uruchomiłam plik, restartowałam kompa… i co?
w rejestrze pozostał klucz CPC razem z woluminami numerycznymi:
HKEY_USERS\S-1-5-21-982049731-2641825263-3278134444-1005\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\CPC
tak ma być czy mam to usunąć?
oczywiście w MountPoints2 poza tym CPC nie ma innych wpisów.
Pozostaw to
przeskanuj antywirusem