Mały problem z aplikacja ver.exe i skpt.exe

UnkownUser · 8 Lipiec 2009 07:59

Witam! Mam problem z tymi aplikacjami: ver.exe i skpt.exe; Siedzą one w Temporary Internet Files i da się je usunąć lecz ponownie wracają… w Adresie internetowej jest: “http://zonetech.info” - NIE OTWIERAĆ!

Podejrzewam, że tworzą one pliki wsadowe do katalogu Temp, zawierające w nazwie numery, np. 147.exe, 817.exe; które tworzą nowe procesy o tych samych nazwach lub zamykają ważne procesy… Tutaj wklejam log z hijackthis: http://www.wklejto.pl/37974

Proszę o pomoc!

anon53382939 · 8 Lipiec 2009 08:44

Sfiksuj to w Hijackthis:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\DOCUME~1\ADMIN\USTAWI~1\Temp\469.exe,C:\DOCUME~1\ADMIN\USTAWI~1\Temp\180.exe,C:\DOCUME~1\ADMIN\USTAWI~1\Temp\148.exe,C:\DOCUME~1\ADMIN\USTAWI~1\Temp\243.exe,C:\DOCUME~1\ADMIN\USTAWI~1\Temp\637.exe,C:\DOCUME~1\ADMIN\USTAWI~1\Temp\990.exe,C:\DOCUME~1\ADMIN\USTAWI~1\Temp\541.exe,C:\DOCUME~1\ADMIN\USTAWI~1\Temp\202.exe,C:\DOCUME~1\ADMIN\USTAWI~1\Temp\629.exe,C:\DOCUME~1\ADMIN\USTAWI~1\Temp\547.exe,C:\DOCUME~1\ADMIN\USTAWI~1\Temp\678.exe,C:\DOCUME~1\ADMIN\USTAWI~1\Temp\212.exe,C:\DOCUME~1\ADMIN\USTAWI~1\Temp\664.exe,C:\DOCUME~1\ADMIN\USTAWI~1\Temp\047.exe,C:\DOCUME~1\ADMIN\USTAWI~1\Temp\625.exe,C:\DOCUME~1\ADMIN\USTAWI~1\Temp\086.exe,C:\DOCUME~1\ADMIN\USTAWI~1\Temp\679.exe,C:\DOCUME~1\ADMIN\USTAWI~1\Temp\505.exe,C:\DOCUME~1\ADMIN\USTAWI~1\Temp\320.exe,C:\DOCUME~1\ADMIN\USTAWI~1\Temp\642.exe,C:\DOCUME~1\ADMIN\USTAWI~1\Temp\457.exe,C:\DOCUME~1\ADMIN\USTAWI~1\Temp\499.exe,C:\DOCUME~1\ADMIN\USTAWI~1\Temp\007.exe,C:\DOCUME~1\ADMIN\USTAWI~1\Temp\429.exe,C O4 - HKLM…\Run: [Windows Network Data Management System Service] “C:\DOCUME~1\ADMIN\USTAWI~1\Temp\817.exe” * O4 - HKCU…\Run: [Windows Network Data Management System Service] “C:\DOCUME~1\ADMIN\USTAWI~1\Temp\817.exe” * O4 - HKUS\S-1-5-18…\Run: [Windows Network Data Management System Service] “C:\WINDOWS\system32\bndmss.exe” * (User ‘SYSTEM’) O4 - HKUS.DEFAULT…\Run: [Windows Network Data Management System Service] “C:\WINDOWS\system32\bndmss.exe” * (User ‘Default user’)

Pobierz Combofix http://forum.dobreprogramy.pl/hijackthis-rsit-otl-dds-inne-instrukcja-t36654.html/ ale nie uruchamiaj!

Podczas pobierania i skanowanie Combofix’em wyłącz antywirusy i zapory!

Wklej do notatnika:

File:: C:\WINDOWS\system32\bndmss.exe C:\DOCUME~1\ADMIN\USTAWI~1\Temp\817.exe C:\DOCUME~1\ADMIN\USTAWI~1\Temp\147.exe C:\DOCUME~1\ADMIN\USTAWI~1\Temp\469.exe C:\DOCUME~1\ADMIN\USTAWI~1\Temp\180.exe C:\DOCUME~1\ADMIN\USTAWI~1\Temp\148.exe C:\DOCUME~1\ADMIN\USTAWI~1\Temp\243.exe C:\DOCUME~1\ADMIN\USTAWI~1\Temp\637.exe C:\DOCUME~1\ADMIN\USTAWI~1\Temp\990.exe C:\DOCUME~1\ADMIN\USTAWI~1\Temp\541.exe C:\DOCUME~1\ADMIN\USTAWI~1\Temp\202.exe C:\DOCUME~1\ADMIN\USTAWI~1\Temp\629.exe C:\DOCUME~1\ADMIN\USTAWI~1\Temp\547.exe C:\DOCUME~1\ADMIN\USTAWI~1\Temp\678.exe C:\DOCUME~1\ADMIN\USTAWI~1\Temp\212.exe C:\DOCUME~1\ADMIN\USTAWI~1\Temp\664.exe C:\DOCUME~1\ADMIN\USTAWI~1\Temp\047.exe C:\DOCUME~1\ADMIN\USTAWI~1\Temp\625.exe C:\DOCUME~1\ADMIN\USTAWI~1\Temp\086.exe C:\DOCUME~1\ADMIN\USTAWI~1\Temp\679.exe C:\DOCUME~1\ADMIN\USTAWI~1\Temp\505.exe C:\DOCUME~1\ADMIN\USTAWI~1\Temp\320.exe C:\DOCUME~1\ADMIN\USTAWI~1\Temp\642.exe C:\DOCUME~1\ADMIN\USTAWI~1\Temp\457.exe C:\DOCUME~1\ADMIN\USTAWI~1\Temp\499.exe C:\DOCUME~1\ADMIN\USTAWI~1\Temp\007.exe C:\DOCUME~1\ADMIN\USTAWI~1\Temp\429.exe

Zapisz plik jako CFScript.txt najlepiej aby ikonka tego pliku znajdowała się obok ikonki ComboFix.exe

Przeciągnij i upuść plik CFScript.txt na ikonkę ComboFix.exe powinno rozpocząć się usuwanie po tym daj log na forum.

UnkownUser · 8 Lipiec 2009 09:32

Skanowanie zakończone. Wklejam Logi z Hijackthis: http://www.wklejto.pl/37982 i z ComboFix: http://www.wklejto.pl/37983

Na razie nic niepożądanego się nie dzieje:)

– Dodane 08.07.2009 (Śr) 11:54 –

Dzięki wielkie za pomoc z tymi uciążliwymi aplikacjami… Jeszcze raz dziękuje!