zkr
(Zakar)
14 Marzec 2009 13:48
#1
!avast pro znalazł c:\windows\system32\nmdfgds0.dll , zalecił skan w trakcie bootowania, usunął wiele kopii Win32: Kavos z System Volume Information. Niestety, historia powtarza się niemal w koło, po odpaleniu systemu po 5-10 minutach znowu wykrywa ten plik,znowu skanuje podczas stawiania kompa i zawsze znajdzie się jedna czy dwie kopie. Z góry dziękuję za wszelką pomoc. Zamieszczam logi:
HiJackThis:
http://www.wklej.org/hash/523ba3f725/
SilentRunners:
http://www.wklej.org/id/64142/
ComboFix:
http://www.wklej.org/id/64146/
Ka12
(Ka$$)
14 Marzec 2009 14:39
#2
Prawdopodobnie to to:
O4 - HKCU…\Run: [cdoosoft] C:\WINDOWS\system32\olhrwef.exe
Ale poczekaj, co inni powiedzą
huber2t
(huber2t)
14 Marzec 2009 15:10
#3
Do wyleczenia pendrive z wirusów użyj tych programów
Wklej do notatnika:
File::
C:\xdw.com
D:\xdw.com
E:\xdw.com
Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"WiseStubReboot"=-
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{54d7abbc-0f40-11de-98a5-96a6e0068b57}]
Plik -> zapisz jako -> CFScript.txt .
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu->
Rozpocznie się usuwanie i powstanie log, który dasz na forum.
Logi dajesz na http://wklej.org a w poście dajesz tylko link
zkr
(Zakar)
14 Marzec 2009 16:06
#4
Użyłem 2 z 3 wymienionych tam programów. Link do pierwszego nie działa -> ‘Page not found’
Skopiowałem skrypt i przeciągnąłem go do ComboFix, oto log:
http://www.wklej.org/id/64299/
Dziękuję profesjonalistom za fachową pomoc.
huber2t
(huber2t)
14 Marzec 2009 16:08
#5
W logu nic nie widzę
usuń ręcznie folder C:\Qoobox oraz Combofix , usuń instalkę Combofix z dysku.
Przeczyść system Ccleanerem
Wykonaj optymalizację autostartu
Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja
Przeskanuj obszar całego komputera http://www.kaspersky.pl/virusscanner.html Daj raport z niego na forum
zkr
(Zakar)
14 Marzec 2009 22:21
#6
Oto raport Kaspersky online:
http://wklej.org/id/64496/