Niedziałający internet, problemy z włączeniem komputera

kalin93 · 15 Styczeń 2009 22:06

Już niedawno mi pomagaliście ale znowu nawrót infekcji …

huber2t · 16 Styczeń 2009 05:07

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

File::

c:\windows\system32\ctexfifx.dll.bak 

c:\windows\system32\drivers\ctdvda2k.sys.bak 

c:\windows\system32\ct20xut.dll.bak 

c:\windows\system32\cthwiut.dll.bak 

c:\windows\phnywahe.exe 

c:\windows\system32\drivers\ati6cexx.sys 

c:\windows\system32\stus.exe

Plik -> zapisz jako -> CFScript.txt.

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu->

Rozpocznie się usuwanie i powstanie log, który dasz na forum.

Logi dajesz na http://wklej.eu lub na http://wklej.org a w poście dajesz tylko link

kalin93 · 16 Styczeń 2009 18:31

Log po skanie

Hmm zauważyłem że cały czas w procesach jest włączony IE mimo że go nie używam, i jakiś proces z rozszerzeniem tmp. Gdy zakończę którykolwiek, znowu sam się włącza

jessica · 17 Styczeń 2009 09:59

To wygląda tak, jakbyś użył pustego Scriptu, bo nie ma żadnego usuwania.

Wklej do Notatnika :

File::

c:\windows\system32\drivers\ati6cexx.sys

c:\windows\system32\ctexfifx.dll.bak 

c:\windows\system32\drivers\ctdvda2k.sys.bak 

c:\windows\system32\ct20xut.dll.bak 

c:\windows\system32\cthwiut.dll.bak 

c:\windows\phnywahe.exe 

c:\windows\system32\stus.exe


Driver::

ati6cexx


Registry::

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati6cexx.sys]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] 

"phnywahe.exe"=-

>>Plik>>Zapisz jako… >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

– podobnie jak na tym obrazku –>

Ma się rozpocząć usuwanie. (i powstanie log). Daj ten log.

Po restarcie usuń ręcznie folder C: ** Qoobox**.

Ten usunięty plik może być oznaką jedej z wersji wirusa VIRUT, zarażającego *.exe.

Ten plik Systemowy został zmodyfikowany tydzień temu - może jest zarażony?

Użyj –Dr.WebCureIt. (niżej na stronie linku)

Napisz, czy coś wykrył.

jessi

kalin93 · 17 Styczeń 2009 13:05

Plik jest czysty.

Log

jessica · 17 Styczeń 2009 13:35

Teoretycznie log jest czysty, ale zastanawiające jest to, że ten szkodliwy strumień był usuwany już w poprzednim logu.

Istnieje więc dalej jakieś źródło, które powoduje, że ten strumień ciągle od nowa podpina się pod plik “svchost.exe”.

Niestety, w logu nie widać źródła tego zakażenia.

Może użyj jeszcze ->Kaspersky Virus Remowal Tool. (niżej na stronie linku) ?.?

jessi

kalin93 · 17 Styczeń 2009 16:07

Jednak był trojan w pliku userinit.exe Podmieniłem go w konsoli odzyskiwania i kolejny log z Combo

Link

jessica · 17 Styczeń 2009 16:52

Teraz już nie było tego szkodliwego strumienia.

A więc podmiana “userinit.exe” była konieczna.

Czysto.

jessi

kalin93 · 18 Styczeń 2009 09:24

Dzięki !