Niedziałający internet, problemy z włączeniem komputera


(Kalin 93) #1

Już niedawno mi pomagaliście ale znowu nawrót infekcji ...

Log ComboFix


(huber2t) #2

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

File::

c:\windows\system32\ctexfifx.dll.bak 

c:\windows\system32\drivers\ctdvda2k.sys.bak 

c:\windows\system32\ct20xut.dll.bak 

c:\windows\system32\cthwiut.dll.bak 

c:\windows\phnywahe.exe 

c:\windows\system32\drivers\ati6cexx.sys 

c:\windows\system32\stus.exe

Plik -> zapisz jako -> CFScript.txt.

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu->

cfscript10uc2.gif

Rozpocznie się usuwanie i powstanie log, który dasz na forum.

Logi dajesz na http://wklej.eu lub na http://wklej.org a w poście dajesz tylko link


(Kalin 93) #3

Log po skanie

Hmm zauważyłem że cały czas w procesach jest włączony IE mimo że go nie używam, i jakiś proces z rozszerzeniem tmp. Gdy zakończę którykolwiek, znowu sam się włącza


(jessica) #4

To wygląda tak, jakbyś użył pustego Scriptu, bo nie ma żadnego usuwania.

Wklej do Notatnika :

File::

c:\windows\system32\drivers\ati6cexx.sys

c:\windows\system32\ctexfifx.dll.bak 

c:\windows\system32\drivers\ctdvda2k.sys.bak 

c:\windows\system32\ct20xut.dll.bak 

c:\windows\system32\cthwiut.dll.bak 

c:\windows\phnywahe.exe 

c:\windows\system32\stus.exe


Driver::

ati6cexx


Registry::

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati6cexx.sys]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] 

"phnywahe.exe"=-

>>Plik>>Zapisz jako... >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

– podobnie jak na tym obrazku -->cfscript10gm1.gif

Ma się rozpocząć usuwanie. (i powstanie log). Daj ten log.

Po restarcie usuń ręcznie folder C: **** Qoobox.

Ten usunięty plik może być oznaką jedej z wersji wirusa VIRUT, zarażającego *.exe.

Ten plik Systemowy został zmodyfikowany tydzień temu - może jest zarażony?

Użyj --Dr.WebCureIt. (niżej na stronie linku)

Napisz, czy coś wykrył.

jessi


(Kalin 93) #5

Plik jest czysty.

Log


(jessica) #6

Teoretycznie log jest czysty, ale zastanawiające jest to, że ten szkodliwy strumień był usuwany już w poprzednim logu.

Istnieje więc dalej jakieś źródło, które powoduje, że ten strumień ciągle od nowa podpina się pod plik "svchost.exe".

Niestety, w logu nie widać źródła tego zakażenia.

Może użyj jeszcze ->Kaspersky Virus Remowal Tool. (niżej na stronie linku) ?.?

jessi


(Kalin 93) #7

Jednak był trojan w pliku userinit.exe :wink: Podmieniłem go w konsoli odzyskiwania i kolejny log z Combo

Link


(jessica) #8

Teraz już nie było tego szkodliwego strumienia.

A więc podmiana "userinit.exe" była konieczna.

Czysto.

jessi


(Kalin 93) #9

Dzięki ! :wink: