Już niedawno mi pomagaliście ale znowu nawrót infekcji …
Pobierz ComboFix, ale nie uruchamiaj
Wklej do notatnika:
File::
c:\windows\system32\ctexfifx.dll.bak
c:\windows\system32\drivers\ctdvda2k.sys.bak
c:\windows\system32\ct20xut.dll.bak
c:\windows\system32\cthwiut.dll.bak
c:\windows\phnywahe.exe
c:\windows\system32\drivers\ati6cexx.sys
c:\windows\system32\stus.exe
Plik -> zapisz jako -> CFScript.txt.
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu->
Rozpocznie się usuwanie i powstanie log, który dasz na forum.
Logi dajesz na http://wklej.eu lub na http://wklej.org a w poście dajesz tylko link
Hmm zauważyłem że cały czas w procesach jest włączony IE mimo że go nie używam, i jakiś proces z rozszerzeniem tmp. Gdy zakończę którykolwiek, znowu sam się włącza
To wygląda tak, jakbyś użył pustego Scriptu, bo nie ma żadnego usuwania.
Wklej do Notatnika :
File::
c:\windows\system32\drivers\ati6cexx.sys
c:\windows\system32\ctexfifx.dll.bak
c:\windows\system32\drivers\ctdvda2k.sys.bak
c:\windows\system32\ct20xut.dll.bak
c:\windows\system32\cthwiut.dll.bak
c:\windows\phnywahe.exe
c:\windows\system32\stus.exe
Driver::
ati6cexx
Registry::
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati6cexx.sys]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"phnywahe.exe"=-
>>Plik>>Zapisz jako… >>> CFScript
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe
– podobnie jak na tym obrazku –>
Ma się rozpocząć usuwanie. (i powstanie log). Daj ten log.
Po restarcie usuń ręcznie folder C: ** Qoobox**.
Ten usunięty plik może być oznaką jedej z wersji wirusa VIRUT, zarażającego *.exe.
Ten plik Systemowy został zmodyfikowany tydzień temu - może jest zarażony?
Użyj –Dr.WebCureIt. (niżej na stronie linku)
Napisz, czy coś wykrył.
jessi
Teoretycznie log jest czysty, ale zastanawiające jest to, że ten szkodliwy strumień był usuwany już w poprzednim logu.
Istnieje więc dalej jakieś źródło, które powoduje, że ten strumień ciągle od nowa podpina się pod plik “svchost.exe”.
Niestety, w logu nie widać źródła tego zakażenia.
Może użyj jeszcze ->Kaspersky Virus Remowal Tool. (niżej na stronie linku) ?.?
jessi
Jednak był trojan w pliku userinit.exe Podmieniłem go w konsoli odzyskiwania i kolejny log z Combo
Teraz już nie było tego szkodliwego strumienia.
A więc podmiana “userinit.exe” była konieczna.
Czysto.
jessi
Dzięki !