Mam taki problem. mój program nod32 wykrywa że mam 3 trojany na komputerze. Usuwa je, ale one co restart komputera znów się pojawiają. Do tego mój antywirus blokuję stronkę z trojanem, ale wtedy gdy jestem połączony z internetem to w transmicie danych mam full pasek (używam neostradę i patrzę na zieloną strzałkę). Nie wiem co się dzieje. Podaję także loga z HijackThis:
O4 - HKLM\..\RunServices: [MicroSoft Visual SP2] igfxsrvc32.exe
O4 - HKLM\..\RunOnce: [MicroSoft Visual SP2] igfxsrvc32.exe
O4 - HKCU\..\Run: [MicroSoft Visual SP2] igfxsrvc32.exe
O4 - HKCU\..\RunOnce: [MicroSoft Visual SP2] igfxsrvc32.exe
O4 - HKUS\S-1-5-21-1606980848-854245398-1957994488-1003\..\Run: [MicroSoft Visual SP2] igfxsrvc32.exe (User '?')
O4 - HKUS\S-1-5-21-1606980848-854245398-1957994488-1003\..\RunOnce: [MicroSoft Visual SP2] igfxsrvc32.exe (User '?')
O4 - HKUS\S-1-5-18\..\RunOnce: [MicroSoft Visual SP2] igfxsrvc32.exe (User '?')
O4 - HKUS\.DEFAULT\..\RunOnce: [MicroSoft Visual SP2] igfxsrvc32.exe (User 'Default user')
O23 - Service: Distributed Allocated Memory Unit - Unknown owner - D:\WINDOWS\system32\dllcache\mravsc32.exe (file missing)
wpisy usuń HJT
Użyj Windows Worms Doors Cleanera zmień znaczki z disable na enable. Po użyciu tego narzędzia wymagany jest reset sysa.
Pobierz program SDFix
a jak się usuwa wpisy HJT? I jak użyć Windows Worms Doors Cleanera? Przepraszam że to piszę ale nie za bardzo znam się w tych funkcjach. nie mogę dać loga z ComboFixa, bo jak go włączam to się restartuje mój komputer.
Odpalasz HJT.Zaznaczasz wpisy które podał Ci Gutek2222 i klikasz Fick Checked viewtopic.php?f=16&t=36654
Windows Worms Doors Cleaner http://www.searchengines.pl/index.php?s … entry26840
Sprobuj odpalic Combofix w trybie awaryjnym.Jeżeli nie odpali daj loga z Deckard’s system skanner http://www.techsupportforum.com/sectool … rd/dss.exe
czy w SDFix-ie po resecie w trybie awaryjnym trzeba kontynuować dalej w trybie awaryjnym czy można już w zwykłym trybie?
Wklej do Notatnika:
File::
D:\WINDOWS\system32\ahjw.exe
D:\WINDOWS\system32\zxmhubu.exe
Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Cmaudio"=-
"autoclk"=-
"adiras"=-
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"MicroSoft Visual SP2"=-
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"MicroSoft Visual SP2"=-
>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )
– podobnie jak na tym obrazku –>
(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)
Po restarcie usuń ręcznie folder C: ** Qoobox**.
Po tym nowy log z Combo
Niestety nie mogę tego zrobić, ponieważ jak skasowełem te logi:
O4 - HKLM…\RunServices: [MicroSoft Visual SP2] igfxsrvc32.exe
O4 - HKLM…\RunOnce: [MicroSoft Visual SP2] igfxsrvc32.exe
O4 - HKCU…\Run: [MicroSoft Visual SP2] igfxsrvc32.exe
O4 - HKCU…\RunOnce: [MicroSoft Visual SP2] igfxsrvc32.exe
O4 - HKUS\S-1-5-21-1606980848-854245398-1957994488-1003…\Run: [MicroSoft Visual SP2] igfxsrvc32.exe (User ‘?’)
O4 - HKUS\S-1-5-21-1606980848-854245398-1957994488-1003…\RunOnce: [MicroSoft Visual SP2] igfxsrvc32.exe (User ‘?’)
O4 - HKUS\S-1-5-18…\RunOnce: [MicroSoft Visual SP2] igfxsrvc32.exe (User ‘?’)
O4 - HKUS.DEFAULT…\RunOnce: [MicroSoft Visual SP2] igfxsrvc32.exe (User ‘Default user’)
O23 - Service: Distributed Allocated Memory Unit - Unknown owner - D:\WINDOWS\system32\dllcache\mravsc32.exe (file missing)
to mi się komp zaczął przestać włączać. Miałem zrzuty na dysk fizyczny. Teraz czekam aż mi naprawią.
I dziękuję bardzo za taką pomoc w której wszystko się psuje.
Nie wypisuj głupot, to nie od tego. Możesz uruchomić komputer w trybie awaryjnym?
nie ,nie mogę. Tak samo mi się pokazuje jak w normalnym windows jak i w trybie awaryjnym.
CHciałem zauważyć że wpisów 023 nie usuwa się hijackiem…
Chcę zauważyć, że wpisy 023 można usunąć za pomocą HijackThis.
Open the Misc Tools section >>> Delete an NT service…