Powracajęcy komunikat o pliku exe


(Miettas) #1

Witam,

Od kilku dni w momencie uruchamiania komputera oraz przy każdorazowym przelogowywaniu użytkownika, pokazuje się najpierw takie okno:

exe.jpg

Otwiera się ono nawet szybciej, niż antywirus (używam NOD 32). Jeżeli kliknie się anuluj lub X, to komputerdziała bez żadnych problemów. Jeżeli wskaże się jakikolwiek program i zatwierdzi, pokazuje sie komunikat, że system nie może wykonać takiej operacji. Sam plik siedzi w c:\windows\system 32\ exe , ręczne usunięcie nic nie daje. Po powtórnym uruchomieniu komputera wraca na swoje miejsce. Nie jest to coś strasznego, ale denerwuje. Jak się tego pozbyć?


(Kambor4) #2

Daj log z Combofix


(Miettas) #3

Log z combo fix: http://wklejto.pl/5130

Nie wiem czy to normalne, ale po skanowaniu zmieniła mi się domyślna przeglądarka z Firefoxa na IE.


(Kambor4) #4

Widzę infekcję ale chce uzupełnić cały Script...

Sprawdź go na --> http://virusscan.jotti.org/

albo na http://www.virustotal.com/en/indexf.html.


(Miettas) #5

Wynik skanu on-line:

wynikskanu1.jpg

wynikskanu.jpg

Usunąć to ręcznie?


(Gutek) #6

Tak usuń plik ręcznie w trybie awaryjnym, daj log z Combo


(Miettas) #7

Log z combofix: http://wklejto.pl/5138


(Gutek) #8

Wklej do Notatnika:

File::

C:\WINDOWS\system32\kbdycl32.dll


Driver::

SetupNTGLM7X


Registry::

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{CEB7FF9E-77FD-43AE-BAAE-9D3DBBA3A0D8}]

>>Plik>>Zapisz jako... >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )

– podobnie jak na tym obrazku -->88953CFScript-createdbyMiekiemoes.gif

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: **** Qoobox.

Po tym nowy log z Combo oraz skan http://www.kaspersky.pl/virusscanner.html


(Miettas) #9

Log z Combo: http://wklejto.pl/5142

Skanuję Kasperskim, jak tylko skończy wkleję log.


(Kambor4) #10

Wklej do notatnika:

File::

C:\WINDOWS\system32\quartz32.dll


Folder::

C:\Program Files\%temp&


Registry::

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{0A4909B0-042A-4A62-9BDC-A93F5F39183E}]

>>Plik>>Zapisz jako... >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

02f8f1e3c410a4cc.gif

Ma się rozpocząć usuwanie. (i powstanie log). Daj ten log, który powstanie w trakcie usuwania.

Jeśli pójdzie dobrze, to: Po restarcie usuń ręcznie folder C:\Qoobox.


(Leon$) #11

Otwórz notatnik i wklej

zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe

http://img.wklej.org/images/88953CFScri ... iemoes.gif

Powinno rozpocząć się usuwanie

Potem log z usuwania Combofix

:slight_smile:


(Kambor4) #12

@Leon$

Plik

jest wg mnie czystym plikiem...I właśnie plik

,jest dodana kropka i właśnie plik z kropką jest zły,ale dla pewności...

@miecios

Sprawdź go na --> http://virusscan.jotti.org/

albo na http://www.virustotal.com/en/indexf.html.

Tylko tak możemy miec pewność 100% :slight_smile:


(Miettas) #13

Sprawdzić pliku C:\WINDOWS\system32\exe na virusscan i virustotal nie mogłem, bo zniknął.

Log z combo: http://wklejto.pl/5149.

Log z Kasperskego on-line: http://wklejto.pl/5151


(Leon$) #14

Pobierz i uruchom narzędzie The Avenger Zaznaczasz tekst podany do usunięcia na forum

kopiuj >> klikasz na Paste Script from Clipboard >> Execute >> Potwierdzasz i zgadzasz się na restart klikając OK.

Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt

:slight_smile:


(Miettas) #15

To okno z pierwszego mojego postuy nadal się otwiera przy logowaniu użytkownika. Log z avengera:


(Kambor4) #16

Aveneger usunął co miał usunąć.Powinno być już OK.

Usuń ręcznie folder C: \Qoobox ,

Usuń instalkę Combofix z dysku.

Przeczyść komputer Ccleanerem

Wyłącz i włącz przywracanie systemu na wszystkich dyskach.Instrukcja

Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum

lub

Dr.WEB CureIt!


(Miettas) #17

Zrobiłem, tak jak napisałeś, tzn.:

-ręcznie usunąłem folder c:\Qoobox i instalkę Combofixa oraz logi z dysku c

-wyłączyłem i włączyłem punkt przywracania systemu zgodnie z instrukcją

-wyczyściłem dysk CCleanerem i dodatkowo wyczyściłem używając WinTools

-odinstalowałem NOD32 i zainstalowałem Kaspersky Internet Security 7.0.325 i przeskanowałem komputer. KIS 7.0 znalazł jeszcze kilka infekcji: http://wklejto.pl/5254, które podobno wyleczył.

-na koniec zainstalowałem Dr.WEB CureIt! i przeskanowałem. Kompletnie nic nie znalazł.

Po tym wszystkim, zdarzyła się dziwna rzecz. Przez ulewę miałem awarię internetu i Kasperski zwariował: zaczął kilka razy pokazywać taki komunikat:

2008-07-08 15:53:30 Bazy danych s¹ uszkodzone. Mo¿e to spowodowaæ zainfekowanie komputera. Uaktualnij bazy danych sygnatur.

Komunikaty sie skończyły w momencie naprawy łącza. Przed NOD-em używałem Kasperskiego dość długo i nigdy wcześniej nie było takiego czegoś.

A najlepsze jest to, że ten komunikat o pliku exe nadal się pokazuje w momencie logowania.


(Leon$) #18

Pobierz System Repair Engineer

http://www.cybertrash.pl/images/tata/System%20Repair/System%20Repair%20Engineer.html

przeskanuj daj log

:slight_smile:


(Miettas) #19

Log: http://wklejto.pl/5257


(Leon$) #20

uruchom System Repair Engineer zakładka System Repair >> Browser Add-ons >> odszukaj

i usuń

System Repair Engineer zakładka Boot items >> Services >> Drivers >> odszukaj

i usuń

w tej samej zakładce są

jeśli wiesz od czego to jest i czy jest potrzebne zadecyduj co z tym zrobić

:slight_smile: