Problem z plikami: hni.cmd i podobnymi:)


(rogacz) #1

Witam dziś byłem u kolegi i jak zwykle miał zaszyfionego kompa. Co znalazłem to usunąłem. Podaje log z Combofix:

http://wklej.to/Wfq

Wg. mnie do wywalenia są:

c:\windows\system32\drivers\iksyssec.sys

c:\windows\system32\drivers\iksysflt.sys

c:\windows\system32\drivers\ikfilesec.sys

c:\windows\system32\drivers\kcom.sys

c:\windows\system32\nmdfgds0.dll

C:\x2csvg.exe

c:\windows\system32\nmdfgds1.dll

A wg. was? :slight_smile:


(huber2t) #2

Do wyleczenia pendrive z wirusów użyj tych programów

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

File::

c:\windows\system32\nmdfgds0.dll

C:\x2csvg.exe

c:\windows\system32\nmdfgds1.dll

c:\windows\system32\olhrwef.exe

c:\windows\AhnRpta.exe

C:\rcvk.exe

c:\windows\system32\oukdfgr.exe

c:\windows\system32\hyrteas0.dll


Registry::

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{F171A450-7AF5-43E1-AFED-EDC826A1B0F5}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"hjdsdse"=-

"cdoosoft"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SsAAD.exe"=-

"SunJavaUpdateSched"=-

"WinampAgent"=-

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]

"{BB4C402F-882A-4526-8C08-51278EA437C1}"=-

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusDisableNotify"=dword:00000000

"UpdatesDisableNotify"=dword:00000000

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

Plik -> zapisz jako -> CFScript.txt.

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu->

cfscript10uc2.gif

Rozpocznie się usuwanie i powstanie log, który dasz na forum.

Logi dajesz na http://wklej.eu lub na http://wklej.org a w poście dajesz tylko link