mam następujący problem, przyniosłem sobie na pendrivie wirusa, który poprzez services.exe ściągnął jakieś szkodniki
teraz wygląda to tak, że otwiera się osobny proces lsass.exe (drugi) który otwiera child process lsass.exe oraz plik losowanazwa.tmp (dane z ProcessExplorera), który chce się łączyć z 62.179.1.60:DNS
lphcrshj0e35j c:\windows\system32\lphcrshj0e35j.exe <— taki wpis jest w autoruns (dodaje się za każdym uruchomieniem systemu.
AVG nic nie wykrywa. Instalacja naprawcza XP nic nie pomogła, próbowałem usuwać killboxem services.exe, ale to też nie pomogło
Log z comboFixa, niestety, nie zauważyłem że zostawiłem spybota włączonego, coś tam się na końcu pytał czy pozwolić na zmiany w rejestrze. Zrobić loga jeszcze raz czy lepiej nie?
zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe
>>Plik>>Zapisz jako… >>>CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )
– podobnie jak na tym obrazku –>
(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)