Ukryte procesy: gi2ky.exe, qxty9be.cmd


(Arizona) #1

Witam, posiadam antywrusa Avast. Wykrywa mi co jakiś czas ukryte procesy: np. "C:\gi2ky.exe" oraz

"C:\qxty9be.cmd"

Jednak sam program nie może go usunąć. Pełne skanowanie podczas rozruchu nie pomaga, ponieważ program nic nie wykrywa.

Robiać log Combo usunal mi "qxty9be" ale o tym 2 pliku nic nie zauważyłem.

Oto logi:

HiJack http://www.wklejto.pl/27663

ComboFix http://www.wklejto.pl/27664

W sumie chyba musze zrezygnować z Avasta i musze przerzucic sie na coś innego.

Często nie wykrywa trojanów np na pendrive pomimo czesto aktualizowania bazy wirusów.

Włączyłem tez ochrone rezydentą Spybota ale czy sie opłaca?

Często jak drukuje coś z kser na mieście to przynoszę do domu "syf". Można jakoś zabezpieczyć nośniki?


(jessica) #2

Wklej do Notatnika :

File::

C:\gi2ky.exe

D:\gi2ky.exe

E:\gi2ky.exe


Registry::

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{39045e50-4299-11dd-9c58-00c09fe0b3dc}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7a6b8986-c0b2-11dd-9da7-00c09fe0b3dc}]

[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Onet.pl AutoUpdate]

[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]

>>Plik>>Zapisz jako... >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

-->cfscript10gm1.gif

Ma się rozpocząć usuwanie. (i powstanie log).

Daj ten log, który powstanie w trakcie usuwania.

Wymiana Antivirusa nic nie da, jeśli będziesz dalej używał pendrive.

Przejrzyj dolną część tego tematu:

http://www.searchengines.pl/Infekcje-z-pen...ych-t94761.html

jessi


(Arizona) #3

Komputer mi się zwiesił po skończeniu pracy Combo;p

Log: http://www.wklejto.pl/27673


(jessica) #4

Niestety, ComboFix ma swoje kaprysy, nic na to nie poradzimy.

Log jest prawie czysty.

1) Do Notatnika wklej:

Windows Registry Editor Version 5.00


[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"cdoosoft"=-

Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.REG >>>

plik uruchom (dwuklik i OK).

2) Usuń ręcznie folder C:**** Qoobox.

3) Usuń kopie szkodników z folderu "System Volume Information" poprzez chwilowe wyłączenie "Przywracania Systemu":

4) Przejrzyj dolną część tego tematu:

>http://www.searchengines.pl/Infekcje-z-pen...ych-t94761.html

jessi


(Leon$) #5

do usunięcia z rejestru jeszcze

Otwórz notatnik i wklej

zapisz jako plik.reg >> wszystkie pliki

b57f17008275c957m.jpg

powstanie plik o takiej ikonie

062aec4c9b51c033m.jpg

w który dwa razy klikniesz potwierdzisz chęć dodania do rejestru potem restart

:slight_smile:

to zrób po tym jak wykonasz zalecenia jessi


(Arizona) #6
  1. zrobione, nast. restart

  2. zrobione, nast. restart

dla formalności finalny log:

http://www.wklejto.pl/27687


(Leon$) #7

Log wygląda na czysty

Pobierz CCleaner http://www.filehippo.com/download_ccleaner/

przeskanuj nim i wyczyść rejestr.

zrób optymalizacje uruchamiania

http://cybertrash.netarteria.pl/cyber/i ... 378.0.html

usuń ręcznie folder C: \Qoobox usuń instalkę Combofix z dysku.

Wyłącz I włącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl

przeskanuj obszar Mój komputer http://www.kaspersky.pl/virusscanner.html gdy będą wirusy pokaż raport

:slight_smile:


(Arizona) #8

Kaspersky nic nie wykrył.

Dziś jednak dziewczyna znowu przyniosła swojego pendrive. Niby przed otworzeniem zeskanowałem go

i wyrzuciłem trojany. Jednak antyvirus znowu zaczal pokazywac ukryte procesy.

http://wklejto.pl/27944

Nie wiem czemu sie tak stało bo niby po przeczytaniu tego artykułu:

wyłączyłem autoodtwarzanie na dyskach


(jessica) #9

Wklej do Notatnika :

File::

C:\dbrxubcw.com

D:\dbrxubcw.com

E:\dbrxubcw.com


Registry::

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{39045e50-4299-11dd-9c58-00c09fe0b3dc}]

>>Plik>>Zapisz jako... >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

-------->cfscript10gm1.gif

Ma się rozpocząć usuwanie. (i powstanie log).

jessi


(Arizona) #10

zrobione.

http://www.wklejto.pl/27960


(jessica) #11

Czysto (przynajmniej w tej chwili).

jessi