Witam!
Po uruchomieniu komputera pojawiają sie dwa czarne ekrany z okienkiem DOSowym i komunikaty do nich:
16-bitowy podsystem MS-DOS
c:\fijiefj.exe
NTVDM CPU: napotkano niedozwoloną instrukcję.
CS:0706 IP:0452 CP:63 74 0d 0a 20 Wybierz przycisk “Zamknij”, aby zakończyć działanie aplikacji.
ale pojawiają się też gdy komputer chodzi jakiś czas - został włączony na weekend to było okienek i komunikatów chyba osiem.
Log z HijackThis: http://wklej.org/id/ee34f4d36d
fix
Pobierz ComboFix, ale nie uruchamiaj
Wklej do notatnika:
File::
C:\WINDOWS\system32\wininit.exe
Plik -> zapisz jako -> CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe)
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->
Powinno się rozpocząć usuwanie i powstanie log, daj ten log na forum.
Jeśli wszystko pójdzie dobrze, to po restarcie usuń ręcznie folder C: \Qoobox
Optymalizacja autostartu
fix
Pobierz ComboFix, ale nie uruchamiaj
Wklej do notatnika:
File::
C:\WINDOWS\system32\wininit.exe
Plik -> zapisz jako -> CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe)
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->
Powinno się rozpocząć usuwanie i powstanie log, daj ten log na forum.
Jeśli wszystko pójdzie dobrze, to po restarcie usuń ręcznie folder C: \Qoobox
Optymalizacja autostartu
Wklej do Notatnika:
File::
C:\WINDOWS\is2.exe
C:\Documents and Settings\MM\winhost32.exe
Folder::
C:\WINDOWS\system32\dk
Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Cmaudio"=-
"ccRegVfy"=-
"GhostStartTrayApp"=-
"NPROTECT"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"ccEvtMgr"=-
"ScriptBlocking"=-
"GhostStartService"=-
"CSINJECT.EXE"=-
"NPROTECT"=-
"SymTray - Norton SystemWorks"=
[-HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{08B0E5C0-4FCB-11CF-AAX5-81C01C608512}]
[-HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}]
>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )
– podobnie jak na tym obrazku –>
(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)
Po restarcie usuń ręcznie folder C: ** Qoobox**.
Po tym nowy log z Combo
Wyłącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl
Otwórz notatnik i wklej
zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe
http://img.wklej.org/images/88953CFScri … iemoes.gif
Powinno rozpocząć się usuwanie
Potem log z usuwania Combofix
Log czysty
usuń ręcznie folder C: \Qoobox
usuń instalkę Combofix z dysku.
włącz przywracanie systemu
zrób optymalizacje uruchamiania http://cybertrash.netarteria.pl/cyber/index.php/topic,378.0.html
Dzięki!
Parę rzeczy sobie wyłączyłem z autostartu.
Mam jeszcze dodatkowe pytanie - w międzyczasie znalazłem robaka na pendrivie ale udało się go usunąć przez sformatowanie, mam jednak jeszcze druga pamięć którą przeskanowałem sobie w trybie awaryjnym Skanerem Online Kasperskiego i znalazł 3 zainfekowane pliki. Użyłem PRT Perlovga Removal Tool ale pomogło tylko na j:\autorun.inf a pozostałe dwa ciągle straszą:
Nie za bardzo chciałbym go formatować bo chciałbym najpierw sprawdzić czy mam tam tylko kopie plików czy też jakieś dokumenty które istnieją tylko tam (a trochę się tego obawiam). Tego pena chciałbym wyczyścić aby móc go już w pracy spokojnie używać a przy okazji poznać metodę bo obawiam się, że na domowym kompie gdzie buszuje cała rodzina i na ich penach problem wróci i znowu nie będzie można po prostu formatować.