Uruchamia się podejrzany program fijiefj.exe


(M Kwadrat) #1

Witam!

Po uruchomieniu komputera pojawiają sie dwa czarne ekrany z okienkiem DOSowym i komunikaty do nich:

16-bitowy podsystem MS-DOS

c:\fijiefj.exe

NTVDM CPU: napotkano niedozwoloną instrukcję.

CS:0706 IP:0452 CP:63 74 0d 0a 20 Wybierz przycisk "Zamknij", aby zakończyć działanie aplikacji.

ale pojawiają się też gdy komputer chodzi jakiś czas - został włączony na weekend to było okienek i komunikatów chyba osiem.

Log z HijackThis: http://wklej.org/id/ee34f4d36d


(huber2t) #2

fix

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

File::

    C:\WINDOWS\system32\wininit.exe

Plik -> zapisz jako -> CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe)

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->

02f8f1e3c410a4cc.gif

Powinno się rozpocząć usuwanie i powstanie log, daj ten log na forum.

Jeśli wszystko pójdzie dobrze, to po restarcie usuń ręcznie folder C: \Qoobox

Optymalizacja autostartu


(huber2t) #3

fix

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

File::

    C:\WINDOWS\system32\wininit.exe

Plik -> zapisz jako -> CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe)

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->

02f8f1e3c410a4cc.gif

Powinno się rozpocząć usuwanie i powstanie log, daj ten log na forum.

Jeśli wszystko pójdzie dobrze, to po restarcie usuń ręcznie folder C: \Qoobox

Optymalizacja autostartu


(M Kwadrat) #4

Log z ComboFix: http://wklej.org/id/088c900c6b


(Gutek) #5

Wklej do Notatnika:

File::

C:\WINDOWS\is2.exe

C:\Documents and Settings\MM\winhost32.exe


Folder::

C:\WINDOWS\system32\dk 


Registry::

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 

"Cmaudio"=-

"ccRegVfy"=-

"GhostStartTrayApp"=-

"NPROTECT"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices] 

"ccEvtMgr"=-

"ScriptBlocking"=-

"GhostStartService"=-

"CSINJECT.EXE"=-

"NPROTECT"=-

"SymTray - Norton SystemWorks"=

[-HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{08B0E5C0-4FCB-11CF-AAX5-81C01C608512}] 

[-HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}]

>>Plik>>Zapisz jako... >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )

– podobnie jak na tym obrazku -->88953CFScript-createdbyMiekiemoes.gif

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: **** Qoobox.

Po tym nowy log z Combo


(M Kwadrat) #6

Nowy log z ComboFix: http://wklej.org/id/0c8f69894e


(Leon$) #7

Wyłącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl

Otwórz notatnik i wklej

zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe

http://img.wklej.org/images/88953CFScri ... iemoes.gif

Powinno rozpocząć się usuwanie

Potem log z usuwania Combofix

:slight_smile:


(M Kwadrat) #8

Nowy log z ComboFix: http://wklej.org/id/111be89787


(Leon$) #9

Log czysty

usuń ręcznie folder C: \Qoobox

usuń instalkę Combofix z dysku.

włącz przywracanie systemu

zrób optymalizacje uruchamiania http://cybertrash.netarteria.pl/cyber/index.php/topic,378.0.html

:slight_smile:


(M Kwadrat) #10

Dzięki!

Parę rzeczy sobie wyłączyłem z autostartu.

Mam jeszcze dodatkowe pytanie - w międzyczasie znalazłem robaka na pendrivie ale udało się go usunąć przez sformatowanie, mam jednak jeszcze druga pamięć którą przeskanowałem sobie w trybie awaryjnym Skanerem Online Kasperskiego i znalazł 3 zainfekowane pliki. Użyłem PRT Perlovga Removal Tool ale pomogło tylko na j:\autorun.inf a pozostałe dwa ciągle straszą:

Nie za bardzo chciałbym go formatować bo chciałbym najpierw sprawdzić czy mam tam tylko kopie plików czy też jakieś dokumenty które istnieją tylko tam (a trochę się tego obawiam). Tego pena chciałbym wyczyścić aby móc go już w pracy spokojnie używać a przy okazji poznać metodę bo obawiam się, że na domowym kompie gdzie buszuje cała rodzina i na ich penach problem wróci i znowu nie będzie można po prostu formatować.


(Gutek) #11

Zobcz - http://www.bezpieczenstwosystemow.pl/in ... pic=1647.0 i użyj jeszcze Flash Disinfector