Wirus wsctf.exe i explorer.exe


(Gochender) #1

Mój problem jest podobny do opisanego: tutaj

Poszukałam trochę w necie, starałam sie to usunąć opisanymi metodami, ale nie poradziłam sobie, bo po uruchomieniu trybu awaryjnego nie mogę znaleźć tych plików w podawanej lokalizacji, a nie wiem jak ich szukać gdzie indziej :frowning: A fix w Hijack'u nie usuwa tego problemu;/

Tutaj są logi:

Logfile of HijackThis v1.99.1

Scan saved at 14:08:11, on 2007-06-14

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\EXPLORER.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\WINDOWS\explorer.exe

C:\Programy\RegCleaner\RegCleanr.exe

C:\Programy\WinRAR\WinRAR.exe

C:\DOCUME~1\Ania\USTAWI~1\Temp\Rar$EX00.572\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

F2 - REG:system.ini: UserInit=userinit.exe,EXPLORER.EXE

O4 - HKCU\..\Run: [wsctf.exe] wsctf.exe

O4 - HKCU\..\Run: [EXPLORER.EXE] EXPLORER.EXE

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\Programy\MICROS~1\Office10\EXCEL.EXE/3000

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

Proszę o pomoc.

Pozdrawiam, Gosia


(adam9870) #2

Na początku mała uwaga: nie trzymaj Hijacka w TEMPie lub innym katalogu tymczasowym. Umieść go np. na pulpicie.

Użyj Windows Worms Doors Cleanera zmień znaczki z disable na enable (wszystkie znaczki maja być na zielono, jeżeli któryś z nich będzie na żółto to go zostaw). Po użyciu narzędzia wymagany jest restart.

Pliki zaznaczone na czerwono usuń ręcznie z dysku w trybie awaryjnym natomiast wpisy HijackThis. Oba pliki wskazane do usunięcia znajdują się w katalogu C:\Windows\system32

Po wykonaniu wklej log z ComboFix. Aby zrobić w nim log należy go uruchomić => nacisnąć klawisz Y => czekać cierpliwie i log powinien być w formie pliku .txt o nazwie combofix na partycji C.


(Gochender) #3

  • właśnie nie mogę znaleźć tych plików, albo ja jestem ślepa albo ich tam nie ma:(

Wirus najprawdopodobniej przenosi się przez pendriv'a, bo właśnie zauważyłam w regcleaner'ze że na drugim kompie też go już posiadam, a przenosiłam ważne pliki na wszelki wypadek :frowning:


(adam9870) #4

Włącz pokazywanie ukrytych plików i folder i dopiero wtedy sprawdź czy wskazane pliki tam będą.

Aby włączyć pokazywanie ukrytych plików i folderów należy wejść do Panelu sterowania -> uruchomić aplet Opcje folderów -> przejść na zakładkę Widok -> zaznaczyć opcję Pokaż ukryte pliki i foldery, a następnie tylko potwierdzić klikając kolejno na Zastosuj i OK.

Jeśli jednak tych plików nie znajdziesz, wklej log z ComboFix, o który prosiłem w swoim poprzednim poście.


(Gochender) #5
((((((((((((((((((((((((( Files Created from 2007-05-14 to 2007-06-14 )))))))))))))))))))))))))))))))

(qrczak13) #6

Ściągasz Pocket Killbox,

zaznaczasz Delete on reboot , w polu Full Path of File to Delete wklej ścieżkę:

C:\WINDOWS\system32\EXPLORER.EXE

i naciskasz X czerwony. Program poprosi o restart kompa, co robisz.

Do notatnika wklej:

Plik > zapisz jako > zmień rozszerzenie z .txt na wszystkie pliki > zapisz pod nazwą Fix.reg np na

pulpicie > dwuklik na Fix.reg > potwierdzasz > restart.

Po tym nowy log z combofix.


(Syko7) #7

Ja wgl nie moge ściągnąć tego Packet Killbox'a... Link nie chce działać a jak ściągałem inne wersje tego programu to mi nie działały :confused:


(Acorus) #8

Skąd tyś się urwał.To są posty z 2007-go roku.