x-kom hosting

Nie potrafię się tego pozbyć...

Dominique
utworzono
utworzono

Spybot od jakiegoś czasu wykrywa mi dwa syfy, których albo nie jest w stanie usunąć, albo, jak już sobie z nimi poradzi, to nagle pojawiają się znowu - na pomysł skanowania wpadłem kiedy pewnego dnia po uruchomieniu systemu pojawił mi się jakiś błąd z nazwą 'amvo.exe', której nigdy wcześniej na oczy nie widziałem. Google przyprowadził mnie na fora gdzie użytkownicy wklejają swoje logi, więc pomyślałem, że i ja spróbuję.

Log z ComboFix zamieszczam tutaj jako że nie lubię dużych postów.

Dodam, że jestem po reinstalce systemu, która, jak widać, na nic się nie zdała. Szczerze mówiąc nie mam pojęcia skąd udało mi się złapać ten syf.

Z góry dzięki za pomoc.

Mateusz J.
komentarz
komentarz

Do notatnika wklej:

File::C:\tpfbusg.cmdC:\knupkb.comFolder::C:\found.000

W notatniku zakladka Plik ==> Zapisz jako ==> zapisz pod nazwą CFScript.txt i zapisz go w tym katalogu co ściągnięty i zapisany został combofix

wystartuj do trybu awaryjny. Na ikonę ComboFix przeciągasz zrobiony plik CFScript.txt Tak jak na obrazku:

82650GIF.gif

Rozpocznie się usuwanie i powstanie log , który pokazujesz na forum.

Syf załapałeś z pendrive.

Dominique
komentarz
komentarz

Log umieszczam tutaj. Jeśli to przez pendrive, w jaki sposób mogę go wyczyścić?

Mateusz J.
komentarz
komentarz
Jeśli to przez pendrive, w jaki sposób mogę go wyczyścić?

Podłącz pendrive.

Użyj programu Flash Disinfector.

Wykonaj ponownie:

Do notatnika wklejasz:

File::C:\tpfbusg.cmdC:\knupkb.comFolder::C:\found.000

W notatniku zakladka Plik ==> Zapisz jako ==> zapisz pod nazwą CFScript.txt i zapisz go w tym katalogu co ściągnięty i zapisany został combofix

wystartuj do trybu awaryjny. Na ikonę ComboFix przeciągasz zrobiony plik CFScript.txt Tak jak na obrazku:

82650GIF.gif

Rozpocznie się usuwanie i powstanie log , który pokazujesz na forum.

Możesz odłączyć pendrive.

Dominique
komentarz
komentarz

Dzięki ;) Jeśli nie masz nic przeciwko to podrzucę ci jeszcze logi z dwóch sąsiednich komputerów, zarażonych tym samym syfem :P

Pierwszy i drugi :)

snip91
komentarz
komentarz

Komp nr 1:

Do notatnika wklej:

File::C:\m9j.comRegistry::[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\]

W notatniku zakładka Plik --> Zapisz jako --> zapisz pod nazwą CFScript.txt i zapisz go w tym samym katalogu, w którym jest ComboFix.

Wystartuj tryb awaryjny (F8 podczas ładowania systemu). Na ikonę ComboFix przeciągasz zrobiony plik CFScript.txt tak, jak na obrazku:

82650GIF.gif

Rozpocznie się usuwanie i powstanie log, który pokazujesz na forum.

Po restarcie usuń ręcznie folder C:\Qoobox.

Komp nr 2:

Do notatnika wklej:

File::C:\x.comC:\tpfbusg.cmdC:\knupkb.comC:\WINDOWS\system32\cnpsedufet4a.EXTC:\w0o.comC:\Daddy Cool 1080i.m2t.eseC:\Daddy Cool 1080i.m2tC:\m9j.comRegistry::[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\]

W notatniku zakładka Plik --> Zapisz jako --> zapisz pod nazwą CFScript.txt i zapisz go w tym samym katalogu, w którym jest ComboFix.

Wystartuj tryb awaryjny (F8 podczas ładowania systemu). Na ikonę ComboFix przeciągasz zrobiony plik CFScript.txt tak, jak na obrazku:

82650GIF.gif

Rozpocznie się usuwanie i powstanie log, który pokazujesz na forum.

Po restarcie usuń ręcznie folder C:\Qoobox.

Dominique
komentarz
komentarz

Czym się sugerujesz, czytając te logi? Rozumiem, 'tpfbusg.cmd' wygląda podejrzanie, 'w0o.com' czy 'm9j.com' też, ale Daddy Cool.m2t i Daddy Cool.m2t.ese to pliki projektu programu do obróbki wideo - w ich rozszrzeniach i rozmiarze nie ma nic dziwnego o_O

Mateusz J.
komentarz
komentarz

Usuń te 2 pliki i wykonaj dalsze instrukcje usuwania podane przez sniper45.

Za pomyłkę przepraszamy :)

Dominique
komentarz
komentarz

Przy okazji jeszcze trzeci..., i to już będzie ostatni :)

Mateusz J.
komentarz
komentarz

Tym razem do notatnika wklej:

File::C:\m9j.comRegistry::[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5ddb19cc-2820-11dd-9dd5-001d9252206b}]

Na każdym kompie usuń C:\QooBox

Dominique
komentarz
komentarz

Do czego odnosi się ta gałąź?

Mateusz J.
komentarz
komentarz

Do #9 posta.

Do notatnika wklej:

File::C:\m9j.comRegistry::[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5ddb19cc-2820-11dd-9dd5-001d9252206b}]

W notatniku zakladka Plik ==> Zapisz jako ==> zapisz pod nazwą CFScript.txt i zapisz go w tym katalogu co ściągnięty i zapisany został combofix

wystartuj do trybu awaryjny. Na ikonę ComboFix przeciągasz zrobiony plik CFScript.txt Tak jak na obrazku:

82650GIF.gif

Rozpocznie się usuwanie i powstanie log , który pokazujesz na forum.

Dominique
komentarz
komentarz

Ja wiem że do dziewiątego, kurde, ale pytam do czego w systemie się ta gałąź rejestru odnosi :P

Mateusz J.
komentarz
komentarz

Odnosi się do szkodliwej wartości, którą pendrive pozostawił w kluczu mounpoints.

Wciąż szukasz rozwiązania problemu? Napisz teraz na forum!

Możesz zadać pytanie bez konieczności rejestracji - wystarczy, że wypełnisz formularz.

×
×
  • Dodaj nową pozycję...

Powiadomienie o plikach cookie

Strona wykorzystuje pliki cookies w celu prawidłowego świadczenia usług i wygody użytkowników. Warunki przechowywania i dostępu do plików cookies możesz zmienić w ustawieniach przeglądarki.