Dominique utworzono 5 sierpnia 2008 utworzono 5 sierpnia 2008 Spybot od jakiegoś czasu wykrywa mi dwa syfy, których albo nie jest w stanie usunąć, albo, jak już sobie z nimi poradzi, to nagle pojawiają się znowu - na pomysł skanowania wpadłem kiedy pewnego dnia po uruchomieniu systemu pojawił mi się jakiś błąd z nazwą 'amvo.exe', której nigdy wcześniej na oczy nie widziałem. Google przyprowadził mnie na fora gdzie użytkownicy wklejają swoje logi, więc pomyślałem, że i ja spróbuję. Log z ComboFix zamieszczam tutaj jako że nie lubię dużych postów. Dodam, że jestem po reinstalce systemu, która, jak widać, na nic się nie zdała. Szczerze mówiąc nie mam pojęcia skąd udało mi się złapać ten syf. Z góry dzięki za pomoc.
Mateusz J. komentarz 5 sierpnia 2008 komentarz 5 sierpnia 2008 Do notatnika wklej: File::C:\tpfbusg.cmdC:\knupkb.comFolder::C:\found.000 W notatniku zakladka Plik ==> Zapisz jako ==> zapisz pod nazwą CFScript.txt i zapisz go w tym katalogu co ściągnięty i zapisany został combofix wystartuj do trybu awaryjny. Na ikonę ComboFix przeciągasz zrobiony plik CFScript.txt Tak jak na obrazku: Rozpocznie się usuwanie i powstanie log , który pokazujesz na forum. Syf załapałeś z pendrive.
Dominique komentarz 5 sierpnia 2008 Autor komentarz 5 sierpnia 2008 Log umieszczam tutaj. Jeśli to przez pendrive, w jaki sposób mogę go wyczyścić?
Mateusz J. komentarz 5 sierpnia 2008 komentarz 5 sierpnia 2008 Jeśli to przez pendrive, w jaki sposób mogę go wyczyścić? Podłącz pendrive. Użyj programu Flash Disinfector. Wykonaj ponownie: Do notatnika wklejasz: File::C:\tpfbusg.cmdC:\knupkb.comFolder::C:\found.000 W notatniku zakladka Plik ==> Zapisz jako ==> zapisz pod nazwą CFScript.txt i zapisz go w tym katalogu co ściągnięty i zapisany został combofix wystartuj do trybu awaryjny. Na ikonę ComboFix przeciągasz zrobiony plik CFScript.txt Tak jak na obrazku: Rozpocznie się usuwanie i powstanie log , który pokazujesz na forum. Możesz odłączyć pendrive.
Dominique komentarz 6 sierpnia 2008 Autor komentarz 6 sierpnia 2008 Dzięki Jeśli nie masz nic przeciwko to podrzucę ci jeszcze logi z dwóch sąsiednich komputerów, zarażonych tym samym syfem Pierwszy i drugi
snip91 komentarz 6 sierpnia 2008 komentarz 6 sierpnia 2008 Komp nr 1: Do notatnika wklej: File::C:\m9j.comRegistry::[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\] W notatniku zakładka Plik --> Zapisz jako --> zapisz pod nazwą CFScript.txt i zapisz go w tym samym katalogu, w którym jest ComboFix. Wystartuj tryb awaryjny (F8 podczas ładowania systemu). Na ikonę ComboFix przeciągasz zrobiony plik CFScript.txt tak, jak na obrazku: Rozpocznie się usuwanie i powstanie log, który pokazujesz na forum. Po restarcie usuń ręcznie folder C:\Qoobox. Komp nr 2: Do notatnika wklej: File::C:\x.comC:\tpfbusg.cmdC:\knupkb.comC:\WINDOWS\system32\cnpsedufet4a.EXTC:\w0o.comC:\Daddy Cool 1080i.m2t.eseC:\Daddy Cool 1080i.m2tC:\m9j.comRegistry::[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\] W notatniku zakładka Plik --> Zapisz jako --> zapisz pod nazwą CFScript.txt i zapisz go w tym samym katalogu, w którym jest ComboFix. Wystartuj tryb awaryjny (F8 podczas ładowania systemu). Na ikonę ComboFix przeciągasz zrobiony plik CFScript.txt tak, jak na obrazku: Rozpocznie się usuwanie i powstanie log, który pokazujesz na forum. Po restarcie usuń ręcznie folder C:\Qoobox.
Dominique komentarz 7 sierpnia 2008 Autor komentarz 7 sierpnia 2008 Czym się sugerujesz, czytając te logi? Rozumiem, 'tpfbusg.cmd' wygląda podejrzanie, 'w0o.com' czy 'm9j.com' też, ale Daddy Cool.m2t i Daddy Cool.m2t.ese to pliki projektu programu do obróbki wideo - w ich rozszrzeniach i rozmiarze nie ma nic dziwnego o_O
Mateusz J. komentarz 7 sierpnia 2008 komentarz 7 sierpnia 2008 Usuń te 2 pliki i wykonaj dalsze instrukcje usuwania podane przez sniper45. Za pomyłkę przepraszamy
Dominique komentarz 14 sierpnia 2008 Autor komentarz 14 sierpnia 2008 Przy okazji jeszcze trzeci..., i to już będzie ostatni
Mateusz J. komentarz 14 sierpnia 2008 komentarz 14 sierpnia 2008 Tym razem do notatnika wklej: File::C:\m9j.comRegistry::[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5ddb19cc-2820-11dd-9dd5-001d9252206b}] Na każdym kompie usuń C:\QooBox
Mateusz J. komentarz 14 sierpnia 2008 komentarz 14 sierpnia 2008 Do #9 posta. Do notatnika wklej: File::C:\m9j.comRegistry::[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5ddb19cc-2820-11dd-9dd5-001d9252206b}] W notatniku zakladka Plik ==> Zapisz jako ==> zapisz pod nazwą CFScript.txt i zapisz go w tym katalogu co ściągnięty i zapisany został combofix wystartuj do trybu awaryjny. Na ikonę ComboFix przeciągasz zrobiony plik CFScript.txt Tak jak na obrazku: Rozpocznie się usuwanie i powstanie log , który pokazujesz na forum.
Dominique komentarz 14 sierpnia 2008 Autor komentarz 14 sierpnia 2008 Ja wiem że do dziewiątego, kurde, ale pytam do czego w systemie się ta gałąź rejestru odnosi
Mateusz J. komentarz 14 sierpnia 2008 komentarz 14 sierpnia 2008 Odnosi się do szkodliwej wartości, którą pendrive pozostawił w kluczu mounpoints.
Wciąż szukasz rozwiązania problemu? Napisz teraz na forum!
Możesz zadać pytanie bez konieczności rejestracji - wystarczy, że wypełnisz formularz.