Proces wscntfy.exe se ne da odstranit

Alko_man

gps navigator

26. avg 2007

972

1

18

• 1. maj 2010

• #1

Mučim se že cel dan in sicer mi ta proces začne filat CPU po nekje po 2 minutah prižganega PC-ja. Je neke vrste Windows Security Center. Ko se CPU napolni do nekje 50% seveda vse deluje zelo počasi in neodzivno. Sem poskusil po tem načinu izklopit, pa ne gre. Zanimivo, da mi ga Task Manager sploh ne prikaže, zato sem poskusil z Iarsn TaskInfo (s katerim ga lahko zbrišem). Potem deluje ok, ampak samo do naslednjega ponovnega zagona, takrat se seveda spet pojavi.
Sem pregledal sistem za virusi z Malwarebytes, Aviro, register popravil z RegistryBooster. Poskusil sem tudi z Bitdefender LIVE (boot CD). Aja, tudi izbrisal sem file fizično na disku, pa se je pojavil nazaj

Sistem je WinXP SP2. Imel sem tudi naložen že SP3 pa je delovalo isto. Je možno, da je kakšen virus ali se da to na kakšen drug način zbrisat oz. izklopit?

 

mistique

Guru

16. jun 2009

13.808

1.613

113

Emona / Carnium

• 1. maj 2010

• #2

Poskusi še z UnHackMe . Lahko, da je kak rootkit. Bodi pa zelo previden kaj boš odstranil. Malo pogooglaj, če ti ne bo takoj jasno kaj ti sporoča UnHackMe.

BTW: Mislim, da lahko to zadevo izklopiš v services. Upoštevajoč, da imaš delujoč AV program z požarnim zidom itd...

 

Nazadnje urejeno: 1. maj 2010

Alko_man

gps navigator

26. avg 2007

972

1

18

• 2. maj 2010

• #3

Hvala za namig z UnHacMe. Bom poskusil.
Sicer pa sem zadevo izklopil v Services, pa ostane isti šmorn. Vseeno se zažene in kuri CPU.

 

S

SouthPark

Jas da nea vem?! Ka te je...

5. sep 2007

24.570

5

38

Klobukarjev dol

• 2. maj 2010

• #4

Torej bo potrebno uporabit še kak drug AV. Probaj srečo s kakim online AV, recimo NOD32. Verjetno ti ne bo mogel popucat vsega, ti bo pa vsaj napisal katere vse datoteke so okužene in jih lahko potem v varnem zagonu pobrišeš.

 

S

stein

Fizikalc

16. sep 2007

19.575

1

36

• 2. maj 2010

• #5

En OK boot CD je Kaspersky:
http://devbuilds.kaspersky-labs.com/devbuilds/RescueDisk/kav_rescue_2008.iso
Oziroma novejši: http://devbuilds.kaspersky-labs.com/devbuilds/RescueDisk10/kav_rescue_10.iso

Pazi, to se mora obvezno updatat, ko ga poženeš. Če ne gre, uporabi verzijo _10 ker je le dva tedna star.

Tole mislim, da vsak dan na novo zapakirajo: http://www.free-av.com/en/tools/12/avira_antivir_rescue_system.html

 

S

stein

Fizikalc

16. sep 2007

19.575

1

36

• 2. maj 2010

• #6

Za pogon v okuženem Windows, pa so (če še kaj niso našteli):
- CureIT
- HouseCall
- http://www.eset.com/online-scanner

Koliko wscntfy.exe fajlov pa imaš na disku?
"Pravi" se nahaja v C:\WINDOWS\system32\ , pa še ena kopija v C:\WINDOWS\system32\dllcache
Na mojem WinXP SP3 je velik 13.824 bajtov.

Lahko ga uploadaš na http://virusscan.jotti.org za test, posebej če jih je več.

 

B

Baksuz

Pripravnik

30. sep 2007

50

0

6

• 2. maj 2010

• #7

1. Ustavi proces wscnfty.exe
2. Nastavi si, da lahko vidiš skrite datoteke in mape, poišči ter zbriši vse, kjer se pojavi ime wscnftl (razen v windows\system32)
3. Boot-aj
4. Preglej USB-je.

 

Nazadnje urejeno: 2. maj 2010

Alko_man

gps navigator

26. avg 2007

972

1

18

• 2. maj 2010

• #8

Oj!

Najlepša hvala vsem za pomoč... Zadeva je sanirana.

Hiter povzetek za morebitne bodoče okužence

Najprej sem pregledal z online NOD, kateri ni našel nič sumljivega.
Nato sem šel iskat ročno dotični fajl in seveda našel 4 enake v različnih mapah. Vse (razen v system32) sem pobrisal ampak zadeva je še vedno bremenila CPU.
Nato sem s programom, ki sem ga že zgoraj omenil našel, da proces uporablja file, ki je v mapi Documents and Settings\Uporabnik\Application Data, ki pa ga seveda v tej mapi ni bilo. Nato sem z ERD Commanderjem bootal mašino, pobrisal ta file (ki je seveda bil tam) in zadeva je ok.