Re: Podivné chování při kopírování souborů a složek
Zaslán uživatelem/kou:
jksoft (IP adresa zaznamenána)
Datum: 2006-02-09, 21:07
Dík za radu. Disk jako SLAVE obsahoval všechna data, tj složky i soubory začínající na písmeno Q.
Tři dny jsem laboroval a zjišťoval jsem co se děje v PC, zjistil jsem:
vygenerovaný soubor "sndu64.dll" se změnil na "sndu32.dll" ten se zavedl do paměti pomocí klíče v registru
"dumprep.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\KernelFaultCheck]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="dumprep 0 -k"
"hkey"="HKLM"
"command"="%systemroot%\\system32\\dumprep 0 -k"
"inimapping"="0"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"KernelFaultCheck"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,\
00,6f,00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,\
5c,00,64,00,75,00,6d,00,70,00,72,00,65,00,70,00,20,00,30,00,20,00,2d,00,6b,\
00,00,00
a soubor "sndu32.dll" se smazal z disku. Jmeno nákazy HAXDOOR.
klíče z registru obsahující text "qm.sys","qm.dll","sndu64.dll" a "sndu32.dll" nešly odstranit v "regedit" tak jsem použil pro odtranění těchto klíčů software "Registrar Lite 4.03" vněm jsem klíče odstranil v počtu 25 položek, registry uložil a problém po restartu PC vyřešil.