Jak usunąć Trojan.Chost


(Babeta) #1

Witam, proszę o pomoc w usunięciu trojana Chost - norton mi go wykrywa i nie usuwa tylko poddaje kwarantannie. Niestety w tym samym czasie ja a moje dziecko na swoim komputerze wpuściliśmy jakieś wirusy (dlatego piszę dwa posty - na kazdym komputerze są inne trojany ). To mój log http://wklej.org/id/b7743c5817 Pozdrawiam. Beata


(huber2t) #2

log ok

Podaj log z Combofix


(Babeta) #3

na tym komputerze w ogóle nie moge uruchomic combofix - albo czegoś nie mam albo blokuje mi do niego dostęp program spyware (mOwi, że tten program to trojan).


(Leon$) #4

Wyłącz wszelką ochronę dopiero pobierz i uruchom Combo

:slight_smile:


(Babeta) #5

Pozamykałam wszystko i w dalszym ciągu Combo mi nie działało (tzn. do pewnego momentu się uruchamiało ale na koniec miałam informację, że nie może zmienić nazwy) Uruchomiłam coś polecanego z dalszej kolejności i tu wkleiłam log (mam nadzieję, że to log) http://wklej.org/id/86d8975101


(huber2t) #6

To jest log z deckard system runners z pliku extra a daj na forum log z pliku main.txt


(Babeta) #7

tutaj http://wklej.org/id/0ddc4c7d3b


(Gutek) #8

Otwórz Notatnik i wklej w nim to:

Windows Registry Editor Version 5.00 


[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]


[-HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}]

Plik >>> Zapisz jako >>> Zmień rozszerzenie z TXT na Wszystkie pliki >>> Zapisz pod nazwą FIX.REG >>> kliknij dwa razy na utworzony plik FIX.REG i potwierdź dodanie do rejestru >>> restart.

Skan http://www.kaspersky.pl/virusscanner.html


(Babeta) #9

Cały czas skanuję kasperskim (już znalazł 4 wirusy)

Właśnie skończyłam skanować, mam bardzo zainfekowany komputer, co powinnam z tym dalej zrobić? To są: Trojan Win32.Pakes.cvl; Backdoor Win32 Sd Bot ecc; Trojan Win32 Qhost aod; Kasperski nie usuwa tych wirusów? Acha przy wszytskich tych rzeczach jest opcja "pominięty".

W dniu 29.05.2008 , o godzinie 15:56 został dopisany post przez babeta

Jest jeszcze jeden Worm.Win32 AutoRun.dmh


(Leon$) #10

daj raport Kasperskiego a nie opisuj co tam jest


(Babeta) #11

Ale tego jest strasznie dużo (nie wiem czy mogę tutaj to wkleić)

KASPERSKY ONLINE SCANNER REPORT

29 maj 2008 15:32:36

System operacyjny: Microsoft Windows XP Professional, Dodatek Service Pack 2 (Build 2600)

Kaspersky Online Scanner wersja: 5.0.98.0

Ostatnia aktualizacja Kaspersky Anti-Virus29/05/2008

Liczba wpisów w bazie danych Kaspersky Anti-Virus811615

Ustawienia skanowania

Skanowanie przy użyciu następujących baz danych rozszerzone

Skanuj archiwa tak

Skanuj pocztowe bazy danych tak

Obszar skanowania Mój komputer

A:\

C:\

D:\

E:\

H:\

I:\

J:\

Statystyki skanowania

Liczba skanowanych obiektów 511086

Liczba wykrytych wirusów 4

Liczba zainfekowanych obiektów 44

Liczba podejrzanych obiektów 0

Czas trwania skanowania 02:57:11

Nazwa zainfekowanego obiektu Nazwa wirusa Ostatnie działanie

C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\Microsoft\Network\Downloader\qmgr0.dat Object is locked pominięty

C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\Microsoft\Network\Downloader\qmgr1.dat Object is locked pominięty

C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\Symantec\Common Client\settings.dat Object is locked pominięty

C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\01040000.VBN Zainfekowanych: Trojan.Win32.Pakes.cvl pominięty

C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\01040001.VBN Zainfekowanych: Trojan.Win32.Pakes.cvl pominięty

C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\01040002.VBN Zainfekowanych: Trojan.Win32.Pakes.cvl pominięty

C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\01D40000.VBN Zainfekowanych: Trojan.Win32.Pakes.cvl pominięty

C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\020C0000.VBN Zainfekowanych: Trojan.Win32.Pakes.cvl pominięty

C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\020C0001.VBN Zainfekowanych: Backdoor.Win32.SdBot.ecc pominięty

C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\020C0002.VBN Zainfekowanych: Trojan.Win32.Pakes.cvl pominięty

C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\020C0003.VBN Zainfekowanych: Backdoor.Win32.SdBot.ecc pominięty

C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\020C0004.VBN Zainfekowanych: Trojan.Win32.Qhost.aod pominięty

C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\020C0005.VBN Zainfekowanych: Trojan.Win32.Pakes.cvl pominięty

C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\020C0006.VBN Zainfekowanych: Trojan.Win32.Pakes.cvl pominięty

C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\020C0007.VBN Zainfekowanych: Trojan.Win32.Pakes.cvl pominięty

C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\020C0008.VBN Zainfekowanych: Backdoor.Win32.SdBot.ecc pominięty

C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\04F80001.VBN Zainfekowanych: Trojan.Win32.Qhost.aod pominięty

C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\04F80002.VBN Zainfekowanych: Trojan.Win32.Qhost.aod pominięty

C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\04F80003.VBN Zainfekowanych: Trojan.Win32.Qhost.aod pominięty

C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\04F80004.VBN Zainfekowanych: Trojan.Win32.Qhost.aod pominięty

C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\05340000.VBN Zainfekowanych: Backdoor.Win32.SdBot.ecc pominięty

C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\05340001.VBN Zainfekowanych: Backdoor.Win32.SdBot.ecc pominięty

C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\06800000.VBN Zainfekowanych: Trojan.Win32.Qhost.aod pominięty

C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\06800001.VBN Zainfekowanych: Trojan.Win32.Qhost.aod pominięty

C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\06800002.VBN Zainfekowanych: Trojan.Win32.Qhost.aod pominięty

C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\06800003.VBN Zainfekowanych: Trojan.Win32.Qhost.aod pominięty

C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\06800004.VBN Zainfekowanych: Trojan.Win32.Qhost.aod pominięty

C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\068C0000.VBN Zainfekowanych: Trojan.Win32.Qhost.aod pominięty

C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\068C0001.VBN Zainfekowanych: Trojan.Win32.Qhost.aod pominięty

C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\068C0002.VBN Zainfekowanych: Trojan.Win32.Qhost.aod pominięty

C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\068C0003.VBN Zainfekowanych: Trojan.Win32.Qhost.aod pominięty

C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\068C0004.VBN Zainfekowanych: Trojan.Win32.Qhost.aod pominięty

C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\068C0005.VBN Zainfekowanych: Trojan.Win32.Qhost.aod pominięty

C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\068C0006.VBN Zainfekowanych: Trojan.Win32.Qhost.aod pominięty

C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\068C0007.VBN Zainfekowanych: Trojan.Win32.Qhost.aod pominięty

C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\068C0008.VBN Zainfekowanych: Trojan.Win32.Qhost.aod pominięty

C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\068C0009.VBN Zainfekowanych: Backdoor.Win32.SdBot.ecc pominięty

C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\068C000A.VBN Zainfekowanych: Backdoor.Win32.SdBot.ecc pominięty

C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\068C000B.VBN Zainfekowanych: Trojan.Win32.Qhost.aod pominięty

C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\068C000C.VBN Zainfekowanych: Trojan.Win32.Qhost.aod pominięty

C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\068C000D.VBN Zainfekowanych: Trojan.Win32.Qhost.aod pominięty

C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\068C000E.VBN Zainfekowanych: Backdoor.Win32.SdBot.ecc pominięty

C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\068C000F.VBN Zainfekowanych: Trojan.Win32.Qhost.aod pominięty

C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\068C0010.VBN Zainfekowanych: Trojan.Win32.Qhost.aod pominięty

C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\068C0011.VBN Zainfekowanych: Trojan.Win32.Qhost.aod pominięty

C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\068C0012.VBN Zainfekowanych: Backdoor.Win32.SdBot.ecc pominięty

C:\Documents and Settings\dom.SNUPI\Cookies\index.dat Object is locked pominięty

C:\Documents and Settings\dom.SNUPI\NTUSER.DAT Object is locked pominięty

C:\Documents and Settings\dom.SNUPI\ntuser.dat.LOG Object is locked pominięty

C:\Documents and Settings\dom.SNUPI\Ustawienia lokalne\Dane aplikacji\Ahead\Nero Home\bl.db Object is locked pominięty

C:\Documents and Settings\dom.SNUPI\Ustawienia lokalne\Dane aplikacji\Ahead\Nero Home\is2.db Object is locked pominięty

C:\Documents and Settings\dom.SNUPI\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat Object is locked pominięty

C:\Documents and Settings\dom.SNUPI\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominięty

C:\Documents and Settings\dom.SNUPI\Ustawienia lokalne\Historia\History.IE5\index.dat Object is locked pominięty

C:\Documents and Settings\dom.SNUPI\Ustawienia lokalne\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat Object is locked pominięty

C:\Documents and Settings\dom.SNUPI\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat Object is locked pominięty

C:\Documents and Settings\LocalService.ZARZĄDZANIE NT\Cookies\index.dat Object is locked pominięty

C:\Documents and Settings\LocalService.ZARZĄDZANIE NT\NTUSER.DAT Object is locked pominięty

C:\Documents and Settings\LocalService.ZARZĄDZANIE NT\ntuser.dat.LOG Object is locked pominięty

C:\Documents and Settings\LocalService.ZARZĄDZANIE NT\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat Object is locked pominięty

C:\Documents and Settings\LocalService.ZARZĄDZANIE NT\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominięty

C:\Documents and Settings\LocalService.ZARZĄDZANIE NT\Ustawienia lokalne\Historia\History.IE5\index.dat Object is locked pominięty

C:\Documents and Settings\LocalService.ZARZĄDZANIE NT\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat Object is locked pominięty

C:\Documents and Settings\NetworkService.ZARZĄDZANIE NT\NTUSER.DAT Object is locked pominięty

C:\Documents and Settings\NetworkService.ZARZĄDZANIE NT\ntuser.dat.LOG Object is locked pominięty

C:\Documents and Settings\NetworkService.ZARZĄDZANIE NT\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat Object is locked pominięty

C:\Documents and Settings\NetworkService.ZARZĄDZANIE NT\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominięty

C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\sys32.exe Zainfekowanych: Worm.Win32.AutoRun.dmh pominięty

C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked pominięty

C:\System Volume Information_restore{38C86B16-D14A-46D3-B703-BDDF534BB778}\RP236\change.log Object is locked pominięty

C:\WINDOWS\Debug\PASSWD.LOG Object is locked pominięty

C:\WINDOWS\SchedLgU.Txt Object is locked pominięty

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked pominięty

C:\WINDOWS\Sti_Trace.log Object is locked pominięty

C:\WINDOWS\system32\CatRoot2\edb.log Object is locked pominięty

C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked pominięty

C:\WINDOWS\system32\config\AppEvent.Evt Object is locked pominięty

C:\WINDOWS\system32\config\default Object is locked pominięty

C:\WINDOWS\system32\config\default.LOG Object is locked pominięty

C:\WINDOWS\system32\config\Internet.evt Object is locked pominięty

C:\WINDOWS\system32\config\SAM Object is locked pominięty

C:\WINDOWS\system32\config\SAM.LOG Object is locked pominięty

C:\WINDOWS\system32\config\SecEvent.Evt Object is locked pominięty

C:\WINDOWS\system32\config\SECURITY Object is locked pominięty

C:\WINDOWS\system32\config\SECURITY.LOG Object is locked pominięty

C:\WINDOWS\system32\config\software Object is locked pominięty

C:\WINDOWS\system32\config\software.LOG Object is locked pominięty

C:\WINDOWS\system32\config\SysEvent.Evt Object is locked pominięty

C:\WINDOWS\system32\config\system Object is locked pominięty

C:\WINDOWS\system32\config\system.LOG Object is locked pominięty

C:\WINDOWS\system32\h323log.txt Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked pominięty

C:\WINDOWS\wiadebug.log Object is locked pominięty

C:\WINDOWS\wiaservc.log Object is locked pominięty

C:\WINDOWS\WindowsUpdate.log Object is locked pominięty

D:\System Volume Information\MountPointManagerRemoteDatabase Object is locked pominięty

H:\System Volume Information\MountPointManagerRemoteDatabase Object is locked pominięty

I:\System Volume Information\MountPointManagerRemoteDatabase Object is locked pominięty

J:\System Volume Information\MountPointManagerRemoteDatabase Object is locked pominięty

Proces skanowania został zakończony.


(Leon$) #12

Czy ty prowadzisz leczenie jednego systemu w dwóch tematach jednocześnie?

wyczyść kwarantannę Symantec AntiVirus Corporate Edition\7.5\Quarantine

jeśli to jest ten sam system co w drugim temacie to

zostanie usunięty przez Combofix

:slight_smile:


(Babeta) #13

A skąd, mam dwa zarażone komputery (mój i dziecka) i żeby nie mieszać założyłam dwa wątki.

W dniu 29.05.2008 , o godzinie 17:28 został dopisany post przez babeta

Chciałam już wcześniej wyczyścić pliki, które są w kwarantannie ale w programie to okienko jest puste (tak jakby niczego poddanego kwarantannie nie bylo, za to są różne pliki w zakładce kopie zapasowe - może je usunąć?

Nie czekając na odpowiedż zaszalałam i usunęłam wszystkie pliki zapasowe (i ustawiłam sobie opcje,żeby były automatycznie usuwane po 1 dniu)...


(huber2t) #14

Jeśli to już zrobiłaś przeskanuj ponownie Kasperskim


(Leon$) #15

Podejrzewam że pozostał

do usunięcia

więc

Pobierz i uruchom narzędzie The Avenger Zaznaczasz tekst podany do usunięcia na forum

kopiuj >> klikasz na Paste Script from Clipboard >> Execute >> Potwierdzasz i zgadzasz się na restart klikając OK.

Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt

:slight_smile:


(Babeta) #16

No właśnie jednak coś zostało, wklejam raport z kasperskiego i już wykonuję nowe polecenia

KASPERSKY ONLINE SCANNER REPORT

30 maj 2008 17:40:02

System operacyjny: Microsoft Windows XP Professional, Dodatek Service Pack 2 (Build 2600)

Kaspersky Online Scanner wersja: 5.0.98.0

Ostatnia aktualizacja Kaspersky Anti-Virus30/05/2008

Liczba wpisów w bazie danych Kaspersky Anti-Virus814763

Ustawienia skanowania

Skanowanie przy użyciu następujących baz danych rozszerzone

Skanuj archiwa tak

Skanuj pocztowe bazy danych tak

Obszar skanowania Mój komputer

A:\

C:\

D:\

E:\

H:\

I:\

J:\

Statystyki skanowania

Liczba skanowanych obiektów 509755

Liczba wykrytych wirusów 3

Liczba zainfekowanych obiektów 6

Liczba podejrzanych obiektów 0

Czas trwania skanowania 02:49:01

Nazwa zainfekowanego obiektu Nazwa wirusa Ostatnie działanie

C:\blok.exe Zainfekowanych: Trojan.Win32.Qhost.aou pominięty

C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\Microsoft\Network\Downloader\qmgr0.dat Object is locked pominięty

C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\Microsoft\Network\Downloader\qmgr1.dat Object is locked pominięty

C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\Symantec\Common Client\settings.dat Object is locked pominięty

C:\Documents and Settings\dom.SNUPI\Cookies\index.dat Object is locked pominięty

C:\Documents and Settings\dom.SNUPI\NTUSER.DAT Object is locked pominięty

C:\Documents and Settings\dom.SNUPI\ntuser.dat.LOG Object is locked pominięty

C:\Documents and Settings\dom.SNUPI\Ustawienia lokalne\Dane aplikacji\Ahead\Nero Home\bl.db Object is locked pominięty

C:\Documents and Settings\dom.SNUPI\Ustawienia lokalne\Dane aplikacji\Ahead\Nero Home\is2.db Object is locked pominięty

C:\Documents and Settings\dom.SNUPI\Ustawienia lokalne\Dane aplikacji\Identities{220A353C-0C67-4FEF-808A-87DA144087F6}\Microsoft\Outlook Express\Folders.dbx Object is locked pominięty

C:\Documents and Settings\dom.SNUPI\Ustawienia lokalne\Dane aplikacji\Identities{220A353C-0C67-4FEF-808A-87DA144087F6}\Microsoft\Outlook Express\Offline.dbx Object is locked pominięty

C:\Documents and Settings\dom.SNUPI\Ustawienia lokalne\Dane aplikacji\Identities{220A353C-0C67-4FEF-808A-87DA144087F6}\Microsoft\Outlook Express\Pop3uidl.dbx Object is locked pominięty

C:\Documents and Settings\dom.SNUPI\Ustawienia lokalne\Dane aplikacji\Identities{220A353C-0C67-4FEF-808A-87DA144087F6}\Microsoft\Outlook Express\Skrzynka odbiorcza.dbx Object is locked pominięty

C:\Documents and Settings\dom.SNUPI\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat Object is locked pominięty

C:\Documents and Settings\dom.SNUPI\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominięty

C:\Documents and Settings\dom.SNUPI\Ustawienia lokalne\Historia\History.IE5\index.dat Object is locked pominięty

C:\Documents and Settings\dom.SNUPI\Ustawienia lokalne\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat Object is locked pominięty

C:\Documents and Settings\dom.SNUPI\Ustawienia lokalne\Temporary Internet Files\Content.IE5\4Y51AOFT\planet[1].exe Zainfekowanych: Trojan.Win32.Qhost.aou pominięty

C:\Documents and Settings\dom.SNUPI\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat Object is locked pominięty

C:\Documents and Settings\LocalService.ZARZĄDZANIE NT\Cookies\index.dat Object is locked pominięty

C:\Documents and Settings\LocalService.ZARZĄDZANIE NT\NTUSER.DAT Object is locked pominięty

C:\Documents and Settings\LocalService.ZARZĄDZANIE NT\ntuser.dat.LOG Object is locked pominięty

C:\Documents and Settings\LocalService.ZARZĄDZANIE NT\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat Object is locked pominięty

C:\Documents and Settings\LocalService.ZARZĄDZANIE NT\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominięty

C:\Documents and Settings\LocalService.ZARZĄDZANIE NT\Ustawienia lokalne\Historia\History.IE5\index.dat Object is locked pominięty

C:\Documents and Settings\LocalService.ZARZĄDZANIE NT\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat Object is locked pominięty

C:\Documents and Settings\NetworkService.ZARZĄDZANIE NT\NTUSER.DAT Object is locked pominięty

C:\Documents and Settings\NetworkService.ZARZĄDZANIE NT\ntuser.dat.LOG Object is locked pominięty

C:\Documents and Settings\NetworkService.ZARZĄDZANIE NT\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat Object is locked pominięty

C:\Documents and Settings\NetworkService.ZARZĄDZANIE NT\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominięty

C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\sys32.exe Zainfekowanych: Worm.Win32.AutoRun.dmh pominięty

C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked pominięty

C:\WINDOWS\Debug\PASSWD.LOG Object is locked pominięty

C:\WINDOWS\hosts Zainfekowanych: Trojan.Win32.Qhost.aei pominięty

C:\WINDOWS\SchedLgU.Txt Object is locked pominięty

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked pominięty

C:\WINDOWS\system32\config\AppEvent.Evt Object is locked pominięty

C:\WINDOWS\system32\config\default Object is locked pominięty

C:\WINDOWS\system32\config\default.LOG Object is locked pominięty

C:\WINDOWS\system32\config\Internet.evt Object is locked pominięty

C:\WINDOWS\system32\config\SAM Object is locked pominięty

C:\WINDOWS\system32\config\SAM.LOG Object is locked pominięty

C:\WINDOWS\system32\config\SecEvent.Evt Object is locked pominięty

C:\WINDOWS\system32\config\SECURITY Object is locked pominięty

C:\WINDOWS\system32\config\SECURITY.LOG Object is locked pominięty

C:\WINDOWS\system32\config\software Object is locked pominięty

C:\WINDOWS\system32\config\software.LOG Object is locked pominięty

C:\WINDOWS\system32\config\SysEvent.Evt Object is locked pominięty

C:\WINDOWS\system32\config\system Object is locked pominięty

C:\WINDOWS\system32\config\system.LOG Object is locked pominięty

C:\WINDOWS\system32\drivers\etc\hosts Zainfekowanych: Trojan.Win32.Qhost.aei pominięty

C:\WINDOWS\system32\drivers\hosts Zainfekowanych: Trojan.Win32.Qhost.aei pominięty

C:\WINDOWS\system32\h323log.txt Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked pominięty

C:\WINDOWS\WindowsUpdate.log Object is locked pominięty

D:\System Volume Information\MountPointManagerRemoteDatabase Object is locked pominięty

H:\System Volume Information\MountPointManagerRemoteDatabase Object is locked pominięty

I:\System Volume Information\MountPointManagerRemoteDatabase Object is locked pominięty

J:\System Volume Information\MountPointManagerRemoteDatabase Object is locked pominięty

Proces skanowania został zakończony.

W dniu 30.05.2008 , o godzinie 17:51 został dopisany post przez babeta

tu jest ten nowy raport

Logfile of The Avenger Version 2.0, © by Swandog46

http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.

Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.

No rootkits found!

File "C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\sys32.exe" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.


(Leon$) #17

Pobierz i uruchom narzędzie The Avenger Zaznaczasz tekst podany do usunięcia na forum

kopiuj >> klikasz na Paste Script from Clipboard >> Execute >> Potwierdzasz i zgadzasz się na restart klikając OK.

Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt

:slight_smile:


(Babeta) #18

nowy raport

Logfile of The Avenger Version 2.0, © by Swandog46

http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.

Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.

No rootkits found!

File "C:\blok.exe" deleted successfully.

Error: file "C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\sys32.exe" not found!

Deletion of file "C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\sys32.exe" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

--> the object does not exist

File "C:\WINDOWS\hosts" deleted successfully.

File "C:\WINDOWS\system32\drivers\etc\hosts" deleted successfully.

Error: could not delete file "C:\WINDOWS\system32\drivers\hosts"

Deletion of file "C:\WINDOWS\system32\drivers\hosts" failed!

Status: 0xc0000035 (STATUS_OBJECT_NAME_COLLISION)

--> another object exists already with the same name

File "C:\Documents and Settings\dom.SNUPI\Ustawienia lokalne\Temporary Internet Files\Content.IE5\4Y51AOFT\planet[1].exe" deleted successfully.

Error: folder "C:\WINDOWS\hosts" not found!

Deletion of folder "C:\WINDOWS\hosts" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

--> the object does not exist

Completed script processing.

*******************

Finished! Terminate.


(Leon$) #19

pozostał plik

do usunięcia spróbuj Combofixem

Pobierz Combofix http://www.searchengines.pl/index.php?s ... ntry395642 ale nie włączaj

Otwórz notatnik i wklej

zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe

http://img.wklej.org/images/88953CFScri ... iemoes.gif

Powinno rozpocząć się usuwanie

Potem log z usuwania Combofix

:slight_smile:


(Babeta) #20

Zrobiłam tak już ze trzy razy i za każdym razem nie dochodzi do końca tzn do momentu utworzenia loga. Może powinnam najpierw wyłączyć przywracanie? Coś cały czas robiłam w te i wewte z tym przywracaniem przy oczyszczaniu drugiego komputera. A na sammym początku to combo mówi (na niebieskim ekraniku) coś o przywracaniu?