Jak usunac trojana? [RkVHWA1w] (ZUACE0hN.exe)


(Josephr) #1

Witam,

prosze o pomoc, zauwazaylem ostatnio ze mam jakis program ktorego nie oge wywalic z rejestru ani z autorun'a.

zawsze laduje sie do jakiegos procesu i przy probie usuniecia go przez ad aware przy starcie systemu jest juz za pozno

log z hijacka

jesli ktos jest mi w stanie pomoc bede bardzo wdzieczny. jesli nie czeka mnie pewnie format c...


(adam9870) #2

Prawdopodobnie syf ale dla pewności przeskanuj plik na stronie http://virusscan.jotti.org/, a jeśli okaże się syfem to wykonaj poniższą instrukcję.

W trybie awaryjnym usuń zaznaczony folder ręcznie z dysku:

a wpisy w hjt.

Po wykonaniu proszę pokazać nowy log z HijackThis plus z SilentRunners.


(Josephr) #3

w katalogu C:\PROGRA~1\qvoturqv\ nie widze pliku "ZUACE0hN.exe", jest jedynie cnml.exe - tez nie moge go usunac nawet w trybie awaryjnym bo jest chodzi na min jakis proces.

przeskanowalem ten plik -cnml- na stronce ktora podales i wyszlo:

File: cnml.exe

Status: INFECTED/MALWARE

wiekszosc pokazala: Found Adware.CommonName

canner Malware name

Avast Win32:Maran

Dr.Web Trojan.PWS.Maran

Kaspersky Anti-Virus Trojan-PSW.Win32.Maran.bp

NOD32 probably a variant of Win32/PSW.Maran

z trybie awaryjnym nie moge usunac tego katalogu bo juz dziala


(adam9870) #4

Pobierz The avenger. Wypakuj => uruchom => zaznacz opcję Input script manually => kliknij w taką lupkę => w okienku, które się otworzy wklej:

=> Kliknij klawisz Done => teraz kliknij na zielone światełko => powinna pojawić się pewna informacja i kliknij OK (teraz restart).

Po resecie może pojawić się okienko na dosłownie kilka sekund oraz log w notatniku. Wejdź tam gdzie masz avangera i skasuj plik backup.zip czyli np. c:\avanger\backup.zip.

Potem kasujesz wpisy w hjt i dajesz nowe logi.


(Josephr) #5

skrypt zadzialal

Beginning to process script file:

Folder C:\PROGRA~1\qvoturqv deleted successfully.

Completed script processing.

tyle ze w logu hijacka po usunieciu katalogu i odswiezeniu nadal istnieje wpis

pomysl dobry niestety w moim przypadku nieskuteczny.

z informacji o tym wpisie wynika, ze sa do niego 4 pliki. pewnie trzeba je wszystkie skasowac, ale nie wiem jak

moze w tym skrypie zapodac wszystkie 4 pliki do skasowania? jkest tam m.in plik kernell32.vbs - czy moze wywalic ten plik bez ryzyka zniszczenia systemu?


(Bbieniol) #6

Wrzuć nowy log z Hijacka + log z Silent Runners


(Josephr) #7

hijack

silent

plik zostal wyasowany skryptem ale mimo wszystko nadal nie da sie skasowac hijackiem- probowalem wielokrotnie


(Gutek) #8

Otwórz notatnik i wklej:

Plik >>> Zapisz jako >>> Ustaw rozszerzenie z TXT na Wszystkie pliki >>> zapisz pod nazwą FIX.REG >>> kliknij podwójnie zrobiony plik i potwierdź >>> reset kompa

Po tym nowe logi :wink:


(Edlib) #9

kernell32.vbs z pewnością nie jest plikiem windowsa - nikt by tak nie nazwał pliku, by nie wprowadzać zamieszania - google nic o takim

pliku nie wie, pojawia się tylko jako wirus


(Gblade) #10

Witam, wpadłem tylko na chwilkę abyście się nie męczyli,

To jest CommonName z ukrytym sterownikiem, który wszystko przywraca, więc ...

Prosze pobrać WinKRootKitRemover i zapisać na dysku. Uruchomić>>>kliknąć start>>>postępować według intrukcji na ekranie>>> nastąpi dwukrotny restart systemu poczym prosze wkleić log wyprodukowany przez narzędzie.

Wkleić również nowy log z HijackThis i gmer'a aby wykluczyć kompletnie działanie rootkita w systemie:

Gmer, ściągnij>>>uruchom>>>przejdź do zakładki "rootkit">>>wybierz "szukaj">>>czekaż cierpliwie aż program zakończy prace>>>klikasz "kopiuj">>>ctrl + v i wklej do posta.

Pozdrawiam

...


(Josephr) #11

InfinityToJa jestes wielki !!

jak dla mnie wszystko wyglada ok. nie ma go w logach hijacka, to chyba wiec sprawa zakonczona.

InfinityToJa dziekuje bardzo za pomoc. jesli bedzie ankieta na najskuteczniejszego ratowacza systemow na pewno zaglosuje na ciebie :stuck_out_tongue:


(Gblade) #12

Skasuj Hijackiem i ok.

Życze wesołych świąt :slight_smile:


(Josephr) #13

skalowalem hijackiem tylko 1 wpis, drugiego nie ma na liscie

mimo wszystko mysle ze jest ok i to byly tylko dokonczenie kasowania zbednych wpisow


(Bbieniol) #14

Twoje DNSy - nie ruszaj, bo stracisz dostęp do neta :!:

Messenger - o usuwaniu (jeżeli tego chcesz) poczytaj tutaj -> http://forum.dobreprogramy.pl/viewtopic.php?t=954

Wystarczy zaptaszkować okno, które wyskoczy po starcie systemu :slight_smile:


(Josephr) #15

liste ktora wkleilem bo chcialem pokazac ze nie ma juz syfu ktory siedzial w systemie. nie zamierzalem tego kasowac

dziekuje wszystkim ktorzy udzielali sie na moim poscie i chcieli pomoc

jesli ja bede mogl wam pomoc to walcie jak w dym :wink:

Złączono Posta : 21.12.2006 (Czw) 20:07

nie jest dobrze - syf powrocil - hijac wyswietla te same skladniki wpisu, tyle zmienila sie nazwa. w sumie cieszylem sie czystym systemem 1 dzien

czy mam ponownie uzyc WinKRootKitRemover ?


(adam9870) #16

Tak, spróbuj jeszcze raz użyć narzędzia WinKRootKitRemover.

Po wykonaniu proszę pokazać nowe logi:

  • HijackThis

  • SilentRunners

  • WinKRootKitRemover

  • dwa logi z Gmer'a przy opcjach:

  • Zakładka Rootkit >>> Zaznaczone wszystko oprócz Pokaż wszystko >>> kliknij Szukaj >>> Czekaj cierpliwie aż skończy

  • Zakładka Rootkit >>> Zaznaczone tylko Usługi oraz Pokaż wszystko >>> kliknij Szukaj >>> Czekaj cierpliwie aż skończy.

Jeśli wszystkie logi nie zmieszczą się do jednego posta to umieść dany log w jakimś serwisie hostingowym i daj link:

http://forum.dobreprogramy.pl/viewtopic.php?t=96929


(system) #17

Ten wpis jest od twojej karty graficznej GF nvidia


(Josephr) #18

Masz racje, porownalem wpis z silen runer i tam jest opisane ze to nvidia. dzieki. wydawalo mi sie to dziwne ze zaden skaner tego nie widzi jako zagrozenie, a mimo to zawsze po restarcie pojawia sie w autorunie.

jeszcze raz wszystkim dziekuje za proby ratowania systemu. mam nadzieje ze nie bede juz musial zakladac wkrotce nowego watku na tym forum :shock:


(adam9870) #19

Zrób to co napisałem w swoim poprzednim poście i pokaż logi.