Jak usunać Win32:Trojan-gen?

Metanski · 3 Grudzień 2007 00:45

Witam, mam duży problem, na imię ma Win32:Trojan-gen, co parę minut atakuje i wywala mi explorer.exe(próbowałem go podmienić z konsoli odzyskiwania systemu, ale niema do niego dostępu-na początku myślałem ze problem leży właśnie po stronie tego pliku) tray sie wiesza, i wyskakuje mi masa komunikatów, komp sie muli(Intel Core 2 Duo 2.4, 4gb Ramu 800mhz itp. a zachowuje sie jak stary pentiak :/) z dnia na na dzień jest coraz gorzej, cały dzień skanowałem dysk Avastem, mam Kerio, który blokuje mi ataki z zewnątrz, Spyboot nie pomógł inne typowo auto-softwarowe zabiegi tez w sumie nic nie dały, zostało mi chyba tylko i wyłącznie ręczne czyszczenie systemu i rejestru.

Niestety format c nie gra roli jak narazie…

poniżej wklejam logi z HijackThis’a, Silent Runners i ComboFix’a

HijackThis: http://www.wklej.org/id/573083dde4

ComboFix: http://wklej.org/id/e96bc08bff

Silent Runners: http://www.wklej.org/id/83910d4f7e

Nie chce kasować czegoś czego nie jestem pewien na 100% a z racji tego iż mam w tym temacie średnie doświadczenie to łatwo mógłbym coś spieprzyć.

Z góry dziękuje za wszelką pomoc. Pozdrawiam.

Edytowano temat.

Monczkin

Gutek · 3 Grudzień 2007 16:25

przeskanuj na http://virusscan.jotti.org/

Metanski · 3 Grudzień 2007 22:00

zrobione:

avast właśnie ten plik wykrywał mi jako Win32… ale nie da się go usunąć, tzn. po usunięciu plik sie odnawia, skanowałem przy uruchamianiu kompa, i w trybie awaryjnym, nic to nie daje

w takim razie czekam na dalsze wskazówki. Dziękuje i Pozdrawiam.

Gutek · 3 Grudzień 2007 22:09

Wklej do Notatnika:

>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )

– podobnie jak na tym obrazku –>

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: ** Qoobox**.

Po tym nowy log z Combo

Metanski · 4 Grudzień 2007 01:27

zrobione, przeciągnąłem plik, combo zaczął pracować, wywalił log, zrestartowałem kompa, po ponownym uruchomieniu skasowałem katalog Qoobox i… po minucie wyskoczył standardowy monit avast’u dotyczący właśnie khgqf.sys

log przed restartem: http://wklej.org/id/960532e9c9

log po restarcie i usunięciu folderu Q… uruchomiłem Combofix’a od nowa i oto efekt: http://wklej.org/id/04d880be03

Gutek · 4 Grudzień 2007 15:17

Pobierz The Avenger. Wypakuj => uruchom => zaznacz opcję Input script manually => kliknij w taką lupkę => w okienku, które się otworzy wklej:

kliknij klawisz Done => teraz kliknij na zielone światełko => powinna pojawić się pewna informacja i kliknij OK (teraz restart).

Pobierz Gmer

Rootkit=>szukaj=>bez zaznaczania pokaż wszystko=> Ctrl + V do posta wklej
Rootkit => zaznaczone tylko Pokazuj wszystko + Usługi => Szukaj => Kopiuj => Ctrl + V do posta wklej

Metanski · 5 Grudzień 2007 01:57

Log Avenger: http://www.wklej.org/id/f260435bd5

1.Gmer-Rootkit=>szukaj=>bez zaznaczania pokaż wszystko=> http://www.wklej.org/id/4bc8d95f14

2.Gmer-Rootkit => zaznaczone tylko Pokazuj wszystko + Usługi => Szukaj => http://www.wklej.org/id/1568459a82

Prosze

Gutek · 5 Grudzień 2007 13:52

Otwierasz Gmera i w zakładce CMD dla opcji CMD wklejasz:

i kliknij na Uruchom z prawej strony.

Metanski · 6 Grudzień 2007 00:08

tak uczyniłem, no i niestety khgqf.sys nadal ma sie dobrze

Gutek · 6 Grudzień 2007 16:53

Nowe logi z Gmera

Metanski · 6 Grudzień 2007 17:39

1.Gmer-Rootkit=>szukaj=>bez zaznaczania pokaż wszystko=> http://wklej.org/id/60e2d1e2d1

2.Gmer-Rootkit => zaznaczone tylko Pokazuj wszystko + Usługi => Szukaj => http://www.wklej.org/id/8c04d93547

Prosze

Gutek · 6 Grudzień 2007 19:13

w logach w Gmerze nie widzę khgqf.sys???

Metanski · 6 Grudzień 2007 20:05

okurde, fakt, rzeczywiście rano włączyłem kompa i usunąłem ten plik avastem, zamiast zrestartować, poczekać az kh… sie reaktywuje i stworzyć nowego loga gmerem zbyt sie pospieszyłem całkiem o tym zapomniałem.

Zaraz sie poprawie.

Złączono Posta : 06.12.2007 (Czw) 21:22

1.Gmer-Rootkit=>szukaj=>bez zaznaczania pokaż wszystko=> http://www.wklej.org/id/5e0716ef7d

2.Gmer-Rootkit => zaznaczone tylko Pokazuj wszystko + Usługi => Szukaj => http://www.wklej.org/id/0784669ef4

Poprawione

Gutek · 6 Grudzień 2007 21:26

Jeszcze raz:

Otwierasz Gmera i w zakładce CMD dla opcji CMD wklejasz:

i kliknij na Uruchom z prawej strony.

Metanski · 6 Grudzień 2007 23:00

standard:( co to za syf którego sie nie da usunąć? a najgorzej ze świeżo po stawianiu systemu zainfekował mi sie laptop bardzo podobnym gównem, nie wiem co mam o tym myśleć 2xformat?

Gutek · 7 Grudzień 2007 16:39

Otwórz jeszcze raz notatnik i wklej w nim to:

Plik>>>zapisz jako>>>zmień rozszerzenie z txt na wszystkie pliki>>>zapisz pod nazwą FIX.BAT>>>wklej go do C:\windows

Zastartuj do Konsoli Odzyskiwania z i wpisać komendę:

BATCH FIX.BAT