Nie mogę pozbyć się:Trojan.Proxy.Horst.1


(Biuroewa) #1

Witam.Jestem na forum po raz pierwszy,więc proszę o wyrozumialość.

Załapałem gdzieś trojana o nazwie:Trojan.Proxy.Horst.1. Mo Mks-vir 2k7 przy każdym uruchomieniu komputera sygnalizuje:c:\Domume~....\USTAWIEN~\TEMP\ ..... .exe wykrył wirusa:Trojan.Proxy.Horst.1. i wirusa nie da się usunąć.Aktywne są opcje:kasuj,kwarantanna. Ale po ponownym uruchomieniu jest to samo.Nie pomógł też:Trojan Remower,SpyRemower,Trojan Terminator.Proszę o pomoc.Oto mó log:


(adam9870) #2

Użyj Windows Worms Doors Cleanera zmień znaczki z disable na enable (wszystkie znaczki maja być na zielono, jeżeli któryś z nich będzie na żółto to go zostaw). Po użyciu narzędzia wymagany jest restart.

Ściągasz program KillBox, zaznaczasz Delete on reboot , w polu full path of file wklej ścieżkę:

C:\WINDOWS\system\smss.exe

Klikasz X czerwony i restart kompa.

Usuń HJT.

Użyj programu ATF Cleaner i przeczyść TEMP'y.

Po wykonaniu proszę pokazać nowy log z HijackThis plus z SilentRunners.


(Biuroewa) #3

Wykonałem powyższe. W Windows Door Clener -Enable NetBIOS był żółty. Oto logi:


(adam9870) #4

Otwórz Notatnik i wklej w nim to:

Plik >>> Zapisz jako >>> Zmień rozszerzenie z TXT na Wszystkie pliki >>> Zapisz pod nazwą FIX.REG >>> kliknij dwa razy na utworzony plik FIX.REG i potwierdź dodanie do rejestru >>> restart.

Po wykonaniu możesz pokazać nowy log z Silenta.


(Biuroewa) #5

Poprzednio żle zrozumiałem polecenie:Usuń HJT. Oto logi po poprawnym przeprowadzeniu instrukcji.

Oraz log po wykonaniu FIX.REG

Złączono Posty : 28.01.2007 (Nie) 16:29

Sorry, nie czytam uważnie.Po fix.reg nie zrobiłem RESET. Oto log po RESET.

Złączono Posty : 28.01.2007 (Nie) 18:14

Od 2 godzin nie powtórzył się komunikat. Chyba pomogło. Bardzo dziękuję :lol: Jednakże proszę o sprawdzenie ostatnich logów, czy aby na pewno są czyste. :oops:


(Mail) #6

Hijack czysty. Silent tez.


(adam9870) #7

A to, to niby co?

Start >>> uruchom >>> regedit >>> Powinien otworzyć się edytor rejestru w którym przejdź do:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager

Kliknij podwójnie na znajdującą nie tam wartość BootExecute i w okienku które się otworzy skasuj wszystko poza autocheck autochk *


(Biuroewa) #8

We wskazanym kluczu (wycinek po eksporcie tego klucza)

nic więcej nie ma oprócz tego co nie miałem kasować. autocheck autochk * Nawiasem mówiąc chyba przedwczesna była moja radość.Dzisiaj już raz odezwał się w/w trojan, ale moja córa zamknęła komunikat, więc do końca nie wiem.Zauważyłem tylko, że już nie był on w katalogu TEMO, jak na początku, ale w jakimś RP4 bodajże.Jak tylko ponownie się odezwie to napiszę dokładnie.

Złączono Posty : 30.01.2007 (Wto) 17:05

Zlokalizowałem w tej chwili tego trojana. MKSvir wyświetla: C:\System Volume Information\ ....\ RP5\A0001425.exe. Chociaż wiem, że za każdym następnym komunikatem nazwa pliku exe będzie inna. Chciałem przeczyścić ten katalog, ale dostęp do niego jest zablokowany.W trybie awaryjnym też. W jaki sposób bezpiecznie oczyścić katalog C:\System Volume Information ?


(adam9870) #9

Możesz użyć programu progrmu ATF Cleaner i przeczyścić TEMP'y.


(Biuroewa) #10

Poradziłem sobie w następujący sposób:

  • zmieniłem uprawnienia do folderu System Volume (znalazłem na sieci jak to zrobić)

  • wyłączyłem przywracanie systemu

  • programem Eraser wykasowałem wszystko z folderu System Volume

  • przeskanowałem aktualnym MKSvir cały dysk.Wyszukał 7 plików.Niby skasował.

  • po ponownym skanowaniu wyszukał znowy 4 pliki.Niby skasował.

  • po następnym skasowaniu sprawdziłem, czy są na dysku.Były. 2 w folderze Windows/System32/Dllcache , a 2 w innych miejscach (kopie tych pierwsztch).Pomimo,że MKSvir twierdził, że je wykasował, były nadal.Wygląda na to,że system je sobie przywracał z katalogu Dllcache.Nawiasem mówiąc jednym z nich była instalka Internet Explorer 5.0. Używam opery, więc rozstałem się z nim bez żalu.

-usunołem je też programem Eraser

  • po ponownym skanie było czysto

  • Reset

  • dla pewności przeczyściłem pliki temp programem ATF-Clener

  • ponowny skan MKSvir - CZYSTO

W tem sposób od wczoraj, nie miałem żadnych komunikatów.Chyba wreszcie pozbyłem się drania. :smiley:

Następny skan dzisiaj - :smiley: CZYSTO. :smiley:

Dziękuję wszystkim za pomoc, żeby nie wy nie poradziłbym sobie. :lol: