Problemy po usunieciu trojanow


(Usermk) #1

Witam!

Ad-aware wykryl 5 trojanow, po ich usunieciu za pomoca programu, nie mozna normalnie wejsc do dyskow C i innych tzn poprzez dwukrotne klikniecie mysza poniewaz pojawia sie komunikat ze jest problem z plikiem copy.exe. Problem powtorzyl sie na innym komputerze po zastosowaniu tej samej procedury (tutaj ad-aware tez wykryl trojany) . Co nalezy zrobic. Posze nie piszcie jedynie co ale dokladnie jak to naprawic :slight_smile:

Z gory dzieki za pomoc


(B Mysliwiec) #2

Daj loga z Hijackthis :smiley:


(Joan Sunshine) #3

i z SilentRunners… opis: http://forum.dobreprogramy.pl/viewtopic.php?t=36654


(Usermk) #4

Złączono Posty : 28.01.2007 (Nie) 16:39


(adam9870) #5

Nie trzymaj hijacka w TEMPie lub innym katalogu tymczasowym - umieść go np. na pulpicie.

Ściągasz program KillBox, zaznaczasz Delete on reboot , w polu full path of file wklej ścieżkę:

C:\WINDOWS\svchost.exe

Klikasz X czerwony i restart kompa.

Usuń wpisy HJT.

Start >>> uruchom >>> regedit >>> przejdź do:

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows

kliknij dwa razy na load i w okienku, które się otworzy skasuj C:\WINDOWS\svchost.exe

Po wykonaniu wklej nowe logi.


(Usermk) #6

Zrobione i nowe logi :

Złączono Posty : 28.01.2007 (Nie) 18:14

czy te same kroki ma laptopie wykonac ?? i logi podac ? po wlaczeniu laptopa pojawia sie komunikat wystapil problem z aplikacja temp2.exe ?


(adam9870) #7

Piwollo Co ty wypisujesz ??

Logi są już ok, a można jedynie kosmetycznie ciachnąć ten wpis:

Wpis, który wskazałeś jest do DAP’a. Program nie cieszy się za dobrą opinią i można zaproponować jego odinstalowanie ale tak jak ty to teraz robisz.


(Usermk) #8

zgodnie z rada Piwollo DAP usunieto, tzn ze cos bedzie nie tak?? !!

Co mam z ty,m zrobic??

Wpis z HJT tez usuniety

Problem dalej jest dalej jest komunikat: system nie moze odnalezc pliku copy.exe …

Podaje nowe logi na wszelki wypadek:

Złączono Posty : 28.01.2007 (Nie) 19:56


(Usermk) #9

Co oznaczaa zafixuj…??? :oops:

Dlaczego problem wystepuje nadal??? :?


(Mail) #10

Wlaczasz HijackThis, klikasz Do a system scan only , i zaznaczasz haczyk, przy:

Klikasz Fix Checked i potwierdzasz usuniecie.

Jaki problem wystepuje?


(Usermk) #11

Dalej jest to samo tzn:

nie mozna normalnie wejsc do dyskow C i innych tzn poprzez dwukrotne klikniecie mysza poniewaz pojawia sie komunikat: system nie moze odnalezc pliku copy.exe …

A tego DAP’a to na pewno wywalic ? bo juz sie pogubilam w Waszej wymianie zdan… :slight_smile:


(Gutek) #12

Piwollo ostatnie ostrzeżenie :twisted:


(Usermk) #13

Nie no sluchajcie to nie jest smieszne!! Usuneliscie wpis Piwollo, dajecie mu ostrzezenia. a ja dalej nie wiem co z tym DAP co wiecej dzisiaj komputer szaleje! Ad-aware wykryl dzis znowu 35 trojanow, i komputer sam sie wylacza, prosze o szybka odpowiedz bo na jutro mam zrobic pilny projekt… a nie wiem co bedzie dalej…


(Gutek) #14

Jak odinsatlowałeś to wpis usuń HJT. Skan AVG Anti-Spyware 7.5 po update :wink:


(Usermk) #15

Ok walka trwa nadal …komputer juz nie wlacza tzn po wlaczeniu jest komunikat ze sytem nie moze odnalezc pliku system32\ntoskrnl.exe.

Co teraz??

Na 2 kompie po skanowaniu ewido znalazl trojany i inne, po usunieciu i restarcie jest komunikat ze nie moze odnalezc w rejestrze pliku svchost.exe

Znalezione tutaj pliki to byly:

Dropper.Small.apl

Trojan.Copier

Backdoor.Small.lo

Trojan.Copyself

czasami pojawia sie tez komunikat wystapil problem z aplikacja temp2.exe…

Prosze o fachowa pomoc i szybka odpowiedz… :frowning:


(Gutek) #16

Włóż płytę CD XP do napędu:

Start >>> Uruchom >>> cmd i walnij komendę

expand X:\i386\ntoskrnl.ex_ C:\WINDOWS\system32\ntoskrnl.exe (X - literka CD-ROMu)


(Edlib) #17

wejdż na tę stronę http://forum.kaspersky.com/lofiversion/ … 29779.html ; post lucianbara - dalej try using this removal tool,

kliknij na removal tool; spróbuj go użyć w trybie awaryjnym;

wszystko to sprawka copy.exe - inne nazwy to jego różne wcielenia,

jego specjalnością jest kopiowanie się; ponadto umieszcza w folderach i rejestrze pliki i wpisy autorun.info, dlatego nie możesz normalnie otworzyć np.dysku - odhacz pokaż ukryte pliki, ukryj chronione pliki systemu i powinieneś zobaczyć te pliki na dysku(prawy klik i eksploruj)

a ponadto sam copy.exe(albo systemcopy.exe), mogą być takze host.exe

acdseedemo.exe; w rejestrze wpisują się do kluczy run - najlepiej użyj

np regseekera do wyszukania ich wpisów autorun - jeśli takie wpisy będa

w kluczu shell folders usuń je; w ogóle wirus mógł ci się namnozyć,

wszelkie dziwne nazwy zakończone exe, np. nazwy folderu z exe, dalej pliki multimedialne z exe lub zip, które nic ci nie mówią mogą być jego

kopiami; mnoży się głównie przez załączniki, szuka książki adresowej

i wysyła się pod wszystkie znalezione w niej adresy i to jako najnowszy sensacyjny klip np. z Britney Spears itd, musisz więc monitorować porty

i zamykać wszelkie nieznane ci połączenia np. current ports

(http://www.nirsoft.net), zwłaszcza jeśli używają SMTP - protokołu pocztowego;

jeśli rzeczywiście z bezprzykładnym heroizmem chcesz walczyć dalej,

nawet na kompie , który ci siadł, to możesz skopiować ntoskrnl z płytki

wejdż do konsoli odzyskiwania( z płytki instalacyjnej, pierwszy lub drugi niebieski ekran, naciśnij r), wpisz numer twojej partycji(wyświetlony w

konsoli) enter, i wpisz

cd system32

ren ntoskrnl.exe ntoskrnl.old

copy x:\i386\ntoskrnl.ex_ y:\windows\system32

x -napęd y-part.syst. po każdym poleceniu enter, wyjście z kons. -exit


(Usermk) #18

Wielkie dzieki, nie na moja glowe to jednak nie rozumiem za bardzo co piszecie, ale zrozumialam ze lepiej zaczac od poczatku tzn na laptopie to nie problem jeszcze raz wgrac XP ale troche danych juz tam jest sciagne je na plytke, tylko jaka mam pewnosc ze nie skopiuje tego syfa???

A co do komputera ktory sie nie wlacza to nie wiem jak sie zabrac do tego, jesli go nie moge uruchomic… moze to napisaliscie ale nie zrozumialam… :oops:

Pomóżcie :frowning:

Złączono Posty : 31.01.2007 (Sro) 9:01

P.S. Jeszcze jedno pytanie na 3 kompie nic nie wykrylo, tzn skan ewido i ad-awarem czysto ale sprawdzajac procesy mam 2 pliki svchost.exe, czy to prawidlowe ? obciazenie procesora strasznie skacze z 5 do 100%…

Złączono Posty : 31.01.2007 (Sro) 9:07

LOgi z 3 komputera:

Złączono Posty : 31.01.2007 (Sro) 9:12


(Gutek) #19

Jest Ok użyj RegCleaner - http://www.dobreprogramy.pl/index.php?dz=2&t=29&id=177 albo jv16 PowerTools - http://www.dobreprogramy.pl/index.php?dz=2&t=29&id=509


(Usermk) #20

prosze o sprawdzenie logow wreszci sie cos dalo usunac :slight_smile: