Trojan.Downloader.Zlob.SZ


(Biedny miś) #1

BArdzo proszę o pomoc. Nie mogę tego usunąć. Skanowałem spybotem, bitdefenderem, ale w pewnym momencie restartuje mi sie komputer. ewido wykrywa, ale nie może poddać kwarantannie. Może ktoś coś poradzi - problem w tym, że trzeba do mnie mówić, jak do leppera: powoli i prostym językiem.

oto log z hijackthis:


(adam9870) #2

Czy mógłbyś podać gdzie zostaje wykryty ten wirus (lokalizacja) ?

Pobierz pod normlanym trybem SmitFraudFix oraz KillBox

  1. Wyłącz przywracanie systemu

  1. Uruchom komputer w trybie awaryjnym.

  1. Uruchamiasz HijackThis i wybierasz "Do a system scan only". Pokaże się lista wpisów, zaznaczasz wpisy które podałem i klikasz na "Fix checked". Wpisy zostaną usunięte. Oto te wpisy:

  1. Uruchamiasz Killboxa, zaznaczasz Delete on reboot , w polu full path of file wklej ścieżki:

C:\WINDOWS\System32**** ishost.exe

C:\WINDOWS\System32**** ismon.exe

C:\WINDOWS\SYSTEM32**** winxlm32.dll

Po wklejeniu każdej ścieżki klikasz na czerwony X. Program poprosi o restart komputera, oczywiście zgadzasz się ale dopiero po wklejeniu ostatniej ścieżki.

  1. Potem znowu wchodzisz do awaryjnego i i zapuszczasz SmitFraudFix

  2. Po zrobieniu wchodzisz do normlanego i robisz log SilentRunners i wklejasz go na forum.


(Biedny miś) #3

wirus został wykryty w plikach:

C:\WINDOWS\System32\ishost.exe

C:\WINDOWS\System32\ismon.exe

tak przy okazji, własnie mnie bitdefender poinformował, że w trzecim ze wwskazanych prze Ciebie plików (C:\WINDOWS\SYSTEM32\winxlm32.dll ) wykrył Trojan.Klone.D

Nie wiem czy dobrze odpaliłem SmitFraudFix, ponieważ po rozpakowaniu było tam kilka aplikacji z rozszeżeniem exe

oto log z SilentRunners:


(adam9870) #4

Log z silenta jest ucięty. Poczekaj aż program skończy robić log, poinformuje wtedy odpowiednim komunikatem i dopiero wtedy wklej go na forum.

Usunąłeś te pliki i nadal są one przez antywira wykrywane ?

Miałeś uruchomić plik o nazwie SmitFraudFix.cmd. Tutaj jest rysunek z tym plikiem to sprawdź czy go uruchomiłeś:

http://forum.dobreprogramy.pl/viewtopic ... 329#539329

jak nie to wjedź znowu w awaryjny i użyj wreście tego rpogramu. A potem log.

Złączono Posta : 21.07.2006 (Pią) 18:05

Już widać, że nie zastosowałeś :frowning:


(Biedny miś) #5

no problem w tym, że nie odpala się SmitFraudFix.cmd - po poleceniu aby wcisnąć dowolny klawisz nie pojawia się już nic. jednym słowem, nie moge użyć tego programu.


(Gblade) #6

jednym słowem próbuj dalej, były już takie przypadki, nie działa, nie działa, a nagle cuda i zadziałał. Wklej "całego" loga z silent runners.


(Biedny miś) #7


(Gblade) #8

Ściągnij Pocket Killbox>>>uruchom>>>zaznacz opcje "Delete on Reboot">>>w polu "Full path of file" wklej ścieżke:

Klikasz x i zgadzasz się na restart kompa.

Otwórz notatnik i wklej:

Plik>>>zapisz jako>>zmień rozszerzenie z .txt na wszystkie pliki>>>zapisz pod nazwą FIX.REG i uruchom w trybie awaryjnym

nowy log z silenta


(Biedny miś) #9

czekaj, czekaj - killboxa odpalam w trybie awaryjnym, czy normalnie?


(Gblade) #10

bez różnicy

bo plik będzie kasowany podczas ponownego uruchamiania


(Biedny miś) #11

kurcze, nie chce zrestartować. wyskakuje notka: "Pending File Rename Operations Registry Data has been Removed by external process!"


(Gblade) #12

spróbuj jeszcze raz, sprawdź czy jest jeszcze ten plik na dysku, zrób fixa, pokaż nowy log.


(adam9870) #13

W takim razie może spróbuj samemu w awaryjnym usunąć plik ?

Jak będzie pisać, że plik jest w użyciu to może spróbuj programem Unlocker opis jest tutaj.

Jak to też nie zadziała to spróbujemy jeszcze inaczej ale narazie spróbuj tak.


(Gblade) #14

w awaryjnym nie pójdzie, bo startuje z winlogon notify,

"Pending File Rename Operations Registry Data has been Removed by external process!"

oznacza, że pliku nie ma, lub broni do siebie dostępu

Pokombinuj, wykonaj fixa do rejestru i wklej nowego loga.


(Biedny miś) #15

znaczy sie znaleźć go i ręcznie usunąć, tak? a jak sie bedzie opierał, to podsuniętym przez Ciebie programem, right?

a w razie czego załadować fixa?

Złączono Posta : 21.07.2006 (Pią) 21:27

zapisałem plik pod taką nazwą. zara odpale w trybie awar. i - jak rozumiem - tak mam ten plik otwaorzyć, tak?


(adam9870) #16

Nie próbuj ręcznie go w awaryjnym usuwać czyli odszukać plik i usunąć. Jest to mój błąd. Dzięki InfinityToJa ,że mnie poprawiłeś :slight_smile:

Próbuj nadal killboxem go usunąć - może jednak się uda. Jak jednak się nie uda to spróbuj programem Unlocker. Tutaj opis jego:

http://forum.twojastrefapc.pl/index.php?showtopic=750

A FIX'a i tak musisz uruchomić. Usuń plik, potem w awaryjnym uruchom tego fixa. I potem robisz w normalnym trybie nowego loga z Silent Runners i wklejasz go na forum.

Złączono Posta : 21.07.2006 (Pią) 21:30

UPDATE:

Plik FIX.REG zapisujesz gdzie chcesz np. na pulpicie. Potem wchodzisz do awaryjnego i klikasz na niego dwa razy. Zostaniesz spytany czy dodać do rejestru to się zgadzasz.

Ale najlpierw postaraj się usunąć plik. Potem FIX'a daj.


(Biedny miś) #17

jak chce usuną ten plik killboxem, to wyskakuje info od bitdefendera, ze właśnie w tym pliku zablokował wirusa "Trojan.Klone.D"


(adam9870) #18

Hmmm :hmmm: Ale killbox pyta po wciśnięciu X czerwonego o restart ?

Jeżeli nie to może spróbuj na dosłownie chwileczkę (na czas użycia killboxa do usunięcia pliku) wyłączenia BitDefendera ?


(Biedny miś) #19

pyta. odlicza mi chyba 10 sekund i wyskakuje wspomniana wczesniej informacja, ze nie da rady


(adam9870) #20

To w takim razie spróbuj programem Unlocker :?

http://forum.twojastrefapc.pl/index.php?showtopic=750