matrus01
(Matrus01)
10 Styczeń 2008 23:17
#1
NOD 32 znajduje mi wirus “zapchast trojan” i nie wiem co mam z tym zrobić.
Logi z HijackThis
http://wklej.org/id/c49821d446
Logi z ComboFix
http://wklej.org/id/391b520d3d
Logi z Silent Runners’a też bym wrzucił, ale jak klikam na te ikonkę to nic się nie dzieje (ale mam włączone WHS (czy jakoś tak ) )
PROSZĘ PANÓW O POMOC
Poprawiłem
Gutek
(Gutek)
11 Styczeń 2008 00:14
#2
Wklej do Notatnika:
File::
C:\WINDOWS\system32\gisc.exe
C:\WINDOWS\system32\edmil.exe
C:\WINDOWS\system32\wknphfie.exe
C:\WINDOWS\system32\runsvc.exe
C:\WINDOWS\System32\spooIsv.exe
C:\WINDOWS\system32\igfxsrvc32.exe
Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"runsvc"=-
"Spooler SubSystem App"=-
"MicroSoft Visual SP2"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"MicroSoft Visual SP2"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"runsvc"=-
"MicroSoft Visual SP2"=-
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2002-09-20 17:05 13312]
"MicroSoft Visual SP2"=-
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"MicroSoft Visual SP2"=-
>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )
– podobnie jak na tym obrazku –>
(jeśli pojawi się pytanie " 1 or 2 " - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)
Po restarcie usuń ręcznie folder C: * * Qoobox**.
Po tym nowy log z Combo
Zastosuj się do tego Tematu i zmień tytuł tematu na konkretny inaczej KOSZ
Pozdrawiam Gutek2222
Zmiana zasad wklejania logów na forum - viewtopic.php?f=16t=213350
matrus01
(Matrus01)
11 Styczeń 2008 13:35
#3
Niestety nie pomogło Dalej wyskakuje:
Logi z Combo:
http://wklej.org/id/bdaeee59ab
Monczkin
(Monczkin)
11 Styczeń 2008 13:48
#4
matrus01 ,
Proszę poprawić pierwszy post
matrus01
(Matrus01)
11 Styczeń 2008 14:45
#5
Monczkin, poprawiłem.
Co do mojego problemu, to okazało się, że folder C: \Qoobox nadal (nie wiem dlaczego został, a jestem pewien, że go usunąłem (po restarcie jak kazałeś) siedział w kompie i może dlatego. Dzięki za pomoc.
Edit:
Eh jednak nie Nadal wyskakuje. Co dalej ?
Leon1
(Leon$)
11 Styczeń 2008 15:35
#6
Wyłącz przywracanie systemu na wszystkich dyskach
otwórz notatnik i wklej
File::
C:\WINDOWS\system32\runsvc.exe
Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MicroSoft Visual SP2"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"runsvc"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"runsvc"=-
zapisz jako CFScript (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe
http://img.wklej.org/images/88953CFScri … iemoes.gif
na pytanie “1 or 2” - to wpisz 1 i naciśnij ENTER
Powinno rozpocząć się usuwanie
Potem nowy log z usuwania
matrus01
(Matrus01)
11 Styczeń 2008 16:38
#7
Leon1
(Leon$)
11 Styczeń 2008 17:12
#8
usuń ręcznie folder C: \Qoobox
napisz coś więcej czy dalej jest komunikat?
matrus01
(Matrus01)
11 Styczeń 2008 17:39
#9
Niestety nadal jest komunikat o tym virusie
Leon1
(Leon$)
11 Styczeń 2008 19:19
#10
Zamknij dziurawe porty tym http://www.firewallleaktester.com/tools/wwdc.exe
potem użyj SDFix http://www.searchengines.pl/index.php?showtopic=31936&st=0&p=358436entry358436 daj raport
potem otwórz notatnik i wklej
File::
C:\WINDOWS\system32\igfxsrvc32.exe
C:\WINDOWS\system32\eXtream.exe
C:\WINDOWS\system32\Syst3m32.exe
Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MicroSoft ssadsadas3s1"=-
"MicroSoft Legal Syst3m32"=-
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"MicroSoft Visual SP2"=-
"MicroSoft ssadsadas3s1"=-
"MicroSoft Legal Syst3m32"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MicroSoft Visual SP2"=-
"MicroSoft ssadsadas3s1"=-
"MicroSoft Legal Syst3m32"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"MicroSoft Visual SP2"=-
"MicroSoft ssadsadas3s1"=-
"MicroSoft Legal Syst3m32"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"MicroSoft Visual SP2"=-
"MicroSoft ssadsadas3s1"=-
"MicroSoft Legal Syst3m32"=-
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"MicroSoft Visual SP2"=-
"MicroSoft ssadsadas3s1"=-
"MicroSoft Legal Syst3m32"=-
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"MicroSoft Visual SP2"=-
"MicroSoft ssadsadas3s1"=-
"MicroSoft Legal Syst3m32"=-
zapisz jako CFScript (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe
http://img.wklej.org/images/88953CFScri … iemoes.gif
na pytanie “1 or 2” - to wpisz 1 i naciśnij ENTER
Powinno rozpocząć się usuwanie
potem log
następnie usuń ręcznie folder C: \Qoobox
matrus01
(Matrus01)
11 Styczeń 2008 21:19
#11
Log z SDFix (nie wiem czy o to Ci chodziło, robiłem ten log przed tą całą “operacją” z combo)
http://wklej.org/id/997ff94d03
Log z Combo (po zakończonej “operacji”)
http://wklej.org/id/cf64f82ca3
Na razie nic nie wyskakuje i zauważyłem, że komputer zaczął szybciej chodzić . Jak tak dalej będzie, czyli okaże się, że już wszystko w porządku masz u mnie wielkie piwo. :]
Gutek
(Gutek)
11 Styczeń 2008 21:29
#12
Wklej do Notatnika:
File::
C:\WINDOWS\system32\uahgekj.exe
C:\WINDOWS\system32\eg.exe
C:\haveinfd.exe
C:\WINDOWS\system32\fffp.exe
C:\WINDOWS\system32\runsvc.exe
C:\WINDOWS\system32\dngrnreu.exe
C:\WINDOWS\system32\ccjeb.exe
C:\WINDOWS\system32\volwha.exe
C:\WINDOWS\system32\mmdmm.exe
Driver::
extream.microsoft.com
System.microsoft.com
update.microsoft.com
Folder::
C:\WINDOWS\system32\TFTP4752
C:\WINDOWS\system32\TFTP4432
C:\WINDOWS\system32\TFTP4880
C:\WINDOWS\system32\TFTP3980
C:\WINDOWS\system32\TFTP1836
C:\WINDOWS\system32\TFTP3580
C:\WINDOWS\system32\TFTP3168
C:\WINDOWS\system32\TFTP3888
C:\WINDOWS\system32\TFTP4184
C:\WINDOWS\system32\TFTP5464
C:\WINDOWS\system32\TFTP5316
C:\WINDOWS\system32\TFTP4904
C:\WINDOWS\system32\TFTP4088
C:\WINDOWS\system32\TFTP4012
C:\WINDOWS\system32\TFTP528
C:\WINDOWS\system32\TFTP1804
C:\Program Files\fjhgfdsdfg
Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MicroSoft Visual SP2"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Network Firewall"=-
"runsvc"=-
"mmsass"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"runsvc"=-
"mmsass"=-
>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )
– podobnie jak na tym obrazku –>
(jeśli pojawi się pytanie " 1 or 2 " - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)
Po restarcie usuń ręcznie folder C: * * Qoobox**.
Po tym nowy log z Combo
Leon1
(Leon$)
11 Styczeń 2008 21:36
#13
Zamknąłeś dziurawe porty?
Pytam bo w logach pojawia się ciągle co było już kasowane
ponadto zainstaluj SP2 lub jakąś inną zaporę ponieważ bez firewala się nie da bezpiecznie używać internetu robale i wirusy będą ciągle powracać.
:?
matrus01
(Matrus01)
11 Styczeń 2008 21:52
#14
Gutek2222, dzieki.
Leon$, nie wiem czy zamknąłem (nie znam się na tym ^^) , ale coś tam zrobiłem. Pewnie się nie udało
A możesz polecić/dać linka do jakieś fajnej zapory, tylko nie SP2. ;]
Leon1
(Leon$)
11 Styczeń 2008 21:58
#15
asham
(Cayro83)
11 Luty 2008 20:58
#17
Witam, nie chcę rozpoczynać nowego tematu, gdyż mam ten sam problem pod tytułem Zapchast - trojan który siedzi w pliku C:/a.bat.
Log z Hijack:
http://wklej.org/id/ba2463ddc6
Log z ComboFix:
http://www.wklej.org/id/dc0a405238
Bardzo proszę o pomoc…
Gutek
(Gutek)
12 Luty 2008 23:44
#18
Wklej do Notatnika:
File::
C:\WINDOWS\system32\mac3.pif
C:\WINDOWS\system32\ejbxzd.exe
C:\WINDOWS\system32\fooflw.exe
C:\WINDOWS\system32\purvgtkcm.exe
C:\Documents and Settings\Kasia i Filip\sig52.dat
C:\WINDOWS\system32\ksamanz.exe
Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Microsoft Winedows rpdate"=-
"Windows Services Aganter"=-
"Windows Service Agent"=-
"MicroSoft Getway Dire"=-
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"Windows Services Aganter"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Microsoft Winedows rpdate"=-
"Windows Services Aganter"=-
"Windows Service Agent"=-
"MicroSoft Getway Dire"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"Windows Services Aganter"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"Microsoft Winedows rpdate"=-
"Windows Services Aganter"=-
"MicroSoft Getway Dire"=-
"Windows Service Agent"=-
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"Microsoft Winedows rpdate"=-
"Windows Services Aganter"=-
"Windows Service Agent"=-
"MicroSoft Getway Dire"=-
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"Windows Services Aganter"=-
>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )
– podobnie jak na tym obrazku –>
(jeśli pojawi się pytanie " 1 or 2 " - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)
Po restarcie usuń ręcznie folder C: * * Qoobox**.
Po tym nowy log z Combo
asham
(Cayro83)
13 Luty 2008 14:55
#19
Serdeczne dzięki Gutek Po trojanie ani śladu, Kaspersky niczego nie znajduje, jednak na wszelki wypadek wklejam log z ComboFixa : http://wklej.org/id/3b6ced7034
Jeszcze raz dziękuję:)
Leon1
(Leon$)
13 Luty 2008 15:47
#20
otwórz notatnik i wklej
File::
C:\WINDOWS\system32\agl2dd3.exe
C:\WINDOWS\system32\vx2y0lzox.exe
C:\WINDOWS\system32\mac2.pif
C:\WINDOWS\system32\mac4.pif
Driver::
Microsoft Windows TCP Protocol
Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"zzGBK"=-
zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe
http://img.wklej.org/images/88953CFScri … iemoes.gif
Powinno rozpocząć się usuwanie
Potem log z usuwania
Po restarcie usuń ręcznie folder C: \Qoobox