Trojan zapchast, nie moge usunac


(Matrus01) #1

NOD 32 znajduje mi wirus "zapchast trojan" i nie wiem co mam z tym zrobić.

Logi z HijackThis

http://wklej.org/id/c49821d446

Logi z ComboFix

http://wklej.org/id/391b520d3d

Logi z Silent Runners'a też bym wrzucił, ale jak klikam na te ikonkę to nic się nie dzieje (ale mam włączone WHS (czy jakoś tak :slight_smile: ) )

PROSZĘ PANÓW O POMOC :slight_smile:

Poprawiłem :slight_smile:


(Gutek) #2

Wklej do Notatnika:

File::

C:\WINDOWS\system32\gisc.exe

C:\WINDOWS\system32\edmil.exe

C:\WINDOWS\system32\wknphfie.exe

C:\WINDOWS\system32\runsvc.exe

C:\WINDOWS\System32\spooIsv.exe

C:\WINDOWS\system32\igfxsrvc32.exe


Registry::

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"runsvc"=-

"Spooler SubSystem App"=-

"MicroSoft Visual SP2"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

"MicroSoft Visual SP2"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

"runsvc"=-

"MicroSoft Visual SP2"=-

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2002-09-20 17:05 13312]

"MicroSoft Visual SP2"=-

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]

"MicroSoft Visual SP2"=-

>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )

– podobnie jak na tym obrazku –>88953CFScript-createdbyMiekiemoes.gif

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: ** Qoobox**.

Po tym nowy log z Combo

Zastosuj się do tego Tematu i zmień tytuł tematu na konkretny inaczej KOSZ

Pozdrawiam Gutek2222

Zmiana zasad wklejania logów na forum - viewtopic.php?f=16t=213350


(Matrus01) #3

Niestety nie pomogło :frowning: Dalej wyskakuje:

5f73350e924c8bf3med.jpg

Logi z Combo:

http://wklej.org/id/bdaeee59ab


(Monczkin) #4

matrus01 ,

Proszę poprawić pierwszy post


(Matrus01) #5

Monczkin, poprawiłem.

Co do mojego problemu, to okazało się, że folder C: \Qoobox nadal (nie wiem dlaczego został, a jestem pewien, że go usunąłem (po restarcie jak kazałeś) siedział w kompie i może dlatego. Dzięki za pomoc.

Edit:

Eh jednak nie :frowning: Nadal wyskakuje. Co dalej ?


(Leon$) #6

Wyłącz przywracanie systemu na wszystkich dyskach

otwórz notatnik i wklej

File::

C:\WINDOWS\system32\runsvc.exe


Registry::

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"MicroSoft Visual SP2"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"runsvc"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

"runsvc"=-

zapisz jako CFScript (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe

http://img.wklej.org/images/88953CFScri … iemoes.gif

na pytanie “1 or 2” - to wpisz 1 i naciśnij ENTER

Powinno rozpocząć się usuwanie

Potem nowy log z usuwania

:slight_smile:


(Matrus01) #7

Zrobiłem jak napisałeś.

Log

http://wklej.org/id/8788927907


(Leon$) #8

usuń ręcznie folder C: \Qoobox

napisz coś więcej czy dalej jest komunikat?

:slight_smile:


(Matrus01) #9

Niestety nadal jest komunikat o tym virusie :confused:


(Leon$) #10

Zamknij dziurawe porty tym http://www.firewallleaktester.com/tools/wwdc.exe

potem użyj SDFix http://www.searchengines.pl/index.php?showtopic=31936&st=0&p=358436entry358436 daj raport

potem otwórz notatnik i wklej

File::

C:\WINDOWS\system32\igfxsrvc32.exe

C:\WINDOWS\system32\eXtream.exe

C:\WINDOWS\system32\Syst3m32.exe


Registry::

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"MicroSoft ssadsadas3s1"=-

"MicroSoft Legal Syst3m32"=- 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

"MicroSoft Visual SP2"=-

"MicroSoft ssadsadas3s1"=-

"MicroSoft Legal Syst3m32"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"MicroSoft Visual SP2"=-

"MicroSoft ssadsadas3s1"=-

"MicroSoft Legal Syst3m32"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

"MicroSoft Visual SP2"=-

"MicroSoft ssadsadas3s1"=-

"MicroSoft Legal Syst3m32"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

"MicroSoft Visual SP2"=-

"MicroSoft ssadsadas3s1"=-

"MicroSoft Legal Syst3m32"=-

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"MicroSoft Visual SP2"=-

"MicroSoft ssadsadas3s1"=-

"MicroSoft Legal Syst3m32"=-

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]

"MicroSoft Visual SP2"=-

"MicroSoft ssadsadas3s1"=-

"MicroSoft Legal Syst3m32"=-

zapisz jako CFScript (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe

http://img.wklej.org/images/88953CFScri … iemoes.gif

na pytanie “1 or 2” - to wpisz 1 i naciśnij ENTER

Powinno rozpocząć się usuwanie

potem log

następnie usuń ręcznie folder C: \Qoobox

:slight_smile:


(Matrus01) #11

Log z SDFix (nie wiem czy o to Ci chodziło, robiłem ten log przed tą całą “operacją” z combo)

http://wklej.org/id/997ff94d03

Log z Combo (po zakończonej “operacji”)

http://wklej.org/id/cf64f82ca3

Na razie nic nie wyskakuje i zauważyłem, że komputer zaczął szybciej chodzić :slight_smile: :slight_smile: :slight_smile: . Jak tak dalej będzie, czyli okaże się, że już wszystko w porządku masz u mnie wielkie piwo. :]


(Gutek) #12

Wklej do Notatnika:

File::

C:\WINDOWS\system32\uahgekj.exe 

C:\WINDOWS\system32\eg.exe 

C:\haveinfd.exe 

C:\WINDOWS\system32\fffp.exe 

C:\WINDOWS\system32\runsvc.exe 

C:\WINDOWS\system32\dngrnreu.exe 

C:\WINDOWS\system32\ccjeb.exe 

C:\WINDOWS\system32\volwha.exe 

C:\WINDOWS\system32\mmdmm.exe


Driver::

extream.microsoft.com

System.microsoft.com

update.microsoft.com


Folder::

C:\WINDOWS\system32\TFTP4752 

C:\WINDOWS\system32\TFTP4432 

C:\WINDOWS\system32\TFTP4880 

C:\WINDOWS\system32\TFTP3980 

C:\WINDOWS\system32\TFTP1836 

C:\WINDOWS\system32\TFTP3580 

C:\WINDOWS\system32\TFTP3168 

C:\WINDOWS\system32\TFTP3888 

C:\WINDOWS\system32\TFTP4184 

C:\WINDOWS\system32\TFTP5464 

C:\WINDOWS\system32\TFTP5316 

C:\WINDOWS\system32\TFTP4904 

C:\WINDOWS\system32\TFTP4088 

C:\WINDOWS\system32\TFTP4012 

C:\WINDOWS\system32\TFTP528 

C:\WINDOWS\system32\TFTP1804

C:\Program Files\fjhgfdsdfg 


Registry::

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 

"MicroSoft Visual SP2"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Windows Network Firewall"=-

"runsvc"=-

"mmsass"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices] 

"runsvc"=-

"mmsass"=-

>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )

– podobnie jak na tym obrazku –>88953CFScript-createdbyMiekiemoes.gif

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: ** Qoobox**.

Po tym nowy log z Combo


(Leon$) #13

Zamknąłeś dziurawe porty?

Pytam bo w logach pojawia się ciągle co było już kasowane

ponadto zainstaluj SP2 lub jakąś inną zaporę ponieważ bez firewala się nie da bezpiecznie używać internetu robale i wirusy będą ciągle powracać.

:?


(Matrus01) #14

Gutek2222, dzieki.

Leon$, nie wiem czy zamknąłem (nie znam się na tym ^^) , ale coś tam zrobiłem. Pewnie się nie udało :confused:

A możesz polecić/dać linka do jakieś fajnej zapory, tylko nie SP2. ;]


(Leon$) #15

Zapory sieciowe / Firewalle darmowe

http://www.searchengines.pl/index.php?showtopic=38712

:slight_smile:


(Gutek) #16

Log do kontroli


(Cayro83) #17

Witam, nie chcę rozpoczynać nowego tematu, gdyż mam ten sam problem pod tytułem Zapchast - trojan który siedzi w pliku C:/a.bat.

Log z Hijack:

http://wklej.org/id/ba2463ddc6

Log z ComboFix:

http://www.wklej.org/id/dc0a405238

Bardzo proszę o pomoc…


(Gutek) #18

Wklej do Notatnika:

File::

C:\WINDOWS\system32\mac3.pif 

C:\WINDOWS\system32\ejbxzd.exe 

C:\WINDOWS\system32\fooflw.exe 

C:\WINDOWS\system32\purvgtkcm.exe

C:\Documents and Settings\Kasia i Filip\sig52.dat

C:\WINDOWS\system32\ksamanz.exe


Registry::

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 

"Microsoft Winedows rpdate"=-

"Windows Services Aganter"=-

"Windows Service Agent"=-

"MicroSoft Getway Dire"=-

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] 

"Windows Services Aganter"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 

"Microsoft Winedows rpdate"=-

"Windows Services Aganter"=- 

"Windows Service Agent"=-

"MicroSoft Getway Dire"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] 

"Windows Services Aganter"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices] 

"Microsoft Winedows rpdate"=-

"Windows Services Aganter"=-

"MicroSoft Getway Dire"=-

"Windows Service Agent"=-

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"Microsoft Winedows rpdate"=-

"Windows Services Aganter"=-

"Windows Service Agent"=-

"MicroSoft Getway Dire"=-

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce] 

"Windows Services Aganter"=-

>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )

– podobnie jak na tym obrazku –>88953CFScript-createdbyMiekiemoes.gif

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: ** Qoobox**.

Po tym nowy log z Combo


(Cayro83) #19

Serdeczne dzięki Gutek :smiley: Po trojanie ani śladu, Kaspersky niczego nie znajduje, jednak na wszelki wypadek wklejam log z ComboFixa : http://wklej.org/id/3b6ced7034

Jeszcze raz dziękuję:)


(Leon$) #20

otwórz notatnik i wklej

File::

C:\WINDOWS\system32\agl2dd3.exe

C:\WINDOWS\system32\vx2y0lzox.exe

C:\WINDOWS\system32\mac2.pif

C:\WINDOWS\system32\mac4.pif


Driver:: 

Microsoft Windows TCP Protocol


Registry:: 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"zzGBK"=-

zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe

http://img.wklej.org/images/88953CFScri … iemoes.gif

Powinno rozpocząć się usuwanie

Potem log z usuwania

Po restarcie usuń ręcznie folder C: \Qoobox

:slight_smile: