Trojana WinHost. exe


(Babeta) #1

Bardzo proszę o pomoc, prawdpodobnie mam trojana winhost.exe, norton mi go wykrywa i niby usuwa (poddaje kwarantannie) ale za każdym razem on znów sie pojawia. Tutaj wkleiłam log http://wklej.org/id/e306b30e06 ale ponieważ jestem laikiem bardzo proszę o rady napisane "prostym językiem"....


(Monczkin) #2

Proszę nazwać temat konkretnie.

viewtopic.php?f=16&t=66889

I poprawić błędy. Na forum używamy polskiej pisowni. Przeczytaj regulamin forum.


(huber2t) #3

fix w hijackthis

Podaj log z Combofix


(Babeta) #4

wkleiłam go tutaj: http://wklej.org/id/6ce700bfb0


(Leon$) #5

Log wygląda na czysty

zrób optymalizacje uruchamiania http://cybertrash.netarteria.pl/cyber/index.php/topic,378.0.html

usuń ręcznie folder C: \Qoobox usuń instalkę Combofix z dysku.

Wyłącz I włącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl

przeskanuj obszar Mój komputer http://www.kaspersky.pl/virusscanner.html pokaż raport stronę uruchomić przez IE

:slight_smile:


(Babeta) #6

Zrobiłam co mogłam (tzn. zoptymalizowałam uruchamianie, usunęlam Qoobox oraz wyłączylam i włączyłam przywracanie systemu) nie mogłam natomiast uruchomić skanera online kaspersky, ponieważ cały czas mam komunikat, "błąd podczas aktualizacji, żadna operacja antywirusowa nie moze zostac wykonana itd, żebym najpierw się podłączyła do internetu - a przecież ja cały czas jestem podłączona! Nie rozumiem tego ale to właśnie w tym komunikacie może tkwić jakaś tajemnica, ponieważ nie mogłam ściągnąć żadnych aktualizacji również do nortona (a jeszcze niedawno mogłam) bo pojawiał się ten sam komunikat.


(huber2t) #7

Przeskanuj komputer programem ArcaMicroscan, usuń wirusy


(Babeta) #8

Przeskanowałam, dwa, trzy razy program powiedział mi, że czegoś nie może a na koniec pokazał taki raport: ArcaMicroScan - Raport ze skanowania [2008.05.28 19:44:17]

Data bazy wirusów : 2008.05.28 13:04:27

[skanowanie : C:]

C:\blok.exe <- Trojan.Qhost.Aei : Kasowanie

C:\WINDOWS\$NtUninstallKB896688$\urlmon.dll <- Trojan.Agent.Xdl : Kasowanie

[skanowanie : D:]

Przeskanowanych obiektów : 150513

Zainfekowanych obiektów : 2

W dniu 29.05.2008 , o godzinie 0:12 został dopisany post przez babeta

Acha, a w dzienniku skanowania przez nortona cały czas mam informację, że plik winhost.exe wirus Backdoor.Trojan poddano kwarantannie. Co powinnam dalej zrobić? Na ikonce Nortona jest poza tym żółty wykrzyknik. Dziękuję za pomoc i pozdrawiam. Beata


(huber2t) #9

Usuń ten plik z kwarantanny a jeśli nie pomoże daj nowy log z combofix


(Babeta) #10

Combo zów nie działa, wkleiłam log z hijacka http://wklej.org/id/95b88397db


(huber2t) #11

Spróbuj podczas pobierania zapisujemy nie pod nazwą ComboFix.exe tylko z kreską pomiędzy:

Combo-Fix.exe

A jeśli to nie pomoże to daj log z Deckard's System Scanner

fix w hijackthis

Pobierz The Avenger

wklej do niego ten tekst:

Files to delete:

C:\winhost.exe

kopiuj to i klikasz na Paste Script from Clipboard wybierasz Execute oraz Potwierdzasz i zgadzasz się na restart klikając OK.

Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt


(Babeta) #12

Piszę z innego komputera (tego z innym trojanem..) ponieważ zrobiłam tak jak napisałeś, zapisałam combo z kreską i uruchomiłam, przez jakiś czas komputer był skanowany, pojawiały się (wg mnie bardzo powazne komunikaty) a na koniec plik tekstowy, ktory skopiowalam ale zanim cokolwiek dalej zrobiłam (zminimalizowałam okno) to pojawił sie czysty, pusty niebieski ekran. Co powinnam teraz zrobić? Zrestartować tamten komputer?


(Gutek) #13

Już się zgubiłem a ten temat - viewtopic.php?f=16&t=246528 to co?


(Babeta) #14

Mam dwa komputery podłączone do internetu. Jeden jest dziecka - miałam na nim komunikaty, że jest trojan chost a drugi, mój - o nim jest mowa w tym wątku ma trojana backdoor plik winhost.exe. No i usiłuję zrobić coś z obydwoma komputerami. Oczywiście loga wklejam z właściwego. Tyle, że teraz jeden nie działa (po skanowaniu combo).

W dniu 29.05.2008 , o godzinie 11:17 został dopisany post przez babeta

Nie działa ten, który dotyczy tego wątku


(huber2t) #15

Powinnaś zrestować, wykonać wskazówkę z avengerem i dac log z combofix


(Babeta) #16

po zrestartowaniu i ponownym uruchomieniu combo udało mi sie wkleić log http://wklej.org/id/1acc94bada


(huber2t) #17

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

File::

C:\blok.exe

C:\WinHost.exe

C:\WINDOWS\system32\drivers\hosts


Registry::

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvGraphicsInterface"=-

Plik -> zapisz jako -> CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->

02f8f1e3c410a4cc.gif

Rozpocznie się usuwanie i powstanie log, daj ten log na forum.

Logi dajesz na http://www.wklej.org


(Babeta) #18

Wszystko zrobiłam ale w pewnym momencie (po wrzuceniu pliku tekstowego do compo-fix, combo zaczyna się uruchamiać ale potem znów mi mówi, że jest błąd i muszę zmienić nazwę


(huber2t) #19

Zmień nazwę combofix na combo-fix i wtedy przenies plik


(Babeta) #20

no właśnie ja już mam nazwę combo-fix i teraz na jaką mam zmienić? Z powrotem bez myślnika?