Bardzo proszę o pomoc, prawdpodobnie mam trojana winhost.exe, norton mi go wykrywa i niby usuwa (poddaje kwarantannie) ale za każdym razem on znów sie pojawia. Tutaj wkleiłam log http://wklej.org/id/e306b30e06 ale ponieważ jestem laikiem bardzo proszę o rady napisane “prostym językiem”…
Proszę nazwać temat konkretnie.
I poprawić błędy. Na forum używamy polskiej pisowni. Przeczytaj regulamin forum.
Log wygląda na czysty
zrób optymalizacje uruchamiania http://cybertrash.netarteria.pl/cyber/index.php/topic,378.0.html
usuń ręcznie folder C: \Qoobox usuń instalkę Combofix z dysku.
Wyłącz I włącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl
przeskanuj obszar Mój komputer http://www.kaspersky.pl/virusscanner.html pokaż raport stronę uruchomić przez IE
Zrobiłam co mogłam (tzn. zoptymalizowałam uruchamianie, usunęlam Qoobox oraz wyłączylam i włączyłam przywracanie systemu) nie mogłam natomiast uruchomić skanera online kaspersky, ponieważ cały czas mam komunikat, "błąd podczas aktualizacji, żadna operacja antywirusowa nie moze zostac wykonana itd, żebym najpierw się podłączyła do internetu - a przecież ja cały czas jestem podłączona! Nie rozumiem tego ale to właśnie w tym komunikacie może tkwić jakaś tajemnica, ponieważ nie mogłam ściągnąć żadnych aktualizacji również do nortona (a jeszcze niedawno mogłam) bo pojawiał się ten sam komunikat.
Przeskanowałam, dwa, trzy razy program powiedział mi, że czegoś nie może a na koniec pokazał taki raport: ArcaMicroScan - Raport ze skanowania [2008.05.28 19:44:17]
Data bazy wirusów : 2008.05.28 13:04:27
[skanowanie : C:]
C:\blok.exe <- Trojan.Qhost.Aei : Kasowanie
C:\WINDOWS$NtUninstallKB896688$\urlmon.dll <- Trojan.Agent.Xdl : Kasowanie
[skanowanie : D:]
Przeskanowanych obiektów : 150513
Zainfekowanych obiektów : 2
W dniu 29.05.2008 , o godzinie 0:12 został dopisany post przez babeta
Acha, a w dzienniku skanowania przez nortona cały czas mam informację, że plik winhost.exe wirus Backdoor.Trojan poddano kwarantannie. Co powinnam dalej zrobić? Na ikonce Nortona jest poza tym żółty wykrzyknik. Dziękuję za pomoc i pozdrawiam. Beata
Usuń ten plik z kwarantanny a jeśli nie pomoże daj nowy log z combofix
Spróbuj podczas pobierania zapisujemy nie pod nazwą ComboFix.exe tylko z kreską pomiędzy:
Combo-Fix.exe
A jeśli to nie pomoże to daj log z Deckard’s System Scanner
fix w hijackthis
Pobierz The Avenger
wklej do niego ten tekst:
Files to delete:
C:\winhost.exe
kopiuj to i klikasz na Paste Script from Clipboard wybierasz Execute oraz Potwierdzasz i zgadzasz się na restart klikając OK.
Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt
Piszę z innego komputera (tego z innym trojanem…) ponieważ zrobiłam tak jak napisałeś, zapisałam combo z kreską i uruchomiłam, przez jakiś czas komputer był skanowany, pojawiały się (wg mnie bardzo powazne komunikaty) a na koniec plik tekstowy, ktory skopiowalam ale zanim cokolwiek dalej zrobiłam (zminimalizowałam okno) to pojawił sie czysty, pusty niebieski ekran. Co powinnam teraz zrobić? Zrestartować tamten komputer?
Mam dwa komputery podłączone do internetu. Jeden jest dziecka - miałam na nim komunikaty, że jest trojan chost a drugi, mój - o nim jest mowa w tym wątku ma trojana backdoor plik winhost.exe. No i usiłuję zrobić coś z obydwoma komputerami. Oczywiście loga wklejam z właściwego. Tyle, że teraz jeden nie działa (po skanowaniu combo).
W dniu 29.05.2008 , o godzinie 11:17 został dopisany post przez babeta
Nie działa ten, który dotyczy tego wątku
Powinnaś zrestować, wykonać wskazówkę z avengerem i dac log z combofix
po zrestartowaniu i ponownym uruchomieniu combo udało mi sie wkleić log http://wklej.org/id/1acc94bada
Pobierz ComboFix, ale nie uruchamiaj
Wklej do notatnika:
File::
C:\blok.exe
C:\WinHost.exe
C:\WINDOWS\system32\drivers\hosts
Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvGraphicsInterface"=-
Plik -> zapisz jako -> CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->
Rozpocznie się usuwanie i powstanie log, daj ten log na forum.
Logi dajesz na http://www.wklej.org
Wszystko zrobiłam ale w pewnym momencie (po wrzuceniu pliku tekstowego do compo-fix, combo zaczyna się uruchamiać ale potem znów mi mówi, że jest błąd i muszę zmienić nazwę
Zmień nazwę combofix na combo-fix i wtedy przenies plik
no właśnie ja już mam nazwę combo-fix i teraz na jaką mam zmienić? Z powrotem bez myślnika?