Trojany - Rbot.AQW i Adware.BackWeb.a nie mogę ich usunąć


(Grzesiu8) #1

Problem jest taki:

Rbot.AQW i Adware.BackWeb.a

mks znalazł mi takie trojany ale nie może ich skasować i wyleczyć.

Skanowałem też wcześniej ewido_micro ale ten znalazł inne i je skasował ale tych w ogóle nie znalazł.

Sprawdziłem też system ad-awarem - ale też tego nie usunął.

A co sie dzieje z komputerem? Strasznie wolno się włącza (startuje) i od czasu do czas ma straszne "zawiechy" tj. muli się strasznie i wszystko wolno chodzi. Po paru minutach sie odwiesza.

A inna sprawa - niektóre programy często mają bardzo duże zużycie procesora - po 50000 K, np w chwili obecnej firefox skacze od 60000 do ponad 105000 K! (a mam włączone tylko jedno okienko i jedną zakładkę - pisze posta).

Tak więc proszę o pomoc w usunięciu tych trojanów i może znajdą się odpowiedzi na opisane wyżej problemy.

Aha może dodam, że te wirusy znajdują się w:

Adware.BackWeb.a

C:\Program Files\Logitech\Desktop Messenger\8876480\Program\backweb-8876480.exe plik vir

Rbot.AQW

F:\zd_crk.exe

Mało tego!

Zaraz po napisaniu posta chciałem wejść na dysk F: to zamiast wejść do folderu to pokazuje mi się komunikat:

Wybierz program, którego chcesz użyć do otwarcia tego pliku !!

Po restarcie wyskakuje: F:\odmowa dostępu

Klikam prawym- Otwórz - wchodzi... ale 2klik nie...

Może i na to jakaś rada??

Pomóżcie - bardzo proszę.

Logi po restarcie (czyli po pojawieniu się tego nowego problemu):

Silent:


(Gutek) #2

w trybie awaryjnym usuń foldery ręcznie, a wpisy HJT

Wpis R3 nie usuwasz hijackiem tylko usuniesz Registrar Lite, opis masz TUTAJ

Daj log z Combofix


(Grzesiu8) #3

Witam ponownie:

No i tu jest problem!

Nie dam rady włączyć trybu awaryjnego!!

Gdy wybieram "uruchom windows w trybie awaryjnym" to na dole ładują sie pliki ale po pewnym czasie wyskakuje napis "wcisnij esc aby załadować plik SPTD.sys" (gdy wcisne lub nie fekt jest taki sam) pojawia sie w prawym gornym rogu migający kursor... i wiecej sie nic nie dzieje.

Szukalem tego pliku (SPTD.sys) na komputerze ale go nie mam...

To zrobiłem.

Wklejam logi na wszelki wypadek:

Proszę:

A i ten program zrobił jeszcze taki plik, o takiej treści:

no i jeszcze Silent:

No i nie wiem co zrobic z tym awaryjnym i z tym dostępem zabronionym do dysków :frowning: (do dysku C mogę wejść 2klikiem!)

Dziś (sobota) znalazłem jeszcze jakiegoś trojana na pendrivie (RavMon.exe). To pewnie zwiazane z tymi innymi??


(Gutek) #4

Czyszczenie rejestru:

RegCleaner - http://www.dobreprogramy.pl/index.php?dz=2&t=29&id=177

możesz rejestr przelecieć albo

jv16 PowerTools - http://www.dobreprogramy.pl/index.php?dz=2&t=29&id=509

I o tym nowy log z Combo


(Grzesiu8) #5

Witam!

Wyczyściłem rejestr tym 1 programem. Ale co sie okazało:

Już nie mogę wejść na dysk C, E, F 2klikiem.

Po wyczyszczeniu rejestru zrobilem sprawdzanie Combo ale...

Wyskakuje mi okienko:

Almost done

A report of ComboFix's action... (czyli tam gdzie jest raport ze skanowania) no ale zamiast pliku txt jest plik wsadowy DOS i jak włącze go z notatnika to jest napisane:

Nie mam pojęcia co to znaczy...

Na wszelki wypadek daje log z HJT

i z Silenta:

I co teraz? Jak zrobić aby na dysk wchodzić 2klikiem?

Aha sprawdziłem system mksem i ewido i tym razem nic nie znalazł (po wyczyszczeniu rejestru)

Ale jeszcze jedna niepokojąca rzecz: w menadżerze zadań mam aż 6 procesów SVCHOST.EXE... czy to nie za dużo i co to jest?


(qrczak13) #6

Usuń w HJT.

Jeszcze raz > Registrar Lite

Wchodzenie do trybu awaryjnego

Na otwieranie partycji zrób tego fixa.

Do notatnika wklej:

Wklej do notatnika > plik -> zapisz jako -> zmień rozszerzenie na wszystkie pliki -> zapisz pod nazwą FIX.REG

W trybie awaryjnym (jak nie pójdzie to w normalnym) odpal plik FIX.REG i potwierdź dodanie do rejestru i reset kompa.

Daj nowe combo (raport > C:\ComboFix.txt )


(Grzesiu8) #7

Witam!

Zrobiłem to.

Hmmm to też zrobiłem, ale nadal nie moge wejść na dyski. Mało tego. Jak wcześniej mogłem prawym i otwórz tak teraz tego nie ma, są dziwne nazwy (znaczki) i jedyny sposób aby wejść to w pasku wpisać C:

No niestety... jak to robie to nadal wyskakuje plik wsadowy MS-DOS a w nim:

@call "C:\ComboFix\setpath.bat"

call "C:\ComboFix\Find3M.bat"

Obok jest plik ComboFix-quarantined-files a w nim:

[code]

2007-02-25 17:28 42496 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\~.exe.vir

2007-06-08 21:42 352 --a------ C:\Qoobox\Quarantine\Registry_backups\services_nm.reg.cf

2007-06-09 14:43 43 --a------ C:\Qoobox\Quarantine\C\WINDOWS\SVCHOST.INI.vir



Zmienna PATH folderu

Numer seryjny woluminu: A4D8-6BD5

C:\QOOBOX

\---Quarantine

    +---Registry_backups

    | services_nm.reg.cf

    |       

    \---C

        +---WINDOWS

        | | SVCHOST.INI.vir

        | |   

        | \---system32

        | ~.exe.vir

        |           

        \---avenger

Log z HJT:

Sprawdzałem mksem i nie znalazł wirusa (ani trojana).

Co mam zrobić aby działały mi moje dyski na 2 klik?

Złączono Posta : 10.06.2007 (Nie) 23:15

Przepraszam, że 2 post ale chciałem edytować wcześniejszy i pokazało mi, że za dużo znaków...

ale o co chodzi:

Na na C znalazłem katalog

ComboFix a w nim plik combofix.txt

z godziny 22:44 czyli z tej, o której robiłem loga!!

to też wklejam:

i Silent:

A no i czy te 6 procesów SVCHOST.EXE to normalne? i czy to jest normalne, że jeden z nich "zjada" 12,000K (do 21,000 K) użycia pamięci a reszta po około 2,000K?

I jeszcze jedno: co zrobić aby taki program: SSC Service Utility nie włączał sie przy starcie? Ja go niby odinstalowałem, a on nadal jest :frowning: No i najważniejsze teraz te dyski...


(Gutek) #8

Czyszczenie rejestru:

RegCleaner - http://www.dobreprogramy.pl/index.php?dz=2&t=29&id=177

możesz rejestr przelecieć albo

jv16 PowerTools - http://www.dobreprogramy.pl/index.php?dz=2&t=29&id=509


(Grzesiu8) #9

Przeskanowałem (autoczyszczenie) RegCleanerem i nadal nie działa.

2 razy klikam i wyskakuje:

Wybierz program, którego chcesz użyć do otwarcia tego pliku:

gdy kliknę prawym to są dziwne znaki - ale jak się na nie kliknie - to wyskakuje to co wcześniej.

Jedyny sposób to w pasku wpisać C: i eneter.

Proszę pomóżcie jak to zrobić aby działało 2kilkiem :frowning:


(qrczak13) #10

(Grzesiu8) #11

Nadal nic :frowning:

Zrobiłaem tak, że i dodałem do rejsestru i alternatywe i nadal nic...

Prawym klikam i są te znaczki (Ń~xą% itd...)

Inne foldery w menu kontekstowym mają Otwórz, dyski tego nie mają :frowning:

Jakieś pomysły?