Kłaniam się niskooo…

Topic mało oryginalny, bo wielokrotnie już poruszany. Zafundowałem sobie trojana spod znaku amvo z pendriva. Z pena udało mi się usunąć tradycyjnymi metodami (kilkakrotnie AVG Anti-spyware, NOD32 i to małe cacuszko pod nazwą Flash Desinfector), nie mniej na kompie mój trojan wciąż fruwa.

Załączam link z Combofixa.

http://wklejto.pl/5176

Dziś przeskanowałem kompa AVG-spyware i Nod’em i ku mojemu zdziwieniu wszystko ok. Wiem, wiem…jest jeszcze rejestr i ten wpis…ale niestety nie potrafię go usunąć.

A swoją drogą, to muszę wyrazić swoje zdziwienie z powodu bezradności standardowym antywirów w stosunku do tego trojana. Koniec, końców trzeba użyć Combofixa i prosić o pomoc doświadczonych weteranów. Niby nic, tylko jaką mam pewność czy za chwilę nie złapie czegoś podobnego.

Pozdrawiam

masz 2 antywirusy w kompie ?

Kiedyś myślałem, że to nieprofesjonalne, bo się gryzą itp., ale niedawno naczytałem się o wzajemnym uzupełnianiu się antywira i dodatkowego antyspyware’a i postanowiłem spróbować. Dotychczas się sprawdzało, chodziaż zdaje sobie sprawę, że sam NOD32 również filturje szkodniki.

NOD 32 Internet Security czy sam NOD 32 ?

Wklej do Notatnika:

File::

C:\00hoeav.com

C:\Program Files\1049.mst

C:\Program Files\1026.mst

C:\Program Files\1058.mst

C:\Program Files\1033.mst

C:\Program Files\1038.mst

C:\Program Files\1045.mst

C:\Program Files\1029.mst

C:\Program Files\1051.mst

C:\Program Files\1055.mst

C:\Program Files\Manual~1.cab

C:\WINDOWS\system32\amvo.exe

>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )

– podobnie jak na tym obrazku –>

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: ** Qoobox**.

Po tym nowy log z Combo oraz skan http://www.kaspersky.pl/virusscanner.html

Gutek2222 - dzięki za odpowiedź, niestety aktualnie jestem w pracy i nie mam dostępu do swojego kompa. Odkryłem jednak, że to mój firmowy komp jest zainfekowany amo.exe - stąd zapewne go przeniosłem do siebie. Gdyby to nie był problem, proszę sprawdź mojego loga z Combofixa (z firmowego kompa). Wiem, że jestem nudny i namolny, starałem się samemu rozwiązać problem, ale poległem…

Dzięki za wszystko.

Log z Combofixa.

http://wklejto.pl/5228

Do wyleczenia pendrive z wirusów użyj

Perlovg Removal Tool

Flash Disinfector

lub format

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

File::

C:\00hoeav.com

C:\qxbx9blb.com


Registry::

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{977e9f8c-4665-11dd-a69d-001d60761500}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{977e9f8d-4665-11dd-a69d-001d60761500}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{be616181-f4d8-11dc-a655-001d60761500}] 

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{fe331fa5-2315-11dd-a67b-001d60761500}]

Plik -> zapisz jako -> CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->

Rozpocznie się usuwanie i powstanie log, który dasz na forum.

Logi dajesz na http://wklejto.pl a w poście dajesz tylko link

Powoli zaczynam wątpić czy mój pendrive jest “czysty”. Skanowałem go Nod32 (bezpłatna wersja) a potem AVG anty-spyware, a na koniec użyłem Falsh Desinfecotr’a. Teoretycznie problem zniknął, ale “kolega z pracy” bez mojej wiedzy podłączył pena do mojego firmowego kompa (tego zainfekowanego amo) i od razu wyskoczyło ostrzeżenie Nod’a o trojanie “Zbiór C:\autorun.inf jest zainfekowany - trojan Win32/PSW.OnLineGames.NMY.”. Teraz się zastanawiam czy świadczy to o tym, że komp jest po prostu zarażony czy też że mój trojan znowu powędrował na pena.

Boże przebacz…

bo nie wiem, co czynię…

W dniu 08.07.2008 , o godzinie 14:58 został dopisany post przez ikuku

hubert2t dzięki, ale czy twój post dotyczy drugiego przypadku (firmowy komp) czy też samego początku mojego problemu???

Dotyczy firmowego kompa

Poczyniłem tak, jak Gutek2222 mi poradził… (jescze raz dzięki =D> )

Dzięki hubert2t - jutro spróbuje na firmowym kompie.

Wynik nierównej walki z trojanem na domowym kompie:

Oto log z Combofixa zaraz po przeniesieniu CFScript.thx do Combofix.exe

http://wklejto.pl/5259

Log z Combofixa po restarcie kompa i usunięciu katalogu Qoobox

http://wklejto.pl/5258

No i niestety wyniku scanowania Kasperskim on-line

http://wklejto.pl/5260

Troszeczkę się podłamałem. Zaczynam się już zastanawiać czy nie szkoda waszego czasu, skoro idzie tak topornie (wiem, wiem moja wina, jak się wchodzi tu i tam i się ściąga to i tamto, to się ma…na co człowiek zasłużył #-o ![-o<

A może przywrócić obraz systemu sprzed 2 miesięcy??? Czy to będzie oznaczało koniec mojego trojana ?

Pozdraawiam

nie przejmuj się

Wylecz pendriva lub kartę pamięci http://www.softpedia.com/get/Security/S … Tool.shtml

Flash Disinfector http://www.searchengines.pl/index.php?s … ntry369724

lub format

Otwórz notatnik i wklej

zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe

http://img.wklej.org/images/88953CFScri … iemoes.gif

Powinno rozpocząć się usuwanie

Potem log z usuwania Combofix

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

File::

C:\qxbx9blb.com

C:\Documents and Settings\albi\Moje dokumenty\adni18\Hyalo-2xWeather(www.adni18.com).zip

D:\00hoeav.com 

D:\qxbx9blb.com


Folder::

C:\System Volume Information\_restore{13C67490-C3CD-4023-9C73-CA4A7581B90F}\RP232

C:\System Volume Information\_restore{13C67490-C3CD-4023-9C73-CA4A7581B90F}\RP233

C:\System Volume Information\_restore{13C67490-C3CD-4023-9C73-CA4A7581B90F}\RP234

C:\System Volume Information\_restore{13C67490-C3CD-4023-9C73-CA4A7581B90F}\RP235

C:\System Volume Information\_restore{13C67490-C3CD-4023-9C73-CA4A7581B90F}\RP236

D:\System Volume Information\_restore{13C67490-C3CD-4023-9C73-CA4A7581B90F}\RP232

D:\System Volume Information\_restore{13C67490-C3CD-4023-9C73-CA4A7581B90F}\RP233

D:\System Volume Information\_restore{13C67490-C3CD-4023-9C73-CA4A7581B90F}\RP234

D:\System Volume Information\_restore{13C67490-C3CD-4023-9C73-CA4A7581B90F}\RP235

D:\System Volume Information\_restore{13C67490-C3CD-4023-9C73-CA4A7581B90F}\RP236

Plik -> zapisz jako -> CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->

Rozpocznie się usuwanie i powstanie log, który dasz na forum.

Logi dajesz na http://wklejto.pl a w poście dajesz tylko link

Skąd ta różnica w Waszych wskazówkach, co do treści tego, co mam wkleić w notatniku???

W dniu 08.07.2008 , o godzinie 23:39 został dopisany post przez ikuku

Wkleiłem zgodnie ze wskazówkami Leon$'a

Log z Combofixa (pen był podłączony - nie wiem czy to ma znaczenie, wcześniej potraktowałem go Flesh Desinfectorem).

http://wklejto.pl/5281

Tym razem bez skana Kasperskiego.

Log ok

Ale przeskanuj system jeszcze Kasperskim

Stary dobry Kaspersky…minie jeszcze trochę czasu…zanim go pokonam… :?

Na razie to on jest górą.

Raport (skanowanie: Kaspersky on line, tryb Mój komputer)

http://wklejto.pl/5310

Osobno raport ze skanowania pendriva (robak)

Przyszło mi do głowy usunięcie tego pliku (?), pokaż ukryte (?), usuń (?)…może coś majacze (z pewnością ). Rozumiem, że za chwilę będzie format. Tylko że ja mam na penie ważne dane. Każde dane są ważne…

http://wklejto.pl/5309

Pozdrawiam, o wielcy, o nieustępliwi…rycerze światła

Niech moc będzie z Wami.

Usuń to:

Wyłącz i Włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Zrobiłem huber2t jak kazałeś, wielkie dzięki . Czy to już na pewno wszystko ? A co z pendrivem i raportem Kasperskiego?

To co było do usunięcia usunołeś

Powinno być ok

Czy wykorzystanie obrazu całego dysku (wczytanie, wgranie go - nie wiem jak się powinno fachowo wyrażać) pozwala ominąć problem wirusów i szkodników, pod warunkiem oczywiście że obraz był wykonywany w momencie gdy komp był czysty?

Tak ale wtedy tracisz bierzące ustawienia i programy i zastępujesz je tymi z dnia robienia obrazu