Worm/Autorun, trojany SHeur.ALNQ i BackDoor.SmallX.VX


(Forysia) #1

Witam. I ja mam problem z Worm/Autorun na każdej partycji. Jak otwieram poszczególne dyski AVG wykrywa Konia trojanskiego SHeur.ALNQ podczas otwierania pliku: C:\WINDOWS\system32\jg721948.dll Niby mozna to wyleczyc za pomoca AVG, program informuje, ze wyleczył plik, ale przy ponownym otwarciu dysku jest to samo. I tak juz od dluzszego czasu. Pasowałoby to wyleczyć, ale ja jestem w tym zielona, dlatego liczę na waszą pomoc. Przejrzałam trochę postów na tym forum i chciałam zacząc od Combofixa, niestety gdy uruchamiam program, pojawia się informacja, ze wystapil problem z aplikacja prep.com i zostanie ona zamknieta, jednoczesnie AVG wykrywa wirusa Kon trojanski BackDoor.SmallX.VX i niby go wylecza, ale po chwili znowu jest to samo. Natomiast ten log z Hijack This jest taki: http://www.wklejto.pl/24860. Proszę o pomoc, jak również i proste tłumaczenie. Aneta


(jessica) #2

Usuń tego ComboFixa, wyłącz swego Antivirusa, ściągnij od nowa ComboFix, wklej do Notatnika:

File::

C:\Documents and Settings\anet_i_bodziu\Menu Start\Programy\Autostart\ctfmon.exe


Registry::

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

>>Plik>>Zapisz jako... >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

– podobnie jak na tym obrazku -->cfscript10gm1.gif

Ma się rozpocząć usuwanie. (i powstanie log). Daj ten log.

jessi


(Forysia) #3

staram się jak mogę, ale jak przeciągam CFScript na ComboFix, nic sie nie dzieje, nie rozpoczyna się zadne usuwanie. Co robie nie tak? Mam wylaczone wszystkie programy i antywir tez


(huber2t) #4

Spróbuj uruchomić combofix z scriptem w trybie awaryjnym


(Forysia) #5

Zaraz spróbuje w awaryjnym, tylko jeszcze zapytam czy mam usunąc te wpisy przytoczone przez jessica? z ctfmon.exe? Jesli tak, to w tym programie HijackThis? Zaznaczam i usuwam, tak? Ja naprawde sie na tym slabo znam, wiec nie smiejcie sie


(jessica) #6

Jeśli wykonasz Script, to z logu Hijacka samo zniknie.

jessi


(Forysia) #7

Nic z tego, w trybie awaryjnym to samo: Combo sie nie uruchamia. Potem probowalam jeszcze wlaczyc combofix bez scriptu, okazalo sie ze byla wlaczona ochrona rezydentna, wylaczylam ja, na nowo sciagnelam combo ale dalej bez zmian.Tyle ze w miedzyzasie usunelam ten wpis z cfmon.exe w HijackThis no i nie wiem teraz czy dobrze. W ogole tryb awaryjny nie chcial mi sie uruchomic przez F8, musialam tym innym sposobem przez Uruchom itd. I co teraz? Zrobic to wsprawdzanie przez ComboFix juz bez scriptu?


(jessica) #8

Jest inny sposób uruchamiania ComboFixa przy pomocy Scriptu, ale nie pamiętam dokładnie, który z tych:

1) >prawoklik na Script>>Otwórz za pomocą>>"Wybierz program domyślny">>usuń zaznaczenie z okienka "Zawsze używaj tego...">>Przeglądaj>>wybierz ścieżkę i ComboFix.exe>>itd

albo odwrotnie:

2) prawoklik na ComboFix.exe>>Otwórz za pomocą>>"Wybierz program domyślny">>usuń zaznaczenie z okienka "Zawsze używaj tego...">>Przeglądaj>>wybierz ścieżkę i CFScript.txt>>itd

Spróbuj któregoś.

Jeśli się nie uda, to dasz normalny log z ComboFixa.

jessi


(Forysia) #9

Dzięki, udało się tym pierwszym sposobem!! http://www.wklejto.pl/24935


(huber2t) #10

Do wyleczenia pendrive z wirusów użyj tych programów

Log ok

usuń ręcznie folder C:\Qoobox , usuń instalkę Combofix z dysku.

Przeczyść system Ccleanerem

Wykonaj optymalizację autostartu

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar całego komputera http://www.kaspersky.pl/virusscanner.html Daj raport z niego na forum


(Forysia) #11

ok, jestem przy ccleaner, skad mam wiedziec, co powinnam usunac, na wstepie program zaznacza mi np rozne fajne programy, rozumiem, ze musze to wszystko sprawdzic i odhaczyc, to czego nie chce by usunal, tak?


(jessica) #12

Jeśli nie wiesz, co usuwać, to lepiej zostaw tego "CCleanera" w spokoju. Możesz łatwo coś uszkodzić, więc nie warto chyba. Takie czyszczenie jest polecane tylko dla znających się "na rzeczy".

Ewentualnie spróbuj tylko popróżnić foldery TEMP przy pomocy tego "CCleanera" - to niczym nie grozi.

W necie są tysiące tematów użytkowników, którzy użyli narzędzia czyszczącego, nie znając się na tym - efekt: zniszczyli sobie System.

jessi


(Forysia) #13

no wlasnie, po tym combofixie usunelo mi Bata, co mam robic, by to odzyskac, przeciez tam mam cala poczte!! Chyba da sie to przywrocic, co?


(jessica) #14

Gdzie Ty widzisz tego usuwanego BATa? Ja patrzę, patrzę, i nie widzę, by ComboFix go usuwał.

Chyba, że usunął, a tego nie pokazał w logu.

W takim przypadku można jeszcze było to odzyskać, ale przed usunięciem Kwarantanny ComboFixa, czyli C:\Qoobox. Ale ten Qoobox jest już chyba usunięty, więc nie da się już odzyskać niczego.

jessi


(Forysia) #15

Nie jest tak zle, tzn program jest, tylko od nowa musze sie rejestrowac, ale widze ze mejle odzyskalam, dam sobie z tym rade, pamietam, ze juz raz tak mialam.

Sprobuje przeczyscic kompa tym ccleanerem, tylko chce sie upewnic w nastepujacych: W tej zakladce cleaner, rozumiem, ze to co zaznaczone zostanie usuniete? W takim razie odhaczam sobie wszystkie pewne programy i powinno grac. W zakladce rejestr, jak dam skanowanie, wychodzi tego za trzesienie. Czy jak dam napraw, bede mogla to cofnac w razie czego?

-- Dodane 05.02.2009 (Cz) 12:54 --

ok, poradzilam sobie z tym czyszczeniem, ostroznie udalo sie wyczysic caly ten syf Nie wiedzialam ze ta zakladka programy odnosi sie do tych blednych wpisow. Optymalizacje systemu i przywracanie systemu na dyskach sobie daruje bo to jak na razie wyzsza szkola jazdy jak dla mnie Robie skan Kasperskim Jak skonczy dam wynik

-- Dodane 05.02.2009 (Cz) 15:26 --

raport Kaspersky http://www.wklejto.pl/25020 Proszę o odpowiedz.

-- Dodane 05.02.2009 (Cz) 17:29 --

zawężam pytanie, bo zrobilam scan avg, wyszedl ten trojan sheur.alnq tylko ze to jest ten sam plik, ktory wykryl Kaspersky jako Trojan.Win32.KillAV.nh w System32. Avg go usunal, rozumiem wiec, ze jakkolwiek ten trojan sie zwie, to go juz nie ma. Co do raportu Kasperskiego, rozumiem, ze jest jakis robal w emailu, tylko jak mam to namierzyc, by usunac? I jak usunac te cfmony w recycled?? Pomozcie, prosze, podejrzewam, ze to nie jest trudne, ale ja nie wiem jak to zrobic.

-- Dodane 05.02.2009 (Cz) 17:37 --

Ponowny skan Kasperskim wykrywa jednak jeden plik zainfekowany: C:\WINDOWS\system32\jg721948.dl_ Zainfekowany: Trojan.Win32.KillAV.nh 1 To jest prawie ten sam plik, ktory wykryl avg, tylko rozni sie rozszerzeniem

Czy to cos powaznego?? Pomozcie


(jessica) #16

Wklej do Notatnika :

File::

C:\Documents and Settings\anet_i_bodziu\Dane aplikacji\The Bat!\anet\Inbox\MESSAGES.TBB

C:\Documents and Settings\anet_i_bodziu\Pulpit\backups\backup-20090204-162847-693-ctfmon.exe 

C:\Recycled\ctfmon.exe

C:\WINDOWS\system32\jg721948.dll  

C:\WINDOWS\system32\jg721948.dl_ 

D:\Recycled\ctfmon.exe 

E:\Recycled\ctfmon.exe  

F:\Recycled\ctfmon.exe


Folder::

C:\Recycled

D:\Recycled

E:\Recycled

F:\Recycled

C:\Documents and Settings\anet_i_bodziu\Pulpit\backups

>>Plik>>Zapisz jako... >>> CFScript

Potem robisz ze Scriptem tak, jak poprzednio.

jessi


(Forysia) #17

wielkie dzięki jessi. Tu jest raport http://www.wklejto.pl/25053 Rozumiem, ze mam teraz usunac qoobox i instalke combofixa. Mam tylko pytanie, czy to znaczy, ze usunelo mi cala poczte przychodzaca? (bo nie mam jak tego teraz sprawdzic)


(huber2t) #18

Raczej usuneło

W logu nic nie widzę

usuń ręcznie folder C:\Qoobox , usuń instalkę Combofix z dysku.

Przeczyść system Ccleanerem

Wykonaj optymalizację autostartu

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar całego komputera http://www.kaspersky.pl/virusscanner.html Daj raport z niego na forum