Worm/Autorun, trojany SHeur.ALNQ i BackDoor.SmallX.VX

Witam. I ja mam problem z Worm/Autorun na każdej partycji. Jak otwieram poszczególne dyski AVG wykrywa Konia trojanskiego SHeur.ALNQ podczas otwierania pliku: C:\WINDOWS\system32\jg721948.dll Niby mozna to wyleczyc za pomoca AVG, program informuje, ze wyleczył plik, ale przy ponownym otwarciu dysku jest to samo. I tak juz od dluzszego czasu. Pasowałoby to wyleczyć, ale ja jestem w tym zielona, dlatego liczę na waszą pomoc. Przejrzałam trochę postów na tym forum i chciałam zacząc od Combofixa, niestety gdy uruchamiam program, pojawia się informacja, ze wystapil problem z aplikacja prep.com i zostanie ona zamknieta, jednoczesnie AVG wykrywa wirusa Kon trojanski BackDoor.SmallX.VX i niby go wylecza, ale po chwili znowu jest to samo. Natomiast ten log z Hijack This jest taki: http://www.wklejto.pl/24860. Proszę o pomoc, jak również i proste tłumaczenie. Aneta

Usuń tego ComboFixa, wyłącz swego Antivirusa, ściągnij od nowa ComboFix, wklej do Notatnika:

File::

C:\Documents and Settings\anet_i_bodziu\Menu Start\Programy\Autostart\ctfmon.exe


Registry::

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

>>Plik>>Zapisz jako… >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

– podobnie jak na tym obrazku –>cfscript10gm1.gif

Ma się rozpocząć usuwanie. (i powstanie log). Daj ten log.

jessi

staram się jak mogę, ale jak przeciągam CFScript na ComboFix, nic sie nie dzieje, nie rozpoczyna się zadne usuwanie. Co robie nie tak? Mam wylaczone wszystkie programy i antywir tez

Spróbuj uruchomić combofix z scriptem w trybie awaryjnym

Zaraz spróbuje w awaryjnym, tylko jeszcze zapytam czy mam usunąc te wpisy przytoczone przez jessica? z ctfmon.exe? Jesli tak, to w tym programie HijackThis? Zaznaczam i usuwam, tak? Ja naprawde sie na tym slabo znam, wiec nie smiejcie sie

Jeśli wykonasz Script, to z logu Hijacka samo zniknie.

jessi

Nic z tego, w trybie awaryjnym to samo: Combo sie nie uruchamia. Potem probowalam jeszcze wlaczyc combofix bez scriptu, okazalo sie ze byla wlaczona ochrona rezydentna, wylaczylam ja, na nowo sciagnelam combo ale dalej bez zmian.Tyle ze w miedzyzasie usunelam ten wpis z cfmon.exe w HijackThis no i nie wiem teraz czy dobrze. W ogole tryb awaryjny nie chcial mi sie uruchomic przez F8, musialam tym innym sposobem przez Uruchom itd. I co teraz? Zrobic to wsprawdzanie przez ComboFix juz bez scriptu?

Jest inny sposób uruchamiania ComboFixa przy pomocy Scriptu, ale nie pamiętam dokładnie, który z tych:

  1. >prawoklik na Script>>Otwórz za pomocą>>“Wybierz program domyślny”>>usuń zaznaczenie z okienka “Zawsze używaj tego…”>>Przeglądaj>>wybierz ścieżkę i ComboFix.exe>>itd

albo odwrotnie:

  1. prawoklik na ComboFix.exe>>Otwórz za pomocą>>“Wybierz program domyślny”>>usuń zaznaczenie z okienka “Zawsze używaj tego…”>>Przeglądaj>>wybierz ścieżkę i CFScript.txt>>itd

Spróbuj któregoś.

Jeśli się nie uda, to dasz normalny log z ComboFixa.

jessi

Dzięki, udało się tym pierwszym sposobem!! http://www.wklejto.pl/24935

Do wyleczenia pendrive z wirusów użyj tych programów

Log ok

usuń ręcznie folder C:\Qoobox , usuń instalkę Combofix z dysku.

Przeczyść system Ccleanerem

Wykonaj optymalizację autostartu

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar całego komputera http://www.kaspersky.pl/virusscanner.html Daj raport z niego na forum

ok, jestem przy ccleaner, skad mam wiedziec, co powinnam usunac, na wstepie program zaznacza mi np rozne fajne programy, rozumiem, ze musze to wszystko sprawdzic i odhaczyc, to czego nie chce by usunal, tak?

Jeśli nie wiesz, co usuwać, to lepiej zostaw tego “CCleanera” w spokoju. Możesz łatwo coś uszkodzić, więc nie warto chyba. Takie czyszczenie jest polecane tylko dla znających się “na rzeczy”.

Ewentualnie spróbuj tylko popróżnić foldery TEMP przy pomocy tego “CCleanera” - to niczym nie grozi.

W necie są tysiące tematów użytkowników, którzy użyli narzędzia czyszczącego, nie znając się na tym - efekt: zniszczyli sobie System.

jessi

no wlasnie, po tym combofixie usunelo mi Bata, co mam robic, by to odzyskac, przeciez tam mam cala poczte!! Chyba da sie to przywrocic, co?

Gdzie Ty widzisz tego usuwanego BATa? Ja patrzę, patrzę, i nie widzę, by ComboFix go usuwał.

Chyba, że usunął, a tego nie pokazał w logu.

W takim przypadku można jeszcze było to odzyskać, ale przed usunięciem Kwarantanny ComboFixa, czyli C:\Qoobox. Ale ten Qoobox jest już chyba usunięty, więc nie da się już odzyskać niczego.

jessi

Nie jest tak zle, tzn program jest, tylko od nowa musze sie rejestrowac, ale widze ze mejle odzyskalam, dam sobie z tym rade, pamietam, ze juz raz tak mialam.

Sprobuje przeczyscic kompa tym ccleanerem, tylko chce sie upewnic w nastepujacych: W tej zakladce cleaner, rozumiem, ze to co zaznaczone zostanie usuniete? W takim razie odhaczam sobie wszystkie pewne programy i powinno grac. W zakladce rejestr, jak dam skanowanie, wychodzi tego za trzesienie. Czy jak dam napraw, bede mogla to cofnac w razie czego?

Dodane 05.02.2009 (Cz) 12:54

ok, poradzilam sobie z tym czyszczeniem, ostroznie udalo sie wyczysic caly ten syf Nie wiedzialam ze ta zakladka programy odnosi sie do tych blednych wpisow. Optymalizacje systemu i przywracanie systemu na dyskach sobie daruje bo to jak na razie wyzsza szkola jazdy jak dla mnie Robie skan Kasperskim Jak skonczy dam wynik

Dodane 05.02.2009 (Cz) 15:26

raport Kaspersky http://www.wklejto.pl/25020 Proszę o odpowiedz.

Dodane 05.02.2009 (Cz) 17:29

zawężam pytanie, bo zrobilam scan avg, wyszedl ten trojan sheur.alnq tylko ze to jest ten sam plik, ktory wykryl Kaspersky jako Trojan.Win32.KillAV.nh w System32. Avg go usunal, rozumiem wiec, ze jakkolwiek ten trojan sie zwie, to go juz nie ma. Co do raportu Kasperskiego, rozumiem, ze jest jakis robal w emailu, tylko jak mam to namierzyc, by usunac? I jak usunac te cfmony w recycled?? Pomozcie, prosze, podejrzewam, ze to nie jest trudne, ale ja nie wiem jak to zrobic.

Dodane 05.02.2009 (Cz) 17:37

Ponowny skan Kasperskim wykrywa jednak jeden plik zainfekowany: C:\WINDOWS\system32\jg721948.dl_ Zainfekowany: Trojan.Win32.KillAV.nh 1 To jest prawie ten sam plik, ktory wykryl avg, tylko rozni sie rozszerzeniem

Czy to cos powaznego?? Pomozcie

Wklej do Notatnika :

File::

C:\Documents and Settings\anet_i_bodziu\Dane aplikacji\The Bat!\anet\Inbox\MESSAGES.TBB

C:\Documents and Settings\anet_i_bodziu\Pulpit\backups\backup-20090204-162847-693-ctfmon.exe 

C:\Recycled\ctfmon.exe

C:\WINDOWS\system32\jg721948.dll  

C:\WINDOWS\system32\jg721948.dl_ 

D:\Recycled\ctfmon.exe 

E:\Recycled\ctfmon.exe  

F:\Recycled\ctfmon.exe


Folder::

C:\Recycled

D:\Recycled

E:\Recycled

F:\Recycled

C:\Documents and Settings\anet_i_bodziu\Pulpit\backups

>>Plik>>Zapisz jako… >>> CFScript

Potem robisz ze Scriptem tak, jak poprzednio.

jessi

wielkie dzięki jessi. Tu jest raport http://www.wklejto.pl/25053 Rozumiem, ze mam teraz usunac qoobox i instalke combofixa. Mam tylko pytanie, czy to znaczy, ze usunelo mi cala poczte przychodzaca? (bo nie mam jak tego teraz sprawdzic)

Raczej usuneło

W logu nic nie widzę

usuń ręcznie folder C:\Qoobox , usuń instalkę Combofix z dysku.

Przeczyść system Ccleanerem

Wykonaj optymalizację autostartu

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar całego komputera http://www.kaspersky.pl/virusscanner.html Daj raport z niego na forum