Witam. I ja mam problem z Worm/Autorun na każdej partycji. Jak otwieram poszczególne dyski AVG wykrywa Konia trojanskiego SHeur.ALNQ podczas otwierania pliku: C:\WINDOWS\system32\jg721948.dll Niby mozna to wyleczyc za pomoca AVG, program informuje, ze wyleczył plik, ale przy ponownym otwarciu dysku jest to samo. I tak juz od dluzszego czasu. Pasowałoby to wyleczyć, ale ja jestem w tym zielona, dlatego liczę na waszą pomoc. Przejrzałam trochę postów na tym forum i chciałam zacząc od Combofixa, niestety gdy uruchamiam program, pojawia się informacja, ze wystapil problem z aplikacja prep.com i zostanie ona zamknieta, jednoczesnie AVG wykrywa wirusa Kon trojanski BackDoor.SmallX.VX i niby go wylecza, ale po chwili znowu jest to samo. Natomiast ten log z Hijack This jest taki: http://www.wklejto.pl/24860. Proszę o pomoc, jak również i proste tłumaczenie. Aneta
Usuń tego ComboFixa, wyłącz swego Antivirusa, ściągnij od nowa ComboFix, wklej do Notatnika:
File::
C:\Documents and Settings\anet_i_bodziu\Menu Start\Programy\Autostart\ctfmon.exe
Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
>>Plik>>Zapisz jako… >>> CFScript
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe
– podobnie jak na tym obrazku –>
Ma się rozpocząć usuwanie. (i powstanie log). Daj ten log.
jessi
staram się jak mogę, ale jak przeciągam CFScript na ComboFix, nic sie nie dzieje, nie rozpoczyna się zadne usuwanie. Co robie nie tak? Mam wylaczone wszystkie programy i antywir tez
Spróbuj uruchomić combofix z scriptem w trybie awaryjnym
Zaraz spróbuje w awaryjnym, tylko jeszcze zapytam czy mam usunąc te wpisy przytoczone przez jessica? z ctfmon.exe? Jesli tak, to w tym programie HijackThis? Zaznaczam i usuwam, tak? Ja naprawde sie na tym slabo znam, wiec nie smiejcie sie
Jeśli wykonasz Script, to z logu Hijacka samo zniknie.
jessi
Nic z tego, w trybie awaryjnym to samo: Combo sie nie uruchamia. Potem probowalam jeszcze wlaczyc combofix bez scriptu, okazalo sie ze byla wlaczona ochrona rezydentna, wylaczylam ja, na nowo sciagnelam combo ale dalej bez zmian.Tyle ze w miedzyzasie usunelam ten wpis z cfmon.exe w HijackThis no i nie wiem teraz czy dobrze. W ogole tryb awaryjny nie chcial mi sie uruchomic przez F8, musialam tym innym sposobem przez Uruchom itd. I co teraz? Zrobic to wsprawdzanie przez ComboFix juz bez scriptu?
Jest inny sposób uruchamiania ComboFixa przy pomocy Scriptu, ale nie pamiętam dokładnie, który z tych:
- >prawoklik na Script>>Otwórz za pomocą>>“Wybierz program domyślny”>>usuń zaznaczenie z okienka “Zawsze używaj tego…”>>Przeglądaj>>wybierz ścieżkę i ComboFix.exe>>itd
albo odwrotnie:
- prawoklik na ComboFix.exe>>Otwórz za pomocą>>“Wybierz program domyślny”>>usuń zaznaczenie z okienka “Zawsze używaj tego…”>>Przeglądaj>>wybierz ścieżkę i CFScript.txt>>itd
Spróbuj któregoś.
Jeśli się nie uda, to dasz normalny log z ComboFixa.
jessi
Do wyleczenia pendrive z wirusów użyj tych programów
Log ok
usuń ręcznie folder C:\Qoobox , usuń instalkę Combofix z dysku.
Przeczyść system Ccleanerem
Wykonaj optymalizację autostartu
Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja
Przeskanuj obszar całego komputera http://www.kaspersky.pl/virusscanner.html Daj raport z niego na forum
ok, jestem przy ccleaner, skad mam wiedziec, co powinnam usunac, na wstepie program zaznacza mi np rozne fajne programy, rozumiem, ze musze to wszystko sprawdzic i odhaczyc, to czego nie chce by usunal, tak?
Jeśli nie wiesz, co usuwać, to lepiej zostaw tego “CCleanera” w spokoju. Możesz łatwo coś uszkodzić, więc nie warto chyba. Takie czyszczenie jest polecane tylko dla znających się “na rzeczy”.
Ewentualnie spróbuj tylko popróżnić foldery TEMP przy pomocy tego “CCleanera” - to niczym nie grozi.
W necie są tysiące tematów użytkowników, którzy użyli narzędzia czyszczącego, nie znając się na tym - efekt: zniszczyli sobie System.
jessi
no wlasnie, po tym combofixie usunelo mi Bata, co mam robic, by to odzyskac, przeciez tam mam cala poczte!! Chyba da sie to przywrocic, co?
Gdzie Ty widzisz tego usuwanego BATa? Ja patrzę, patrzę, i nie widzę, by ComboFix go usuwał.
Chyba, że usunął, a tego nie pokazał w logu.
W takim przypadku można jeszcze było to odzyskać, ale przed usunięciem Kwarantanny ComboFixa, czyli C:\Qoobox. Ale ten Qoobox jest już chyba usunięty, więc nie da się już odzyskać niczego.
jessi
Nie jest tak zle, tzn program jest, tylko od nowa musze sie rejestrowac, ale widze ze mejle odzyskalam, dam sobie z tym rade, pamietam, ze juz raz tak mialam.
Sprobuje przeczyscic kompa tym ccleanerem, tylko chce sie upewnic w nastepujacych: W tej zakladce cleaner, rozumiem, ze to co zaznaczone zostanie usuniete? W takim razie odhaczam sobie wszystkie pewne programy i powinno grac. W zakladce rejestr, jak dam skanowanie, wychodzi tego za trzesienie. Czy jak dam napraw, bede mogla to cofnac w razie czego?
– Dodane 05.02.2009 (Cz) 12:54 –
ok, poradzilam sobie z tym czyszczeniem, ostroznie udalo sie wyczysic caly ten syf Nie wiedzialam ze ta zakladka programy odnosi sie do tych blednych wpisow. Optymalizacje systemu i przywracanie systemu na dyskach sobie daruje bo to jak na razie wyzsza szkola jazdy jak dla mnie Robie skan Kasperskim Jak skonczy dam wynik
– Dodane 05.02.2009 (Cz) 15:26 –
raport Kaspersky http://www.wklejto.pl/25020 Proszę o odpowiedz.
– Dodane 05.02.2009 (Cz) 17:29 –
zawężam pytanie, bo zrobilam scan avg, wyszedl ten trojan sheur.alnq tylko ze to jest ten sam plik, ktory wykryl Kaspersky jako Trojan.Win32.KillAV.nh w System32. Avg go usunal, rozumiem wiec, ze jakkolwiek ten trojan sie zwie, to go juz nie ma. Co do raportu Kasperskiego, rozumiem, ze jest jakis robal w emailu, tylko jak mam to namierzyc, by usunac? I jak usunac te cfmony w recycled?? Pomozcie, prosze, podejrzewam, ze to nie jest trudne, ale ja nie wiem jak to zrobic.
– Dodane 05.02.2009 (Cz) 17:37 –
Ponowny skan Kasperskim wykrywa jednak jeden plik zainfekowany: C:\WINDOWS\system32\jg721948.dl_ Zainfekowany: Trojan.Win32.KillAV.nh 1 To jest prawie ten sam plik, ktory wykryl avg, tylko rozni sie rozszerzeniem
Czy to cos powaznego?? Pomozcie
Wklej do Notatnika :
File::
C:\Documents and Settings\anet_i_bodziu\Dane aplikacji\The Bat!\anet\Inbox\MESSAGES.TBB
C:\Documents and Settings\anet_i_bodziu\Pulpit\backups\backup-20090204-162847-693-ctfmon.exe
C:\Recycled\ctfmon.exe
C:\WINDOWS\system32\jg721948.dll
C:\WINDOWS\system32\jg721948.dl_
D:\Recycled\ctfmon.exe
E:\Recycled\ctfmon.exe
F:\Recycled\ctfmon.exe
Folder::
C:\Recycled
D:\Recycled
E:\Recycled
F:\Recycled
C:\Documents and Settings\anet_i_bodziu\Pulpit\backups
>>Plik>>Zapisz jako… >>> CFScript
Potem robisz ze Scriptem tak, jak poprzednio.
jessi
wielkie dzięki jessi. Tu jest raport http://www.wklejto.pl/25053 Rozumiem, ze mam teraz usunac qoobox i instalke combofixa. Mam tylko pytanie, czy to znaczy, ze usunelo mi cala poczte przychodzaca? (bo nie mam jak tego teraz sprawdzic)
Raczej usuneło
W logu nic nie widzę
usuń ręcznie folder C:\Qoobox , usuń instalkę Combofix z dysku.
Przeczyść system Ccleanerem
Wykonaj optymalizację autostartu
Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja
Przeskanuj obszar całego komputera http://www.kaspersky.pl/virusscanner.html Daj raport z niego na forum