win32:cutwail[trj]

[Gość: Adriano]

Czesc. Od wczoraj mam problem z tym wirusem. avast wykrywa mi go ciągle ale
nie moge go usunąć. A zaraz po tym pokazuje mi jeszcze jednego wirusa
win32:Trojan-gen{Other}. I jeszcze pokazuje się jakis błąd z aresa i pisze
"zły obraz". bardzo proszę o pomoc, jak mam to usunąć?

[Gość: Adriano]

aha i jeszcze przy tym cutwail pisze wyżej w tym komunikacie avast
"C:\WINDOWS/system32/drivers/nicsk32.sys[Embedded_lx#19b0"


a przy drugim "1\GWCZYK~1\GWCZYK~1\USTAWI~1\temp\BN4.tmp[Embed"

[Gość: Adriano]

log z combofixa

wklej.org/id/68833/

[Gość: @]

Wklej do notatnika:

File::
c:\windows\system32\drivers\systemntmi.sys
c:\windows\system32\drivers\ksi32sk.sys
c:\windows\system32\drivers\ati64si.sys
c:\windows\system32\drivers\acpi32.sys

Driver::
acpi32
ati64si
ksi32sk
systemntmi

Plik zapisz pod nazwą: CFScript
Teraz plik przeciągnij i upuść na ikonę ComboFix:
wstaw.org/d/d93
Pokaż log który powstanie podczas usuwania.

[Gość: Adriano]

proszę bardzo

wklej.org/id/69046/

[Gość: @]

Log wygląda Ok.
Zrób to:
forum.gazeta.pl/forum/72,2.html?f=430&w=88077527&a=88083760

[Gość: Adriano]

mam usunąć ten taki folder Qoobox ?

[Gość: @]

Tak, usuń całkowicie folder Qoobox, zaznacz i naciśnij Shift + Delete

[Gość: Adriano]

czyli te wirusy są już usunięte?

[Gość: Kolobos]

Na to wyglada.

[Gość: Adriano]

a w tym programie atf cleaner to co mam wybrac? bo jest tak:
- Windows temp
- Current user temp
-all user temp
- cookies
- temporary internet files
-history
- prefetch
- java cache
- recycle bin
- select all

[Gość: Adriano]

jest ktos jeszcze?

[Gość: @]

Czasem trzeba pomyśleć samodzielnie.
www.fotosik.pl/pokaz_obrazek/pelny/aadc3493b3ce15d6.html

[Gość: Adriano]

Dzięki za pomoc :)

[Gość: Adriano]

Dzięki za pomoc :) a tego combofixa i atf cleaner moge usunąc?

[Gość: @]

Tak, możesz usunąć, po prostu skasuj z dysku.

[Gość: SZYMEK]

Też korzystam z AVASTA i miałem ten sam problem tydzień temu, ale ja usunąłem plik przeniesiony do kwarantanny i później okazało się że nie można odpalić WINDOWSA tzn miałem tylko tło pulpitu bez ikon.Pojawiał się komunikat " zły obraz pliku C\windows/sytem32...Trzeba było odpalić kompa w trybie awaryjnym.Najpierw skopiowałem uszkodzony plik u kumpla i za pomocą jakiegokolwiek nośnika np pendraiwa skopiowałem go do mojego komputera ( tzn zrobiłem podmianę uszkodzonego pliku na dobry). Okazało się że to nie wystarczy i w trybie awaryjnym wszedłem w WSZYSTKIE PROGRAMY\Akcesoria\narzędzia systemowe\przywracanie systemu i cofnąłem zapis o kilka dni. Potem zalogowałem się powtórnie i wszystko było w porządku. Następnie trzeba gruntownie przeskanować jeszcze raz cały komputer najlepiej przy pomocy specjalnego programu do wykrywania koni trojańskich.. Jeżeli masz to samo co ja to powinno wystarczyć.

[Gość: Ewa]

mam ten sam problem :(
proszę o pomoc
wklej.org/id/71568/
Ewa

[Gość: Kolobos]

Podlacz zainfekowane nosniki i uzyj Flash Disinfector.

Utworz na pulpicie plik CFScript.txt, wklej do niego:

File::
c:\documents and settings\LocalService\.exe

Driver::
amd64si
ati64si
fips32cup
i386si
netsik
nicsk32
systemntmi

Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{538b9ebe-8cc1-11dd-82f3-001f3c2010e0}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{fff49c23-fba8-11dd-8428-001e37bee728}]

Firefox::
FF - ProfilePath - c:\documents and settings\ewat\Dane aplikacji\Mozilla\Firefox\Profiles\ojan7df9.default\
FF - prefs.js: browser.search.defaulturl -
FF - prefs.js: browser.search.selectedEngine -

Zapisz i przeciagnij go na ikone combofix.exe, zablokuj tez dostep do klucza mountpoints2:
www.searchengines.pl/Infekcje-z-pendrive-mediow-przenosnych-t94761.html punkt 3 z sekcji zapobieganie.

[Gość: kronos]

wklej.org/id/72321/
co dalej ?

[Gość: Kolobos]

Uzyj Flash Disinfector.

Uzyj takiego CFScript.txt:

File::
c:\windows\system32\AshEvtSvc.exe
c:\windows\p
c:\windows\system32\drivers\fips32cup.sys

Driver::
amd64si
fips32cup
AshEvtSvc
i386si
netsik
port135sik
{DEF85C80-216A-43ab-AF70-1665EDBE2780}

Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{009770fa-85a9-11dd-b113-98e82b36e632}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{dcd63018-ad63-11dd-b164-001a4d1f86b5}]

Na koniec zablokuj dostep do klucza mountpoints2 w rejestrze.

[Gość: adrek]

witam , mam ten sam problem
bylbym wdzieczny jakby ktos rzucil okiem
wklej.org/id/75918/

[Gość: Kolobos]

Sprawdz c:\windows\explorer.exe na jotti i zobacz czy nie jest zainfekowany.

Wpisz w uruchom:
sc delete acpi32
sc delete amd64si
i to samo dla tych wszyskich:
ati64si
fips32cup
i386si
ksi32sk
netsik
nicsk32
port135sik
securentm
systemntmi
pohci13F

[lessster]

hej=) ten sam problem...z tym ze po przeskanowaniu przez combofixa wszystko
dziala i nic nie robilem wiecej...(?) ale takie cos dostalem i nie wiem co dalej:

wklej.org/id/107339/
z gory dzieki za pomoc!

[kolobos]

Combofix usunal infekcje, do kasacji tylko katalog C:\FOUND.000.

[Gość: Mariusz]

Mam ten sam problem mozna go jakos naprawic bez tych logow bo sie nie znam na nich?

NIE!

[Gość: Kolobos]

Nie trzeba sie znac, wystarczy umiec czytac.

[Gość: Mar]

Chodzilo mi bardziej o to ze nigdy tego nie robilem i sie balem ze cos zepsuje.
Uruchomilem jednak combofixa, ktory cos tam usunal i problem zniknal. Wie ktos
czy na dobre czy jednak trzeba jeszcze cos zrobic?

[Gość: @]

Pokaż log z ComboFix, znajdziesz go tutaj - C:\ComboFix.txt
Log umieść tutaj i podaj link.

[Gość: Mariusz]

wklej.org/id/108148/

[Gość: Mariusz]

Tu jest log wklej.org/id/108231/

A po za tematem jak uruchamiam combofixa pokazuje mi ze działa ochrona pandy,
którą już dawno usunąłem. Wiesz może coś na ten temat?

[Gość: @]

Wklej do notatnika:

File::
c:\windows\system32\drivers\2f4dd21.sys
c:\windows\system32\3773290413.dat
c:\docume~1\Maniek\USTAWI~1\Temp\bwgo0000fcfd.exe

Driver::
2f4dd21

Plik zapisz pod nazwą CFScript
Teraz plik przeciągnij i upuść na ikonę ComboFix:
i44.tinypic.com/2qk54p1.gif
Pokaż log który powstanie podczas usuwania.

[Gość: Mariusz]

Tu jest log wklej.org/id/108231/

A po za tematem jak uruchamiam combofixa pokazuje mi ze działa ochrona pandy,
którą już dawno usunąłem. Wiesz może coś na ten temat?

[Gość: @]

Log wygląda OK.
Skasuj folder Qoobox - C:\Qoobox
Wyłącz na chwile przywracanie systemu - Klik
Opróżnij Temp i Temporary - ATF-Cleaner

>ze działa ochrona pandy, którą już dawno usunąłem

Przeczytaj jak usunąć stare dane z Centrum Zabezpieczeń - Klik

[Gość: Mariusz]

Dzięki wielkie za pomoc jestes spoko ;P. Pozdrawiam