Jak usunąć tego wirusa host Bindfile, copy.exe

Witam. Mam taki uciążliwy problem z jednym wirusem i nie umiem dziada usunąć. Poniżej te pliki:



Z tego co się dowiedziałem to wirus roznosi się poprzez urządzenia USB które najpierw infekuje, a następnie blokuje do nich dostęp. Jak się tego pozbyć bo za każdym razem jak to kasuje to on się pojawia na nowo.

HijackThis i spróbuj usunąć go killbox'em

Witam.

Duch__ napisał:

Witam. Mam taki uciążliwy problem z jednym wirusem i nie umiem dziada usunąć. Poniżej te pliki:



Z tego co się dowiedziałem to wirus roznosi się poprzez urządzenia USB które najpierw infekuje, a następnie blokuje do nich dostęp. Jak się tego pozbyć bo za każdym razem jak to kasuje to on się pojawia na nowo.

Blokowanie odbywa się za pomocą pliku autorun.inf
więc kliknij Prawym myszy na Pendrive/Czytnik Kart
i wybierz eksploruj potem usuń pliki.

wszystko fajnie pięknie, ale on sam ponownie sie pojawia.

To nie sa wszystkie pliki. Musisz usunac ze wszystkich dyskow te pliki:

c:\autorun.inf
c:\copy.exe
c:\host.exe
C:\WINDOWS\autorun.inf
C:\WINDOWS\svchost.exe
C:\WINDOWS\system32\temp1.exe
C:\WINDOWS\system32\temp2.exe
C:\WINDOWS\xcopy.exe
x:\autorun.inf
x:\copy.exe
x:\host.exe

Wklej w zalaczniku log z hijackthis oraz combofix.

jaka jest różnica między:


C:\WINDOWS\svchost.exe

a

C:\WINDOWS\system32\svchost.exe


który plik usunąć?

Sarah
Przeciez napisalem, ktory usunac. Chyba mozesz przeczytac moj post? Roznica jest taka, ze pierwszy to trojan, a drugi to plik systemowy.

wiem, chcialam sie tylko upewnic, dziękuje

Prosze o pomoc. Mam ten sam problem z copy.exe tylko gdy ha go usuwam to on po chwili wraca tak samo jak temp1.exe temp2.exe host.exe autorun.inf wszystkie te pliki powracaja po ich wykasowanu. probowalem format robic ale dysk dalej ma te pliki nie mam pojecia co mu teraz moze pomodz. Probowalem tez usunac je z Linuxa ale niemozna. mam 3 partycej z 2 da sie usunac ale na jedej siedza na mocno i dalej mi sie roznosi na wszystkie partycje. prosze o pomoc bo juz nie moge wytrzymac z tym wirusem:cry:

Zawi73, dlaczego nie czytasz WSZYSTKICH postów, a w szczególności postu Kolobosa datowanego 25 Cze 2007 14:11?

Najlepiej do tego celu użyc Total Comandera. Bo z tego co pamietam to tak virus rozsiewa sie przez autorun.inf i jak wchodzisz na dysk przez "Mój Komputer" to automatycznie kopiujesz wirusa na wszystkie dyski nawet te zmapowane. natomiast Total Commander nie ładuje plików autorun. Aby sie go pozbyc należy usunąc podane wczesniej pliki, usunąc z procesów uruchominych svchost i temp1 lub temp2, usunąc pliki które masz w screenshocie totalem ze wszystkich dysków. Usunac nie potrzebne wpisy w rejestrze w kluczach RUN.

Koledzy ja czytam wsztskie posty bardzo dokladnie ale tu chodzi o to ze nawet gdy usuwam te pliki szkodliwe to one zaraz wracaja

zawi73, jednak nie czytasz. Uruchom program combofix, następnie hijackthis, a wytworzone przez nie logi daj na Forum jako ZAŁĄCZNIKI.

to te logi


Logfile of HijackThis v1.99.1
Scan saved at 00:09:13, on 2007-08-21
Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\System32\temp1.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Common Files\Ahead\lib\NMBgMonitor.exe
C:\Program Files\Opera\Opera.exe
C:\Program Files\BearShare\BearShare.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\Mateusz\USTAWI~1\Temp\Rar$EX00.604\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = </html>
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
F3 - REG:win.ini: load=C:\WINDOWS\svchost.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\System32\ntos.exe,
O2 - BHO: My Global Search Bar BHO - {37B85A21-692B-4205-9CAD-2626E4993404} - C:\Program Files\MyGlobalSearch\bar\1.bin\MGSBAR.DLL
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Program Files\BitComet\tools\BitCometBHO_1.1.7.4.dll
O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Program Files\NewDotNet\newdotnet6_38.dll
O2 - BHO: (no name) - {57D6708C-88E2-4CAB-9FA4-78BB8CA3A3C4} - C:\WINDOWS\System32\efcbyxx.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: My Global Search Bar - {37B85A29-692B-4205-9CAD-2626E4993404} - C:\Program Files\MyGlobalSearch\bar\1.bin\MGSBAR.DLL
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [C-Media Speaker Configuration] C:\dysk\Duperele\drv\Setup.exe /SPEAKER
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [BearShare] "C:\Program Files\BearShare\BearShare.exe" /pause
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [userinit] C:\WINDOWS\System32\ntos.exe
O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\lib\NMBgMonitor.exe"
O8 - Extra context menu item: &D&ownload &with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: &D&ownload all video with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: &D&ownload all with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: BitComet Search - {461CC20B-FB6E-4f16-8FE8-C29359DB100E} - C:\Program Files\BitComet\tools\BitCometBHO_1.1.7.4.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O20 - Winlogon Notify: efcbyxx - C:\WINDOWS\SYSTEM32\efcbyxx.dll
O20 - Winlogon Notify: winnnw32 - C:\WINDOWS\SYSTEM32\winnnw32.dll
O23 - Service: hpdj - HP - C:\DOCUME~1\Mateusz\USTAWI~1\Temp\hpdj.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Kolego zawi73, chyba kolega jednak ma problemy w czytaniu tekstu polskiego ze zrozumieniem:
1. proszono kolegę o DWA LOGI (z dwóch różnych programów) a kolega dał tylko jeden log pisząc że daje logi;
2. Obydwa logi miały być podane W ZAŁĄCZNIKU a kolega jeden log wkleił na forum.
Proszę tym razem wykonać dokładnie to, o co kolegę prosimy.

dziekuje koledzy ale juz opanowelm moj system. wielkie dizeki