Trojan Win32/Ponmocup.AA

[yanick]

Witam,

proszę o pomoc w usunięciu infekcji, kilka dni temu dostałem komunikat od ESET NOD32 o takiej treści: "Skaner przy uruchamianiu plik Pamięć operacyjna » rundll32.exe(1684) prawdopodobnie odmiana zagrożenia Win32/Ponmocup.AA koń trojański nie można wyleczyć". W związku z tym, że moją znajomość tematu określam na 3/10, proszę o wyrozumiałość i w miarę proste instrukcje ,

dziękuję i pozdrawiam.

Extras.Txt

OTL.Txt

[picasso]

Infekcja to para plików:

 

[2012/11/13 08:20:15 | 000,000,310 | ---- | C] () -- C:\Windows\tasks\VHAVBWFTV.job
[2012/11/13 08:20:14 | 000,122,880 | RHS- | C] () -- C:\Windows\SysWow64\wzcdlg9.dll

 

Infekcja ta wyłącza Centrum zabezpieczeń, Przywracanie systemu, Windows Defender oraz MSSE (o ile obecny).

 

1. Sprawa narzędna: stworzyłeś krytyczne zestawienie antywirusów, wspólnie działają Avast + ESET. To karkołomna konfiguracja prowadząca do spadku wydajności i konfliktów. Jeden z nich odinstaluj zanim przejdziesz dalej.

 

2. Następnie usunięcie infekcji. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Windows\tasks\VHAVBWFTV.job
C:\Windows\SysWow64\wzcdlg9.dll
 
:OTL
O4 - HKLM..\Run: []  File not found
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany.

 

3. Włącz funkcje zdeaktywowane przez tę infekcję:

• Start > w polu szukania wklep services.msc > z prawokliku Uruchom jako Administrator. Na liście dwuklik w usługę Centrum zabezpieczeń i Typ uruchomienia przestaw na Automatycznie (opóźnione uruchomienie), usługę zastartuj przyciskiem. Windows Defender celowo pomijam (przy antywirusach jest zbędny i dla wydajności powinien być wyłączony).
  
• Panel sterowania > System i zabezpieczenia > System > Ochrona systemu > zaznacz dysk z Windows i Konfiguruj > zaznacz "Przywróć ustawienia systemu oraz poprzednie wersje plików"
  

4. Zrób nowy log OTL z opcji Skanuj (już bez Extras).

 

 

 

.

[yanick]

jest

OTL1.Txt

[picasso]

Infekcja pomyślnie usunięta. Kończymy:

 

1. W OTL uruchom Sprzątanie, które skasuje z dysku OTL wraz z kwarantanną. Przez SHIFT+DEL dokasuj szczątki Avast:

 

C:\Program Files\AVAST Software

C:\ProgramData\AVAST Software

C:\Windows\system32\aswBoot.exe

 

2. Odinstaluj wszystkie aplikacje Adobe / Java / Silverlight i zastąp najnowszymi wersjami oraz zaktualizuj Firefox: KLIK. Obecnie na liście zainstalowanych widać wersje:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83217007FF}" = Java 7 Update 7
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{AC76BA86-7AD7-1045-7B44-AA1000000001}" = Adobe Reader X (10.1.0) - Polish
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX (wtyczka dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox)
"Mozilla Firefox 10.0 (x86 pl)" = Mozilla Firefox 10.0 (x86 pl)
 
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: c:\Program Files (x86)\Microsoft Silverlight\4.1.10329.0\npctrl.dll ( Microsoft Corporation)
CHR - plugin: Silverlight Plug-In (Enabled) = c:\Program Files (x86)\Microsoft Silverlight\4.1.10329.0\npctrl.dll

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

 

 

.

[yanick]

Witam,

serdecznie dziękuję za pomoc. Jakość, szybkość, komfort po prostu Klasa S, jak w nowym Dremlinerze 787 Dzięki Pani wraca wiara w ludzi, i w jasną stronę Mocy, jeszcze raz bardzo dziękuję i gorąco pozdrawiam.