hasia Opublikowano 18 Lutego 2013 Zgłoś Udostępnij Opublikowano 18 Lutego 2013 Witam Ostatnio mój antywirus wykrył konia trojańskiego o nazwie Generic31.BLPW, który znajduję się w lokalizacji C:\Windows\System32\drivers\FWPKCLNT.SYS. Infekcja została wychwycona przez ochronę rezydentną. Za pierwszym razem poprzez proces C:\Windows\System32\svchost.exe, drugie wykrycie infekcji zdarzyło się w trakcie skanowania komputera przez OTL. Przy pliku istnieje ostrzeżenie, że plik znajduje się na liście plik krytyczny/systemowy, których nie należy usuwać. Co mam w takim razie z nim zrobić? Jak się pozbyć tej infekcji? Jeżeli chodzi o problemy z komputerem, to nie zauważyłam jakiś znaczących i niepokojących objawów zainfekowania. Co prawda bardzo często procesor zalicza 100% użycia i pamięć Ram też jest obciążona, ale korzystam z programów do grafik komputerowej, które bardzo często obciążają procesor i pamięć, więc nie jestem pewna czy to spowolnienie wiąże się z wirusem czy z po prostu z ciężkimi aplikacjami, na których pracuję. W tej chwili, kiedy uruchomioną mam tylko przeglądarkę Chrome z otwartymi dwiema zakładkami, komputer wskazuję 60%(trochę dużo) użycia pamięci ram, a użycie procesora jest znikome. Komputer nie zawiesza się. Mam nadzieję na usunięcie tego trojana obejdzie się bez formatowania sytemu. Posiadam na komputerze program VirtualBox, który jest mi potrzebny do uruchomiania Fedory, mam nadzieję, że nie popełniłam błędu nie usuwając go z komputera. Dołączam logi z OTL, oraz z Security Check Security Check: Results of screen317's Security Check version 0.99.58 Windows 7 Service Pack 1 x64 (UAC is enabled) Internet Explorer 8 Out of date! ``````````````Antivirus/Firewall Check:`````````````` AVG Anti-Virus Free Antivirus up to date! `````````Anti-malware/Other Utilities Check:````````` Malwarebytes Anti-Malware wersja 1.61.0.1400 Java™ 6 Update 39 Java 7 Update 11 Java version out of Date! Adobe Flash Player 10 Flash Player out of Date! Adobe Flash Player 11.5.502.149 Flash Player out of Date! Adobe Reader 10.1.0 Adobe Reader out of Date! Mozilla Firefox 14.0.1 Firefox out of Date! Google Chrome 24.0.1312.56 Google Chrome 24.0.1312.57 Google Chrome plugins... ````````Process Check: objlist.exe by Laurent```````` AVG avgwdsvc.exe AVG avgtray.exe `````````````````System Health check````````````````` Total Fragmentation on Drive C: ````````````````````End of Log`````````````````````` Serdecznie proszę o pomoc. Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 18 Lutego 2013 Zgłoś Udostępnij Opublikowano 18 Lutego 2013 Zabrakło obowiązkowego raportu z GMER. Dodaj. W OTL brak oznak infekcji. Jest tylko drobne adware nie związane z problemem, ale doczyść to: 1. Przez Panel sterowania odinstaluj Ask Toolbar, AVG Security Toolbar, Pandora Service. 2. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL IE - HKU\S-1-5-21-1081637463-3444327729-3069715732-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=114874&tt=4412_4&babsrc=SP_ss&mntrId=9658ca6c000000000000485b392f2f38" IE - HKU\S-1-5-21-1081637463-3444327729-3069715732-1000\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = "https://isearch.avg.com/search?cid={52B3F68C-5394-4ACC-AC24-A9D64119EA69}&mid=978582c9b6e978e8520315b662a9754a-453d9eac214f683b541ca43b3a8211ca29c64d71&lang=pl&ds=xn011&pr=sa&d=2012-09-30 18:39:15&v=13.0.0.7&sap=dsp&q={searchTerms}" IE - HKU\S-1-5-21-1081637463-3444327729-3069715732-1000\..\SearchScopes\{B9C7CE32-DA91-43C2-B7E9-0E9AAFC675CD}: "URL" = "http://www.ask.com/web?l=dis&o=APN10147&gct=sb&qsrc=2869&apn_dtid=^YYYYYY^YY^US&apn_ptnrs=^A6E&apn_uid=3461842644344558&p2=^A6E^YYYYYY^YY^US&q={searchTerms}" IE - HKU\S-1-5-21-1081637463-3444327729-3069715732-1000\..\URLSearchHook: {bfc39e47-d643-4dc2-aa1d-61377501c844} - No CLSID value found O2 - BHO: (no name) - {bfc39e47-d643-4dc2-aa1d-61377501c844} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {bfc39e47-d643-4dc2-aa1d-61377501c844} - No CLSID value found. O3 - HKU\S-1-5-21-1081637463-3444327729-3069715732-1000\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found. O20 - AppInit_DLLs: (c:\progra~3\browse~1\23796~1.11\{16cdf~1\browse~1.dll) - File not found :Files netsh advfirewall reset /C C:\Users\iwa\AppData\Roaming\Babylon C:\Users\iwa\AppData\Roaming\OpenCandy C:\Users\iwa\AppData\Roaming\YourFileDownloader C:\Program Files (x86)\mozilla firefox\searchplugins\ask.xml C:\Program Files (x86)\mozilla firefox\searchplugins\avg-secure-search.xml C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "bProtectorDefaultScope"=- [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 4. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. 5. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner. Ostatnio mój antywirus wykrył konia trojańskiego o nazwie Generic31.BLPW, który znajduję się w lokalizacji C:\Windows\System32\drivers\FWPKCLNT.SYS. Infekcja została wychwycona przez ochronę rezydentną. Za pierwszym razem poprzez proces C:\Windows\System32\svchost.exe, drugie wykrycie infekcji zdarzyło się w trakcie skanowania komputera przez OTL. Przy pliku istnieje ostrzeżenie, że plik znajduje się na liście plik krytyczny/systemowy, których nie należy usuwać. Co mam w takim razie z nim zrobić? Jak się pozbyć tej infekcji? Czy to na pewno infekcja? Nie wykluczam fałszywego alarmu antywirusa. FWPKCLNT.SYS to plik Microsoftu. Te rekordy z svchost.exe są dla mnie niejasne. Przeklej ze skanera AVG dokładnie jak te wszystkie wyniki dokładnie wyglądają. . Odnośnik do komentarza
hasia Opublikowano 18 Lutego 2013 Autor Zgłoś Udostępnij Opublikowano 18 Lutego 2013 Bardzo dziękuję za tak szybką odpowiedź. Starałam się zrobić wszystko jak napisałaś, ale w Panelu sterowania nie odnalazłam Ask Toolbar. Znalazłam za to Toolbar z FoxiReadera, który miał wydawcę z Ask.com. Pasek odinstalować się nie chciał, ale po czyszczeniu podanymi programami, w panelu sterowania nie było już tego Toolbara. Za brak loga z GMER przepraszam musiałam nie doczytać. Nowe logi i log z GMER (jeszcze przed czyszczeniem) załączam w załączniku. Jak również plik jpg ze screenem tego co wyświetla AVG w związku z tym trojanem. AdwCleanerS1.txt OTL.Txt Log z GMER.txt Odnośnik do komentarza
picasso Opublikowano 19 Lutego 2013 Zgłoś Udostępnij Opublikowano 19 Lutego 2013 W logu z GMER nic podejrzanego. Jak również plik jpg ze screenem tego co wyświetla AVG w związku z tym trojanem. Moim zdaniem to jest fałszywy alarm antywirusa. Dla świętego spokoju sprawdź co Windows sądzi o tym pliku, czy jest poprawny. Wyłącz tymczasowo osłonę AVG. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę: sfc /scanfile=C:\Windows\system32\drivers\FWPKCLNT.SYS Podaj co się pokazało w oknie. Starałam się zrobić wszystko jak napisałaś, ale w Panelu sterowania nie odnalazłam Ask Toolbar. Znalazłam za to Toolbar z FoxiReadera, który miał wydawcę z Ask.com. Pasek odinstalować się nie chciał, ale po czyszczeniu podanymi programami, w panelu sterowania nie było już tego Toolbara. Ask Toolbar = Foxit Toolbar. Wpisu już nie ma, bo AdwCleaner go wywalił. I czy przypadkiem nie zmieniłaś kolejności zadań, tzn. reset Firefox po uruchomieniu AdwCleaner? AdwCleaner wykrył w Firefox adware, a to nie powinno mieć miejsca po resecie Firefox... I dokończ czyszczenie z adware: 1. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. 2. Porządki po narzędziach: w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Usuń wszystkie programy Adobe i Java, zastąp najnowszymi wersjami, oraz zaktualizuj resztę wyliczonych poniżej programów:KLIK. Wg raportu aktualnie masz zainstalowane wersje: Internet Explorer (Version = 8.0.7601.17514) ========== HKEY_LOCAL_MACHINE Uninstall List ========== 64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F86416017FF}" = Java 6 Update 17 (64-bit) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 39"{26A24AE4-039D-4CA4-87B4-2F83217007FF}" = Java 7 Update 11"{8727531E-6C58-4852-A90B-39CF45E269A9}" = OpenOffice.org 3.2"{AC76BA86-7AD7-1045-7B44-AA1000000001}" = Adobe Reader X (10.1.0) - Polish"{EE7257A2-39A2-4D2F-9DAC-F9F25B8AE1D8}" = Skype™ 5.10"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX (wtyczka dla IE)"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox)"AVG8Uninstall" = AVG Free 8.5"Foxit Reader" = Foxit Reader"Mozilla Firefox 14.0.1 (x86 pl)" = Mozilla Firefox 14.0.1 (x86 pl) FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_5_502_149.dll () PS. Widzę też zainstalowane Gadu-Gadu 10. Program jest straszny i konsumuje dużo zasobów. Obejrzyj jak wygląda najnowsze GG11 Nieco lepiej, choć zasoby nadal katuje), choć ja sugeruję sięgnąć po lżejszą alternatywę: WTW, Kadu, Miranda, AQQ. Wszystkie opisy tu: KLIK. . Odnośnik do komentarza
hasia Opublikowano 19 Lutego 2013 Autor Zgłoś Udostępnij Opublikowano 19 Lutego 2013 Naprawdę dziękuję za tak szybką pomoc. Szczerze, to naprawdę nie pamiętam już co zrobiłam najpierw, czy czyszczenie czy reset Firefoxa. Po wpisaniu komendy, w oknie pokazało się: "Funkcja Ochrona zasobów Windows nie znalazła naruszeń integralności" Uznałam to za dobrą wiadomość Rejestr zmodyfikowany. Odinstalowałam AdwCleaner i zastosowałam Sprzątanie w OTL. Punkty przywracania systemu wyczyszczone. Teraz jestem w trakcie wymiany oprogramowania na aktualne wersje. Jeszcze raz dziękuję za szybką i fachową a przede wszystkim bezinteresowną pomoc i poświęcony mi czas. Odnośnik do komentarza
picasso Opublikowano 19 Lutego 2013 Zgłoś Udostępnij Opublikowano 19 Lutego 2013 Po wpisaniu komendy, w oknie pokazało się:"Funkcja Ochrona zasobów Windows nie znalazła naruszeń integralności" Proponuję przesłać ten plik FWPKCLNT.SYS do laboratorium AVG, w celu sygnalizacji prawdopodobnego fałszywego alarmu. . Odnośnik do komentarza
Rekomendowane odpowiedzi