Trojan.Genome.aleiz, czy jest infekcja?

[Floodnik]

Dzień dobry.

Sąsiad poprosił mnie o pomoc, twierdząc, że złapał wirusa.

Po otworzeniu jego laptopa moim oczom ukazało się okno wykonującego skan programu ArcaVirMicroScan, nie pozwoliłem mu dokończyć skanowania(jeśli będzie to potrzebne, zrobię to), znalazł parę plików z tytułowym wirusem, raport w załączniku.

Nie znam się na tym, ale wiem, gdzie szukać pomocy Dlatego jestem tutaj. Sam myślę, że nie ma aktywnej infekcji, ale nie jestem pewien - widniejący w raporcie "keygen" prawdopodobnie był włączany. Dodatkowo znajduje się on w podejrzanie wielu miejscach na dysku... Jednak avast nie wykrywa w nim wirusa.

Oprócz tego domyślam się, że znajdzie się trochę niepotrzebnego adware, tak to już jest z laptopami sąsiadów

Dołączam raporty z OTL, GMera i ArcaVir. Proszę o pomoc. Z góry dzięki

Extras.Txt

gmer_log.txt

OTL.Txt

preskan.txt

raport_arcavir.txt

[picasso]

Wyniki skanera:

 

- Nie wiem co to jest, co robi ten setup.exe:

C:\Users\ASUS\Downloads\setup.exe

- To wyglądana fałszywy alarm na pliku Avast:

C:\Program Files\AVAST Software\Avast\defs\13071900\aswAR.dll

- Te do usunięcia, gdyż oceniając po nazwie nie są to prawdziwe instalatory programów lecz adware (Asystent pobierania dobrychprogramów):

C:\Users\ASUS\Downloads\ArcaMicroScan(13230).exe

C:\Users\ASUS\Downloads\CCleaner(13061).exe

- Keygeny to wiadomo i to zawsze usuwać:

D:\Keygen.rar:Keygen.exe

D:\Pobieranie M_F\Keygen(1).rar:Keygen.exe

D:\Pobieranie M_F\Keygen.rar:Keygen.exe

 

 

---

Natomiast w logach widać adware i trzeba się tym zająć. Nie wykluczam, że adware zostało nabyte właśnie przez Asystent Pobierania wymienionego powyżej portalu. Prócz adware, będę też usuwać szczątki Firefox, który wygląda na odinstalowany. Akcja:

 

1. Na początek deinstalacje:

- Przez Panel sterowania odinstaluj: BrowserDefender, Delta toolbar, Delta Chrome Toolbar, Norton Security Scan, WinZipper.

- Google Chrome ma uszkodzone preferencje. Wejdź do ustawień, w zarządzaniu wyszukiwarkami ustaw Google jako domyślną, skasuj z listy podejrzane dodane wyszukiwarki. W Rozszerzeniach odinstaluj wszystko czego nie znasz.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.qvo6.com/?utm_source=b&utm_medium=prs&from=prs&uid=HitachiXHTS542525K9SA00_071112BB0F00WDGSL26CX&ts=1371012710
IE - HKLM\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = http://search.qvo6.com/web/?utm_source=b&utm_medium=prs&from=prs&uid=HitachiXHTS542525K9SA00_071112BB0F00WDGSL26CX&ts=6881399
IE - HKLM\..\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2417076
IE - HKU\S-1-5-21-3498400293-3895247739-514159581-1000\..\URLSearchHook: {8532a8b7-c06a-41bb-936a-8ce73e4711ed} - No CLSID value found
IE - HKU\S-1-5-21-3498400293-3895247739-514159581-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://www1.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=FE6A001E8C522192&affID=119357&tsp=4948
IE - HKU\S-1-5-21-3498400293-3895247739-514159581-1000\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = http://www.bing.com/search?FORM=UP97DF&PC=UP97&dt=071013&q={searchTerms}&src=IE-SearchBox
IE - HKU\S-1-5-21-3498400293-3895247739-514159581-1000\..\SearchScopes\{3BD44F0E-0596-4008-AEE0-45D47E3A8F0E}: "URL" = http://safesearchr.lavasoft.com/?source=3336ca5f&tbp=rbox&toolbarid=adawaretb&u=B8D0D73223BC2C794FA0875047876CE4&q={searchTerms}
IE - HKU\S-1-5-21-3498400293-3895247739-514159581-1000\..\SearchScopes\{63324202-4DA7-488D-8518-F6990DBCF542}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=AWR&o=1955&src=kw&q={searchTerms}&locale=&apn_ptnrs=^A17&apn_dtid=^YYYYYY^YY^PL&apn_uid=609af6c2-3552-4720-97d4-8ad6431bb316&apn_sauid=A01BB66E-00D1-4FC9-85A6-D7708177E7F5
IE - HKU\S-1-5-21-3498400293-3895247739-514159581-1000\..\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2417076
IE - HKU\S-1-5-21-3498400293-3895247739-514159581-1000\..\SearchScopes\E88A9BB4D6F74932A81ABBBD59C535BB: "URL" = http://search.qvo6.com/web/?utm_source=b&utm_medium=prs&from=prs&uid=HitachiXHTS542525K9SA00_071112BB0F00WDGSL26CX&ts=6881399
O4 - HKU\S-1-5-21-3498400293-3895247739-514159581-1000..\Run: [] File not found
O4 - HKU\S-1-5-21-3498400293-3895247739-514159581-1000..\Run: [LG LinkAir] File not found
O4 - HKU\S-1-5-18..\RunOnce: [adawarebp] reg.exe delete "HKCU\Software\AppDataLow\Software\adawarebp" /f File not found
O4 - HKU\S-1-5-18..\RunOnce: [adawarebp_XP] reg.exe delete "HKCU\Software\adawarebp" /f File not found
 
:Files
C:\Windows\tasks\AmiUpdXp.job
C:\Users\ASUS\AppData\Roaming\337
C:\Users\ASUS\AppData\Roaming\BabSolution
C:\Users\ASUS\AppData\Roaming\Babylon
C:\Users\ASUS\AppData\Roaming\Desk 365
C:\Users\ASUS\AppData\Roaming\DSite
C:\Users\ASUS\AppData\Roaming\eDownload
C:\Users\ASUS\AppData\Roaming\eIntaller
C:\Users\ASUS\AppData\Roaming\Omiga Plus
C:\Users\ASUS\AppData\Roaming\Systweak
C:\Users\ASUS\AppData\Roaming\WinZipper
C:\Users\ASUS\AppData\Roaming\mozilla
C:\Program Files\mozilla firefox
C:\Windows\System32\rp_stats.dat
C:\Windows\System32\rp_rules.dat
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"bProtector Start Page"=-
"Default_Page_URL"=-
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"bProtectorDefaultScope"=-
[-HKEY_CURRENT_USER\Software\Mozilla]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla]
[-HKEY_LOCAL_MACHINE\SOFTWARE\mozilla.org]
[-HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins]
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

 

3. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

 

4. Zrób nowe logi: OTL z opcji Skanuj (już bez Extras) + FRST. Dołącz log utworzony przez AdwCleaner.

 

 

 

.

[Floodnik]

Podczas odinstalowywania Delta Toolbar na końcu wyskoczyła informacja: "Installer corrupted: invalid opcode". Reszta instalatorów była wyjątkowo kooperatywna.

Zająłem się Google Chrome.

Podczas wykonywania skryptu OTLa upomniał się Avast, twierdząc, ze zablokował OTL. OTL kontynuował pracę, jednak po jakimś czasie wyskoczył komunikat Windowsa, że OTL przestał działać. Uruchomiłem więc komputer ponownie i po uprzednim wyłączeniu Avasta uruchomiłem skrypt jeszcze raz na wszelki wypadek. Chociaż raczej wszystko usunęło się za pierwszym razem.

AdwCleaner, FRST i skan z OTL wykonały się prawidłowo. Dołączam logi.

Pozdrawiam.

Addition.txt

AdwCleaner.txt

FRST.txt

OTL.Txt

[picasso]

Jezcze drobne poprawki.

 

1. Skasuj ręcznie te "chińskie" foldery w C:\ProgramData:

 

 

 

[2013-07-19 16:56:02 | 000,000,000 | ---D | M](C:\ProgramData\???ˇ) -- C:\ProgramData\Ꮘʱ繠ˇ

[2013-07-19 16:56:02 | 000,000,000 | ---D | M](C:\ProgramData\???ˇ) -- C:\ProgramData\Ꮘʱ繠ˇ

[2013-07-19 16:56:02 | 000,000,000 | ---D | C](C:\ProgramData\???ˇ) -- C:\ProgramData\Ꮘʱ繠ˇ

[2013-06-19 09:26:41 | 000,000,000 | ---D | M](C:\ProgramData\?¬?¬) -- C:\ProgramData\㿠¬㴐¬

[2013-06-19 09:26:41 | 000,000,000 | ---D | M](C:\ProgramData\?¬?¬) -- C:\ProgramData\㿠¬㴐¬

[2013-06-14 22:15:42 | 000,000,000 | ---D | M](C:\ProgramData\???Y) -- C:\ProgramData\Ꮘʡ繠Ÿ

[2013-06-14 22:15:42 | 000,000,000 | ---D | M](C:\ProgramData\???Y) -- C:\ProgramData\Ꮘʡ繠Ÿ

[2013-06-13 19:28:42 | 000,000,000 | ---D | M](C:\ProgramData\?!?!) -- C:\ProgramData\㿠ǃ㴐ǃ

[2013-06-13 19:28:42 | 000,000,000 | ---D | M](C:\ProgramData\?!?!) -- C:\ProgramData\㿠ǃ㴐ǃ

[2013-06-13 07:59:23 | 000,000,000 | ---D | M](C:\ProgramData\????) -- C:\ProgramData\㿠㴐

[2013-06-13 07:59:23 | 000,000,000 | ---D | M](C:\ProgramData\????) -- C:\ProgramData\㿠㴐

[2013-06-07 16:56:16 | 000,000,000 | ---D | M](C:\ProgramData\????) -- C:\ProgramData\Ꮘʶ繠NJ

[2013-06-07 16:56:16 | 000,000,000 | ---D | M](C:\ProgramData\????) -- C:\ProgramData\Ꮘʶ繠NJ

[2013-05-31 20:36:42 | 000,000,000 | ---D | M](C:\ProgramData\????) -- C:\ProgramData\Ꮘʡ繠ʶ

[2013-05-31 20:36:42 | 000,000,000 | ---D | M](C:\ProgramData\????) -- C:\ProgramData\Ꮘʡ繠ʶ

[2013-05-24 16:56:17 | 000,000,000 | ---D | M](C:\ProgramData\????) -- C:\ProgramData\Ꮘʰ繠ʿ

[2013-05-24 16:56:17 | 000,000,000 | ---D | M](C:\ProgramData\????) -- C:\ProgramData\Ꮘʰ繠ʿ

[2013-05-18 16:05:22 | 000,000,000 | ---D | M](C:\ProgramData\????) -- C:\ProgramData\Ꮘʭ繠Ƕ

[2013-05-18 16:05:22 | 000,000,000 | ---D | M](C:\ProgramData\????) -- C:\ProgramData\Ꮘʭ繠Ƕ

[2013-05-16 04:05:25 | 000,000,000 | ---D | M](C:\ProgramData\?2?2) -- C:\ProgramData\㿠2㴐2

[2013-05-16 04:05:25 | 000,000,000 | ---D | M](C:\ProgramData\?2?2) -- C:\ProgramData\㿠2㴐2

[2013-05-15 13:36:56 | 000,000,000 | ---D | M](C:\ProgramData\?O?O) -- C:\ProgramData\㿠Ǒ㴐Ǒ

[2013-05-15 13:36:56 | 000,000,000 | ---D | M](C:\ProgramData\?O?O) -- C:\ProgramData\㿠Ǒ㴐Ǒ

[2013-05-13 07:17:31 | 000,000,000 | ---D | M](C:\ProgramData\?Ż?ˇ) -- C:\ProgramData\Ꮘˉ繠ˇ

[2013-05-13 07:17:31 | 000,000,000 | ---D | M](C:\ProgramData\?Ż?ˇ) -- C:\ProgramData\Ꮘˉ繠ˇ

[2013-05-08 06:46:52 | 000,000,000 | ---D | M](C:\ProgramData\?o?o) -- C:\ProgramData\㿠ǭ㴐ǭ

[2013-05-08 06:46:52 | 000,000,000 | ---D | M](C:\ProgramData\?o?o) -- C:\ProgramData\㿠ǭ㴐ǭ

[2013-04-24 16:33:30 | 000,000,000 | ---D | M](C:\ProgramData\?2?2) -- C:\ProgramData\㿠²㴐²

[2013-04-24 16:33:30 | 000,000,000 | ---D | M](C:\ProgramData\?2?2) -- C:\ProgramData\㿠²㴐²

[2013-04-19 16:56:17 | 000,000,000 | ---D | M](C:\ProgramData\???`) -- C:\ProgramData\Ꮘʶ繠ˋ

[2013-04-19 16:56:17 | 000,000,000 | ---D | M](C:\ProgramData\???`) -- C:\ProgramData\Ꮘʶ繠ˋ

[2013-04-12 16:56:01 | 000,000,000 | ---D | M](C:\ProgramData\???') -- C:\ProgramData\Ꮘʬ繠ʼ

[2013-04-12 16:56:01 | 000,000,000 | ---D | M](C:\ProgramData\???') -- C:\ProgramData\Ꮘʬ繠ʼ

[2013-04-11 03:34:38 | 000,000,000 | ---D | M](C:\ProgramData\?{?{) -- C:\ProgramData\㿠{㴐{

[2013-04-11 03:34:38 | 000,000,000 | ---D | M](C:\ProgramData\?{?{) -- C:\ProgramData\㿠{㴐{

[2013-04-10 14:34:34 | 000,000,000 | ---D | M](C:\ProgramData\?6?6) -- C:\ProgramData\㿠6㴐6

[2013-04-10 14:34:34 | 000,000,000 | ---D | M](C:\ProgramData\?6?6) -- C:\ProgramData\㿠6㴐6

[2013-04-05 17:56:16 | 000,000,000 | ---D | M](C:\ProgramData\????) -- C:\ProgramData\Ꮘʸ繠ƪ

[2013-04-05 17:56:16 | 000,000,000 | ---D | M](C:\ProgramData\????) -- C:\ProgramData\Ꮘʸ繠ƪ

[2013-04-01 21:30:43 | 000,000,000 | ---D | M](C:\ProgramData\????) -- C:\ProgramData\㿠㴐

[2013-04-01 21:30:43 | 000,000,000 | ---D | M](C:\ProgramData\????) -- C:\ProgramData\㿠㴐

 

 

 

2. Zresetuj cache wtyczek Google Chrome. Wpasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie włącz. Zamknij Google Chrome.

 

3. Otwórz Notatnik i wklej w nim:

 

Task: {28C3A3ED-D546-45CD-982F-EAB5AC998054} - System32\Tasks\Ad-Aware Update (Weekly) => C:\Program Files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe No File
Task: {44B17653-4367-43E6-A09C-59A74229EB47} - System32\Tasks\DSite => C:\Users\ASUS\AppData\Roaming\DSite\UPDATE~1\UPDATE~1.EXE No File
Task: {46E7D374-5742-4B26-8171-EEB15FC460EC} - System32\Tasks\Desk 365 RunAsStdUser => C:\Program Files\Desk 365\desk365.exe No File
Task: {913ED2FE-2390-456D-B3FC-E74694A8E91E} - System32\Tasks\AmiUpdXp => C:\Users\ASUS\AppData\Local\SwvUpdater\Updater.exe No File
Task: {919846BD-182E-475A-8ECC-7E34CDDAA20A} - System32\Tasks\Omiga Plus RunAsStdUser => C:\Program Files\Omiga Plus\omigaplus.exe No File
Task: {A1853D62-5601-4A5B-9022-C72E81E53FF4} - System32\Tasks\{BAC24499-25B8-45A5-A4B4-1F8F316BA48F} => c:\program files\mozilla firefox\firefox.exe No File
CHR HKLM\...\Chrome\Extension: [ajbfjlbjonnckokbmkeiammcgkdciial] - C:\Users\ASUS\AppData\Local\Temp\tbch.crx
Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\Main" /v Default_Page_URL /t REG_SZ /d http://go.microsoft.com/fwlink/?LinkId=69157 /f
Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f
Reg: reg add "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}" /f
reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
2013-07-21 09:24 - 2013-06-18 20:24 - 00000000 ____D C:\Program Files\WinZipper

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Przedstaw go.

 

 

 

 

.

[Floodnik]

Zrobione.

Fixlog.txt

[picasso]

Wykonane pomyślnie. Kończymy:

 

1. Porządki po narzędziach: przez SHIFT+DEL skasuj folder C:\FRST, w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Do aktualizacji poniżej wyliczne programy: KLIK.

 

==================== Installed Programs =======================
 

Adobe Flash Player 11 ActiveX (Version: 11.7.700.224) ----> wtyczka dla IE

Adobe Flash Player 11 Plugin (Version: 11.7.700.224) ----> wtyczka dla Firefox/Opera (odinstaluj)

Adobe Reader X (10.1.7) - Polish (Version: 10.1.7)

Adobe Shockwave Player 11.6 (Version: 11.6.6.636)

Java 7 Update 17 (Version: 7.0.170)

 

 

.

[Floodnik]

Dziękuję!

Sąsiadowi pokażę forum i ten temat, może następnym razem sam się zgłosi

Pozdrawiam.