rafaello Opublikowano 29 Lipca 2013 Zgłoś Udostępnij Opublikowano 29 Lipca 2013 Po przeskanowaniu komputera programem Ad-Aware wyświetla się komunikat o blokowaniu "Trojan.Win32.Generic!BT", nie mogę go w żaden sposób usunąć. Program Malwarebytes Anti-Malware ani Avast nie wykrywają problemów. Przed i po skanowaniu gmerem wyświetla się komunikat, screen podałem w załączniku. Proszę o pomoc. OTL.Txt Extras.Txt gm.txt rpprocess.txt Odnośnik do komentarza
picasso Opublikowano 23 Sierpnia 2013 Zgłoś Udostępnij Opublikowano 23 Sierpnia 2013 W raportach brak oznak czynnej infekcji. Są tylko drobne odpadki adware. Akcja: 1. Uruchom AdwCleaner i zastosuj Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. Przedstaw ten log. 2. Zrób nowe logi: OTL z opcji Skanuj (już bez Extras) + FRST (ma powstać plik Addition). Po przeskanowaniu komputera programem Ad-Aware wyświetla się komunikat o blokowaniu "Trojan.Win32.Generic!BT", nie mogę go w żaden sposób usunąć. Nie wiem co o tym sądzić: MSG [2972] 2013/07/27 22:49:16: C:\windows\syswow64\macromed\flash\flashplayerupdateservice.exe (diagnosis: Malware family: Trojan.Win32.Generic!BT) => Block MSG [5080] 2013/07/27 23:00:00: C:\windows\syswow64\flashplayerupdateservice.exe (diagnosis: Malware family: Trojan.Win32.Generic!BT) => Block .... gdyż plik należy do aktualizatora Adobe Flash: SRV - [2013-05-28 15:05:16 | 000,163,328 | ---- | M] (Adobe Systems Incorporated) [Auto | Stopped] -- C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe -- (AdobeFlashPlayerUpdateSvc) Tak poza tym, to instalacja Ad-aware przy Avast to niedobre posunięcie. To jest pełny antywirus, może kolidować oraz bardzo obciążyć czy nawet zablokować system podczas działania konkurencyjnego programu. Odinstaluj Ad-aware + Ad-Aware Security Toolbar. . Odnośnik do komentarza
rafaello Opublikowano 25 Sierpnia 2013 Autor Zgłoś Udostępnij Opublikowano 25 Sierpnia 2013 Logi: Addition.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 27 Sierpnia 2013 Zgłoś Udostępnij Opublikowano 27 Sierpnia 2013 No tak, a gdzie jest główny log FRST oraz log z wynikami usuwania AdwCleaner? I nie odinstalowałeś Ad-Aware Security Toolbar. Po deinstalacji proszę zrób log z FRST. Odnośnik do komentarza
rafaello Opublikowano 27 Sierpnia 2013 Autor Zgłoś Udostępnij Opublikowano 27 Sierpnia 2013 Logi: Addition.txt FRST_27-08-2013_23-18-43.txt Odnośnik do komentarza
picasso Opublikowano 28 Sierpnia 2013 Zgłoś Udostępnij Opublikowano 28 Sierpnia 2013 Tylko drobne poprawki: 1. Otwórz Notatnik i wklej w nim: HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.qvo6.com/?utm_source=b&utm_medium=ild&from=ild&uid=HitachiXHDS721010DLE630_MSK5215H228L8G228L8GX&ts=1372886857 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.qvo6.com/?utm_source=b&utm_medium=ild&from=ild&uid=HitachiXHDS721010DLE630_MSK5215H228L8G228L8GX&ts=1372886857 SearchScopes: HKCU - {483830EE-A4CD-4b71-B0A3-3D82E62A6909} URL = SearchScopes: HKCU - ŰźĆîZ§’2ąŢpv¨IÍá*X(Ž2s(ŰÎŔJşÔÓµť± vË°!×—(äĽ48иpatm6ęo^Mp`Ëő÷_iŁwľ!„Áű†x˘8€ŮjŔ˙ţ ´Ń;áa´[¦†8 ş~ŹRŮxśňÜ8'Ł-)xä URL = Toolbar: HKCU - No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No File CHR HKLM-x32\...\Chrome\Extension: [cflheckfmhopnialghigdlggahiomebp] - C:\Users\Rafał\AppData\Local\CRE\cflheckfmhopnialghigdlggahiomebp.crx Task: {834DF8FF-314D-4398-BB0C-1B985A6D50D5} - System32\Tasks\Desk 365 RunAsStdUser => C:\Program Files (x86)\Desk 365\desk365.exe No File Task: {8956D86F-2D5B-47FB-B54B-C2C839DFD51A} - System32\Tasks\Ad-Aware Update (Weekly) => C:\Program Files (x86)\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe No File Task: {8EF175E4-F378-4A3F-B725-7332AB1FF0B0} - \Omiga Plus RunAsStdUser No Task File Task: {D2C60F3B-880C-4872-8354-A2AE398DEAB5} - System32\Tasks\0 => c:\program files\internet explorer\iexplore.exe [2013-07-26] (Microsoft Corporation) 2013-08-01 22:29 - 2013-08-21 16:37 - 00000064 _____ C:\windows\SysWOW64\rp_stats.dat 2013-08-01 22:29 - 2013-08-21 16:37 - 00000044 _____ C:\windows\SysWOW64\rp_rules.dat HKCU\...\Policies\system: [DisableLockWorkstation] 0 HKCU\...\Policies\system: [DisableChangePassword] 0 HKLM-x32\...\Run: [] - [x] AppInit_DLLs-x32: [0 ] () Unlock: HKLM\SYSTEM\CurrentControlSet\Services\sptd S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [x] Reg: reg add "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKCU\Software\Mozilla" /f Reg: reg delete "HKCU\Software\MozillaPlugins" /f Reg: reg delete "HKLM\SOFTWARE\MozillaPlugins" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Mozilla" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\mozilla.org" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\MozillaPlugins" /f CMD: rd /s /q C:\Users\Rafał\AppData\Roaming\mozilla Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Uruchom TFC - Temp Cleaner. 3. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt. . Odnośnik do komentarza
rafaello Opublikowano 29 Sierpnia 2013 Autor Zgłoś Udostępnij Opublikowano 29 Sierpnia 2013 Dzisiaj w trakcie pracy komputera Avast poinformował mnie o podejrzanym pliku: Win32: Evo-gen[susp], należy on podobnie jak poprzednio do aktualizatora Adobe Flash Player. Logi: FRST_29-08-2013_22-28-57.txt Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 30 Sierpnia 2013 Zgłoś Udostępnij Opublikowano 30 Sierpnia 2013 Ten klucz nie chciał się usunąć: SearchScopes: HKCU - ŰźĆîZ§’2ąŢpv¨IÍá*X(Ž2s(ŰÎŔJşÔÓµť± vË°!×—(äĽ48иpatm6ęo^Mp`Ëő÷_iŁwľ!„Áű†x˘8€ŮjŔ˙ţ ´Ń;áa´[¦†8 ş~ŹRŮxśňÜ8'Ł-)xä URL = Start > w polu szukania wpisz regedit > wejdź do klucza: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes Usuń z prawokliku ten dziwny krzakowaty klucz. Dzisiaj w trakcie pracy komputera Avast poinformował mnie o podejrzanym pliku: Win32: Evo-gen[susp], należy on podobnie jak poprzednio do aktualizatora Adobe Flash Player. Hmm, to może usuńmy tego "aktualizatora" z zaplanowanych zadań (i tak nie widzę byś miał coś od Adobe zainstalowanego), poza tym ominęłam wcześniej takie dziwne zadanie skryptowe o nazwie 4638: ==================== Scheduled Tasks (whitelisted) ============= Task: {1D4AA39B-AFD6-44CE-B8E6-0D21B3FF1A18} - System32\Tasks\AdobeFlashPlayerUpdate 2 => C:\windows\SysWOW64\FlashPlayerUpdateService.exe [2013-05-28] (Adobe Systems Incorporated) Task: {2B22A428-B968-4BDC-A27C-C72274265BF9} - System32\Tasks\4638 => C:\Windows\System32\wscript.exe [2009-07-14] (Microsoft Corporation) Task: {AD3A941D-519F-4E6C-9FF8-37442565ADC2} - System32\Tasks\AdobeFlashPlayerUpdate => C:\windows\SysWOW64\FlashPlayerUpdateService.exe [2013-05-28] (Adobe Systems Incorporated) 2013-08-29 22:20 - 2013-08-29 22:25 - 00003440 _____ C:\windows\System32\Tasks\AdobeFlashPlayerUpdate 2013-08-29 22:20 - 2013-08-29 22:25 - 00003180 _____ C:\windows\System32\Tasks\AdobeFlashPlayerUpdate 2 1. Otwórz Notatnik i wklej w nim: CMD: sc stop AdobeFlashPlayerUpdateSvc CMD: sc delete AdobeFlashPlayerUpdateSvc Task: {1D4AA39B-AFD6-44CE-B8E6-0D21B3FF1A18} - System32\Tasks\AdobeFlashPlayerUpdate 2 => C:\windows\SysWOW64\FlashPlayerUpdateService.exe [2013-05-28] (Adobe Systems Incorporated) Task: {2B22A428-B968-4BDC-A27C-C72274265BF9} - System32\Tasks\4638 => C:\Windows\System32\wscript.exe [2009-07-14] (Microsoft Corporation) Task: {AD3A941D-519F-4E6C-9FF8-37442565ADC2} - System32\Tasks\AdobeFlashPlayerUpdate => C:\windows\SysWOW64\FlashPlayerUpdateService.exe [2013-05-28] (Adobe Systems Incorporated) C:\Windows\SysWOW64\Macromed C:\Windows\SysWOW64\FlashPlayerUpdateService.exe C:\windows\system32\%LOCALAPPDATA% Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Zresetuj system i powiedz czy Avast nadal zgłasza zagrożenia. Dołącz plik fixlog.txt. . Odnośnik do komentarza
rafaello Opublikowano 30 Sierpnia 2013 Autor Zgłoś Udostępnij Opublikowano 30 Sierpnia 2013 Dziękuje za dotychczasową pomoc. Avast nie zgłasza problemów. Log: Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 31 Sierpnia 2013 Zgłoś Udostępnij Opublikowano 31 Sierpnia 2013 W ramach ukończeń tematu: 1. Porządki po narzędziach: przez SHIFT+DEL skasuj folder C:\FRST, w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 2. Wyczyść foldery Przywracania systemu: KLIK. . Odnośnik do komentarza
rafaello Opublikowano 2 Września 2013 Autor Zgłoś Udostępnij Opublikowano 2 Września 2013 Dziękuje za pomoc. Odnośnik do komentarza
Rekomendowane odpowiedzi