HEUR:Trojan.Win32.Generic

[kuba0139]

Czy ktoś może mi wytłumaczyć jak usunąć tego wirusa? (HEUR:Trojan.Win32.Generic)

UWAGA: Nie znam się na tym więc proszę o wyrozumiałość

[picasso]

Temat założony w złym dziale. Przenoszę do działu diagnostyki infekcji. Proszę się dostosować do wytycznych działu i podać wymagane informacje: KLIK. Czyli: co i w czym (jaka ścieżka dostępu) wykryło infekcję + zestaw obowiązkowych raportów FRST/OTL/GMER.

 

 

 

.

[kuba0139]

kaspersky internet security wykrył wirusa w C:\documents and settings\all users\dane aplikacji (nie wiem czy to oto chodzi) 

 otl się robi a co to ten gmer?

[picasso]

Podałeś ścieżkę, ale nie nazwę pliku w którym Kaspersky to widzi.

 

Mówisz tylko o OTL, pomijasz FRST, pytasz co to GMER. Czy Ty w ogóle przeczytałeś zasady i instrukcje? Linki: FRST + GMER. Te raporty proszę dostarczyć,

 

 

.

[kuba0139]

OTL: http://wklej.org/hash/730e33aac0f/txt/

FRST: http://wklej.org/id/1220069/txt/

GMER: http://wklej.org/id/1220095/txt/

 

A jak sprawdzić gdzie Kaspersky to widzi? (mówiłem że sie nie znam)

[picasso]

Brakuje plików: FRST Addition (nie zaznaczona opcja Addition) + OTL Extras (nie zaznaczona opcja "Rejestr - skan dodatkowy"). Dodatkowa uwaga: GMER nie został pobrany ze strony domowej, pobrałeś z innego serwisu plik, który nie był właściwym GMER, tylko downloaderem mającym go dopiero ściągać: C:\Documents and Settings\xxx\Pulpit\Gmer(13252).exe. Ten plik to śmieć "Asystent pobierania" (pewnie z dobrychprogramów.pl), którego cel to zanieczyścić system. Do czytania na temat tych "asystentów" i pułapek: KLIK.

 

 

A jak sprawdzić gdzie Kaspersky to widzi? (mówiłem że sie nie znam)

Powiedziałeś, że Kaspersky Ci to pokazał. Gdzie to więc widziałeś / na jakim komunikacie? Wejdź do opcji Kasperskiego i poszukaj dzienników skanu. Nie pamiętam niestety opcji programu.

 

 

 

 

.

[kuba0139]

pokazał mi go w bitguard.dll

 

mam extras i addition tylko myślałem że to nie potrzebne...

 

Addition: http://wklej.org/id/1220118/txt/

[picasso]

Tego GMERa już nie musiałeś robić po raz drugi. Log przecież dałeś. Ja Ci tylko wyjaśniałam, że GMER pobrany w zły sposób. I to pobieranie jest związane tematycznie także z tym:

 

pokazał mi go w bitguard.dll

No i wszystko jasne. To nie wirus tylko adware. "Ochraniacz ustawień" zmodyfikowanych przez adware przeglądarek. Bitguard wchodzi m.in. przez owe "Asystenty pobierania" portali. Proszę Cię przeczytaj dokładnie materiał, który już linkowałam, jak uniknąć takich syfów w przyszłości: KLIK.

 

 

Natomiast co do raportów: ten BitGuard nie jest nigdzie widoczny. Został czymś usunięty. Widzę, że był używany AdwCleaner, zajmuje się takimi rzeczami. Ale jeszcze mamy do usunięcia inne odpadki adware (Lyrmix / RelevantKnowledge / SpeedUpMyComputer) oraz problem z dysfunkcją systemowego WMI (FRST to przedstawia jako niemożność pobrania procesów). Przeprowadź następujące działania:

 

1. Otwórz Notatnik i wklej w nim:

 

Task: C:\WINDOWS\Tasks\At1.job => C:\DOCUME~1\xxx\DANEAP~1\MYSEAR~1\UPDATE~1\UPDATE~1.EXE
Task: C:\WINDOWS\Tasks\Lyrmix Update.job => C:\Program Files\Lyrmix\LyricsmixUpdate.exe
HKLM\...\Run: [RelevantKnowledge] - C:\Program Files\RelevantKnowledge\rlvknlg.exe -boot
HKCU\...\Run: [speedUpMyComputer] - C:\Program Files\SmartTweak\SpeedUpMyComputer\SpeedUpMyComputer.exe /ot /as
SearchScopes: HKCU - {5FDE3836-9C37-4D74-8A23-A3FE4A76C7B3} URL = http://start.mysearchdial.com/results.php?f=4&q={searchTerms}&a=irmsd103&cd=2XzuyEtN2Y1L1QzutDtDtCyC0EyCyCzz0AtA0FtByCtD0C0AtN0D0Tzu0CyCyCyEtN1L2XzutBtFtBtFyDtFtCtDyBtDtN1L1Czu1L1C1H1B1QtCtDtA&cr=1113834239&ir=
SearchScopes: HKCU - {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://www.google.com/search?q={sear
CHR HKLM\...\Chrome\Extension: [kidmhllhjmmmnpbiaihafgchacpmokof] - C:\Program Files\Lyrmix\128.crx
C:\Documents and Settings\All Users\Dane aplikacji\InstallMate
C:\Documents and Settings\All Users\Menu Start\Programy\RelevantKnowledge
C:\Documents and Settings\xxx\Dane aplikacji\0C1I1L1R1J0M1P0I1G
C:\Documents and Settings\xxx\Menu Start\Programy\SmartTweak Software
C:\Documents and Settings\xxx\Ustawienia lokalne\Dane aplikacji\cache
C:\Documents and Settings\xxx\daemonprocess.txt
C:\Documents and Settings\xxx\Pulpit\Gmer(13252).exe
C:\Program Files\SmartTweak
Reg: reg delete HKCU\Software\Mozilla\Firefox\Extensions /v lyrmix@Lyrixsoft.co /f
Reg: reg add "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f
Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg query HKLM\SYSTEM\CurrentControlSet\Services\Winmgmt /s
CMD: sc query winmgmt

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. Następnie:

- Przez Dodaj/Usuń programy odinstaluj Lyrmix, VuuPC Packages. O ile się da to zrobić.

- W Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

- W Google Chrome: Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

 

3. Uruchom TFC - Temp Cleaner.

 

4. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt. Podaj także logi utworzone przez AdwCleaner, są w folderze C:\AdwCleaner. Nie uruchamiaj programu ponownie, chodzi o logi z poprzedniego uruchomienia.

 

 

 

.

[kuba0139]

fixlog.txt: http://wklej.org/id/1220219/txt/

FRST: http://wklej.org/id/1220220/txt/

[picasso]

Nie dodałeś tego:

 

Podaj także logi utworzone przez AdwCleaner, są w folderze C:\AdwCleaner. Nie uruchamiaj programu ponownie, chodzi o logi z poprzedniego uruchomienia.

 

Co do usuwania: 4 wejścia nie usunięte, a problem WMI nadal nie zdefiniowany. Przeprowadź następujące działania:

 

1. Pobierz najnowszą wersję FRST ze stosownego linka w przyklejonym (KLIK). Otwórz Notatnik i wklej w nim:

 

C:\WINDOWS\Tasks\At1.job
C:\WINDOWS\Tasks\Lyrmix Update.job
Reg: reg delete HKLM\Software\Microsoft\Windows\CurrentVersion\Run /v RelevantKnowledge /f
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v SpeedUpMyComputer /f
CMD: rundll32 wbemupgd, UpgradeRepository
CMD: for %i in (C:\WINDOWS\system32\wbem\*.dll) do regsvr32 -s %i

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Fix może trwać dłużej niż zwykle, czekaj cierpliwie, aż otworzy się plik fixlog.txt.

 

2. Zresetuj komputer. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt i zaległy logi AdwCleaner.

 

 

 

.