cinnek Opublikowano 5 Lutego 2014 Zgłoś Udostępnij Opublikowano 5 Lutego 2014 Witam, Proszę o pomoc w usunięciu trojana wykrytego przez Avira Free Antivirus. Avira co jakiś czas zgłasza, że trojan jest cały czas w systemie: Begin scan in 'C:\System Volume Information\_restore{2F8CE375-12DE-4888-A828-F4C3599F9D83}\RP454\A0068996.exe' C:\System Volume Information\_restore{2F8CE375-12DE-4888-A828-F4C3599F9D83}\RP454\A0068996.exe [DETECTION] Is the TR/Rogue.AI.141281 Trojan W załącznikach dołączam obowiązkowe logi. Addition.txt Extras.Txt FRST.txt gmer.txt OTL.Txt Odnośnik do komentarza
muzyk75 Opublikowano 5 Lutego 2014 Zgłoś Udostępnij Opublikowano 5 Lutego 2014 Otwórz notatnik i wklej: HKLM\...\Policies\Explorer\Run: [64018] - c:\docume~1\alluse~1\msmzqjt.exe No File HKLM\...\Policies\Explorer: [TaskbarNoNotification] 0 HKLM\...\Policies\Explorer: [HideSCAHealth] 0 SearchScopes: HKLM - DefaultScope value is missing. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Reset komputera. Pobierz: TFC - Temp Cleaner. Naciśnij "start" i rozpocznie się usuwanie plików tymczasowych. Na wszelki wypadek, pobierz Malwarebytes Anti-Malware. W zakładce ustawienia --> ustawienia skanera zaznacz PUP , PUM --> pokazuj i zaznacz przy usuwaniu. Zaktualizuj (pobierz aktualizatory) Adobe Reader do wersji 12, Java do wersji 7u51, Flash Player do wersji 12. Stare wersje odinstaluj. Odnośnik do komentarza
cinnek Opublikowano 6 Lutego 2014 Autor Zgłoś Udostępnij Opublikowano 6 Lutego 2014 Dziękuję bardzo za pomoc. Wykonałem wszystkie wskazówki. Malwarebytes Anti-Malware znalazł jeden podejrzany plik i usunął go. Logi załączam do tego postu. Fixlog.txt MBAM-log-2014-02-06 (09-23-43).txt Odnośnik do komentarza
picasso Opublikowano 6 Lutego 2014 Zgłoś Udostępnij Opublikowano 6 Lutego 2014 cinnek W podsumowaniu: brak tu oznak czynnej infekcji. Wyniki skanerów mało istotne. MBAM wykrył po prostu instalator PhotoScape jako zawierający adware. Avira co jakiś czas zgłasza, że trojan jest cały czas w systemie: Begin scan in 'C:\System Volume Information\_restore{2F8CE375-12DE-4888-A828-F4C3599F9D83}\RP454\A0068996.exe' C:\System Volume Information\_restore{2F8CE375-12DE-4888-A828-F4C3599F9D83}\RP454\A0068996.exe [DETECTION] Is the TR/Rogue.AI.141281 Trojan Avira wykrywa obiekt w folderze Przywracania systemu. Nie wiadomo nawet co to jest, gdyż obiekty w tym folderze są jedynie kopiami pod zmienionymi nazwami alfanumerycznymi (oryginalny plik miał całkiem inną nazwę). Wynik nie ma znaczenia dla bieżącego działania systemu, to izolowany folder. Folderów "System Volume Information" nie czyści się antywirusami tylko w specjalny sposób (KLIK). To jest krok zawsze zadawany na końcu. Czyli nie wykonuj go jeszcze, bo tu mamy inne działania poprawkowe (m.in. usuwanie szczątków paska AVG i Google): 1. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-842925246-1417001333-1606980848-1004\...\Policies\Explorer: [TaskbarNoNotification] 0 HKU\S-1-5-21-842925246-1417001333-1606980848-1004\...\Policies\Explorer: [HideSCAHealth] 0 S2 vToolbarUpdater15.3.0; C:\Program Files\Common Files\AVG Secure Search\vToolbarUpdater\15.3.0\ToolbarUpdater.exe [X] C:\Program Files\Mozilla Firefoxavg-secure-search.xml C:\Program Files\mozilla firefox\browser\searchplugins\avg-secure-search.xml C:\Documents and Settings\All Users\Dane aplikacji\Common Files C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Google C:\Documents and Settings\Dorota\Ustawienia lokalne\Dane aplikacji\Google C:\WINDOWS\Tasks\GoogleUpdateTaskUserS-1-5-21-842925246-1417001333-1606980848-500Core.job C:\WINDOWS\Tasks\GoogleUpdateTaskUserS-1-5-21-842925246-1417001333-1606980848-500UA.job Folder: C:\Documents and Settings\Dorota\Dane aplikacji\Irp Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: netsh firewall reset Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie naruszy zakładek i haseł. 3. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt. muzyk75 Drobna uwaga. Tu jest Internet Explorer 6, więc "SearchScopes: HKLM - DefaultScope value is missing" jest normalnym prawidłowym odczytem, gdyż ta archaiczna przeglądarka w ogóle nie posiada techniki SearchScopes (tak rozwiązani dostawcy wyszukiwania są dopiero od IE7 w górę). To uwaga poboczna, bo i tak odwracam to powyżej + jest tu planowana instalacja IE8, która zapisze prawidłowo SearchScopes. . Odnośnik do komentarza
cinnek Opublikowano 7 Lutego 2014 Autor Zgłoś Udostępnij Opublikowano 7 Lutego 2014 Dziękuję za wskazówki. Załączam logi po wykonaniu naprawy i ponownym skanowaniu FRST, Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 26 Kwietnia 2014 Zgłoś Udostępnij Opublikowano 26 Kwietnia 2014 Podsumowanie akcji: wykonane. W nowym raporcie FRST pojawiło się jakieś proxy w Internet Explorer. Jako, że odpowiadam z ogromnym opóźnieniem, nie wiem czy kwestie systemowe są aktualne. Jeśli nadal ten sam XP jest na chodzie, zrób nowe raporty z FRST. W przeciwnym wypadku daj sygnał do zamknięcia tematu. . Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się