sebastiansz Opublikowano 15 Lutego 2014 Zgłoś Udostępnij Opublikowano 15 Lutego 2014 Podejrzenie trojana/ malware; Win32:Trojan-gen, Win32:Malware-gen, Java:Malware-gen[Trj]Dzień dobry,Jak w temacie. Sprawa dotyczy komputera narzeczonej, poczytała o włamaniach, atakach, zrobiła pełne skanowanie systemu Avastem (skan pełny, zrobił restart i skanował przed załadowaniem się Windowsa). Wykrył kilka zagrożeń, przeniósł do kwarantanny. Chcielibyśmy jednak wiedzieć, czy komputer na pewno jest czysty?Windows 7 Home Premium SP1 64bitAvast 2014Na komputerze był Daemon Tools, usunięty wraz z SPTD.Zagrożenia znalezione przez Avast (pliki teraz w kwarantannie):architekt3d.exeC:\ProgramData\architekt3dWin32:Trojan-genMUIStartMenu.exeC:\Program Files (x86)\CyberLink\DVD Suite\MUITransferWin32:Malware-genydudkug\mnylrytvsgblvau.classydudkug\nbpwtprpdjawwdsfb.classydudkug\qjqnllfqjesvhmgqjl.classydudkug\sftlhesqjv.classydudkug\wdfdlhpcme.classC:\Users\Dorota\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\8\7046f848-311651caJava:Malware-gen [Trj] Dzienniki z Frstl, Gmer i Otl w załącznikach, SecurityCheck poniżej (wedle instrukcji). Results of screen317's Security Check version 0.99.79 Windows 7 Service Pack 1 x64 (UAC is enabled) Internet Explorer 11 ``````````````Antivirus/Firewall Check:``````````````avast! Antivirus Antivirus up to date! `````````Anti-malware/Other Utilities Check:````````` Java 7 Update 51 Adobe Flash Player 11.9.900.170 Adobe Reader 10.1.9 Adobe Reader out of Date! Mozilla Firefox (27.0.1) Mozilla Thunderbird (17.0.2)````````Process Check: objlist.exe by Laurent```````` Alwil Software Avast5 AvastSvc.exe Alwil Software Avast5 AvastUI.exe `````````````````System Health check````````````````` Total Fragmentation on Drive C: ````````````````````End of Log`````````````````````` Addition.txt FRST.txt gmer.txt Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 15 Lutego 2014 Zgłoś Udostępnij Opublikowano 15 Lutego 2014 Zagrożenia znalezione przez Avast (pliki teraz w kwarantannie): architekt3d.exe C:\ProgramData\architekt3d Win32:Trojan-gen MUIStartMenu.exe C:\Program Files (x86)\CyberLink\DVD Suite\MUITransfer Win32:Malware-gen Te dwa wyglądają na fałszywe alarmy. A reszta to zagrożenie w cache Java. W raportach oznak infekcji trojanami nie widać, ale trzeba doczyścić adware: 1. Otwórz Notatnik i wklej w nim: (Ask) C:\Program Files (x86)\Ask.com\Updater\Updater.exe Task: {0C08A50D-176D-4A3F-924A-D64E2668220C} - System32\Tasks\At1 => shutdown Task: {C4D2C6D2-6F38-4CE0-8E41-F67504571DF0} - System32\Tasks\Scheduled Update for Ask Toolbar => C:\Program Files (x86)\Ask.com\UpdateTask.exe [2013-04-25] () Task: C:\windows\Tasks\At1.job => ? HKLM-x32\...\Run: [NPSStartup] - [X] HKLM-x32\...\Run: [] - [X] HKLM-x32\...\Run: [ApnUpdater] - C:\Program Files (x86)\Ask.com\Updater\Updater.exe [1648264 2013-04-25] (Ask) HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = URLSearchHook: HKCU - UrlSearchHook Class - {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll (Ask) SearchScopes: HKCU - DefaultScope {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = SearchScopes: HKCU - {67A2568C-7A0A-4EED-AECC-B5405DE63B64} URL = SearchScopes: HKCU - {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = SearchScopes: HKCU - {E0B8FE1C-694D-4149-BE30-E8C816A07F1E} URL = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=^U3&apn_dtid=^OSJ000^YY^PL&apn_uid=EE739697-F68C-48EA-BDF8-58EAF0A4CCDE&apn_sauid=3E5D7CEE-65BF-4C80-A543-7D2C1AD9D774 BHO-x32: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll (Ask) Toolbar: HKLM-x32 - Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll (Ask) Toolbar: HKCU - No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} - No File FF SearchEngineOrder.1: Ask.com FF SearchPlugin: C:\Users\Dorota\AppData\Roaming\Mozilla\Firefox\Profiles\w3zp2hva.default\searchplugins\askcom.xml FF HKLM-x32\...\Firefox\Extensions: [crossriderapp435@crossrider.com] - C:\ProgramData\CodecCheck\firefox C:\ProgramData\CodecCheck Unlock: HKLM\SYSTEM\CurrentControlSet\Services\sptd S4 sptd; System32\Drivers\sptd.sys [X] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj Ask Toolbar, Ask Toolbar Updater. W Firefox w Dodatkach powtórz usuwanie rozszerzenia Ask Toolbar. 3. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 4. Uruchom TFC - Temp Cleaner 5. Zrób nowy skan FRST, zaznacz ponownie pole Addition. Dołącz plik fixlog.txt i log z AdwCleaner. . Odnośnik do komentarza
sebastiansz Opublikowano 16 Lutego 2014 Autor Zgłoś Udostępnij Opublikowano 16 Lutego 2014 Dziękuję za pomoc. Ask Toolbar usunięty.Przy próbie usuwania Ask Toolbar Updater wyskakuje: "Nie masz wystarczających uprawnień do odinstalowania elementu Ask Toolbar Updater. Skontaktuj się z administratorem systemu." Próbowałem uruchomić aplet "Programy i funkcje" (appwiz.cpl) jako administrator (z p-klik "Uruchom jako administrator"), ten sam rezultat.W dodatkach Firefox (about:addons) nie ma Ask Toolbar. Dzienniki w załącznikach. Fixlog.txt AdwCleanerR0.txt AdwCleanerS0.txt Addition.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 21 Lutego 2014 Zgłoś Udostępnij Opublikowano 21 Lutego 2014 Ask Toolbar Updater wykończył AdwCleaner. Brak Ask Toolbar w Dodatkach FF (a było to na 100% wcześniej) może wynikać z usunięcia rozszerzenia poprzez główny deinstalator Ask. Zadania wykonane, finalizuj: 1. Drobna poprawka na wpisy szczątkowe. Pobierz najnowszy FRST (ma już naprawione pewne bugi). Otwórz Notatnik i wklej w nim: Task: {0C08A50D-176D-4A3F-924A-D64E2668220C} - \At1 No Task File Task: {5D0421AB-CC0F-4763-A8A8-CA0C83AD5694} - System32\Tasks\{2E409132-22B1-407D-957D-E2ACCE67162A} => Firefox.exe http://ui.skype.com/ui/0/5.3.0.111.259/en/abandoninstall?page=tsMain&installinfo=google-toolbar:notoffered;ienotdefaultbrowser2,google-chrome:offered-installed;madedefault Task: {F971936A-AB21-4F2F-BCF0-8EF87B2C44B5} - System32\Tasks\{1D881C99-1A42-4C9C-B1D5-8B3C6D0AA15F} => C:\Program Files (x86)\Hamachi\hamachi.exe Task: C:\windows\Tasks\Adobe Flash Player Updater.job => C:\windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe Startup: C:\Users\Dorota\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\PowerMenu.lnk Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. A po tym: 2. Przez SHIFT+DEL skasuj FRST i folder C:\FRST, w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Do aktualizacji poniższe pozycje: KLIK. ==================== Installed Programs ====================== Adobe Reader X (10.1.9) - Polish (x32 Version: 10.1.9 - Adobe Systems Incorporated) Gadu-Gadu 7.7 (x32 Version: - ) Java 7 Update 17 (64-bit) (Version: 7.0.170 - Oracle) ----> deinstalacja (najnowsza Java już jest) Opera 12.01 (x32 Version: 12.01.1532 - Opera Software ASA) W kwestii GG7: stare, nie obsługuje w pełni własnej sieci, słabo zabezpieczone (brak szyfrowania). Proponuję się zainteresować WTW, Kadu lub Miranda NG: KLIK. . Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się