Win32:Malware-gen w katalogu Windows

[Rado77]

Witam. Dzisiaj rano, tuż po uruchomieniu komputera, Avast zaskoczył mnie informacją o zalecanym skanowaniu przy rozruchu systemu, podczas którego wykryto łącznie 5 infekcji, z czego 3 oznaczone jako 'Win32:Malware-gen'. Wszyskite zarażone pliki przeniosłem do kwarantanny. Jako że jeden z plików znajdował się w folderze C:\\Windows\Installer, po uruchomieniu systemu na pulpicie ujrzałem następujące komunikaty (załącznik 'komunikat Windows'), które ostatecznie anulowałem. Po kolejnym przeskanowaniu zarażonych plików z kwarantanny, jeden z nich zmienił status na 'bez wirusów'. Inny z plików (znajdujący się w folderu mojego użytkownika) zmienił status na 'infekcja PUP'. Stwierdziłem, że plik ten nie jest ważny, więc go usunąlem bez większego namysłu. Pozostałe zarażone 3 pliki po drugim skanowaniu bez najmniejszych zman- dalej wyświetlają się jako 'Win32:Malware-gen'. Ostatecznie zarażone pliki wyglądają teraz  dokładnie tak jak na załączniku 'Avast kwarantanna'. System na chwilę obecną działa niby normalnie, z wyjątkiem wyświetlania po każdym uruchomieniu wspomnianych komunikatów. Mimo to chciabym wiedzieć, co mogę zrobić, by usunąć całkowicie Malware-gen ze swojego komputera.

 

Stwierdziłem, że nie będę nic już samemu grzebał, by czegoś nie pogorszyć, dlatego też bardzo proszę o pomoc i poradę. Jestem w trakcie pisania ważnej pracy i laptop jest mi niezbędny, dlatego też bardzo zależy mi na całkowitym usunięciu wszelkich infekcji. W załącznikach umieszczam logi. Mam nadzieję, że zrobiłem wszystko jak trzeba, bo jest to mój pierwszy post na tym forum.

Pozdrawiam serdecznie, Radek.

 

 

Addition.txt

FRST.txt

Shortcut.txt

OTL.Txt

Extras.Txt

GMER.txt

[picasso]

Dzisiaj rano, tuż po uruchomieniu komputera, Avast zaskoczył mnie informacją o zalecanym skanowaniu przy rozruchu systemu, podczas którego wykryto łącznie 5 infekcji, z czego 3 oznaczone jako 'Win32:Malware-gen'. Wszyskite zarażone pliki przeniosłem do kwarantanny. Jako że jeden z plików znajdował się w folderze C:\\Windows\Installer, po uruchomieniu systemu na pulpicie ujrzałem następujące komunikaty (załącznik 'komunikat Windows'), które ostatecznie anulowałem.

Fałszywe alarmy, a usunięcie z katalogu Installer uszkodziło poniższą instalację, stąd błędy "Instalatora Windows".

 

==================== Installed Programs ======================
 

ASUS FancyStart (HKLM-x32\...\{2B81872B-A054-48DA-BE3B-FA5C164C303A}) (Version: 1.0.8 - ASUSTeK Computer Inc.)
 

Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\FancyStart daemon.lnk

ShortcutTarget: FancyStart daemon.lnk -> C:\Windows\Installer\{2B81872B-A054-48DA-BE3B-FA5C164C303A}\_C4A2FC3E3722966204FDD8.exe ()

 

Przywróć wszystko z kwarantanny Avast na miejsce.

 

 

---

W raportach brak oznak infekcji. Wykonaj tylko drobne działania pod kątem zbędnych instalacji i wpisów pustych:

 

1. Przez Panel sterowania odinstaluj zbędniki i stare wersje: AsusVibe2.0, Bing Bar, Google Toolbar for Internet Explorer, McAfee Security Scan Plus, Java 7 Update 25. Ten McAfee na bank się wślizgnął z instalacjami Adobe: KLIK.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp120141015
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp120141015
HKU\S-1-5-21-365570279-1974800031-830595484-1001\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp120141015
SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-21-365570279-1974800031-830595484-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-21-365570279-1974800031-830595484-1001 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL =
Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File
S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X]
C:\Program Files (x86)\mozilla firefox\plugins
C:\ProgramData\Temp
C:\Users\Radek\AppData\Roaming\ASUS WebStorage
CMD: for /d %f in (C:\Users\Radek\AppData\Local\{*}) do rd /s /q "%f"
Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {B24BA351-20F9-492E-99FE-56E3EF5B7EDC} /f
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

[Rado77]

Przywróciłem pliki z kwarantanny, lecz Avast dalej rozpoznaje je (przynajmniej jeden z nich, który umieścił automatycznie z powrotem w kwarantannie) jako wirusy i wymaga skanowania przy rozruchu systemu. Czy te pliki są jakoś szczególnie ważne ? Bo może po prostu dla świętego spokoju zostawić je w tej kwarantannie ? W załącznikach zamieszczam oba pliki.

FRST.txt

Fixlog.txt

[picasso]

Przywróciłem pliki z kwarantanny, lecz Avast dalej rozpoznaje je (przynajmniej jeden z nich, który umieścił automatycznie z powrotem w kwarantannie) jako wirusy i wymaga skanowania przy rozruchu systemu. Czy te pliki są jakoś szczególnie ważne ? Bo może po prostu dla świętego spokoju zostawić je w tej kwarantannie ?

Jak mówię, to fałszywe alarmy i należy pliki wykluczyć z detekcji. Jeśli chodzi o ich "usuwanie": ASUS FancyStart to aplikacja do modyfikowania ekranu startowego ASUS. To jest owszem firmowy zbędnik i jeśli z tego nie korzystasz, możesz się całkowicie tego pozbyć po prostu poprawnie deinstalując cały program (do deinstalacji wymagane obiekty z Installer które dręczy Avast).

 

Poboczne akcje czyszczące pomyślnie wykonane i w tym zakresie kończymy. Zastosuj DelFix, wyczyść folder Przywracania systemu oraz zainstaluj najnowszą wersję Java (o ile potrzebna): KLIK.

[Rado77]

Ok, wielkie dzięki za pomoc