memnon
24 Październik 2013 16:20
#1
Witam,
Jak w temacie AVG wykrył infekcje i … właśnie nie wiem czy ją usunął czy też nie ,niby kolejne skany pokazują że nie ma żadnego zagrożenia
i komputer jest czysty , ale gdy chcę zająć się tą wykrytą przez niego infekcją wygląda jakby nie mógł sobie z nią poradzić .
Trzeba zaznaczyć pliki do usunięcia i zarządzić restart jednak po wszystkim wszystko wygląda jak na początku , i można tak zaznaczać i restartować bez końca .
Tak wygląda to co znalazł AVG : http://www.fotosik.pl/pokaz_obrazek/dd4 … 91f4e.html .
Zrobiłem logi OTL , nie wiem czy to ważne ale skanując Firefoxa zawiesił się na co najmniej 40 minut .
OTL.txt : http://www.wklej.org/id/1157458/ .
OTL.extras : http://www.wklej.org/id/1157461/ .
proszę o pomoc .
Acorus
24 Październik 2013 16:45
#2
Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:
:OTL O3:64bit: - HKLM…\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM…\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKU\S-1-5-21-1126586375-2689059097-169446475-1000…\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found. O3 - HKU\S-1-5-21-1126586375-2689059097-169446475-1000…\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. O3 - HKU\S-1-5-21-1126586375-2689059097-169446475-1000…\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found. O3 - HKU\S-1-5-21-1126586375-2689059097-169446475-1000…\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O4 - HKU\S-1-5-19…\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found O4 - HKU\S-1-5-20…\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found O4 - HKU\S-1-5-21-1126586375-2689059097-169446475-1005…\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found O27:64bit: - HKLM IFEO\fileencrypt.exe: Debugger - C:\Program Files (x86)\TuneUp Utilities 2012\TUAutoReactivator64.exe (TuneUp Software) O27:64bit: - HKLM IFEO\filesplitter.exe: Debugger - C:\Program Files (x86)\TuneUp Utilities 2012\TUAutoReactivator64.exe (TuneUp Software) O27:64bit: - HKLM IFEO\integrator.exe: Debugger - C:\Program Files (x86)\TuneUp Utilities 2012\TUAutoReactivator64.exe (TuneUp Software) O27:64bit: - HKLM IFEO\uninst.exe: Debugger - C:\Program Files (x86)\TuneUp Utilities 2012\TUAutoReactivator64.exe (TuneUp Software) O27:64bit: - HKLM IFEO\wisecare365.exe: Debugger - C:\Program Files (x86)\TuneUp Utilities 2012\TUAutoReactivator64.exe (TuneUp Software) O27 - HKLM IFEO\fileencrypt.exe: Debugger - C:\Program Files (x86)\TuneUp Utilities 2012\TUAutoReactivator64.exe (TuneUp Software) O27 - HKLM IFEO\filesplitter.exe: Debugger - C:\Program Files (x86)\TuneUp Utilities 2012\TUAutoReactivator64.exe (TuneUp Software) O27 - HKLM IFEO\integrator.exe: Debugger - C:\Program Files (x86)\TuneUp Utilities 2012\TUAutoReactivator64.exe (TuneUp Software) O27 - HKLM IFEO\uninst.exe: Debugger - C:\Program Files (x86)\TuneUp Utilities 2012\TUAutoReactivator64.exe (TuneUp Software) O27 - HKLM IFEO\wisecare365.exe: Debugger - C:\Program Files (x86)\TuneUp Utilities 2012\TUAutoReactivator64.exe (TuneUp Software) [2013/10/24 15:01:00 | 000,000,404 | ---- | M] () – C:\Windows\tasks\Wise Turbo Checker.job [2013/10/24 15:00:59 | 000,000,424 | ---- | M] () – C:\Windows\tasks\Wise Care 365.job [2013/10/24 14:30:50 | 000,000,332 | ---- | M] () – C:\Windows\tasks\GlaryInitialize 3.job [2013/10/22 12:33:32 | 000,000,286 | ---- | M] () – C:\Windows\tasks\Driver Booster Update.job [2012/08/08 13:49:01 | 000,000,000 | -HSD | M] – C:\Users\Marcin\AppData\Roaming.# [2013/06/25 19:57:22 | 000,000,000 | —D | M] – C:\Users\Marcin\AppData\Roaming\EurekaLog :Commands [emptytemp]
Kliknij Wykonaj skrypt.W OTL użyj opcji Sprzątanie.
.Przeskanuj progr.Malwarebytes Anti-Malware http://www.malwarebytes.org/products/malwarebytes_free/
Przed skanowaniem wykonaj RĘCZNĄ AKTUALIZACJĘ BAZY SYGNATUR WIRUSÓW Malwarebytesa “Uruchom Malwarebytes, przejdź do zakładki Aktualizacja, Sprawdź aktualizacje.”
memnon
24 Październik 2013 17:36
#3
Raport OTL po wykonaniu skryptu : http://www.wklej.org/id/1157523/ .
Po Sprzątaniu i restarcie miałem wyłączony składnik Link Scanner w AVG . A po instalacji Malwerybytes Anti-Malware całą ochronę antywirusową , ale może to
dlatego że na czas wykonywania skryptu i potem na czas instalacji Malwarebytes Anti-Malware wyłączałem AVG .
Malwarebytes Anti-Malware skanuje już ponad 20 minut na razie nic nie znalazł .
– Dodane 24.10.2013 (Cz) 20:28 –
Malwarebytes Anti-Malware znalazł 2 obiekty oto log : http://www.wklej.org/id/1157603/ .
Usunąć je?
– Dodane 24.10.2013 (Cz) 20:43 –
Usunąłem , ale Malwarebytes Anti-Malware ma je jeszcze w kwarantannie , z niej też je usunąć ?
– Dodane 24.10.2013 (Cz) 20:45 –
To log po usunięciu : http://www.wklej.org/id/1157619/ .
Cześć,
AVG wykrywa Ci obiekty jako ukryta aplikacja to może ale nie musi być rootkit.
Zrób skan samym skanerem antyrotkitowym, sprawdź raport ze skanowania czy będzie widać szczegóły, jeśli nie to zrób jeszcze skan GMER i daj raport z GMER.
Upewnimy się czy to faktycznie rootkit czy tylko jakaś błędna detekcja - ostatnio zdarzał się false positive antirootkita o sterownik SPTD z emulacji napędów np Daemon Tools.
