Kaspersky wykrył AdWare.win32.EZula.gen

jan_m11 · 5 Kwiecień 2012 16:48

witam,

zainstalowałem sobie kaspersky’ego wersje trial na 30 dni i przeskanował mi dysk w poszukiwaniu wirusów, trojanów, etc. Wykrył następujący problem:

adware not-a-virus:HEUR:AdWare.Win32.EZula.gen

powyższego pliku nie da się usunąć przez Kaspa, a cały czas jest włączony komunikat że wykryto oprogramowanie, które może zostać użyte przez cyberprzestępców do uszkodzenia komputera

stworzone logi przy pomocy programu OTL znajdują się w poniższym linku:

http://www.wklejto.pl/121902

proszę o pomoc w zwalczeniu ch…ostwa

pozdrawiam

krzych5610 · 5 Kwiecień 2012 17:04

wykonaj pełny skan - http://www.dobreprogramy.pl/Dr.WEB-Cure … 12976.html

Acorus · 5 Kwiecień 2012 17:09

Odinstaluj vShare Plugin,VShareToolBar,Browsers Protector.Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:

:OTL MOD - [2012-02-15 18:56:52 | 000,147,784 | ---- | M] () – C:\Program Files\Browsers Protector\regmon32.exe IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://startsear.ch/?aff=1&cf=0449f61c- … 23cdb324cf IE - HKLM…\SearchScopes{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: “URL” = http://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?} IE - HKLM…\SearchScopes{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: “URL” = http://startsear.ch/?aff=1&src=sp&cf=04 … db324cf&q={searchTerms} IE - HKLM…\SearchScopes{E1CFC1A7-FE63-4072-8F32-951F1BBBAFA9}: “URL” = http://startsear.ch/?aff=2&src=sp&cf=04 … db324cf&q={searchTerms} IE - HKU\S-1-5-21-1708537768-484763869-1801674531-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://startsear.ch/?aff=1&cf=0449f61c- … 23cdb324cf IE - HKU\S-1-5-21-1708537768-484763869-1801674531-1003…\SearchScopes{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: “URL” = http://search.live.com/results.aspx?q={searchTerms}&src=IE-SearchBox&Form=IE8SRC IE - HKU\S-1-5-21-1708537768-484763869-1801674531-1003…\SearchScopes{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: “URL” = http://search.babylon.com/?q={searchTerms}&AF=108976&tt=290312_bexdll&babsrc=SP_ss&mntrId=cced93fc0000000000000023cdb324cf IE - HKU\S-1-5-21-1708537768-484763869-1801674531-1003…\SearchScopes{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: “URL” = http://supertoolbar.ask.com/redirect?cl … src=crm&q={searchTerms}&locale=en_US IE - HKU\S-1-5-21-1708537768-484763869-1801674531-1003…\SearchScopes{DCB395D2-F2AE-4D6E-8226-EF633C7569A1}: “URL” = http://vshare.toolbarhome.com/search.aspx?q={searchTerms}&srch=dsp IE - HKU\S-1-5-21-1708537768-484763869-1801674531-1003…\SearchScopes{DFEEFE47-0609-4DA1-B1B7-3A01125AF9E7}: “URL” = http://search.babylon.com/?q={searchTerms}&AF=108976&tt=290312_bexdll&babsrc=SP_ss&mntrId=cced93fc0000000000000023cdb324cf IE - HKU\S-1-5-21-1708537768-484763869-1801674531-1003…\SearchScopes{E1CFC1A7-FE63-4072-8F32-951F1BBBAFA9}: “URL” = http://startsear.ch/?aff=2&src=sp&cf=04 … db324cf&q={searchTerms} FF - prefs.js…browser.search.defaultenginename: “Search” FF - prefs.js…browser.search.selectedEngine: “Search” FF - prefs.js…browser.startup.homepage: “http://start.funmoods.com/?f=1&a=wbst” [2012-02-29 11:09:28 | 000,000,000 | —D | M] (Funmoods.com) – C:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\d350eapa.default\extensions\ffxtlbr@funmoods.com [2010-08-28 16:03:36 | 000,000,000 | —D | M] (MakeItLive) – C:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\d350eapa.default\extensions\mil@toolbar [2012-02-29 00:17:41 | 000,001,798 | ---- | M] () – C:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\d350eapa.default\searchplugins\funmoods.xml [2012-03-30 19:32:59 | 000,000,792 | ---- | M] () – C:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\d350eapa.default\searchplugins\startsear.xml O3 - HKLM…\Toolbar: (vShare Plugin) - {043C5167-00BB-4324-AF7E-62013FAEDACF} - C:\Program Files\vShare\vshare_toolbar.dll () O3 - HKLM…\Toolbar: (VShareToolBar) - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - C:\Program Files\vShare.tv plugin\BarLcher.dll (VShare Inc.) O3 - HKU\S-1-5-21-1708537768-484763869-1801674531-1003…\Toolbar\WebBrowser: (vShare Plugin) - {043C5167-00BB-4324-AF7E-62013FAEDACF} - C:\Program Files\vShare\vshare_toolbar.dll () O3 - HKU\S-1-5-21-1708537768-484763869-1801674531-1003…\Toolbar\WebBrowser: (VShareToolBar) - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - C:\Program Files\vShare.tv plugin\BarLcher.dll (VShare Inc.) O4 - HKLM…\Run: [browsers Protector] C:\Program Files\Browsers Protector\regmon32.exe () O4 - HKLM…\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found O4 - HKU.DEFAULT…\RunOnce: [] File not found O4 - HKU.DEFAULT…\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 File not found O4 - HKU\S-1-5-18…\RunOnce: [] File not found O4 - HKU\S-1-5-18…\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 File not found O4 - HKU\S-1-5-19…\RunOnce: [] File not found O4 - HKU\S-1-5-19…\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 File not found O4 - HKU\S-1-5-20…\RunOnce: [] File not found O4 - HKU\S-1-5-20…\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 File not found NetSvcs: xoofy - File not found :Commands [emptytemp]

Kliknij Wykonaj skrypt.Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie. Następnie uruchom OTL ponownie, tym razem kliknij (Skanuj).

Pokaż nowy log OTL.txt oraz raport z usuwania.

Użyj AdwCleaner http://general-changelog-team.fr/outils/289-adwcleaner z funkcji Delete.

Pokaż z niego log.

kulawy67x · 5 Kwiecień 2012 18:27

to toolbar czyli dodatek zainstalowany do przeglądarki

usuwa się przez panel sterowania aplet (coż za kretyńska nazwa) dodaj/usuń programy

jan_m11 · 5 Kwiecień 2012 22:25

witam ponownie,

dałem chyba ciała z pierwszym skanem, bo nie zaznaczyłem użycia filtrowania w rejestrze. Wykonałem natomiast wszystkie polecenia użytkownika ‘Acorus’. Wymagane logi znajdują się poniżej:

http://www.wklejto.pl/121931

http://www.wklejto.pl/121932

http://www.wklejto.pl/121933

to chyba wszystko.

pozdro

Acorus · 6 Kwiecień 2012 09:08

W OTL użyj opcji Sprzątanie.W AdwCleaner użyj opcji Uninstall.

Zainstaluj aktualizacje do programow wskazanych przez: http://screen317.spywareinfoforum.org/SecurityCheck.exe jako out of date.

jan_m11 · 6 Kwiecień 2012 09:30

zrobiłem wszystko według Twoich poleceń, ale dalej widać ten komunikat z zagrożeniem. Jeszcze jedna sprawa. W momencie, gdy chce wejść do panelu sterowania wyskakuje okno

‘z plikiem tym nie jest skojarzony program umożliwiający wykonanie tej czynności. Skojarz odpowiedni program, używając apletu opcje folderów w panelu sterowania’

i czasem wyświetla panel sterowania, a czasem wyskakuje błąd.

Nie wiem czy to ma coś wspólnego, ale na wszelki wypadek pisze o tym.

Acorus · 6 Kwiecień 2012 13:33

Pokaż jeszcze log extras.Aby powstał raport Extras.txt Opcja Rejestr skan dodatkowy musi być ustawiona na Użyj filtrowania

jan_m11 · 6 Kwiecień 2012 14:57

wykonałem jeszcze raz logi z OTL-a:

http://www.wklejto.pl/121971

http://www.wklejto.pl/121972

Acorus · 6 Kwiecień 2012 15:17

Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:

Kliknij Wykonaj skrypt.W OTL użyj opcji Sprzątanie.Przeskanuj progr.Malwarebytes Anti-Malware

http://www.malwarebytes.org/products/malwarebytes_free

Przed skanowaniem wykonaj RĘCZNĄ AKTUALIZACJĘ BAZY SYGNATUR WIRUSÓW

jan_m11 · 6 Kwiecień 2012 23:22

witam,

zrobiłem tak jak wyżej napisałeś. Malwarebytes wykrył 8 robaków, chyba. Usunąłem je, ale dalej jest komunikat o tym problemie.

Załączam log z malware’a:

http://www.wklejto.pl/121997

oraz wykonałem ponownie logi z OTL-a:

http://www.wklejto.pl/121999

http://www.wklejto.pl/122000

Acorus · 7 Kwiecień 2012 07:40

Przeskanuj programem Dr.WEB CureIt http://www.dobreprogramy.pl/Dr.WEB-Cure … 12976.html

jan_m11 · 7 Kwiecień 2012 16:11

hmm, ściągnąłem plik na dysk, próbuje odpalić, niestety bez skutku. wyłączyłem następnie kaspersky’ego, ponownie uruchamiam program, żadnego efektu.

– Dodane 07.04.2012 (So) 22:51 –

ok ściągnąłem z innego źródła dr.web-a

znalazł coś, ale nie da się tego usunąć, jedynie utworzyłem raport:

http://www.wklejto.pl/122066