Podejrzenie trojana winupd.exe

gerg0sz · 16 Wrzesień 2009 17:22

Podejrzewam u siebie na dysku wirusa trojana, a konkretnie proces winupd.exe. Miewam również dziwne zawieszenia systemu, które dokładnie zawieszeniem nie są. Widzę co dzieje się na pulpicie wszystko co ma się ruszać np. ruchome ikonki w tray’u czy wskaźnik użycia procesora w menadżerze który mogę odpalić na klawiaturze ale nie mogę nic zrobić kursorem po prostu nic nie reaguje.

Zamieszczam log z hijacka:

http://wklej.org/id/151051/

Właśnie robię skan ad-awarem.

Z góry dziękuje za pomoc.

deFco247 · 16 Wrzesień 2009 17:29

To jest infekcja i HijackThis’em jej się nie usunie…

Pokaż logi OTL

(Na Windows Vista uruchamiamy program z menu Uruchom jako Administrator… )

oraz GMER

W GMER nic nie zmieniamy -> wciskamy Szukaj (skan potrwa kilkadziesiąt minut) -> po skanie Kopiuj.

gerg0sz · 16 Wrzesień 2009 18:33

Dobra skan trwał godzinę już wklejam logi

OTL: http://wklej.org/id/151056/

GMER: http://wklej.org/id/151080/

deFco247 · 16 Wrzesień 2009 18:40

W Custom Scans/Fixes w OTL wklej:

:Processes Explorer.EXE AskService.exe :Services ASKService :OTL O2 - BHO: (AskBar BHO) - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Program Files\AskBarDis\bar\bin\askBar1.dll (Ask.com) O3 - HKLM…\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll () O3 - HKU\S-1-5-21-1614895754-1801674531-682003330-1003…\Toolbar\WebBrowser: (ZoneAlarm Spy Blocker Toolbar) - {3041D03E-FD4B-44E0-B742-2D9B88305F98} - C:\Program Files\AskBarDis\bar\bin\askBar1.dll (Ask.com) O3 - HKU\S-1-5-21-1614895754-1801674531-682003330-1003…\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll () O4 - HKLM…\Run: [Windows] C:\WINDOWS\System32\winupd.exe () O33 - MountPoints2{c855ba62-9574-11de-af74-001a4d9a496b}\Shell\AutoRun\command - “” = J:\lcw.exe – File not found O33 - MountPoints2{c855ba62-9574-11de-af74-001a4d9a496b}\Shell\open\Command - “” = J:\lcw.exe – File not found [2009-09-15 23:53:48 | 00,010,423 | ---- | C] () – C:\WINDOWS\System32\winupd [2009-09-15 23:52:46 | 00,073,901 | ---- | C] () – C:\WINDOWS\System32\winupd.exe [2009-09-16 18:47:00 | 00,001,132 | ---- | M] () – C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-1614895754-1801674531-682003330-1003UA.job [2009-09-16 14:47:00 | 00,001,080 | ---- | M] () – C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-1614895754-1801674531-682003330-1003Core.job :Files C:\Program Files\AskBarDis :Commands [emptytemp] [start explorer]

Run Fix. Restart, jeśli będzie potrzebny.

Potem log z usuwania oraz nowy OTL.txt

gerg0sz · 16 Wrzesień 2009 18:53

log z usuwania: http://wklej.org/id/151097/

otl.txt: http://wklej.org/id/151098/

deFco247 · 16 Wrzesień 2009 18:56

Plik usunięty.

W OTL kliknij CleanUp.

Wyczyść rejestr i dysk CCleaner.

Usuń zbędniki z autostartu.

Wykonaj pełny skan Malwarebytes’ Anti-Malware - znalezione obiekty usuń.

Gdy będą wirusy pokaż raport.

gerg0sz · 16 Wrzesień 2009 19:57

Wyczyszczone, sprawdzone antywirusem:

wykryło dwie infekcje

LOG: http://wklej.org/id/151136/

deFco247 · 16 Wrzesień 2009 20:01

Usuń wykryte obiekty.

gerg0sz · 16 Wrzesień 2009 20:07

Ok, wielkie dzięki za pomoc i cierpliwość. Mam nadzieję, że to koniec moich problemów ;]