Problem z wirusem Win32 Evo-gen


(Karcii3) #1

Dzisiaj ku mojemu zdziwieniu Avast wykrył mi wirusa. Nie znam się zbyt dobrze na komputerach ale zdziwiło mnie to, że nie mogę go usunąć jednocześnie jak skanuję ten dany plik pokazuje mi, że nie jest zarażony. Wirus nazywa się Win32 Evo-gen. Czy macie na to jakąś radę? Z góry dziękuję :slight_smile:


(Acorus) #2

To może być fałszywy alarm.Przeskanuj programem Malwarebytes Anti-Malware http://data-cdn.mbamupdates.com/v2/mbam/consumer/data/mbam-setup-2.0.2.1012.exe

Podczas instalacji usuń zaznaczenie przy Uruchom okres testowy Malwarebytes Anti-Malware Premium.

Pobierz Farbar Recovery Scan Tool http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/ zgodny z wersją systemu 32-bit lub 64-bit.

Uruchom FRST i kliknij Scan. Pokaż raport FRST i Addition.

Raporty umieść na http://wklej.org/ i podaj link.


(arapo) #3

Wg mnie to “false positive” poczytaj na innych forach

https://www.google.pl/search?q=Win32+Evo-gen&oq=Win32+Evo-gen&aqs=chrome…69i57&espv=2&ie=UTF-8 


(Agatonster) #4

karcii3

Proszę zapoznać się z tematem i poprawić tytuł na konkretny, mówiący o problemie. W celu dokonania zaleconej korekty proszę użyć przycisku Edytuj, umieszczonego w prawym dolnym rogu swojego posta, następnie opcji Użyj pełnego edytora, znajdującej się pod edytowanym postem.

Zignorowanie zalecenia będzie skutkowało przeniesieniem tematu do Kosza.


(Karcii3) #5

Skanując tą przeglądarką wyszło mi, że mam parę wirusów.

 

FRST    http://wklej.org/hash/05e98ea9103/

Addition http://wklej.org/hash/4b22d049453/


(Acorus) #6

Odinstaluj Akamai NetSession Interface.Otwórz Notatnik i wklej:

Task: {137BA561-DDE6-4247-9130-A2ED7411E331} - System32\Tasks\bench-Updater removing
Task: {61D4FEB9-26FC-4665-9462-F69F217F06DC} - System32\Tasks\bench-sys = C:\Program Files\Bench\Updater\updater.exe [2013-12-18] () ==== ATTENTION
Task: C:\Windows\Tasks\bench-sys.job = C:\Program Files\Bench\Updater\updater.exe ==== ATTENTION
Task: C:\Windows\Tasks\bench-Updater removing.job = ? ==== ATTENTION
HKLM\...\Run: [mobilegeni daemon] = C:\Program Files\Mobogenie\DaemonProcess.exe #"eŃÄ…pŕ…
HKLM\...\Run: [fst_pl_49] = [X]
HKU\S-1-5-21-798018055-305743966-2059553243-1000\...\Run: [Akamai NetSession Interface] = C:\Users\Piotr\AppData\Local\Akamai\netsession_win.exe [4672920 2014-04-17] (Akamai Technologies, Inc.)
HKU\S-1-5-21-798018055-305743966-2059553243-1000\...\MountPoints2: {36e80a76-8a7a-11e2-bfd1-a82f068f9008} - F:\AutoRun.exe
HKU\S-1-5-21-798018055-305743966-2059553243-1000\...\MountPoints2: {36e80a7b-8a7a-11e2-bfd1-a82f068f9008} - F:\AutoRun.exe
HKU\S-1-5-21-798018055-305743966-2059553243-1000\...\MountPoints2: {415b4333-bda5-11e3-af78-6c626d45f6dc} - C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL F:\start.exe
HKU\S-1-5-21-798018055-305743966-2059553243-1000\...\MountPoints2: {79f8589f-8b1c-11e2-a069-6c626d45f6dc} - E:\AutoRun.exe
HKU\S-1-5-21-798018055-305743966-2059553243-1000\...\MountPoints2: {79f858a3-8b1c-11e2-a069-6c626d45f6dc} - E:\AutoRun.exe
HKU\S-1-5-21-798018055-305743966-2059553243-1000\...\MountPoints2: {79f858a7-8b1c-11e2-a069-6c626d45f6dc} - E:\AutoRun.exe
HKU\S-1-5-21-798018055-305743966-2059553243-1000\...\MountPoints2: {c3defc40-9334-11e3-9d50-806e6f6e6963} - F:\autoplay.exe
HKU\S-1-5-21-798018055-305743966-2059553243-1001\...\MountPoints2: {36e80a76-8a7a-11e2-bfd1-a82f068f9008} - F:\AutoRun.exe
HKU\S-1-5-21-798018055-305743966-2059553243-1001\...\MountPoints2: {36e80a7b-8a7a-11e2-bfd1-a82f068f9008} - F:\AutoRun.exe
HKU\S-1-5-21-798018055-305743966-2059553243-1001\...\MountPoints2: {79f8589f-8b1c-11e2-a069-6c626d45f6dc} - E:\AutoRun.exe
HKU\S-1-5-21-798018055-305743966-2059553243-1001\...\MountPoints2: {79f858a3-8b1c-11e2-a069-6c626d45f6dc} - E:\AutoRun.exe
HKU\S-1-5-21-798018055-305743966-2059553243-1001\...\MountPoints2: {79f858a7-8b1c-11e2-a069-6c626d45f6dc} - E:\AutoRun.exe
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.awesomehp.com/web/?type=dsts=1392289421from=tt4uuid=WDCXWD1001FALS-00Y6A0_WD-WCATR240694306943q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.awesomehp.com/web/?type=dsts=1392289421from=tt4uuid=WDCXWD1001FALS-00Y6A0_WD-WCATR240694306943q={searchTerms}
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.awesomehp.com/?type=scts=1392289421from=tt4uuid=WDCXWD1001FALS-00Y6A0_WD-WCATR240694306943
SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.awesomehp.com/web/?type=dsts=1392289421from=tt4uuid=WDCXWD1001FALS-00Y6A0_WD-WCATR240694306943q={searchTerms}
SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.awesomehp.com/web/?type=dsts=1392289421from=tt4uuid=WDCXWD1001FALS-00Y6A0_WD-WCATR240694306943q={searchTerms}
SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.delta-search.com/?q={searchTerms}babsrc=SP_ssmntrId=9E796C626D45F6DCaffID=119357tt=250613_gr5tsp=4926
SearchScopes: HKCU - {C6F4FD2F-C47E-4B60-9EF8-8488C1CC1541} URL = http://websearch.ask.com/redirect?client=ietb=ORJo=src=crmq={searchTerms}locale=apn_ptnrs=U3apn_dtid=OSJ000YYPLapn_uid=D64D690C-30B1-4D02-8D90-290356CEA069apn_sauid=24799F31-D11F-4382-ABAA-B7F236F5511F
FF SearchPlugin: C:\Users\Piotr\AppData\Roaming\Mozilla\Firefox\Profiles\ampikvpm.default\searchplugins\askcom.xml
FF SearchPlugin: C:\Users\Piotr\AppData\Roaming\Mozilla\Firefox\Profiles\ampikvpm.default\searchplugins\babylon.xml
FF SearchPlugin: C:\Users\Piotr\AppData\Roaming\Mozilla\Firefox\Profiles\ampikvpm.default\searchplugins\delta.xml
FF HKLM\...\Firefox\Extensions: [ocr@babylon.com] - C:\Program Files\Babylon\Babylon-Pro\Utils\ocr@babylon.com
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction ======= ATTENTION
R1 {9edd0ea8-2819-47c2-8320-b007d5996f8a}Gw; C:\Windows\System32\drivers\{9edd0ea8-2819-47c2-8320-b007d5996f8a}Gw.sys [52920 2014-04-28] (StdLib)
S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X]
2014-10-17 16:42 - 2014-10-17 16:44 - 15578360 _____ (Elex do Brasil Participações Ltda) C:\Users\Piotr\Downloads\yet_another_cleaner_sk_293927.exe
2014-10-17 17:19 - 2014-02-18 21:29 - 00000286 _____ () C:\Windows\Tasks\bench-Updater removing.job
2014-10-16 20:29 - 2014-02-12 12:01 - 00000332 _____ () C:\Windows\Tasks\bench-sys.job
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.


(Karcii3) #7

Zapisałam plik. Uruchomiłam FRST ale o co chodzi z tym, że mam kliknąć w Fix? Wybacz, aż mi wstyd że takich rzeczy nie wiem :frowning:


(Acorus) #8

Plik umieść w katalogu C:\Users\Piotr\Downloads.Uruchom FRST i kliknij w Fix.Powstanie plik fixlog.txt.


(Karcii3) #9

Już zrobiłam - czy to ogólnie wszystko? Bo jak zrobiłam skan avastem to nadal jest ten wirus ;/


(Atis) #10

Napisz gdzie wykrywa tego wirusa. Nazwa pliku i ścieżka dostępu.