Problem z wirusem Win32 Evo-gen

karcii3 · 17 Październik 2014 14:53

Dzisiaj ku mojemu zdziwieniu Avast wykrył mi wirusa. Nie znam się zbyt dobrze na komputerach ale zdziwiło mnie to, że nie mogę go usunąć jednocześnie jak skanuję ten dany plik pokazuje mi, że nie jest zarażony. Wirus nazywa się Win32 Evo-gen. Czy macie na to jakąś radę? Z góry dziękuję

Acorus · 17 Październik 2014 15:09

To może być fałszywy alarm.Przeskanuj programem Malwarebytes Anti-Malware http://data-cdn.mbamupdates.com/v2/mbam/consumer/data/mbam-setup-2.0.2.1012.exe

Podczas instalacji usuń zaznaczenie przy Uruchom okres testowy Malwarebytes Anti-Malware Premium.

Pobierz Farbar Recovery Scan Tool http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/ zgodny z wersją systemu 32-bit lub 64-bit.

Uruchom FRST i kliknij Scan. Pokaż raport FRST i Addition.

Raporty umieść na http://wklej.org/ i podaj link.

arapo · 17 Październik 2014 15:10

Wg mnie to “false positive” poczytaj na innych forach

https://www.google.pl/search?q=Win32+Evo-gen&oq=Win32+Evo-gen&aqs=chrome…69i57&espv=2&ie=UTF-8

Agaton · 17 Październik 2014 15:13

karcii3

Proszę zapoznać się z tematem i poprawić tytuł na konkretny, mówiący o problemie. W celu dokonania zaleconej korekty proszę użyć przycisku Edytuj, umieszczonego w prawym dolnym rogu swojego posta, następnie opcji Użyj pełnego edytora, znajdującej się pod edytowanym postem.

Zignorowanie zalecenia będzie skutkowało przeniesieniem tematu do Kosza.

karcii3 · 17 Październik 2014 15:55

Skanując tą przeglądarką wyszło mi, że mam parę wirusów.

FRST http://wklej.org/hash/05e98ea9103/

Addition http://wklej.org/hash/4b22d049453/

Acorus · 17 Październik 2014 16:15

Odinstaluj Akamai NetSession Interface.Otwórz Notatnik i wklej:

Task: {137BA561-DDE6-4247-9130-A2ED7411E331} - System32\Tasks\bench-Updater removing
Task: {61D4FEB9-26FC-4665-9462-F69F217F06DC} - System32\Tasks\bench-sys = C:\Program Files\Bench\Updater\updater.exe [2013-12-18] () ==== ATTENTION
Task: C:\Windows\Tasks\bench-sys.job = C:\Program Files\Bench\Updater\updater.exe ==== ATTENTION
Task: C:\Windows\Tasks\bench-Updater removing.job = ? ==== ATTENTION
HKLM\...\Run: [mobilegeni daemon] = C:\Program Files\Mobogenie\DaemonProcess.exe #"eŃÄ…pŕ…
HKLM\...\Run: [fst_pl_49] = [X]
HKU\S-1-5-21-798018055-305743966-2059553243-1000\...\Run: [Akamai NetSession Interface] = C:\Users\Piotr\AppData\Local\Akamai\netsession_win.exe [4672920 2014-04-17] (Akamai Technologies, Inc.)
HKU\S-1-5-21-798018055-305743966-2059553243-1000\...\MountPoints2: {36e80a76-8a7a-11e2-bfd1-a82f068f9008} - F:\AutoRun.exe
HKU\S-1-5-21-798018055-305743966-2059553243-1000\...\MountPoints2: {36e80a7b-8a7a-11e2-bfd1-a82f068f9008} - F:\AutoRun.exe
HKU\S-1-5-21-798018055-305743966-2059553243-1000\...\MountPoints2: {415b4333-bda5-11e3-af78-6c626d45f6dc} - C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL F:\start.exe
HKU\S-1-5-21-798018055-305743966-2059553243-1000\...\MountPoints2: {79f8589f-8b1c-11e2-a069-6c626d45f6dc} - E:\AutoRun.exe
HKU\S-1-5-21-798018055-305743966-2059553243-1000\...\MountPoints2: {79f858a3-8b1c-11e2-a069-6c626d45f6dc} - E:\AutoRun.exe
HKU\S-1-5-21-798018055-305743966-2059553243-1000\...\MountPoints2: {79f858a7-8b1c-11e2-a069-6c626d45f6dc} - E:\AutoRun.exe
HKU\S-1-5-21-798018055-305743966-2059553243-1000\...\MountPoints2: {c3defc40-9334-11e3-9d50-806e6f6e6963} - F:\autoplay.exe
HKU\S-1-5-21-798018055-305743966-2059553243-1001\...\MountPoints2: {36e80a76-8a7a-11e2-bfd1-a82f068f9008} - F:\AutoRun.exe
HKU\S-1-5-21-798018055-305743966-2059553243-1001\...\MountPoints2: {36e80a7b-8a7a-11e2-bfd1-a82f068f9008} - F:\AutoRun.exe
HKU\S-1-5-21-798018055-305743966-2059553243-1001\...\MountPoints2: {79f8589f-8b1c-11e2-a069-6c626d45f6dc} - E:\AutoRun.exe
HKU\S-1-5-21-798018055-305743966-2059553243-1001\...\MountPoints2: {79f858a3-8b1c-11e2-a069-6c626d45f6dc} - E:\AutoRun.exe
HKU\S-1-5-21-798018055-305743966-2059553243-1001\...\MountPoints2: {79f858a7-8b1c-11e2-a069-6c626d45f6dc} - E:\AutoRun.exe
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.awesomehp.com/web/?type=dsts=1392289421from=tt4uuid=WDCXWD1001FALS-00Y6A0_WD-WCATR240694306943q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.awesomehp.com/web/?type=dsts=1392289421from=tt4uuid=WDCXWD1001FALS-00Y6A0_WD-WCATR240694306943q={searchTerms}
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.awesomehp.com/?type=scts=1392289421from=tt4uuid=WDCXWD1001FALS-00Y6A0_WD-WCATR240694306943
SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.awesomehp.com/web/?type=dsts=1392289421from=tt4uuid=WDCXWD1001FALS-00Y6A0_WD-WCATR240694306943q={searchTerms}
SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.awesomehp.com/web/?type=dsts=1392289421from=tt4uuid=WDCXWD1001FALS-00Y6A0_WD-WCATR240694306943q={searchTerms}
SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.delta-search.com/?q={searchTerms}babsrc=SP_ssmntrId=9E796C626D45F6DCaffID=119357tt=250613_gr5tsp=4926
SearchScopes: HKCU - {C6F4FD2F-C47E-4B60-9EF8-8488C1CC1541} URL = http://websearch.ask.com/redirect?client=ietb=ORJo=src=crmq={searchTerms}locale=apn_ptnrs=U3apn_dtid=OSJ000YYPLapn_uid=D64D690C-30B1-4D02-8D90-290356CEA069apn_sauid=24799F31-D11F-4382-ABAA-B7F236F5511F
FF SearchPlugin: C:\Users\Piotr\AppData\Roaming\Mozilla\Firefox\Profiles\ampikvpm.default\searchplugins\askcom.xml
FF SearchPlugin: C:\Users\Piotr\AppData\Roaming\Mozilla\Firefox\Profiles\ampikvpm.default\searchplugins\babylon.xml
FF SearchPlugin: C:\Users\Piotr\AppData\Roaming\Mozilla\Firefox\Profiles\ampikvpm.default\searchplugins\delta.xml
FF HKLM\...\Firefox\Extensions: [ocr@babylon.com] - C:\Program Files\Babylon\Babylon-Pro\Utils\ocr@babylon.com
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction ======= ATTENTION
R1 {9edd0ea8-2819-47c2-8320-b007d5996f8a}Gw; C:\Windows\System32\drivers\{9edd0ea8-2819-47c2-8320-b007d5996f8a}Gw.sys [52920 2014-04-28] (StdLib)
S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X]
2014-10-17 16:42 - 2014-10-17 16:44 - 15578360 _____ (Elex do Brasil Participações Ltda) C:\Users\Piotr\Downloads\yet_another_cleaner_sk_293927.exe
2014-10-17 17:19 - 2014-02-18 21:29 - 00000286 _____ () C:\Windows\Tasks\bench-Updater removing.job
2014-10-16 20:29 - 2014-02-12 12:01 - 00000332 _____ () C:\Windows\Tasks\bench-sys.job
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.

karcii3 · 17 Październik 2014 16:45

Zapisałam plik. Uruchomiłam FRST ale o co chodzi z tym, że mam kliknąć w Fix? Wybacz, aż mi wstyd że takich rzeczy nie wiem

Acorus · 17 Październik 2014 16:53

Plik umieść w katalogu C:\Users\Piotr\Downloads.Uruchom FRST i kliknij w Fix.Powstanie plik fixlog.txt.

karcii3 · 17 Październik 2014 18:34

Już zrobiłam - czy to ogólnie wszystko? Bo jak zrobiłam skan avastem to nadal jest ten wirus ;/

Atis · 17 Październik 2014 21:06

Napisz gdzie wykrywa tego wirusa. Nazwa pliku i ścieżka dostępu.