Trojan.FakeAV!rem - jak usunąć?

frambuesa · 28 Czerwiec 2012 08:23

Witajcie,

wczoraj jak idiotka otworzyłam załącznik w mailu i zainstalował mi się na laptopie fałszywy antywirus - blokuje neta, wyskakują fałszywe powiadomienia o zagrożeniach. Jak się tego pozbyć i czy mam coś jeszcze, co mogę podejrzewać o to działanie? przeskanowałam Spyware Doctor i znalazł tego trojana oraz drugiego - maljawa - wklejam logi OTL, proszę o pomoc.

http://www.wklejto.pl/128120

http://www.wklejto.pl/128121

Atis · 28 Czerwiec 2012 08:32

Zaloguj się na własne imienne konto i wtedy utwórz log.

Teraz jesteś zalogowana na wbudowane konto Administrator.

frambuesa · 28 Czerwiec 2012 09:37

Bardzo proszę:

http://wklej.to/RqUCT

http://wklej.to/q4gbQ

Rzekomy antywirus nazywa się Live Security Platinum.

Atis · 28 Czerwiec 2012 09:43

W panelu sterowania odinstaluj Funmoods on IE and Chrome.

Do okna Własne opcje skanowania / skrypt wklej:

:OTL IE - HKU\S-1-5-21-57989841-1659004503-1417001333-1003…\SearchScopes{0D7562AE-8EF6-416d-A838-AB665251703A}: “URL” = http://start.funmoods.com/?a=ironto&s={searchTerms}&f=4 FF - prefs.js…network.proxy.backup.ftp: “75.112.152.144” FF - prefs.js…network.proxy.backup.ftp: “75.112.152.144” FF - prefs.js…network.proxy.backup.ftp_port: 80 FF - prefs.js…network.proxy.backup.gopher: “75.112.152.144” FF - prefs.js…network.proxy.backup.gopher_port: 80 FF - prefs.js…network.proxy.backup.socks: “75.112.152.144” FF - prefs.js…network.proxy.backup.socks_port: 80 FF - prefs.js…network.proxy.backup.ssl: “75.112.152.144” FF - prefs.js…network.proxy.backup.ssl_port: 80 FF - prefs.js…network.proxy.ftp: “75.112.152.144” FF - prefs.js…network.proxy.ftp_port: 80 FF - prefs.js…network.proxy.gopher: “75.112.152.144” FF - prefs.js…network.proxy.gopher_port: 80 FF - prefs.js…network.proxy.http: “75.112.152.144” FF - prefs.js…network.proxy.http_port: 80 FF - prefs.js…network.proxy.share_proxy_settings: true FF - prefs.js…network.proxy.socks: “75.112.152.144” FF - prefs.js…network.proxy.socks_port: 80 FF - prefs.js…network.proxy.ssl: “75.112.152.144” FF - prefs.js…network.proxy.ssl_port: 80 [2012-04-02 18:28:16 | 000,000,000 | —D | M] (Funmoods.com) – C:\Documents and Settings\Małgosia\Dane aplikacji\Mozilla\Firefox\Profiles\3x6y8p0k.default\extensions\ffxtlbr@funmoods.com O3 - HKU\S-1-5-21-57989841-1659004503-1417001333-1003…\Toolbar\WebBrowser: (no name) - {472734EA-242A-422B-ADF8-83D1E48CC825} - No CLSID value found. O3 - HKU\S-1-5-21-57989841-1659004503-1417001333-1003…\Toolbar\WebBrowser: (no name) - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No CLSID value found. O4 - HKU\S-1-5-21-57989841-1659004503-1417001333-1003…\RunOnce: [F4D55F3E00289104000B219D0CDF108C] C:\Documents and Settings\All Users\Dane aplikacji\F4D55F3E00289104000B219D0CDF108C\F4D55F3E00289104000B219D0CDF108C.exe ( ) :Files C:\Documents and Settings\All Users\Dane aplikacji\F4D55F3E00289104000B219D0CDF108C :Commands [emptytemp]

Kliknij Wykonaj skrypt i zatwierdź restart.

Pokaż raport z usuwania i nowy log Skanuj.

frambuesa · 28 Czerwiec 2012 21:40

raport http://wklej.to/410Rq

nowe logi

http://wklej.to/UrGjJ

http://wklej.to/5htk0

Mogę korzystać z neta w normalnym trybie, ale na liście programów ten “antywirus” nadal jest, stracił tylko ikonkę.

Edit: wszystko wróciło, w normalnym trybie blokuje neta i nadal jest aktywny

Atis · 28 Czerwiec 2012 22:09

To znaczy, że prawdopodobnie wchodzisz na zainfekowaną stronę.

Pokaż nowy log.

Dysk przeskanuj Dr.WEB CureIt

frambuesa · 29 Czerwiec 2012 06:21

fakt, zainfekowana wg twierdzeń wirusa jest Mozilla

odinstalowałam

i powtórzyłam wklejanie loga

raport http://wklej.to/1Gke2

nowe logi

http://wklej.to/LnJ4S

http://wklej.to/FINJ9

skan zrobię wieczorem

Atis · 29 Czerwiec 2012 08:47

Ja nie widzę żadnego programu antywirusowego, bo AVG został odinstalowany

Aktualizuj Internet Explorer nawet jeśli nie używasz tej przeglądarki.

Odinstaluj stare wersje:

Java 6 Update 31

Adobe Reader 9.5.1

Później zainstaluj:

IE - Internet Explorer 8 (XP)

Adobe Reader X

Java

Wklej do OTL i kliknij Wykonaj skrypt:

:OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://start.funmoods.com/results.php?f=4&a=ironto&q={searchTerms} IE - HKU\S-1-5-21-57989841-1659004503-1417001333-1003…\SearchScopes{95B7759C-8C7F-4BF1-B163-73684A933233}: “URL” = http://isearch.avg.com/search?cid={4DE86937-6EE8-42DD-B9D1-1CF2B268CE19}&mid=fbc0cac6190c4468009a1ff6d8401e91-5ce77725e64a86ebcb65b3cbfe9fc72db4c6f6bd〈=pl&ds=AVG&pr=fr&d=2011-11-30 23:14:17&v=8.0.0.40&sap=dsp&q={searchTerms} IE - HKU\S-1-5-21-57989841-1659004503-1417001333-1003…\SearchScopes{CCC7A320-B3CA-4199-B1A6-9F516DD69829}: “URL” = http://search.avg.com/?d=4dc4f8b7&i=23&tp=chrome&q={searchTerms}&lng={language}&nt=1 FF - prefs.js…browser.search.defaultenginename: “AVG Secure Search” FF - prefs.js…keyword.URL: “http://isearch.avg.com/search?cid={4254324a-b2aa-4822-8345-757d4165c304}&mid=fbc0cac6190c4468009a1ff6d8401e91-5ce77725e64a86ebcb65b3cbfe9fc72db4c6f6bd&ds=AVG&v=8.0.0.40〈=pl&pr=pr&d=2011-11-06%2012%3A16%3A21&sap=ku&q=” [2012-04-02 18:28:13 | 000,001,800 | ---- | M] () – C:\Documents and Settings\Małgosia\Dane aplikacji\Mozilla\Firefox\Profiles\3x6y8p0k.default\searchplugins\funmoods.xml O4 - HKLM…\Run: [AVG_TRAY] “C:\Program Files\AVG\AVG2012\avgtray.exe” File not found [2012-06-27 08:29:59 | 000,000,000 | —D | C] – C:\Documents and Settings\Małgosia\Menu Start\Programy\Live Security Platinum [2011-12-01 02:58:23 | 000,000,000 | —D | M] – C:\Documents and Settings\All Users\Dane aplikacji\AVG2012 [2011-05-05 14:29:29 | 000,000,000 | —D | M] – C:\Documents and Settings\All Users\Dane aplikacji\avg9 :Reg [HKEY_USERS\S-1-5-21-57989841-1659004503-1417001333-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] “Live Security Platinum”=- [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall] “Live Security Platinum”=-

Uruchom OTL i kliknij Sprzątanie.

Wyłącz i ponownie włącz przywracanie systemu:

http://support.microsoft.com/kb/310405/pl

Uruchom SecurityCheck i aktualizuj programy oznaczone jako Out of date

Dysk przeskanuj Malwarebytes-AntiMalware.

Podczas instalacji kliknij Odrzuć żeby zainstalować tylko darmowy skaner.

http://www.dobreprogramy.pl/Malwarebyte … 13117.html

frambuesa · 29 Czerwiec 2012 21:04

Zrobiłam wszystko co powyżej

wygląda na to, że jest OK

wielkie dzięki za pomoc