Trojan Trash Gen

milkywayofjapan · 14 Kwiecień 2014 13:29

W zeszłym tygodniu znalazłam trojana “trash gen”,w 12 miejscach ( głównie w system volume information) ,parę dni nic sie nie pokazywało ,wczoraj ponownie skanowałam i znowu pojawił sie w 7 miejscach w systemie, czytałam o nim w necie ze nie da sie go usunąc przez zaden program antiwirusowy i ciagle powraca,tu sa logi :

Logi

extras

http://www.wklej.org/id/1332144/

Otl

http://www.wklej.org/id/1332146/

Acorus · 14 Kwiecień 2014 14:06

Użyj AdwCleaner http://www.bleepingcomputer.com/download/adwcleaner/ z funkcji Skan(Szukaj) a następnie Clean(usuń).Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:

:OTL
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\13A6.tmp -- (MEMSWEEP2)
DRV - [2014-04-13 20:46:03 | 000,055,232 | ---- | M] (StdLib) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\tStLib.sys -- (tStLib)
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com/?crg=3.1010000st=10
IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http://search.sweetim.com/search.asp?src=6crg=3.1010000st=10q={searchTerms}
IE - HKU\S-1-5-21-1454471165-630328440-725345543-1003\..\SearchScopes\{231A3FD6-F03D-4CFA-964E-98829DC40473}: "URL" = http://search.yahoo.com/search?p={searchTerms}ei=utf-8fr=b1ie7
IE - HKU\S-1-5-21-1454471165-630328440-725345543-1003\..\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}SearchSource=4ctid=CT2801948
IE - HKU\S-1-5-21-1454471165-630328440-725345543-1003\..\SearchScopes\{CF739809-1C6C-47C0-85B9-569DBB141420}: "URL" = http://toolbar.ask.com/toolbarv/askRedirect?gct=gc=1q={searchTerms}crm=1toolbar=VZ2
IE - HKU\S-1-5-21-1454471165-630328440-725345543-1003\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http://search.sweetim.com/search.asp?src=6crg=3.1010000st=10q={searchTerms}
FF - prefs.js..extensions.enabledAddons: ffxtlbr%40Facemoods.com:1.1.0
FF - prefs.js..extensions.enabledItems: ffxtlbr@Facemoods.com:1.0.0
[2009-07-26 14:20:53 | 000,001,774 | ---- | M] () -- C:\Documents and Settings\USAJ\Dane aplikacji\Mozilla\Firefox\Profiles\qqmjgiui.default\searchplugins\amazon-search.xml
[2009-07-26 14:19:51 | 000,001,512 | ---- | M] () -- C:\Documents and Settings\USAJ\Dane aplikacji\Mozilla\Firefox\Profiles\qqmjgiui.default\searchplugins\imdb.xml
[2011-02-28 11:37:21 | 000,001,592 | ---- | M] () -- C:\Documents and Settings\USAJ\Dane aplikacji\Mozilla\Firefox\Profiles\qqmjgiui.default\searchplugins\web-search.xml
O3 - HKU\.DEFAULT\..\Toolbar\WebBrowser: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - No CLSID value found.
O3 - HKU\S-1-5-18\..\Toolbar\WebBrowser: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - No CLSID value found.
O4 - HKU\.DEFAULT..\RunOnce: [] File not found
O4 - HKU\S-1-5-18..\RunOnce: [] File not found
O4 - HKU\S-1-5-19..\RunOnce: [] File not found
O4 - HKU\S-1-5-20..\RunOnce: [] File not found
[2014-04-13 20:46:03 | 000,055,232 | ---- | C] (StdLib) -- C:\WINDOWS\System32\drivers\tStLib.sys
[2014-03-25 13:28:53 | 000,055,232 | ---- | C] (StdLib) -- C:\WINDOWS\System32\drivers\tStLibG.sys

:Commands
[emptytemp]

Kliknij Wykonaj skrypt.Po restarcie uruchom OTL i użyj opcji Sprzątanie.

Wyłącz i włącz przywracanie systemu.

Przeskanuj programem Malwarebytes Anti-Malware http://data-cdn.mbamupdates.com/v2/mbam/consumer/data/mbam-setup-2.0.0.1000.exe

milkywayofjapan · 14 Kwiecień 2014 15:41

Wyczysciłam kompa Adwcleanerem ,usunęłam wszystkie smieci,ale przy wykonywaniu skryptu komputer sie zaciął ,na dodatek przy załadowywaniu systemu znów sie zaciał i musiałam po raz drugi leciec z kopa ,teraz włączyłam go bez problemu,czy mam ominąc ten skrypt czy po raz drugi zaczac go robić ?

Acorus · 14 Kwiecień 2014 16:17

Wykonaj skrypt w trybie awaryjnym i resztę.

milkywayofjapan · 14 Kwiecień 2014 17:40

Zrobiłam skrypt w trybie awaryjnym ,niestety teraz znów coś- nie moge odznaczyc "wyłacz przywracanie systemu " ponieważ jest odznaczone na stałe(pisze dodatkowo "wyłaczone przez zasady grupy),w linku który mi dałes jest opcja zrobienia tego w OTL ,ale znów bede musiałą zrobic to w trybie awaryjnym

milkywayofjapan · 9 Maj 2014 22:17

Minał niecały miesiac od porzedniego postu i mam ten sam problem, Trash gen znowu sie pojawia, skanuję ,wyrzucam a on powraca…

Acorus · 10 Maj 2014 07:22

Pobierz Farbar Recovery Scan Tool http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/ zgodny z wersją systemu 32-bit lub 64-bit.

Uruchom FRST i kliknij Scan. Pokaż raport FRST i Addition.

milkywayofjapan · 10 Maj 2014 10:01

http://wklejto.pl/200443

http://wklejto.pl/200444

Acorus · 10 Maj 2014 18:01

Użyj AdwCleaner http://www.bleepingcomputer.com/download/adwcleaner/ z funkcji Skan(Szukaj) a następnie Clean(usuń).Odinstaluj Yet Another Cleaner!Otwórz Notatnik i wklej:

HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=dsts=1399293495from=coruid=WDCXWD5000AAJS-00A8B0_WD-WMASY057039970399q={searchTerms}
R2 iSafeService; C:\Program Files\iSafe\iSafeSvc.exe [118056 2014-04-23] (Elex do Brasil ParticipaĂ§Ăľes Ltda)
R3 iSafeKrnl; C:\Program Files\iSafe\iSafeKrnl.sys [202240 2014-04-23] (Elex do Brasil ParticipaĂ§Ăľes Ltda)
S3 iSafeKrnlBoot; C:\WINDOWS\System32\DRIVERS\iSafeKrnlBoot.sys [38912 2014-04-23] (Elex do Brasil ParticipaĂ§Ăľes Ltda)
R1 iSafeKrnlKit; C:\Program Files\iSafe\iSafeKrnlKit.sys [59392 2014-04-23] (Elex do Brasil ParticipaĂ§Ăľes Ltda)
R1 iSafeNetFilter; C:\Program Files\iSafe\iSafeNetFilter.sys [52056 2014-04-23] (Elex do Brasil ParticipaĂ§Ăľes Ltda)
R1 {9edd0ea8-2819-47c2-8320-b007d5996f8a}t; C:\WINDOWS\System32\drivers\{9edd0ea8-2819-47c2-8320-b007d5996f8a}t.sys [55224 2014-04-28] (StdLib)
S3 MEMSWEEP2; \\C:\WINDOWS\system32\E2.tmp [X]
2014-05-07 18:58 - 2014-05-07 18:58 - 00000000 ____ D () C:\Documents and Settings\USAJ\Dane aplikacji\eCyber
2014-05-07 18:57 - 2014-05-10 11:28 - 00000000 ____ D () C:\Program Files\iSafe
2014-05-07 18:57 - 2014-05-07 18:57 - 00001455 _____ () C:\Documents and Settings\All Users\Menu Start\YAC.lnk
2014-05-07 18:57 - 2014-05-07 18:57 - 00000000 ____ D () C:\Documents and Settings\All Users\Menu Start\Programy\YAC
2014-05-07 18:57 - 2014-04-23 12:20 - 00038912 _____ (Elex do Brasil ParticipaĂ§Ăľes Ltda) C:\WINDOWS\system32\Drivers\iSafeKrnlBoot.sys
2014-05-07 18:56 - 2014-05-08 23:04 - 00000000 ____ D () C:\Documents and Settings\USAJ\Dane aplikacji\iSafe
2014-05-07 18:55 - 2014-05-07 18:55 - 11825832 _____ (Elex do Brasil ParticipaĂ§Ăľes Ltda) C:\Program Files\yet_another_cleaner_sk.exe
2014-05-06 18:34 - 2014-04-28 10:23 - 00055224 _____ (StdLib) C:\WINDOWS\system32\Drivers\{9edd0ea8-2819-47c2-8320-b007d5996f8a}t.sys
2014-04-14 16:56 - 2014-04-14 16:59 - 00000000 ____ D () C:\AdwCleaner

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST

milkywayofjapan · 10 Maj 2014 23:59

Yet Another Cleaner? a on jest niepotrzebny?jest dosc szczegółowy…

Acorus · 11 Maj 2014 07:48

Skasuj folder C:\FRST Użyj http://www.bleepingcomputer.com/download/tfc/ (uruchom TFC i kliknij Start).

milkywayofjapan · 11 Maj 2014 11:17

Zrobione.