TRojan win32 wbił mi na kompa- zerknie ktoś?

WItam.

Wczoraj przy instalowaniu programu z waszej strony wpadł mi trojan przyczepiony do toolbaru instalki i chyba skądś jeszcze. Tak mi się wydaje bo nic innego nie ściągałam. Nazwa programu jaki ściągałam to taki do obróbki zdjęć o nazwie PhotoFiltre 7.1.1

Przesyłam OTL

http://www.wklej.org/id/1006057/

Moj avg wykrył trojana w 2 miejscach

Nod32 online w 4 -ech

W avg wbralam chyba opcje usun zamiast kwarantanna , za szybko zareagowałam nie przegladajac dokładnie jakie pliki mi zainfekował ale szlag mnie trafił że przelazły wirusy i chciałam się tego dziadostwa od razu pozbyć.

Na początek odinstaluj

Nstępnie użyj adwcleaner opcja DELETE i pokaż raport z usuwania i nowe OTL i Extras

już to robię

jakieś poł godziny temu zapuściłam też ponownie avg i nie pokazał już win32 tylko detekcje Konia Trojana Generic AFWV

zaraz będzie raport i OTL po zastosowaniu Twoich wskazówek Zeus

Proszę wykonywać instrukcje i podać raporty OTL i Extras

Raport po wykonaniu adwcleaner:

AdwCleaner v2.200 - Log utworzony 08/04/2013 o 10:32:30

Aktualizacja 02/04/2013 przez Xplode

System operacyjny : Windows Vista Home Basic (32 bits)

Użytkownik : Bożena - BOŻENA-PC

Tryb uruchomienia : Normalny

Ścieżka : C:\Users\Bożena\Downloads\adwcleaner.exe

Opcja [usuń]

***** [usługi] *****

***** [Pliki / Foldery] *****

Plik Usunięto : C:\Users\BOENA~1\AppData\Local\Temp\Uninstall.exe

***** [Rejestr] *****

Klucz Usunięto : HKCU\Software\Microsoft\Internet Explorer\SearchScopes{95B7759C-8C7F-4BF1-B163-73684A933233}

Klucz Usunięto : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats{95B7759C-8C7F-4BF1-B163-73684A933233}

Klucz Usunięto : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats{F25AF245-4A81-40DC-92F9-E9021F207706}

Klucz Usunięto : HKCU\Software\Softonic

Klucz Usunięto : HKLM\SOFTWARE\Classes\CLSID{CC5AD34C-6F10-4CB3-B74A-C2DD4D5060A3}

Klucz Usunięto : HKLM\SOFTWARE\Classes\CLSID{E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39}

Klucz Usunięto : HKLM\SOFTWARE\Classes\Interface{03E2A1F3-4402-4121-8B35-733216D61217}

Klucz Usunięto : HKLM\SOFTWARE\Classes\Interface{9E3B11F6-4179-4603-A71B-A55F4BCB0BEC}

Klucz Usunięto : HKLM\SOFTWARE\Classes\TypeLib{9C049BA6-EA47-4AC3-AED6-A66D8DC9E1D8}

Wartość Usunięto : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39}]

***** [Przeglądarki Internetowe] *****

-\ Internet Explorer v7.0.6000.16982

[OK] Rejestr w porządku.

-\ Mozilla Firefox v20.0 (pl)

Plik : C:\Users\Bożena\AppData\Roaming\Mozilla\Firefox\Profiles\o35ragp1.default\prefs.js

Usunięto : user_pref(“avg.install.installDirPath”, “C:\ProgramData\AVG Secure Search\FireFoxExt\14.2.0.1”);

*************************

AdwCleaner[s1].txt - [1779 octets] - [08/04/2013 10:32:30]

########## EOF - C:\AdwCleaner[s1].txt - [1839 octets] ##########

__________________________________________________________________________________________________________________________________

OTL i Extras

http://www.wklej.org/id/1006151/

Nie widzę infekcji przeskanuj jeszcze mawerbytes antymalware i pokaż raport nic nie usuwaj

infekcje pokazuje w dalszym ciągu zwykle skanowanie moim avg

Trojan Generic 32 AFWV

Malware nie pokazuje nic: zobacz

Malwarebytes Anti-Malware (Okres testowy) 1.70.0.1100

www.malwarebytes.org

Wersja bazy: v2013.04.08.06

Windows Vista x86 NTFS

Internet Explorer 7.0.6000.16982

Bożena :: BOŻENA-PC [administrator]

Ochrona: Włączona

2013-04-08 20:32:30

mbam-log-2013-04-08 (20-32-30).txt

Typ skanowania: Szybkie skanowanie

Zaznaczone opcje skanowania: Pamięć | Rozruch | Rejestr | System plików | Heurystyka/Dodatkowe | Heuristyka/Shuriken | PUP | PUM

Odznaczone opcje skanowania: P2P

Przeskanowano obiektów: 195774

Upłynęło: 11 minut(y), 44 sekund(y)

Wykrytych procesów w pamięci: 0

(Nie znaleziono zagrożeń)

Wykrytych modułów w pamięci: 0

(Nie znaleziono zagrożeń)

Wykrytych kluczy rejestru: 0

(Nie znaleziono zagrożeń)

Wykrytych wartości rejestru: 0

(Nie znaleziono zagrożeń)

Wykryte wpisy rejestru systemowego: 0

(Nie znaleziono zagrożeń)

wykrytych folderów: 0

(Nie znaleziono zagrożeń)

Wykrytych plików: 0

(Nie znaleziono zagrożeń)

(zakończone)

Po skanowaniu malwarebytes

OTL: http://www.wklej.org/id/1006855/

EXTRAS: http://www.wklej.org/id/1006856/

Własne opcje skanowania

Dodane 09.04.2013 (Wt) 8:37

Przeskanuj jeszcze dr Web Cure it pełny skan

wkleiłam polecenie do OTL i dałam “wykonaj skrypt”

czy dalej trzeba jeszcze jakieś polecenie wdusić?

na razie mam w notatniku taki wynik :

All processes killed

========== OTL ==========

Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\ deleted successfully.

C:\Program Files\Java\jre6\bin\ssv.dll moved successfully.

========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Bożena

->Temp folder emptied: 25091350 bytes

->Temporary Internet Files folder emptied: 458434 bytes

->Java cache emptied: 0 bytes

->FireFox cache emptied: 398936233 bytes

->Flash cache emptied: 18258 bytes

User: Default

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

User: Public

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 0 bytes

%systemroot%\System32 .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 48382466 bytes

RecycleBin emptied: 6514407 bytes

Total Files Cleaned = 457,00 mb

OTL by OldTimer - Version 3.2.69.0 log created on 04092013_102031

Files\Folders moved on Reboot…

PendingFileRenameOperations files…

Registry entries deleted on Reboot…

__________________________________________________________________________________________

Co do dr weba- nie mogę go pobrać :frowning:

na dobreprogramy.pl instalka pokazuje się taka podejrzana jak ta którą ściągałam 2 dni temu z programem do obróbki zdjęć i zaraz potem wyskoczył komunikat o trojanach

pobieram z instalki.pl

dodatkowo malware wyswietliło mi komunikat :

Zablokowano dostep do podejrzanej strony 195.161.158.50

Typ- wchodzące

Port: 49178, Firefox.exe

zaczynam się już bać o hasła bankowe i inne dane

Może podam lokalizacje tego Trojana po skanie avg?

moze go usunąć ?

Wykonaj pełny skan tym avg i dr. web cure it jak pisałem. Nie widzę nic podejrzanego

dr web nie znalazł żadnych zagrożeń

avast wczoraj pokazywał jedno a teraz (własnie skanuje jest nagle juz 9 :o , czekam aż skończy :frowning: jeszcze 40 % )

podaje co wykazał raport

Zagrożenie- Koń trojański Generic32.AFWV

Opis/lokalizacja- C:\Bożena\AppData\Local\Downloaded Installations{0B10B7C1-8CC0-41DB-A0E6-8C863D69265C}\Qtrax Player.msi

Poziom zagrożenia- Wysokie

Stan- zainfekowany

Źródło- skany

Zagrożenie- Funkcja usługi NtUserMessageCall hook-1CF1C53E6.sys+0x20C82

Opis/lokalizacja- C:\users\bożena\appdata\local\tenp\1CF153E6.sys

Stan-zainfekowany

źródło- Anti-Rootkit

Takich jest 8 sztuk!

inny średniego zagrożenia

Nazwa- Funkcja usługi NtAllocateVirtualMemory hook-1CF153E6.sys+0x1EE18

Opis/lokalizacja- c:\users\bożena\appdata\local\temp\1CFC53E6.sys

źródło-Anti-Rootkit

Stan- zainfekowany

Skoro dr Web Cure it nie znalazł nic a avast cały czas próbuje walczyć to coś jest nie tak być może avast źle interpretuje niektóre pliki proszę wyleczyć te zagrożenia ewentualnie usunąć. I przeskanować jeszcze raz avastem, jeśli coś znajdzie napisz.

no właśnie jest coś nie tak, włącznie z tym,że z nerwów wszystko mnie już boli

szkoda, że nie można takiego wirusa złapać ręcznie :wink: i łeb mu ukręcić

ale ok, do napisania , dzialam dalej

Mam prośbe - możesz sprawdzić czy Tobie również podczas ściągania instalki z dobreprogramy.pl jest proponowana opcja isntalacji Qtrax.player.msi?

albo cos z niebieskim znaczkiem o nazwie silverlight?

Bo ten trojan podpiął się chyba właśnie po qtrax- jest to mozliwe ? Ściągałam już dużo programów z waszej strony i wszystko było zwykle ok. A ten akurat plik z programem nie chciał się zainstalować. Czy już wcześniej wirus musiał wkraść się do mojego komputera i nie ma to związku?

Instalując programy z różnych stron internetowych lepiej odznaczać elementy instalujące się dodatkowo takie jak ask, czy Babylon więc skoro sie to już zainstaluje najlepiej to odinstalować. System u Ciebie wygląda na czysty chyba że znowu coś było instalowane i jakaś infekcja mogła się dostać. Widzę u Ciebie zainstalowany proszę odinstalować

Odinstalowuje .

Dziekuje. A czy to normalne ze podczas sciagania dr weba na pliku instalacyjnym wyswietla się launch.exe? zamiast skrótu dr web itd.

muszę podpytać Cię teraz żeby w przyszłości nie popełniać głupich błędów w pośpiechu

Tak jest to domyślna nazwa i jest jak najbardziej prawidłowa, proponuję ściąganie aplikacji z tego portalu są one wolne od wirusów i pochodzą ze sprawdzonych źródeł

toż ja własnie z tego portalu ściągałam :smiley: i mi paskudztwo wlazło

poza tym jednym przypadkiem nie mam jednak zastrzeżen i wiem że portal to dobra marka

Czy problem ustąpił po odinstalowaniu ?

Tak. Pomogło. Trojana już nie ma.

Resztę tych drobnych 8sztuk średniego zagrożenia usunęłam po prostu, przeskanowałam avg już nie wykazało zagrożeń.

Mamy czysto.

Dziękuję serdecznie za pomoc.

Pozdrawiam.