Bartek11
(Bartek1)
1 Marzec 2015 13:14
#1
Witam, jak w temacie. Odpaliłem dzisiaj kompa i antywir Norton poinformował mnie o wykryciu tego wirusa. Ktoś mi może powiedzieć skąd on się mógł wziąć ? Wysyłam od razu logi z FRST oraz OTL’a.
FRST: http://www.wklej.org/id/1651757/
Addition: http://www.wklej.org/id/1651758/
OTL: http://www.wklej.org/id/1651759/
OTL Extras: http://www.wklej.org/id/1651761/
Pozdrawiam
Atis
(Atis)
1 Marzec 2015 13:24
#2
Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :
CloseProcesses:
SearchScopes: HKLM-x32 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
2015-02-19 15:35 - 2015-02-19 15:35 - 00000000 ____ D () C:\ProgramData\E1864A66-75E3-486a-BD95-D1B7D99A84A7
Task: {A3A9CDC5-E1B1-4B0E-9965-B72CBD8DBA29} - System32\Tasks\{E2B25838-8C5A-4DFC-A336-B55A824167E1} => pcalua.exe -a "C:\Program Files (x86)\Steam\steamapps\common\Left 4 Dead 2\bin\addoninstaller.exe" -d "C:\Program Files (x86)\Steam\steamapps\common\Left 4 Dead 2" -c /register
Task: {C8D4B2B6-2FAD-4B59-AB9F-C0F9AB930D36} - System32\Tasks\{538B03C7-8EEA-4B39-B210-3D6ACE5D3B1D} => pcalua.exe -a D:\Downloads\neverwinter_nights_collectors_edition_pl.exe -d D:\Downloads
Task: {7C02E247-7C56-4B51-8FAD-45B7400E6E20} - System32\Tasks\Origin => C:\ProgramData\Origin\update.vbe [2015-02-26] () <==== ATTENTION
C:\ProgramData\Origin\update.vbe
EmptyTemp:
Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.
Kliknij Scan i pokaż nowy raport z FRST bez Addition.
Bartek11
(Bartek1)
1 Marzec 2015 14:00
#3
Atis
(Atis)
1 Marzec 2015 14:11
#4
Skasuj folder C:\FRST
Usuń stare punkty przywracania: Aby usunąć wszystkie punkty przywracania
Odinstaluj Adobe Flash Player 16 NPAPI i zainstaluj Flash Player 16.0.0.305 Plugin
Bartek11
(Bartek1)
1 Marzec 2015 19:29
#5
To wszystko ? Zrobiłem tak, jak napisałeś. Póki co przy włączaniu komputera norton nie pokazuje mi już wykrycia trojana. Btw. przed podaniem logów skanowałem jeszcze malwarebytesem i wykryło mi coś takiego:
Trojan.CoinMiner, C:\Users\BARTEK\AppData\Local\Temp\update.exe, , [2d290838a7e32f076e0932dfad553bc5],
Trojan.Agent, C:\Windows\Temp\lsass.exe, , [e96def512169bf77c3c55c9a5ea65da3],
Czy jeśli usunąłem to tym programem, to pozbyłem się tego już na zawsze ?
Atis
(Atis)
1 Marzec 2015 21:58
#6
Pozbyłeś się na zawsze trojana uruchamianego za pomocą zaplanowanego zadania.
Foldery Temp został wyczyszczone przez FRST.
Bartek11
(Bartek1)
2 Marzec 2015 00:38
#7
W takim razie dzięki za pomoc, temat do zamknięcia. Pozdrawiam