Win32:Trojan-gen. {Other}! w intel.dll <- alert Avasta


(Mtestwow) #1

Witam, dzisiaj Avast zaczal informowac mnie co chwile o infekcji Win32:Trojan-gen. {Other}! pliku C:\WINDOWS\Intel.DLL Tzn zaczelo sie to po okolo 6h pobytu w necie - gralem sobie. Nagle wyskoczyl alarm. Przeskanowalem kompa, okazalo sie ze VaaaaaaaBaa.class siedzi w javie. Javy poszly do kosza ( 2 ver mialem - wylaczylem autoupdate jak to ma tak wygladac ), najnowsza sciagnieta i zainstalowana. Niestety przy kazdym uruchomieniu kompa mam 3-4 razy pod rzad alert avasta o pliku intel.dll (po co mi on to ja nie wiem) z "wirusem" Win32:Trojan-gen. {Other}! Nie wiem jak sie tego pozbyc. Wklejam loga z HJT

i loga z ComboFix ( nie wiem czy to poprawnie mi dziala, za pierwszym razem musialem naciskac 1 i potwierdzac cokolwiek, a teraz juz nic )

jest jeszcze plik z kwarantanna combofixa

To wszystko, z gory dziekuje za wskazowki i pomoc. Pozdrawiam.


(jessica) #2

Te puste wpisy sfiksuj w Hijacku:

>>Hijack>>scan(Do a system scan only)>>zaznacz je >> Fix checked.

Przejrzałam w internecie różne zagraniczne fora w sprawie tego "intel.dll" - niestety, na razie nie wynaleziono sposobu jego pozbycia się (oczywiście poza sformatowaniem dysku).

Jeśli zdecydujesz się na sformatowanie dysku, to przedtem możesz spróbować usunąć kilka rzeczy, które mogą, choć wcale nie muszą, mieć coś wspólnego z tym "intel.dll".

Masz kilka rzeczy, które wyglądają na podejrzane:

Najpierw usuniesz "bmaetymy.lfu":

>>Start >>> Uruchom >>> wybierz (lub wpisz) cmd >> zastosować te komendy (po każdej wciśnij "ENTER"):

Potem poobserwuj, czy dalej jest problem z tym "intel.dll".

Jeśli jest dalej, to usuniesz "jgameenp.sys":

>>Start >>> Uruchom >>> wybierz (lub wpisz) cmd >> zastosować te komendy (po każdej wciśnij "ENTER"):

I znów obserwujesz - jeśli problem będzie dalej, to:

>>Start >>> Uruchom >>> wybierz (lub wpisz) cmd >> zastosować te komendy (po każdej wciśnij "ENTER"):

Jeśli problem będzie dalej, to pozostanie Ci wtedy już tylko sformatowanie dysku... :frowning: :frowning:

Powtarzam:

te powyższe usuwania stosujesz tylko w przypadku, gdy zdecydujesz się na sformatowanie dysku!

jessi


(Mtestwow) #3

Witam, pozbylem sie alerta wylaczajac Remote Procedure Call (RPC) MO <- do czego to w ogole sluzy? Info jest takie ze zarzadza systemem i pulpitem i komp nie ruszy bez tego. Najwyrazniej sobie radzi bez problemu majac to wylaczone. Niestety nie wiem do czego to sluzy :slight_smile: takze moglby mnie ktos oswiecic.. czy jednak warto miec to wlaczone ( tylko ten intel.dll pod tym siedzi - mieszaka on w c:\program files\intel, a do czego mi intel.dll to ja nie wiem ) Dodatkowo Avast nie wykrywa juz wirusa przy skanie, chociaz nic nie usuwalem. Zatem czy usluga Remote Procedure Call (RPC) MO ma wplyw na dzialanie samego antywira?

Pozdrawiam.


(Gutek) #4

Daj nowy log z Combofixa


(Mtestwow) #5

Jeszcze cieply log z ComboFixa :slight_smile: Cos tu jest do wywalenia?

Edit: aha, no i nadal 0 problemow z czymkolwiek - wszystko dziala, nie ma alertow.

Edit2: jeszcze slowko, nie wykonalem zadnego polecenia Jessicy (jak to mam odmienic po naszemu? ;p ) jako ze nie chce mi sie robic formata, 2,5roku komp wytrzymal bez to i to przezyje - chyba :slight_smile:


(jessica) #6

Widzę, że nic nie usuwałeś, ale mógłbyś przynajmniej sprawdzić te pliki:

To nie są typowe pliki systemu.

Sprawdź je na http://virusscan.jotti.org/

Opis, jak korzystać z JOTTI --> http://otfans.pl/forums/showthread.php?tid=552

albo na http://www.virustotal.com/en/indexf.html

(korzysta się podobnie jak z JOTTI).

jessi


(Gutek) #7

ewido anti-spyware - Scan Report pokazłby

jgameenp.sys - Backdoor.Genlot.DX :wink:


(Mtestwow) #8

Wygooglowalem wczesniej ten bmaetymv.lfu <- to jakis smiec, no ale rzeczywiscie nie usunalem - brak czasu. Teraz probowalem przeskanowac - nie istnieja, probowalem wyszukac - nie ma, cisza, glusza. Usunac tez sie nie da, no bo nie ma czegos takiego.

Niby jest ale nie ma... zapomniec o tym, czy moze jest jakis sposob na odnalezienie tego?

Dzieki za pomoc :slight_smile:

Pozdrawiam

edit: to samo z jgameenp.sys i wczesniej z intel.dll w katalogu windows (tez go tam nie bylo)

edit2: aha wczesniej, zanim napisalem 1 posta - przelecialem kompa avg antispyware, avg antirootkitem, adaware i spybotem.


(Gutek) #9

Daj nowy log z COMBOFIX-a + Pobierz program SDFix

-


(Mtestwow) #10

Jednak udalo sie skasowac oba pliki ;p Troche tak chaotycznie to wszystko robilem... wiec po kolei.

1.usnunalem bmaetymv.lfu (jeszcze wtedy nie wiedzialem, ze juz go nie ma :slight_smile: )

  1. SDfix

  2. ComboFix ( okazalo sie ze nie ma bmaetymv.lfu )

  3. usuniecie jgameenp.sys

  4. ComboFix

  5. SDfix

Jako ze 1 raport SDfixa rozni sie od 2 - wkleje oby dwa. Po tym wszystkim probowalem uruchomic Remote Procedure Call (RPC) MO dla testu czy nadal bedzie alert. Wsiaklo, ni ma, czarna dziura (ten 1 "skan" SDfixem chyba sie tym zajal ).

1log SDfixa

2.Miedzy SDfixowy Bombofix log

  1. Drugie podejscie SDfixa

Czysto?:slight_smile:

Pozdrawiam.


(jessica) #11

Czysto.

Dopiero teraz widać, że można było od razu wykonać komendy, które podałam na początku, bo i tak w końcu to zostało usunięte.

Jeszcze rejestr z pendrive:

To wszystko. :slight_smile:

jessi


(Gutek) #12

SDfixa dużo pomógł :wink:


(Mtestwow) #13

Przeczytalem, posluchalem i usunalem juz bez marudzenia :wink: Dzieki za pomoc, fajnie ze tak pomagacie.

Pozdrawiam.