Witam. Wczoraj AVG wykrył mi wirusa o wdzięcznej nazwie “Koń trojański Backdoor.Generic17.AMIX” Po chwili odkrył jeszcze 6 tych samych wirusów 5 z nich w tej samej lokalizacji i przeniósł je do przechowalni. Po kliknięciu w szczegóły jedynego innego pliku, który był na C (reszta jest na D) zobaczyłem, że wykryte jest powiązanie pomiędzy nim a kluczem rejestru. Problem polega na tym, że po opróżnieniu przechowalni te 6 plików zostało (inne uległy usunięciu). I nie jestem pewien czy to są wszystkie. Proszę o pomoc, gdyż jest to pierwszy raz gdy mam do czynienia z takim wirusem.
Zapoznaj się z tym tematem: analiza-dezynfekcja-zestaw-narzedzi-nieingerencyjnych-t485632.html#p3059741
wstaw logi OTL i poczekaj aż ktoś je przeanalizuje.
Acorus
(Acorus)
20 Sierpień 2013 12:27
#4
Odinstaluj Akamai NetSession Interface.Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:
:OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://start.facemoods.com/?a=ironto&s={searchTerms}&f=4 IE - HKU\S-1-5-21-1817827816-1320640738-3935525272-1001\SOFTWARE\Microsoft\Internet Explorer\Main,bProtector Start Page = http://www.delta-search.com/?affID=1197 … 270e10ea4b IE - HKU\S-1-5-21-1817827816-1320640738-3935525272-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-search.com/?affID=1197 … 270e10ea4b IE - HKU\S-1-5-21-1817827816-1320640738-3935525272-1001…\SearchScopes{0D7562AE-8EF6-416d-A838-AB665251703A}: “URL” = http://start.facemoods.com/?a=ironto&s={searchTerms}&f=4 IE - HKU\S-1-5-21-1817827816-1320640738-3935525272-1001…\SearchScopes{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: “URL” = http://www.delta-search.com/?q={searchTerms}&affID=119776&babsrc=SP_ss&mntrId=6564752e00000000000000270e10ea4b FF - prefs.js…extensions.enabledAddons: ffxtlbr@babylon.com:1.1.8 [2011-07-06 14:30:15 | 000,133,403 | ---- | M] () (No name found) – C:\Users\KamiL\AppData\Roaming\mozilla\firefox\profiles\9pnnju37.default\extensions\ffxtlbr@babylon.com.xpi [2011-07-05 18:32:56 | 000,002,291 | ---- | M] () – C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml O2:64bit: - BHO: (no name) - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - No CLSID value found. O2 - BHO: (no name) - {2EECD738-5844-4a99-B4B6-146BF802613B} - No CLSID value found. O2 - BHO: (no name) - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - No CLSID value found. O3 - HKLM…\Toolbar: (no name) - {98889811-442D-49dd-99D7-DC866BE87DBC} - No CLSID value found. O4 - HKU\S-1-5-21-1817827816-1320640738-3935525272-1001…\Run: [] File not found O4 - HKU\S-1-5-21-1817827816-1320640738-3935525272-1001…\Run: [Akamai NetSession Interface] C:\Users\KamiL\AppData\Local\Akamai\netsession_win.exe (Akamai Technologies, Inc.) O4 - HKU\S-1-5-21-1817827816-1320640738-3935525272-1001…\Run: [RESTART_STICKY_NOTES] C:\Windows\System32\StikyNot.exe File not found O4 - HKU\S-1-5-19…\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found O4 - HKU\S-1-5-20…\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found O4 - Startup: C:\Users\KamiL\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\tcbhn.lnk = C:\Users\KamiL\AppData\Roaming\BrowserCompanion\tcbhn.exe () F3:64bit: - HKU\S-1-5-21-1817827816-1320640738-3935525272-1001 WinNT: Load - (C:\Windows\inf\Other.exe) - File not found F3 - HKU\S-1-5-21-1817827816-1320640738-3935525272-1001 WinNT: Load - (C:\Windows\inf\Other.exe) - File not found F3:64bit: - HKU\S-1-5-21-1817827816-1320640738-3935525272-1001 WinNT: Run - (C:\Windows\system32\config\Win.exe) - File not found F3 - HKU\S-1-5-21-1817827816-1320640738-3935525272-1001 WinNT: Run - (C:\Windows\system32\config\Win.exe) - File not found O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.) [2013-08-20 13:32:10 | 000,000,918 | ---- | M] () – C:\Windows\tasks\GinyasBrowserCompanion Update Checker.job [2013-08-20 13:31:36 | 000,000,918 | ---- | M] () – C:\Windows\tasks\GinyasBrowserCompanion FireFox Watcher.job [2013-08-20 13:31:31 | 000,000,918 | ---- | M] () – C:\Windows\tasks\GinyasBrowserCompanion Chrome Watcher.job [2013-08-20 13:31:21 | 000,000,918 | ---- | M] () – C:\Windows\tasks\GinyasBrowserCompanion Stats Report.job [2013-08-20 13:31:15 | 000,000,918 | ---- | M] () – C:\Windows\tasks\GinyasBrowserCompanion Runner.job :Commands [emptytemp]
Kliknij Wykonaj skrypt.W OTL użyj opcji Sprzątanie.
Wyłącz i włącz przywracanie systemu.
http://searchengines.pl/topic/141981-czyszczenie-punkt ów-przywracania-systemu/
Przeskanuj progr.Malwarebytes Anti-Malware http://www.malwarebytes.org/products/malwarebytes_free/
Przed skanowaniem wykonaj RĘCZNĄ AKTUALIZACJĘ BAZY SYGNATUR WIRUSÓW Malwarebytesa “Uruchom Malwarebytes, przejdź do zakładki Aktualizacja, Sprawdź aktualizacje.”
Tutaj log ze skanowania:
http://www.wklej.org/id/1112256/
Rozumiem, że pliki mam usunąć?
Skończyłem, zrobiłem wszystko i co dalej bo mniemam, że to jeszcze nie koniec, gdyż wirusy w przechowalni nadal są .
RobMarian
(G781134)
20 Sierpień 2013 13:53
#8
Z AVG też miałem podobny problem. Rozwiązanie jest bardzo proste. Przygotuj sobie plik instalacyjny innego antywirusa (polecam AVAST FREE), tzn. pobierz go z sieci. Następnie odinstaluj AVG (zostawiając jego dane dotyczące wirusów), zainstaluj nowy program. Potem wystarczy wykonać pełne skanowanie i przenieść wszystko co znalazł do kwarantanny wirusów. Kolejnym krokiem jest pobranie CCleaner i dokładne przeczyszczenie komputera by pozbyć się pozostałych wpisów po AVG (gdyby tego nie robić to w przyszłości może być problem z konfliktem plików programów antywirusowych).
Pozdrawiam
RobMarian
Tylko, że przechowalnia i kwarantanna to jak dla mnie to samo. Chcę się po prostu pozbyć wirusów z komputera. Ale mimo wszystko dzięki za odpowiedź.
RobMarian
(G781134)
20 Sierpień 2013 14:01
#10
Przeczytałeś to co napisałem dokładnie? Chodzi o wymiana antywirusa, gdyż AVG nie pozwoli Ci usunąć tego z kwarantanny i w całości z komputera, a AVAST już TAK.
Wolałbym nie zostawiać komputera bez antywirusa. Na pewno nie ma jakiegoś innego sposobu na usunięcie 6 wirusów?
RobMarian
(G781134)
20 Sierpień 2013 14:12
#12
Te wirusy zostały już usunięte… Nie zagrażają komputerowi… Ale jeśli nie chcesz ich w kwarantannie to zrób tak jak napisałem. Nie pozostawisz komputera bez antywirusa, bo będziesz miał plik instalacyjny gotowy do uruchomienia zaraz po odinstalowaniu AVG. To jedyne rozwiązanie twojego problem.
Dzięki za pomoc. Temat do zamknięcia.