Avast pokazuje komunikat, że znalazł Win32:Malwere-gen

przez **Pola** » 01 Lis 2010, 23:56

Witam,
mam problem z pewnym wirusem, Avast pokazuje mi komunikat, że znalazł Win32:Malwere-gen. Każe mu go usunąc i komunikat znowu się pojawia. Tak można przez cały dzień. Mam Windows 7 Ultimate x64.Wykonałam tylko log z OTL bo ten drugi nie działa na x64.

log z OTL:
http://www.wklej.eu/index.php?id=a9938d47b7

przez **mateo8898** » 02 Lis 2010, 09:40

Na początek użyj TDSSKiller

http://support.kaspersky.com/viruses/so ... =208280684 i podaj log z niego.

Następnie uruchom OTL

w oknie Własne opcje skanowania/skrypt wklej:

:OTL
SRV:64bit: - File not found [On_Demand | Stopped] -- C:\Windows\SysNative\GameMon.des -- (npggsvc)
DRV:64bit: - File not found [Kernel | Boot | Stopped] -- C:\Windows\SysNative\drivers\ncaaekvq.sys -- (xdvlndaokodwck)
DRV:64bit: - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\npptNT2.sys -- (NPPTNT2)
DRV:64bit: - File not found [Kernel | Boot | Stopped] -- C:\Windows\SysNative\drivers\sxmun.sys -- (gindnvuzvnt)
DRV - [2010-10-28 16:11:53 | 000,044,800 | ---- | M] () [Kernel | Boot | Stopped] -- C:\Windows\system32\drivers\obathcesgtebm.sys -- (slhbedyiucua)
DRV - [2010-10-28 16:11:53 | 000,044,800 | ---- | M] () [Kernel | Boot | Stopped] -- C:\Windows\system32\drivers\hqdwweg.sys -- (knsqgigiord)
O4 - HKU\.DEFAULT..\Run: [DAT10BA.tmp.exe] C:\Windows\TEMP\DAT10BA.tmp.exe ()
O4 - HKU\.DEFAULT..\Run: [DAT4CB9.tmp.exe] C:\Windows\TEMP\DAT4CB9.tmp.exe ()
O4 - HKU\S-1-5-18..\Run: [DAT10BA.tmp.exe] C:\Windows\TEMP\DAT10BA.tmp.exe ()
O4 - HKU\S-1-5-18..\Run: [DAT4CB9.tmp.exe] C:\Windows\TEMP\DAT4CB9.tmp.exe ()
O4 - HKU\S-1-5-21-3774848447-3132507438-690786228-1001..\Run: [AdobeBridge] File not found
O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\SysWow64\mctadmin.exe File not found
O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\SysWow64\mctadmin.exe File not found

:Files
C:\Windows\tasks\At*.job
C:\ProgramData\XT6i88Ej.exe
C:\ProgramData\Qqf032A2.dat
C:\Users\Paulinka\AppData\Local\Temp*.html
C:\Windows\SysWow64\drivers\obathcesgtebm.sys
C:\Windows\SysWow64\drivers\hqdwweg.sys
C:\Windows\Fonts\XJp44.com
C:\Windows\SysWow64\drivers\str.sys

:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AdobeAAMUpdater-1.0"=-
"HotKeysCmds"=-
"IgfxTray"=-
"Persistence"=-
"AdobeCS5ServiceManager"=-
"GrooveMonitor"=-
"SwitchBoard"=-

:Commands
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania + nowe logi z OTL (nie zapomnij tym razem o logu Extras).

przez **Pola** » 02 Lis 2010, 21:16

Przede wszystkim dziękuję za odpowiedź.....i podaję linki do logów:

Log z TDSSKiller:
http://www.wklej.eu/index.php?id=c763da3f8e

Log z OTL po tym procesie własnego skanowania (czyli log z usuwania):
http://www.wklej.eu/index.php?id=f05efac5cc

Log z OTL nowy:
http://www.wklej.eu/index.php?id=5f24bc4771

Log z OTL nowy- Extras:
http://www.wklej.eu/index.php?id=64f7d80c4d

przez **mateo8898** » 02 Lis 2010, 21:30

Nawet dobrze to wygląda. Zrób jeszcze dla pewności nowy skan TDSSKiller i podaj log z niego, bo chcę wiedzieć, czy zrobił porządek w mbr.

przez **Pola** » 02 Lis 2010, 21:46

Log z TDSSKiller:
http://www.wklej.eu/index.php?id=5ae02760e7

przez **Pola** » 02 Lis 2010, 21:50

Mam pytanie bardzo istotne- czy mogę korzystać ze wszystkich e-maili i gg na starych hasłach czy powinnam założyć wszystko od nowa?

przez **mateo8898** » 02 Lis 2010, 23:05

Mam pytanie bardzo istotne- czy mogę korzystać ze wszystkich e-maili i gg na starych hasłach czy powinnam założyć wszystko od nowa?

Jeśli korzystałaś z tych haseł w czasie, gdy komputer był już zainfekowany to dobrze by było je pozmieniać.

W logach nic więcej nie widać.

W OTL kliknij Sprzątanie

Przeczyść dysk oraz rejestr CCleaner

Wyłącz i włącz przywracanie systemu na wszystkich dyskach

Instrukcja

Wykonaj pełne skanowanie Malwarebytes' Anti-Malware - jeśli coś znajdzie usuń i daj raport

Zainstaluj najnowszą wersję Avasta

http://www.instalki.pl/programy/downloa ... virus.html

przez **Pola** » 03 Lis 2010, 01:37

Malwarebytes' Anti-Malware wykrył 3 rzeczy, więc podaję loga:
http://www.wklej.eu/index.php?id=97015fd67d

Mam już Avasta- czy wystarczy, że zrobiłam aktualizację, czy lepiej ściągnąć nową wersję?

przez **mateo8898** » 03 Lis 2010, 16:44

Ok, możesz jeszcze opróżnić kwarantannę Malwarebytes.

Mam już Avasta- czy wystarczy, że zrobiłam aktualizację, czy lepiej ściągnąć nową wersję?

Wiem, że masz, ale w starej wersji 4. Teraz mamy już wersję 5, więc odinstaluj tego starego (możesz się do tego posłużyć tym narzędziem

http://www.avast.pl/index.php/strony/12) i zainstaluj najnowszą wersję.

przez **Pola** » 03 Lis 2010, 19:56

Odinstalowalam starego Avasta wedle instrukcji, potem uruchomiłam ponownie komputer i zainstalowałam nowego Avasta.
Po może minucie wyskoczyło mi "Alert usługi WindowsDefender: TrojanDownloader:Unruy.H"
Więc sądzę, że znowu mam wirusa:(((

Oto log:
http://www.wklej.eu/index.php?id=91b1e89c9a

Bardzo proszę ponownie o pomoc.

przez **Pola** » 03 Lis 2010, 19:59

Extras:
http://www.wklej.eu/index.php?id=70be70cc97

przez **mateo8898** » 03 Lis 2010, 21:38

Faktycznie, tylko skąd to dziadostwo wlazło...

Uruchom OTL

w oknie Własne opcje skanowania/skrypt wklej:

:OTL
PRC - [2010-11-03 18:35:56 | 000,078,340 | ---- | M] () -- C:\ProgramData\XT6i88Ej.exe
PRC - [2010-11-03 18:35:56 | 000,078,340 | ---- | M] () -- C:\Users\Paulinka\AppData\Local\Temp\hki182.exe
SRV:64bit: - File not found [Auto | Stopped] -- C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe -- (aswUpdSv)
SRV - [2010-10-31 18:05:41 | 000,100,356 | ---- | M] () [On_Demand | Stopped] -- C:\Program Files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe -- (SwitchBoard)

:Files
C:\ProgramData\XT6i88Ej.exe
C:\Users\Paulinka\AppData\Local\Temp\hki182.exe
C:\ProgramData\XT6i88Ej.exe_

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania + nowe logi z OTL.

przez **Pola** » 03 Lis 2010, 22:12

Log z OTL z usuwania:
http://www.wklej.eu/index.php?id=d414c7a2d3

Nowe logi z OTL:
zwykły:
http://www.wklej.eu/index.php?id=f8be51b193

extras:
http://www.wklej.eu/index.php?id=4f1db7e710

przez **mateo8898** » 03 Lis 2010, 22:22

Ok, usunięte.

W OTL kliknij Sprzątanie

Zrób także dla pewności skan ESET Online Scanner

http://www.eset.pl/onlinescan

przez **Pola** » 03 Lis 2010, 22:38

Dziękuję serdecznie...
sprzątanie zrobione, a co do ESET Online Scanner to na stronie jest kilka wersji testowych (darmowych)- czy wszystko jedno, którą ściągnę, czy któraś z nich jest szczególnie polecana?

Pytam, ponieważ po naciśnięciu ESET Online Scanner wyskakuje mi tylko umowa licencyjna (drobnym drukiem), zgadzam się, ale dalej nic się nie dzieje.

Avast pokazuje komunikat, że znalazł Win32:Malwere-gen

Avast pokazuje komunikat, że znalazł Win32:Malwere-gen

Re: Proszę o pomoc w pozbyciu się wirusa

Re: Proszę o pomoc w pozbyciu się wirusa

Re: Proszę o pomoc w pozbyciu się wirusa

Re: Proszę o pomoc w pozbyciu się wirusa

Re: Proszę o pomoc w pozbyciu się wirusa

Re: Proszę o pomoc w pozbyciu się wirusa

Re: Proszę o pomoc w pozbyciu się wirusa

Re: Avast pokazuje komunikat, że znalazł Win32:Malwere-gen

Re: Avast pokazuje komunikat, że znalazł Win32:Malwere-gen

Re: Avast pokazuje komunikat, że znalazł Win32:Malwere-gen

Re: Avast pokazuje komunikat, że znalazł Win32:Malwere-gen

Re: Avast pokazuje komunikat, że znalazł Win32:Malwere-gen

Re: Avast pokazuje komunikat, że znalazł Win32:Malwere-gen

Re: Avast pokazuje komunikat, że znalazł Win32:Malwere-gen

Kto jest na forum