Avira W32/Patched.UB trojan!

[kominekl]

gdy wlaczam autoruns caly czas jest to wszystko nic nie jest usuniete ale opcja delate jest nieczynna jak to zrobic ? jestem zielony pomoz

Uruchom Autoruns, jako Administrator, jeśli się nie uda to sprawdź ponownie, czy odznaczyłeś wszystko i przejdź dalej.

[MathieuDaVii]

odznaczone wszystko tak jak mialo byc bo pare razy odznaczylem nie to ale teraz jest ok kliknalem delate i zamknalem program.
co dalej ?

[kominekl]

i przejdź dalej.

Czytaj instrukcję.

[mateo8898]

zaraz podam nowe logi z OTL

//Posty połączone

http://wklejto.pl/129019 to jest log z OTL

nie wiem dlaczego ale tylko jeden mi sie pokazal... nie ma extras

[kominekl]

nie wiem dlaczego ale tylko jeden mi sie pokazal... nie ma extras

A w części Rejestr - Skan Dodatkowy zaznaczasz Użyj Filtrowania? Podaj oba logi ponownie i używaj opcji edytuj - nie pisz posta pod postem.

Reasumacja.

Dorzuć również nowy log z Autoruns.

[MathieuDaVii]

http://wklejto.pl/129026 logg otl

http://wklejto.pl/129027 logg extras

http://www19.zippyshare.com/v/83753714/file.html logg z autoruns

[mateo8898]

Infekcja nadal jest wykrywana w pliku C:\Windows\System32\services.exe?? Jeśli tak to przeskanuj go na https://www.virustotal.com/ i podaj wyniki.

[MathieuDaVii]

pisze ze nie moge go otworzyc bo nie mam uprawnien do jako administrator ? co zrobic ?

[mateo8898]

A skopiuj ten plik na pulpit i wtedy spróbuj przeskanować.

[mateo8898]

nie da rady. musze sie zalogowac jako administrator zeby to zrobic

a informacja o tym virusie caly czas wyskakuje co prawda nie tak czesto jak wtedy ale jeszcze wyskakuje

//Posty połączone

moze po prostu odinstaluje avire i zainstaluje jakiegos innego antivirusa ?

[mateo8898]

Zmiana antywira to nie jest wyjście, bo nie wiadomo czy faktycznie ten plik jest zainfekowany, czy może to tylko fałszywy alarm. Spróbuj jeszcze tak: prawoklik na plik Właściwości Zabezpieczenia Edytuj zaznacz "Użytkownicy" i zafajkuj "Pełna kontrola" w kolumnie "Zezwalaj" Zastosuj. Następnie spróbuj przeskanować plik.

[MathieuDaVii]

nic nie dalo caly czasto samo

[kominekl]

Panowie.

Skoro mamy wątpliwości to może po prostu zróbmy test. MathieuDaVii sprawdź wykrywany plik na https://www.virustotal.com/.

Autoruns.

W Autoruns odznacz, a następnie usuń (co się będzie dało):

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup

McAfee Security Scan Plus.lnk

Task Scheduler

Wszystko.

HKLM\System\CurrentControlSet\Services

AdobeARMservice
McComponentHostService
MozillaMaintenance
ScrybeUpdater

Komentarz.

Usuń wszystkie wpisy, które odznaczyłeś.

"{08234a0d-cf39-4dca-99f0-0c5cb496da81}" = Bing Bar
"McAfee Security Scan" = McAfee Security Scan Plus
"NSS" = Norton Security Scan
"WinLiveSuite" = Windows Live Essentials (wszystko z Windows Live)

Za pomocą Revo Uninstaller`a https://www.instalki.pl/download/programy/windows/narzedzia/narzedzia-systemowe/revo-uninstaller/ w trybie zaawansowanym odinstaluj to oprogramowanie (po wcześniejszym zaznaczeniu w Nim opcji Pokazuj Elementy Systemowe).

Logi.

Uruchom OTL w oknie Własne opcje skanowania/skrypt wklej:

:Processes
killallprocesses

:OTL

DRV - File not found [Kernel | Disabled | Stopped] -- C:\Users\MARTA-~1\AppData\Local\Temp\catchme.sys -- (catchme)
[2012.07.15 14:28:46 | 000,002,252 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\bing.xml
[2012.07.15 14:28:46 | 000,001,105 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\yahoo-de.xml
O2 - BHO: (no name) - AutorunsDisabled - No CLSID value found.

:Files
C:\ProgramData\Symantec
C:\Windows\System32\drivers\NSS
C:\Program Files\Norton Security Scan
C:\ProgramData\Norton
C:\Program Files\NortonInstaller
C:\Windows\erdnt
C:\Users\Marta-Zoe\AppData\Local\Temp
C:\Windows\temp
$RECYCLE.BIN /alldrives
C:\ProgramData\McAfee Security Scan
C:\ProgramData\McAfee
C:\Program Files\McAfee Security Scan
C:\Users\Marta-Zoe\Desktop\AutoRuns.arn
C:\Windows\tasks\*.*

:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]

:Commands
[emptyflash]
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz nowe logi z OTL.

[mateo8898]

Panowie.

Skoro mamy wątpliwości to może po prostu zróbmy test. MathieuDaVii sprawdź wykrywany plik na https://www.virustotal.com/.

Kilka postów wyżej już to przerabialiśmy. W takiej sytuacji najlepiej byłoby podmienić ten plik, ale ja akurat obecnie nie posiadam go z tej wersji systemu.

[MathieuDaVii]

dokladnie bo jest to wersja systemu winows 7 starter 32 bit