HEUR:Trojan.Win32.Generic jak usunac?

[raynor983]

Witam, Kaspersky wykrywa mi HEUR:Trojan.Win32.Generic ale nie może się go pozbyć, po kliknięciu na usuń albo przenieś do kwarantanny pokazuje że nie można odnaleźć pliku. Mój system to win7 64bit. Proszę o jakieś instrukcje co robić, od razu mówie że nie znam się kompletnie na tych sprawach.

Logi o OTL:
OTL.txt
http://www.wklej.eu/index.php?id=3c6ed50ba2

Extras.txt
http://www.wklej.eu/index.php?id=72b662da25

moge zrobic logi innymi programami tylko powiedzcie jakimi

[mateo8898]

Podaj dokładną lokalizację oraz nazwę tego pliku wykrywanego przez Kasperskiego.

Uruchom OTL w oknie Własne opcje skanowania/skrypt wklej:

:OTL
PRC - [2010/04/18 14:45:36 | 000,032,849 | ---- | M] (MyWebSearch.com) -- C:\Program Files (x86)\MyWebSearch\bar\2.bin\MWSOEMON.EXE
PRC - [2010/04/18 14:45:36 | 000,028,762 | ---- | M] (MyWebSearch.com) -- C:\PROGRA~2\MYWEBS~1\bar\2.bin\mwssvc.exe
SRV - [2010/04/18 14:45:36 | 000,028,762 | ---- | M] (MyWebSearch.com) [Auto | Running] -- C:\PROGRA~2\MYWEBS~1\bar\2.bin\mwssvc.exe -- (MyWebSearchService)
IE - HKU\S-1-5-21-1265898259-3867710057-3081642762-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://home.mywebsearch.com/index.jhtml ... mHmQfrx_GA
IE - HKU\S-1-5-21-1265898259-3867710057-3081642762-1000\..\URLSearchHook: {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Program Files (x86)\MyWebSearch\bar\2.bin\MWSSRCAS.DLL (MyWebSearch.com)
FF - prefs.js..keyword.URL: "http://search.mywebsearch.com/mywebsearch/GGmain.jhtml?id=ZLfox000&ptb=po8OvXVEurZ3mHmQfrx_GA&psa=&ind=2010041808&ptnrS=ZLfox000&si=&st=kwd&n=77cecdd0&searchfor="
FF - prefs.js..extensions.enabledItems: [email protected]:1.1
FF - HKLM\software\mozilla\Firefox\Extensions\\[email protected]: C:\Program Files (x86)\MyWebSearch\bar\2.bin [2010/08/27 14:49:31 | 000,000,000 | ---D | M]
[2010/04/18 15:46:48 | 000,010,017 | ---- | M] () -- C:\Users\Seoul\AppData\Roaming\Mozilla\FireFox\Profiles\bkxq1m1j.default\searchplugins\mywebsearch.xml
O2 - BHO: (MyWebSearch Search Assistant BHO) - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Program Files (x86)\MyWebSearch\bar\2.bin\MWSSRCAS.DLL (MyWebSearch.com)
O2 - BHO: (mwsBar BHO) - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Program Files (x86)\MyWebSearch\bar\2.bin\MWSBAR.DLL (MyWebSearch.com)
O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKLM\..\Toolbar: (My Web Search) - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Program Files (x86)\MyWebSearch\bar\2.bin\MWSBAR.DLL (MyWebSearch.com)
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKU\S-1-5-21-1265898259-3867710057-3081642762-1000\..\Toolbar\WebBrowser: (My Web Search) - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Program Files (x86)\MyWebSearch\bar\2.bin\MWSBAR.DLL (MyWebSearch.com)
O4 - HKLM..\Run: [My Web Search Bar Search Scope Monitor] C:\Pliki programów (x86)\MyWebSearch\bar\2.bin\M3SRCHMN.EXE File not found
O4 - HKLM..\Run: [MyWebSearch Email Plugin] C:\PROGRA~2\MYWEBS~1\bar\2.bin\mwsoemon.exe (MyWebSearch.com)
O4 - HKLM..\Run: [Setwallpaper] c:\programdata\SetWallpaper.cmd File not found
O4 - HKLM..\Run: [WinampAgent] D:\winamp\winampa.exe File not found
O4 - HKU\S-1-5-21-1265898259-3867710057-3081642762-1000..\Run: [ALLUpdate] D:\Seoul\programy\All Player\ALLPlayer\ALLUpdate.exe File not found
O4 - HKU\S-1-5-21-1265898259-3867710057-3081642762-1000..\Run: [EA Core] C:\Program Files (x86)\Electronic Arts\EADM\Core.exe File not found
O4 - HKU\S-1-5-21-1265898259-3867710057-3081642762-1000..\Run: [MyWebSearch Email Plugin] C:\PROGRA~2\MYWEBS~1\bar\2.bin\mwsoemon.exe (MyWebSearch.com)
O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\SysWow64\mctadmin.exe File not found
O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\SysWow64\mctadmin.exe File not found

:Files
C:\Program Files (x86)\MyWebSearch

:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"UpdateLBPShortCut"=-
"UpdateP2GoShortCut"=-

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania + nowe logi z OTL

[raynor983]

log z usuwania
http://www.wklej.eu/index.php?id=0a34c5716b

usuniete pliki pojawiły się folderze D:\_OTL\MovedFiles

powtórne logi
OTL.txt
http://www.wklej.eu/index.php?id=7d4b565aa6

Extras.txt
http://www.wklej.eu/index.php?id=674e9b2fa9

a z ta lokalizacją to wszedłem do spisu wykrytych zagrożeń w kasperskim i według tego:

wirus HEUR:Trojan.Win32.Generic został poddany kwarantannie trzykrotnie w lokalizacji: C:\Users\Seoul\AppData\LocalLow\MyWebSearch\bar\setups
teraz patrze po dacie to było 04.08, 24.08 i 05.09 czyli wsześniej niż mi się wydawało (logi robiłem z 30dni wiec może zrobić z dłuższego okresu?)

natomiast wpis z dzisiaj mówi o tym że wirusa nie odnaleziono, lokazacja to: C:\Users\Seoul\AppData\Local

oprócz tego są jeszcze wpisy z jakimiś not-a-virus:Garbage.Win32.WebToolbar.aq i not-a-virus:Garbage.Win32.WebToolbar.ap

[mateo8898]

Ok, więcej tu nic nie widzę.

W OTL kliknij Sprzątanie

Przeczyść dysk oraz rejestr CCleaner

Wykonaj pełne skanowanie Malwarebytes' Anti-Malware - jeśli coś znajdzie usuń i daj raport

[raynor983]

ok zrobiłem tak jak kazałeś

Marwarebytes' Anti-Malware znalazł pełno świństwa

log ze skanowania
http://www.wklej.eu/index.php?id=d874194796

dałem usuń, zrobiło restart kompa, tylko teraz nie mogę znaleźć gdzie zapisało tego loga z usuwania

co zrobić dalej? te pliki zostały narazie umieszczone w kwarantannie.

[mateo8898]

Większość to resztki w rejestrze. Jeśli usunąłeś to ok, możesz jeszcze opróżnić kwarantannę Malwarebytes.

Czy Kaspersky dalej wykrywa infekcje???

[raynor983]

Zrobiłem pełny skan i nic nie wykrywa. Chyba już jest w porządku.

Wielkie dzięki za pomoc.