Elektroda.pl
Elektroda.pl
X

Wyszukiwarki naszych partnerów

Wyszukaj w ofercie 200 tys. produktów TME
Europejski lider sprzedaży techniki i elektroniki.
Proszę, dodaj wyjątek elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Temp41.exe - Nie można usunąć pliku(wirusa).

Cleo89 05 Sie 2013 02:23 1707 8
  • #1 05 Sie 2013 02:23
    Cleo89
    Poziom 5  

    Kilka dni temu "Microsoft Security Essentials" (tylko tym obecnie dysponuje) wykrył mi "niebezpieczny" plik Temp41.exe. Jednocześnie zostałam poinformowana że plik został usunięty.
    Po wejściu w historię antywirusa microsoftu znajduje niebezpieczny plik poddany kwarantannie o nazwie Kelihos.F (alert poważny). Usuwam go i plik znika.

    Zrzut

    Spoiler:
    Temp41.exe - Nie można usunąć pliku(wirusa).


    Jednak po ponownym uruchomieniu Windowsa sytuacja się powtarza.

    Co zrobiłam?
    1. Gdzieś w sieci znalazłem wpis że plik działa z poziomu folderu "temp" w Windows.
    - Wyczyściłam pamięć podręczną.
    2. Wysłałam próbkę do microsoftu. Znalazłam potwierdzenie że plik jest niebezpieczny i zaleca się przeprowadzenie pełnego skanowania. tak też zrobiłam.
    3. Proces który jest wyszczególniony nie jest oczywiście widoczny w menadżerze zadań ani w okienku msconfig.

    Proszę o pilną pomoc. Komputer nie należy do mnie! : (

    inne informacje
    Spoiler:
    - Prawdopodobnie do infekcji doszło podczas korzystania z IE. Wielokrotnie słyszałam żeby z niego nie korzystać tylko z GChrome lub FF. jednak tylko tą przeglądarką dysponowałam .
    - Komputer to nowa firmowa Toshiba - mam 100% pewności że oprogramowanie jest oryginalne wiec nie wiem jak mogło do tego dojść.
    - Jedyne co instalowałam to Odtwarzacz do filmów i kodeki.



    PS. Przed napisaniem posta skonsultowałam się z kolegą jednak mam świadomość że nie wszystko co napisałam musi być zgodne z przyjętymi tutaj normami. zarówno forma jak i treść. To mój pierwszy post na jakimkolwiek forum proszę o wyrozumiałość i z góry przepraszam.

    log cokolwiek to jest(w zalaczniku) : O

  • Pomocny post
    #3 05 Sie 2013 10:17
    RADU23
    Moderator - Komputery Serwis

    Wykonaj "pełne skanowanie" Malwarebytes i zamieść logi.

  • #4 05 Sie 2013 13:44
    Cleo89
    Poziom 5  

    Zamieszczam logi.
    OTL - Extras.txt & OTL.txt
    -Malwarebytes - MBAM-log-2013-08-05 (13-27-25).txt

    W OTL była dodatkowa opcja. Pozostawiłam ją domyślnie włączoną.
    Jak na obrazku poniżej.
    Temp41.exe - Nie można usunąć pliku(wirusa).

    Malwarebytes - po pełnym skanowaniu pokazała mi mnóstwo plików. Nie wiem czy mogę to usunąć jak już mówiłam wcześniej to nie mój komputer nie chcę czegoś zepsuć. Część z nich niżej ...

    Temp41.exe - Nie można usunąć pliku(wirusa). Temp41.exe - Nie można usunąć pliku(wirusa).

  • Pomocny post
    #5 05 Sie 2013 13:54
    Kolobos
    Spec od komputerów

    Usun wszystko co wykryl mbam.

    Uzyj AdwCleaner, opcja Usun.

    Wykonaj skrypt w OTL:

    :OTL
    IE - HKU\S-1-5-21-3197614117-1257117242-4168805760-1002\..\SearchScopes\{80254D48-3E1D-4774-A789-ABABAE5716F6}: "URL" = http://www.amazon.co.uk/gp/search?ie=UTF8&keywords={searchTerms}&tag=tochibauk-win7-ie-search-21&index=blended&linkCode=ur2
    IE - HKU\S-1-5-21-3197614117-1257117242-4168805760-1002\..\SearchScopes\{8E880958-26B9-469D-AD71-2A5C776ECED8}: "URL" = http://rover.ebay.com/rover/1/4908-44618-9400-8/4?satitle={searchTerms}
    O2 - BHO: (DealPly Shopping) - {ae48ed75-5a56-4c5f-bbce-6f1ac3875f66} - C:\Program Files (x86)\DealPly\DealPlyIE.dll (DealPly)
    O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
    O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
    O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20)
    O16 - DPF: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20)
    O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20)
    O22:64bit: - SharedTaskScheduler: {73526E5A-FD53-4BE7-B5E2-D3C89D7413DC} - Ave's FolderBg - C:\Windows\W7FBC\dll.dll ()
    [2013-07-22 20:24:33 | 000,000,000 | ---D | C] -- C:\windows\W7FBC
    [2013-07-21 02:02:25 | 000,000,000 | ---D | C] -- C:\Users\Lukas\AppData\Local\DealPlyLive
    [2013-07-21 02:02:25 | 000,000,000 | ---D | C] -- C:\ProgramData\DealPlyLive
    [2013-07-21 02:02:25 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\DealPlyLive
    [2013-07-21 02:02:24 | 000,000,000 | ---D | C] -- C:\Users\Lukas\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\DealPly
    [2013-07-21 02:02:24 | 000,000,000 | ---D | C] -- C:\Users\Lukas\AppData\Roaming\Dealply
    [2013-07-21 02:02:24 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\DealPly
    [2013-07-21 02:02:22 | 000,000,000 | ---D | C] -- C:\ProgramData\Tarma Installer
    [2013-07-21 02:02:24 | 000,000,000 | ---D | M] -- C:\Users\Lukas\AppData\Roaming\Dealply


    Zrob tez skan przy pomocy cureit.

  • #7 05 Sie 2013 15:45
    Cleo89
    Poziom 5  

    Skan Malware + usuń- Po restarcie Windows Malware nie znalazł zagrożeń które wyświetlił za pierwszym razem jednak temp41.exe jak i wirus wyszczególniony w historii Microsoft Security Essentials nadal jest w kwarantannie.
    Po wykonaniu skryptu i skanu + usuń programem Adwcleaner – Microsoft przestał pokazywać plik Temp41.exe nawet po restarcie. Czyli zdaje się mamy połowę sukcesu. ; ) (w załączniku log po wykonaniu skryptu)
    Gamer- skanowałam – zapisałam rezultaty. Załączam w pliku txt. Szczerze nie wiem jak z niego korzystać.
    Cureit- zarówno windows jak i malware blokuje mi dostęp do tego programu.

    Dla pewności wykonałam 4 kroki ponownie.
    1. Malware skan
    2. AdwCleaner
    3. Skrypt
    4. Gamer
    I uciążliwy Kelihos.F zniknął na dobre.

    Mam tylko wrażenie jakby komputer lekko zwolnił. Kolega mówi że to przez kilka działających programów antywirusowych.
    Dziękuje wszystkim za pomoc i pozdrawiam. W szczególności panu Kolobos.
    Jeżeli macie jeszcze jakieś sugestie to z chęcią poczytam.
    Jeżeli nie ...temat można zamknąć.

  • #9 06 Sie 2013 14:51
    Cleo89
    Poziom 5  

    Podsumowanie
    Niebezpieczny plik Temp.41 był usuwany przez windowsowego antywirusa jednak po restarcie systemu pojawiał się ponownie.
    Podobnie było w przypadku Kelihos.F.

    Zastosowanie innych antywirusów jak i skryptu podesłanego przez Kolobos przyczyniło się do usunięcia obu szkodników. (szczegóły w temacie)

    Pokazały też że były one tylko wierzchołkiem góry lodowej.

    Źródło infekcji: źródło infekcji pozostaje nieznane, jednak wskazałabym przeglądarkę Internet Explorer.

 Szukaj w ofercie
Zamknij 
Wyszukaj w ofercie 200 tys. produktów TME