Elektroda.pl
Elektroda.pl
X
CControls
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Wirus - trojan w laptopie.

KRZYCH70 15 Cze 2015 15:25 1149 19
  • #1 15 Cze 2015 15:25
    KRZYCH70
    Poziom 7  

    Szukam porady odnośnie zainfekowanego laptopa.
    Mam zainfekowany laptop Belinea trojanem PUA/InstallCore.Gen.
    Program antywirusowy Avira nie daje rady go usunąć.
    Ostatnio ściągnąłem z netu program Trojan Remover, ale też nie daje rady go zwalczyć.
    Czy jest możliwość usunięcia tego wirusa?
    Proszę o podpowiedzi, jeśli będą takowe.
    Rozumiem, że jeśli nic nie będzie można zrobić, to pozostanie tylko formatowanie dysku.
    Krzysztof.

    0 19
  • CControls
  • #3 15 Cze 2015 17:48
    swiercm
    Moderator na urlopie...

    mickpr napisał:
    Jaki system operacyjny, wersja?
    Zrób skan programem FRST http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/
    Logi podaj na forum jako załączniki.


    Tak, ale zanim nastąpi zamieszczenie logów z FRST, proponuję wcześniej:

    Wykonaj skanowanie i usuń to, co zostało wykryte (dotyczy pkt 1-3):
    1. MBAM: https://www.malwarebytes.org/
    2. ADWCleaner: http://www.bleepingcomputer.com/download/adwcleaner/dl/125/
    3. CCLeaner (opcja czyszczenia plików tymczasowych i opcja naprawy rejestru): http://www.filehippo.com/pl/download_ccleaner/download/78325cb97c23cd95a395335c7a6bc5bd/

    4. Pobierz FRST http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/
    Uruchom skanowanie i wygenerowane logi (frst.txt i addition.txt) zamieść jako załączniki.

    0
  • CControls
  • #4 15 Cze 2015 19:26
    KRZYCH70
    Poziom 7  

    System Windows XP.
    Zrobiłem skan tym programem, ale niestety wirus jest nadal.
    Główną jego oznaką jest to, że przeszkadza w używaniu klawiatury (klawisze wariują, ciężko jest coś napisać), a także przy włączeniu laptopa bardzo długo się uruchamia i wydaje piski.

    Dodano:

    Nie mogłem nic usunąć, bo nie było nic w rejestrze po skanowaniu.

    Dodano:

    Niestety nic nie daje.
    Wirus wprost "śmieje się".

    0
  • #5 15 Cze 2015 19:28
    mickpr
    Poziom 39  

    KRZYCH70 napisał:
    Zrobiłem skan tym programem
    Wykonałeś wszystkie punkty, o których wspomniał swiercm ? Na 100% NIE.
    Wykonaj i podaj na końcu logi z FRST!

    Mała dygresja na koniec - FRST sam z siebie nic nie usuwa!

    0
  • #7 16 Cze 2015 12:07
    KRZYCH70
    Poziom 7  

    Witam.
    Wirus w tych logach 'szaleje' przesuwa ciągi liter.. nawet tutaj jak piszę to muszę z nim walczyć by móc coś napisać.
    Cholernie utrudnia korzystanie z klawiatury.

    Mam jeszcze pytanko, gdzie podać te logi (bo one są zapisane w formie notatnika) jeśli już będę mógł?

    Dodano:

    Ok!
    Jakoś się udało załadować tutaj te logi.

    1
  • #8 16 Cze 2015 12:25
    Acorus 20
    Spec od komputerów

    Odinstaluj Adobe Reader 9.5.0 - Polish, Trojan Remover 6.9.2. Otwórz notatnik systemowy i wklej:

    Cytat:
    CloseProcesses:
    HKLM\...\Run: [RTHDCPL] => C:\WINDOWS\RTHDCPL.EXE [16377344 2007-06-13] (Realtek Semiconductor Corp.)
    HKLM\...\Run: [Alcmtr] => C:\WINDOWS\ALCMTR.EXE [69632 2005-05-03] (Realtek Semiconductor Corp.)
    HKLM\...\Run: [NeroFilterCheck] => C:\WINDOWS\system32\NeroCheck.exe [155648 2001-07-09] (Ahead Software Gmbh)
    HKLM\...\Run: [KernelFaultCheck] => %systemroot%\system32\dumprep 0 -k
    HKLM\...\Run: [mobilegeni daemon] => C:\Program Files\Mobogenie\DaemonProcess.exe
    HKLM\...\Run: [Adobe Reader Speed Launcher] => D:\Programy\Reader\Reader_sl.exe [37296 2012-01-03] (Adobe Systems Incorporated)
    HKLM\...\Run: [Adobe ARM] => C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe [843712 2012-01-02] (Adobe Systems Incorporated)
    HKLM\...\Run: [TrojanScanner] => C:\Program Files\Trojan Remover\Trjscan.exe [1911712 2015-05-14] (Simply Super Software)
    HKU\S-1-5-19\...\RunOnce: [nltide_2] => regsvr32 /s /n /i:U shell32
    HKU\S-1-5-19\...\RunOnce: [nltide_3] => rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N
    HKU\S-1-5-19\...\RunOnce: [_nltide_3] => rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N
    HKU\S-1-5-20\...\RunOnce: [nltide_2] => regsvr32 /s /n /i:U shell32
    HKU\S-1-5-20\...\RunOnce: [nltide_3] => rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N
    HKU\S-1-5-20\...\RunOnce: [_nltide_3] => rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N
    HKU\S-1-5-18\...\RunOnce: [nltide_2] => regsvr32 /s /n /i:U shell32
    HKU\S-1-5-18\...\RunOnce: [nltide_3] => rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N
    HKU\S-1-5-18\...\RunOnce: [_nltide_3] => rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N
    Startup: C:\Documents and Settings\Administrator\Menu Start\Programy\Autostart\TorpedoCopy.lnk [2014-06-27]
    ShortcutTarget: TorpedoCopy.lnk -> C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Torpedo\Torpedo.exe (No File)
    HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
    HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
    HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
    HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
    HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
    HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
    HKU\S-1-5-21-1078081533-2111687655-1417001333-500\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
    S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X]
    S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [X]
    S3 huawei_cdcacm; system32\DRIVERS\ew_jucdcacm.sys [X]
    S3 huawei_cdcecm; system32\DRIVERS\ew_jucdcecm.sys [X]
    S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X]
    S3 huawei_ext_ctrl; system32\DRIVERS\ew_juextctrl.sys [X]
    S4 IntelIde; No ImagePath
    U1 WS2IFSL; No ImagePath
    EmptyTemp:


    Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.
    Uruchom jako administrator FRST i kliknij w Fix. Przeskanuj programem Malwarebytes Anti-Malware http://www.malwarebytes.org/8/
    Podczas instalacji usuń zaznaczenie przy Uruchom okres testowy Malwarebytes Anti-Malware Premium.

    0
  • #9 16 Cze 2015 15:55
    KRZYCH70
    Poziom 7  

    Plik zapisałem, program Malware zainstalowałem i zaczął skanować pliki. Wykrył kilka zagrożeń..ale to co broi to dalej to robi.
    Z fix-em nie mogę nic zrobić.

    0
  • #10 16 Cze 2015 16:01
    Acorus 20
    Spec od komputerów

    Cytat:
    Z fix-em nie mogę nic zrobić.
    Jak to rozumieć. Wykonaj w trybie awaryjnym.

    0
  • #11 16 Cze 2015 18:09
    KRZYCH70
    Poziom 7  

    Uruchamiam FRST jako administrator i wyskakuje error.

    Sorry, ale nie jestem informatykiem. W jaki sposób mam wykonać to w trybie awaryjnym?

    0
  • #12 16 Cze 2015 18:48
    swiercm
    Moderator na urlopie...

    KRZYCH70 napisał:
    W jaki sposób mam wykonać to w trybie awaryjnym?

    Podczas uruchamiania systemu wciśnij F8 - pojawi się menu, w którym wybierzesz "bezpieczny" tryb awaryjny.

    0
  • #14 18 Cze 2015 15:15
    KRZYCH70
    Poziom 7  

    Niestety nic nie mogę zrobić.
    Infekcja jest mocna i na nic nie pozwala.
    Próbowałem korzystać z waszych podpowiedzi (niestety nic się nie udało zrobić).
    A gdy próbowałem coś robić z tematem, to wirus był bardziej aktywny w przeszkadzaniu.
    Nawet teraz jak piszę, to działa z podwojoną mocą.
    Muszę się chyba poddać, dziękuję za podpowiedzi (siedząc i próbując coś robić w tym temacie zrozumiałem, że nie jest to wymiana choćby termostatora w lodówce).
    Dziękuję za chęci pomocy.

    0
  • #16 18 Cze 2015 15:40
    Kolobos
    Spec od komputerów

    Czy klawiatura jest sprawna? To nie wyglada na infekcje.

    0
  • #17 21 Cze 2015 09:48
    KRZYCH70
    Poziom 7  

    Niestety wirus cały czas atakuje i przeszkadza,otwiera pliki i opcje do ich wyrzucenia,cały czas przeszkadza tutaj żeby napisać te kilka zdań przeszkadza cały czas.Próbowałem wszystkiego co zostało mi tu podpowiedziane..i nic

    0
  • #18 21 Cze 2015 10:17
    Kolobos
    Spec od komputerów

    Uruchom dowolnego linuksa livecd i tam sprawdz czy tez wystepuje ten problem, jezeli tez to masz uszkodzona klawiature.

    0
  • #20 24 Cze 2015 10:28
    Kolobos
    Spec od komputerów

    Sprawdziles tak jak podalem?

    0