logo elektroda
logo elektroda
X
logo elektroda
REKLAMA
REKLAMA
Adblock/uBlockOrigin/AdGuard mogą powodować znikanie niektórych postów z powodu nowej reguły.

Jak usunąć z komputera Win32.Evo.Gen i Win Malware? Logi z FRST.

rado1977 14 Maj 2016 14:04 1353 12
REKLAMA
  • #1 15672606
    rado1977
    Poziom 8  
    Posty: 15
    Witam, podepnę się pod temat , żeby nie zaśmiecać elektrody:
    Mam podobny problem z komputerem z firmy ( pacjent który na nim pracuje uważa się za alfę i omegę i ładuje na niego nikomu niepotrzebny syf ) sprzątam po nim od czasu do czasu ale z tym "dziadostwem" nie mogę sobie poradzić.
    Avast wyświetla ostrzeżenie o Win 32 Evo Gen i Win Malware.
    Czy ktoś pomoże ?

    Moderowany przez dt1:

    Żeby nie zaśmiecać Elektrody proszę zakładać własny temat zamiast dopisywać się do minimalnie podobnego na siłę - zgodnie z punktem 3.1.19 regulaminu oraz regulaminem działu Pogotowie Antywirusowe, w którym obowiązuje zakaz dopisywania się do cudzych wątków.

    Załączniki:
    • Addition.txt (60.29 KB) Musisz być zalogowany, aby pobrać ten załącznik.
    • Shortcut.txt (49.54 KB) Musisz być zalogowany, aby pobrać ten załącznik.
    • FRST.txt (49.15 KB) Musisz być zalogowany, aby pobrać ten załącznik.
  • REKLAMA
  • #2 15672621
    Kolobos
    Spec od komputerów
    Posty: 85171
    Pomógł: 17167
    Ocena: 10448
    Odinstaluj:
    Java(TM) 6 Update 13
    Java(TM) 6 Update 45
    Java(TM) 6 Update 7

    Fixlist.txt dla FRST:
    Task: C:\WINDOWS\Tasks\Beusgyiqkeixn.job => C:\WINDOWS\system32\Xoiwlyifukm\Teiniq.exe
    Task: C:\WINDOWS\Tasks\Powiadomienie o zakończeniu obsługi systemu Microsoft Windows XP — co miesiąc.job => C:\WINDOWS\system32\xp_eos.exe
    Task: C:\WINDOWS\Tasks\Powiadomienie o zakończeniu obsługi systemu Microsoft Windows XP — logowanie.job => C:\WINDOWS\system32\xp_eos.exe
    HKU\S-1-5-21-1190142402-1023178410-1010308535-1005\...\Run: [Service Host Process for Windows] => C:\WINDOWS\system32\rundll32.exe [290847 2014-11-10] (dcfvcdcvfg)
    HKU\S-1-5-21-1190142402-1023178410-1010308535-1005\...\MountPoints2: {00ed1d51-d965-11e2-9049-001ec9642ab9} - E:\NokiaPCIA_Autorun.exe
    HKU\S-1-5-21-1190142402-1023178410-1010308535-1005\...\MountPoints2: {fa27f4b2-e3f9-11e3-b770-806d6172696f} - D:\setup.exe
    ProxyServer: [S-1-5-21-1190142402-1023178410-1010308535-1005] => socks=127.0.0.1:9050
    AutoConfigURL: [S-1-5-21-1190142402-1023178410-1010308535-1005] => socks=127.0.0.1:9050
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA
    HKU\S-1-5-21-1190142402-1023178410-1010308535-1005\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA
    BHO: Brak nazwy -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> Brak pliku
    Toolbar: HKU\S-1-5-21-1190142402-1023178410-1010308535-1005 -> Brak nazwy - {A03B40E3-07CB-4B16-97F5-7AFE6995C7A9} - Brak pliku
    DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.7.0/jinstall-1_7_0_21-windows-i586.cab
    DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab
    DPF: {CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab
    DPF: {CAFEEFAC-0016-0000-0045-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_45-windows-i586.cab
    DPF: {CAFEEFAC-0017-0000-0021-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.7.0/jinstall-1_7_0_21-windows-i586.cab
    DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_45-windows-i586.cab
    FF SearchPlugin: C:\Documents and Settings\Biuro\Dane aplikacji\Mozilla\Firefox\Profiles\cq6tujen.default\searchplugins\google-avast.xml [2015-07-15]
    S3 ewusbnet; system32\DRIVERS\ewusbnet.sys [X]
    S3 HPZid412; system32\DRIVERS\HPZid412.sys [X]
    S3 HPZipr12; system32\DRIVERS\HPZipr12.sys [X]
    S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X]
    S3 hwusbdev; system32\DRIVERS\ewusbdev.sys [X]
    U1 WS2IFSL; Brak ImagePath
    2016-05-12 07:50 - 2016-05-14 13:25 - 00000242 _____ C:\WINDOWS\Tasks\Beusgyiqkeixn.job
    2016-05-12 07:49 - 2016-05-14 13:25 - 36655501 _____ C:\WINDOWS\system32\Ypgienesetq
    2016-05-12 07:49 - 2016-05-12 07:50 - 00000000 ____D C:\WINDOWS\system32\Xoiwlyifukm
    2016-05-14 08:07 - 2014-09-08 10:51 - 00000000 ____D C:\AdwCleaner
    C:\Documents and Settings\Biuro\pkww01.dll
    EmptyTemp:

    Zrob pelny skan przy pomocy Mbam i usun to co wykryje:
    http://www.bleepingcomputer.com/download/malwarebytes-anti-malware/
  • #3 15674786
    rado1977
    Poziom 8  
    Posty: 15
    Zgodnie z zaleceniem odinstalowałem wskazane "apdejty" Javy.
    Uruchomiłem przygotowany dla mnie skrypt FRST.
    i jest małe ale...
    Malewarebyte nie potrafi dokończyć skanowania, ponieważ pojawia się takie coś:
    Jak usunąć z komputera Win32.Evo.Gen i Win Malware? Logi z FRST.

    Albo coś takiego:
    Jak usunąć z komputera Win32.Evo.Gen i Win Malware? Logi z FRST.
    Jak usunąć z komputera Win32.Evo.Gen i Win Malware? Logi z FRST.
    Jak usunąć z komputera Win32.Evo.Gen i Win Malware? Logi z FRST.

    Podczas ostatniej próby z Malewarebyte Avast oszalał komunikując co chwilę o wykrytym zagrożeniu Win Evo Gen (6 komunikatów w ciągu kilku sekund).

    Poniżej zamieszczam wynik wygenerowany przez FRST i nowe skany FRST.
    Załączniki:
    • FRST.txt (49.11 KB) Musisz być zalogowany, aby pobrać ten załącznik.
    • Fixlog.txt (7.14 KB) Musisz być zalogowany, aby pobrać ten załącznik.
    • Addition.txt (60.46 KB) Musisz być zalogowany, aby pobrać ten załącznik.
    • Shortcut.txt (50.4 KB) Musisz być zalogowany, aby pobrać ten załącznik.
  • #4 15674834
    Acorus 20
    Poziom 43  
    Posty: 10541
    Pomógł: 3247
    Ocena: 1063
    Wykonaj skanowanie w trybie awaryjnym.
  • REKLAMA
  • #5 15674861
    rado1977
    Poziom 8  
    Posty: 15
    W ciągu minuty, chwilę po uruchomieniu MWB, AVAST wykrył :
    Zarażenie: Win 32:Evo-gen [susp]
    Proces : PID 0
    w plikach:
    C:\System Volume Information\...\A0423165.exe
    C:\System Volume Information\...\A0423162.exe
    C:\System Volume Information\...\A0423113.exe
    C:\Windows\system32\dllcache\shvlzm.exe
    C:\Windows\system32\dllcache\icwrmind.exe
    i tak dalej (łącznie 11 komunikatów)

    Ciężka sprawa :)

    Dodano po 15 [minuty]:

    Tak skończyła się dwukrotna próba przeskanowania systemu za pomocą FRST , w trybie awaryjnym Windows :
    Jak usunąć z komputera Win32.Evo.Gen i Win Malware? Logi z FRST.

    Obie próby dosłownie po kilku sekundach od uruchomienia FRST zaskutkowały niebieskim ekranem
  • #6 15674941
    Acorus 20
    Poziom 43  
    Posty: 10541
    Pomógł: 3247
    Ocena: 1063
    Wykonaj w trybie awaryjnym. Otwórz notatnik systemowy i wklej:
    Cytat:
    CloseProcesses:
    Task: C:\WINDOWS\Tasks\Iguvveasucqya.job => C:\WINDOWS\system32\Ahtoaniwpyt\Atreqoso.exe
    HKLM\...\Run: [KernelFaultCheck] => %systemroot%\system32\dumprep 0 -k
    2016-05-15 11:35 - 2008-04-15 14:00 - 00042574 ____C (Microsoft Corporation) C:\WINDOWS\system32\dllcache\rvsezm.exe
    2016-05-15 11:35 - 2008-04-15 14:00 - 00042573 ____C (Microsoft Corporation) C:\WINDOWS\system32\dllcache\shvlzm.exe
    2016-05-15 11:35 - 2008-04-15 14:00 - 00042573 ____C (Microsoft Corporation) C:\WINDOWS\system32\dllcache\hrtzzm.exe
    2016-05-15 11:31 - 2008-04-15 14:00 - 00216576 ____C (Microsoft Corporation) C:\WINDOWS\system32\dllcache\icwconn1.exe
    2016-05-15 10:09 - 2016-05-15 12:07 - 36257711 _____ C:\WINDOWS\system32\Ypgienesetq
    2016-05-15 10:06 - 2016-05-15 12:07 - 00000246 _____ C:\WINDOWS\Tasks\Iguvveasucqya.job
    2016-05-15 10:06 - 2016-05-15 10:06 - 00000000 ____D C:\WINDOWS\system32\Ahtoaniwpyt


    Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.
    Uruchom jako administrator FRST i kliknij w Fix/Napraw.
  • #7 15675093
    rado1977
    Poziom 8  
    Posty: 15
    Wykonałem z poziomu admina.

    Wynik skanu z konta administratora w załącznikach.
    Idę sprawdzić jak będzie zachowywał się system z konta użytkownika.

    Generalna konkluzja, kabel odpięty od sieci = względny spokój.
    Po podłączeniu komputera do sieci zaczyna się ten cały cyrk
    Załączniki:
    • Shortcut.txt (50.59 KB) Musisz być zalogowany, aby pobrać ten załącznik.
    • Addition.txt (54.3 KB) Musisz być zalogowany, aby pobrać ten załącznik.
    • FRST.txt (48.53 KB) Musisz być zalogowany, aby pobrać ten załącznik.
    • Fixlog.txt (2.15 KB) Musisz być zalogowany, aby pobrać ten załącznik.
  • REKLAMA
  • #8 15675154
    Acorus 20
    Poziom 43  
    Posty: 10541
    Pomógł: 3247
    Ocena: 1063
    Miałeś wykonać w trybie awaryjnym.
  • REKLAMA
  • #9 15675263
    rado1977
    Poziom 8  
    Posty: 15
    W awaryjnym tuż po uruchomieniu programu wywala niebieski ekran.
  • #11 15679649
    rado1977
    Poziom 8  
    Posty: 15
    Po skanowaniu Dr.Web wykrył BackDoor.Andromeda.404 ,w dwóch lokalizacjach zainfekowany ten sam plik tzn rundll32.exe.
    Poradził sobie z w/w plikiem w lokalizacji :\device\harddiskvolume2\windo...\rundll32.exe
    natomiast poddał się w
    C:\WINDOWS\system32\rundll32.exe

    Włączyłem ponownie MBAM i też coś wykrył ( 3 infekcje)
    Póki co komputer cały czas w trybie awaryjnym , konto Administratora
  • Pomocny post
    #12 15679679
    Kolobos
    Spec od komputerów
    Posty: 85171
    Pomógł: 17167
    Ocena: 10448
    Wykonaj taki Fixlist.txt:
    Task: C:\WINDOWS\Tasks\Geagvyfya.job => C:\WINDOWS\system32\Ilazfedyibr\Yffuo.exe
    HKU\S-1-5-21-1190142402-1023178410-1010308535-1005-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\MountPoints2: {fa27f4b2-e3f9-11e3-b770-806d6172696f} - D:\setup.exe
    2016-05-15 14:27 - 2016-05-15 14:27 - 40524939 _____ C:\WINDOWS\system32\Ypgienesetq
    2016-05-15 14:25 - 2016-05-15 14:27 - 00000240 _____ C:\WINDOWS\Tasks\Geagvyfya.job
    2016-05-15 14:25 - 2016-05-15 14:25 - 00000000 ____D C:\WINDOWS\system32\Ilazfedyibr

    Zamiesc nowe logi z FRST, ze skanowania.
  • #13 15694268
    rado1977
    Poziom 8  
    Posty: 15
    Przepraszam za opóźnienie - wyjazdy w teren.
    Dziękuję osobom zaangażowanym w pomoc przy próbie oczyszczenia systemu.

    Niestety system zaczął w sposób ciągły samoczynnie się zamykać , generując wciąż niebieskie ekrany. Nie było żadnej szansy na odpalenie jakichkolwiek programów, nawet w trybie awaryjnym.

    Na szczęście miałem komputer zapasowy i gotowy backup projektów , plików worda itp.

    Przedmiotowy komputer czeka obecnie na chwilę czasu aby go fizycznie przejrzeć , odkurzyć, postawić od nowa system i schować do szafy jako kolejny zapas na nieoczekiwane sytuacje.
    Jak usunąć z komputera Win32.Evo.Gen i Win Malware? Logi z FRST.

Podsumowanie tematu

✨ Użytkownik zgłasza problem z wirusami Win32.Evo.Gen i Win Malware na komputerze firmowym, który jest regularnie zarażany przez nieodpowiednie oprogramowanie. Po zainstalowaniu i uruchomieniu skanera FRST oraz usunięciu starych wersji Javy, użytkownik napotkał trudności w skanowaniu z Malwarebytes, które nie mogło zakończyć procesu z powodu wykrycia zagrożeń. Wskazówki obejmowały skanowanie w trybie awaryjnym oraz użycie programu Dr.WEB CureIt, który zidentyfikował BackDoor.Andromeda.404. Mimo prób oczyszczenia systemu, komputer zaczął generować niebieskie ekrany i ostatecznie użytkownik zdecydował się na reinstalację systemu.
Podsumowanie wygenerowane przez AI na podstawie treści dyskusji.
REKLAMA