Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Jak usunąć TR/Dropper.Gen i TR/Black.Gen2 - ciąg dalszy!

karkarmapatic 27 Maj 2016 15:13 1041 10
  • #1 27 Maj 2016 15:13
    karkarmapatic
    Poziom 4  

    Witam
    Wczorajszy mój wątek został już zamknięty, zakładam więc nowy z tym samym tematem/problemem. Wszystko wykonałem wg wskazówek (logi z FRST) użyłem podanego skryptu - ale nadal nic się nie zmieniło.

    Avira dalej znajduje TR/Dropper.Gen w Windows/Temp/tmp00006950/tmp000000
    Przeskanowałem Malwarebyte Anti-Malware - nic nie wykryło.

    I teraz nie wiem czy Avira jest nadwrażliwa. Co można jeszcze z tym zrobić - czy ten Dropper.Gen jest groźny. Jak go wyeliminować?

    0 10
  • #2 27 Maj 2016 18:11
    Kolobos
    Spec od komputerów

    Zamiesc nowe logi z FRST, ze skanowania.

    0
  • #4 29 Maj 2016 17:57
    Kolobos
    Spec od komputerów

    Odinstaluj: Google Toolbar for Internet Explorer

    W menadzerze urzadzen usun wszystkie:
    Karta Microsoft ISATAP
    Teredo Tunneling Pseudo-Interface

    Fixlist.txt dla FRST:
    Task: {9F8F551D-5D57-4B59-AA4F-05C878F3E886} - System32\Tasks\One-Click Optimizer WO11 => C:\Program Files (x86)\Ashampoo\Ashampoo WinOptimizer 11\WO11.exe [2015-07-09] (Ashampoo Development GmbH & Co. KG)
    Task: {FE6043A3-C604-4CE2-9497-71790D694443} - \{78E60150-7EFE-463F-82F8-96B5607071CC} -> Brak pliku <==== UWAGA
    Task: C:\Windows\Tasks\One-Click Optimizer WO11.job =>
    AlternateDataStreams: C:\ProgramData\.rdata:X [526]
    FF Extension: Brak nazwy - C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\x9c2hm8d.default\extensions\avg@toolbar.xpi [nie znaleziono]
    CHR HomePage: Default -> gazeta.allplayer.org/
    CHR HKU\S-1-5-21-1754334307-3926262067-2888430660-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [efhdjkbfpoohkmfaldijcpbnmbpefpkb] - C:\Program Files (x86)\ALLPlayer\AllPlayer.crx <nie znaleziono>
    CHR HKLM-x32\...\Chrome\Extension: [efhdjkbfpoohkmfaldijcpbnmbpefpkb] - C:\Program Files (x86)\ALLPlayer\AllPlayer.crx <nie znaleziono>
    S4 UPDATESRV; C:\Program Files\Bitdefender\Bitdefender 2015\updatesrv.exe [67320 2015-04-22] (Bitdefender)
    2016-05-27 18:35 - 2016-05-27 18:35 - 00000000 ____D C:\Users\User\AppData\Local\28050
    2016-05-27 15:48 - 2016-05-27 15:53 - 00000000 ____D C:\AdwCleaner
    2016-05-26 15:10 - 2016-05-26 15:10 - 00000048 ____H C:\Program Files (x86)\profj8mnzj.dat
    2016-05-24 16:40 - 2016-05-24 17:05 - 00000000 ____D C:\ProgramData\HitmanPro
    2016-05-26 15:42 - 2014-07-02 11:19 - 00000000 ____D C:\Program Files (x86)\Spybot - Search & Destroy 2
    2016-05-26 14:41 - 2014-07-02 11:19 - 00000000 ____D C:\ProgramData\Spybot - Search & Destroy
    EmptyTemp:

    W FRST wybierz Napraw.

    Jezeli plik Windows/Temp/tmp00006950/tmp000000 znowu sie utworzy to sprawdz go na jotti lub virustotal.

    0
  • #5 30 Maj 2016 14:34
    karkarmapatic
    Poziom 4  

    Witam ponownie

    Dzisiaj o 13:58 znowu Avira wykryla działanie Dropper.Gen. W Windows/Temp powstał nowy folder tmp000036ae z plikiem tmp00000000.
    Plik zajmuje 0kB - chyba z powodu zablokowania.
    Próbowałem jotti i virustotal ale plik który ma 0kB nie jest rozpoznawany.

    Nie wiem co dalej - jak sprawić aby ten powstały plik poddać jakiej weryfikacji?

    Może wyłączyć na dzień, dwa Real-Time Protection w Avira a powstałe w Windows/ Temp nowe pliki przeskanować w jotti, virustotal

    0
  • #6 30 Maj 2016 15:09
    Kolobos
    Spec od komputerów

    Wylacz Avire i dopiero sprawdz plik. Mozliwe, ze bedzie trzeba ja odinstalowac.

    0
  • #7 30 Maj 2016 15:26
    karkarmapatic
    Poziom 4  

    OK Spróbuję to zrobić. A potem chyba odinstaluje tą avirę.

    Mam ją od kilku miesięcy, wcześniej Pandę i AVG.

    Jaki program antywirusowy Wy polecilibyście dla domowego użytkownika?

    0
  • #8 30 Maj 2016 23:08
    RADU23
    Moderator - Komputery Serwis

    karkarmapatic napisał:
    Jaki program antywirusowy Wy polecilibyście dla domowego użytkownika?

    Każdy będzie polecał ci co innego, temat rzeka.
    Poczytaj w internecie sobie testy/rankingi darmowych programów antywirusowych i sam wybierz, testuj.

    0
  • #9 01 Cze 2016 12:20
    karkarmapatic
    Poziom 4  

    Odinstalowałem Avire - system działał normalnie.
    Następnie instalowałem AVG free i zaczęły się dziać nieciekawe rzeczy.
    Wyskakiwały okienka/komunikaty że taki a taki program przestał działać, nie można było uruchomić ani Panelu sterowania - program przestał działać, menadzera zadań, Ctr+Alt +Del, Start/Zamknij- też nie działał. Musiałem wyłączyć przyciskiem na obudowie. Po ponownym uruchomieniu przed załadowaniem Windowsa, włączyło się przywracanie systemu do ostatniego punktu przywracania. Pomyślnie.
    Usunąłem pozostałości AVG i ponownie zainsal. Avirę. Przypomniałem sobie że kilka miesiecy temu miałem ten sam problem przy instalacji AVG.

    Prosze ponownie o aktualny skryp do FRST ponieważ punkt przywracania był wcześniejszy niż Wasza ostatnia pomoc z pogotawia Antywir. i wcześniejsze problemy zostały

    0
  • #10 01 Cze 2016 13:26
    Domino_2
    Pomocny dla użytkowników

    Cytat:

    Task: {0E9709AE-1135-4348-AF67-0116ADAFF4AE} - System32\Tasks\{CE83C34E-AA98-439B-A949-8FC4CC2FE1F9} => pcalua.exe -a C:\Users\User\Downloads\2058_Gta_Sa_Spolszczenie.exe -d C:\Users\User\Downloads
    Task: {37558A6E-B9B2-4F83-B65A-5ECAC9392749} - System32\Tasks\{0D734220-8FB0-4535-ACF9-D307CE4C2BD1} => pcalua.exe -a "D:\Dokumenty\Gry - instalki\Medal of honor\Medal of Honor - Airborne\Setup.exe" -d "D:\Dokumenty\Gry - instalki\Medal of honor\Medal of Honor - Airborne"
    Task: {48CC2BFD-CFA7-4693-ADC0-89F16D74AFD0} - System32\Tasks\{8B9B5459-14CD-402F-BDEF-FB80CD647887} => pcalua.exe -a "D:\GRY\Electronic Arts\Medal of Honor Airborne\UnrealEngine3\Binaries\moha_setup.exe" -d "D:\GRY\Electronic Arts\Medal of Honor Airborne\UnrealEngine3\Binaries"
    Task: {551CE6E2-EE39-417A-A30E-0DBCF2FC61E7} - System32\Tasks\{0135604B-D6D2-47E2-B4D0-D70F1FE30021} => pcalua.exe -a F:\AutoRun.exe -d F:\
    Task: {6397ED60-457C-4FEE-AD10-1FB4B3836D35} - System32\Tasks\{6CD1B5E6-8FC7-4973-83EB-07F6C908AB43} => pcalua.exe -a F:\Setup.exe -d F:\
    Task: {63E73B20-1A37-4427-8D43-7E475D702009} - System32\Tasks\{919E5270-E4E2-4F19-B0EC-2A4F00E8A0CA} => pcalua.exe -a C:\Users\User\Downloads\QuickTimeInstaller.exe -d C:\Users\User\Downloads
    Task: {736B11A9-25F6-4842-A16C-DBB0A312AF2C} - System32\Tasks\{3901460E-EE05-4AD6-A401-50040C9E0CE8} => pcalua.exe -a C:\Users\User\Downloads\CDBremse149.exe -d C:\Users\User\Downloads
    Task: {E5018E68-0D01-4037-ACBD-16C016C2E83D} - System32\Tasks\{5B1FE238-BD2B-45B7-8F73-807B6A98226A} => pcalua.exe -a F:\setup.exe -d F:\
    Task: {ED698CD8-88FB-4D37-8783-3A495F5E6103} - System32\Tasks\{068DAD2A-12CD-41AD-8006-7B72B57D69B5} => pcalua.exe -a "D:\GRY\Resident Evil 4\SetupTool.exe" -d "D:\GRY\Resident Evil 4"
    Task: {FE6043A3-C604-4CE2-9497-71790D694443} - \{78E60150-7EFE-463F-82F8-96B5607071CC} -> Brak pliku <==== UWAGA
    FF Extension: Brak nazwy - C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\x9c2hm8d.default\extensions\avg@toolbar.xpi [nie znaleziono]
    CHR Plugin: (Widevine Content Decryption Module) - C:\Users\User\AppData\Local\Google\Chrome\User Data\WidevineCDM\1.4.8.824\_platform_specific\win_x86\widevinecdmadapter.dll => Brak pliku
    CHR HKU\S-1-5-21-1754334307-3926262067-2888430660-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [efhdjkbfpoohkmfaldijcpbnmbpefpkb] - C:\Program Files (x86)\ALLPlayer\AllPlayer.crx <nie znaleziono>
    CHR HKLM-x32\...\Chrome\Extension: [efhdjkbfpoohkmfaldijcpbnmbpefpkb] - C:\Program Files (x86)\ALLPlayer\AllPlayer.crx <nie znaleziono>
    2016-05-27 15:48 - 2016-05-31 03:27 - 00000000 ____D C:\AdwCleaner
    2016-05-27 15:40 - 2016-05-27 15:40 - 00000369 _____ C:\DelFix.txt
    2016-05-31 03:27 - 2014-07-02 11:19 - 00000000 ____D C:\ProgramData\Spybot - Search & Destroy
    2016-05-31 03:27 - 2014-07-02 11:19 - 00000000 ____D C:\Program Files (x86)\Spybot - Search & Destroy 2
    EmptyTemp:


    Wklej to do notatnika i zapisz pod nazwą fixlist.txt i umieść w folderze gdzie znajduje się plik FRST.exe/FRST64.exe, odpal go i kliknij Fix/Napraw.

    0
  • #11 02 Cze 2016 20:03
    karkarmapatic
    Poziom 4  

    Dzięki.
    Temat do zamknięcia

    0