Win32:malware-gen i sprawdzenie na obecność innych wirusów.

**Posty:** 17 · przez **michalyek** 17 Wrz 2010, 22:18

Witam, z góry mowię zę w sprawach komputerów mam tylko bardzo podstawowe informacje ale szybko się uczę więc jeśli zechcecie pomóc nie będzie źle. :wink:

komputer włączam tylko do napisanie jakiś prac bądź do internetu. Więc ostatnio był u mnie na kilka dni kuzyn i ostatniego dnia przylecial do mnie mówiąc że mam wirusa na komputerze. Nigdy nie ściągałem żadnych gówien i nie miałem z tym problemu więc od razu wiedziałem że to on coś roz... Jak się go zapytałem czy coś ściągał mówił że chciał pograć w tibie ( kiedyś miałem styczność z tym czymś i gdyby powiedział mi wcześniej nawet by się do komputera nie zbliżył ) i ściągnął jakis dodatek,a mianowicie to : http://www.youtube.com/watch?v=Vrm01-9OWJA&feature=related ( chyba 2 link z opisu). Potem pojawił mu się komunikat że awast coś zabokował i mowił że chyba jest wszystko ok bo było napisane że nie wymaga żadnych działań. Potem przypomniało mi się że jakos na necie można sprawdzić plik paroma antywirusami i wrzuciłem go do http://www.virustotal.com/. Niezbyt się ucieszyłem bo pokazał że avast nie wykrył nieczego a inne antywirusy wykryły kilka wirusów. I tu jest moje pytanie : co zrobić oprócz opieprzenia kuzyna? czemu avast wykrył tylko jednego wirusa a nie kilka? czy jeśli ten plik przeskanowany na tej stronce miał x wirusów to oznacza że teraz mam je wszystkie na kompie? jak to sprawdzić skoro avast wykrył tak mało? Czy ktoś ogólnie może ocenić stopień niebezpieczeństwa tego pliku? Z góry dzięki i licze na szybką pomoc. A i jeszcze potem prześle nazwę tego 1 pliku który zablokował avast bo nie jestem teraz u siebie.
Z góry dzięki :wink:

**Posty:** 584 · przez **Andziorka** 17 Wrz 2010, 22:32

Daj obowiązkowe logi, to się sprawdzi: http://forum.programosy.pl/obowiazkowe-zasady-wstawiania-logow-wazne-vt117887.html i zmień nazwę tematu.

**Posty:** 17 · przez **michalyek** 18 Wrz 2010, 15:19

Dzięki sory że wcześniej tego nie przeczytałem ;/
Na początek mam log z Gmera http://wklej.org/id/390512/
Otl Extras http://wklej.org/id/390527/
Otl http://wklej.org/id/390528/
Od razu mówię że mam na komputerze bardzo dużo rzeczy z tego względu że otrzymałem go po bracie który dostał nowy na komunie.
Przeskanowałem również programem Malwarebytes'Anti-Malware
http://wklej.org/id/390533/

**Posty:** 584 · przez **Andziorka** 18 Wrz 2010, 16:13

W okienko OTL wklej poniższy skrypt i klik na Wykonaj skrypt:

:OTL

O4 - Startup: C:\Users\wow\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\CurseClientStartup.ccip ()
O13 - gopher Prefix: missing
O32 - AutoRun File - [2008-11-15 11:52:50 | 000,161,088 | R--- | M] (Take-Two Interactive Software, Inc.) - E:\Autorun.exe -- [ UDF ]
O32 - AutoRun File - [2008-10-11 19:03:48 | 000,000,054 | R--- | M] () - E:\Autorun.inf -- [ UDF ]
O33 - MountPoints2\{0dfde3c9-c523-11dd-b3b6-806e6f6e6963}\Shell - "" = AutoRun
O33 - MountPoints2\{0dfde3c9-c523-11dd-b3b6-806e6f6e6963}\Shell\AutoRun\command - "" = E:\Autorun.exe -- [2008-11-15 11:52:50 | 000,161,088 | R--- | M] (Take-Two Interactive Software, Inc.)
O33 - MountPoints2\{55045957-4691-11de-bc60-00221545c846}\Shell\AutoRun\command - "" = e9naq.exe
O33 - MountPoints2\{55045957-4691-11de-bc60-00221545c846}\Shell\open\Command - "" = e9naq.exe
@Alternate Data Stream - 24 bytes -> C:\Windows:2120371A7EDEC350
@Alternate Data Stream - 130 bytes -> C:\ProgramData\TEMP:8CE646EE
@Alternate Data Stream - 129 bytes -> C:\ProgramData\TEMP:DF462FF6
@Alternate Data Stream - 118 bytes -> C:\ProgramData\TEMP:B3D74A13
@Alternate Data Stream - 113 bytes -> C:\ProgramData\TEMP:6BE50C2B
@Alternate Data Stream - 106 bytes -> C:\ProgramData\TEMP:1CE11B51

:Files
C:\Windows\8A809006C25A4A3A9DAB94659BCDB107.TMP
C:\Windows\tasks\User_Feed_Synchronization-{B64FA48C-6568-4677-BD1D-152B5025D125}.job
C:\Windows\tasks\User_Feed_Synchronization-{40DB6DF7-75A6-47F3-B8AE-08F07F33040D}.job
C:\Windows\tasks\User_Feed_Synchronization-{0D9E9840-420F-4245-A4F5-62B4C4F9B829}.job
C:\Windows\tasks\Norton Security Scan for Michał.job
C:\Users\wow\AppData\Local\Temp*.html
C:\Users\wow\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini

:REG
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

:Commands
[emptytemp]
[emptyflash]
[resethosts]
[clearallrestorepoints]

C:\Windows\System32\lxczcoms.exe przeskanuj na:http://virusscan.jotti.org/pl i daj wynik.
Wykonaj skan tym: http://www.programosy.pl/program,malwarebytes-anti-malware.html usuń co znajdzie i daj raport.

**Posty:** 17 · przez **michalyek** 18 Wrz 2010, 16:19

Kod: Zaznacz wszystko: All processes killed Error: Unable to interpret <[emptytemp]> in the current context! Error: Unable to interpret <[emptyflash]> in the current context! Error: Unable to interpret <[resethosts]> in the current context! Error: Unable to interpret <[clearallrestorepoints]> in the current context! OTL by OldTimer - Version 3.2.12.1 log created on 09182010_161222 Files\Folders moved on Reboot... Registry entries deleted on Reboot...

Tak miało być?

A tym Anti-Malware skanowałem i nic nie wykazało ( wyżej jest link do wyników). Robić jeszcze raz? to jakaś inna wersja? A i jeszcze w Avaście mam w kwarantannie Instlr.exe i (albo to to samo ) Win32:Malware-gen.
I tu ciekawostka : wpisałem tą nazwę w google i na 1 stronie wyczytałem że ktoś też miał taki problem i: http://forum.pcformat.pl/thread-183194.html podobno to nic groźnego.

Są 2 takie pliki: w 1 :
Nazwa pliku: lxczcoms.exe
Stan:
Skanowanie zakończone. 0 z 19 skanerów zgłaszają wirusy.

Kod: Zaznacz wszystko: 2010-05-14 Nic nie znaleziono [G DATA] 2010-05-14 Nic nie znaleziono [Avast! antivirus] 2010-05-14 Nic nie znaleziono [Ikarus] 2010-05-14 Nic nie znaleziono [Grisoft AVG Anti-Virus] 2010-05-14 Nic nie znaleziono [Kaspersky Anti-Virus] 2010-05-14 Nic nie znaleziono [Avira AntiVir] 2010-05-14 Nic nie znaleziono [ESET NOD32] 2010-05-14 Nic nie znaleziono [Softwin BitDefender] 2010-05-14 Nic nie znaleziono [Panda Antivirus] 2010-05-14 Nic nie znaleziono [ClamAV] 2010-05-14 Nic nie znaleziono [Quick Heal] 2010-05-14 Nic nie znaleziono [CPsecure] 2010-05-14 Nic nie znaleziono [Sophos] 2010-05-11 Nic nie znaleziono [Dr.Web] 2010-05-14 Nic nie znaleziono [VirusBlokAda VBA32] 2010-05-13 Nic nie znaleziono [Frisk F-Prot Antivirus] 2010-05-14 Nic nie znaleziono [VirusBuster] 2010-05-14 Nic nie znaleziono [F-Secure Anti-Virus] 2010-05-14 Nic nie znaleziono 2010-05-14 Nic nie znaleziono [G DATA] 2010-05-14 Nic nie znaleziono [Avast! antivirus] 2010-05-14 Nic nie znaleziono [Ikarus] 2010-05-14 Nic nie znaleziono [Grisoft AVG Anti-Virus] 2010-05-14 Nic nie znaleziono [Kaspersky Anti-Virus] 2010-05-14 Nic nie znaleziono [Avira AntiVir] 2010-05-14 Nic nie znaleziono [ESET NOD32] 2010-05-14 Nic nie znaleziono [Softwin BitDefender] 2010-05-14 Nic nie znaleziono [Panda Antivirus] 2010-05-14 Nic nie znaleziono [ClamAV] 2010-05-14 Nic nie znaleziono [Quick Heal] 2010-05-14 Nic nie znaleziono [CPsecure] 2010-05-14 Nic nie znaleziono [Sophos] 2010-05-11 Nic nie znaleziono [Dr.Web] 2010-05-14 Nic nie znaleziono [VirusBlokAda VBA32] 2010-05-13 Nic nie znaleziono [Frisk F-Prot Antivirus] 2010-05-14 Nic nie znaleziono [VirusBuster] 2010-05-14 Nic nie znaleziono [F-Secure Anti-Virus] 2010-05-14 Nic nie znaleziono

W 2

Kod: Zaznacz wszystko: Nazwa pliku: lxczcoms.exe Stan: Skanowanie zakończone. 0 z 19 skanerów zgłaszają wirusy. Skanowanie podjęte w: pią 14 maj 2010 22:57:16 (CET) Link stały [ArcaVir] 2010-05-14 Nic nie znaleziono [G DATA] 2010-05-14 Nic nie znaleziono [Avast! antivirus] 2010-05-14 Nic nie znaleziono [Ikarus] 2010-05-14 Nic nie znaleziono [Grisoft AVG Anti-Virus] 2010-05-14 Nic nie znaleziono [Kaspersky Anti-Virus] 2010-05-14 Nic nie znaleziono [Avira AntiVir] 2010-05-14 Nic nie znaleziono [ESET NOD32] 2010-05-14 Nic nie znaleziono [Softwin BitDefender] 2010-05-14 Nic nie znaleziono [Panda Antivirus] 2010-05-14 Nic nie znaleziono [ClamAV] 2010-05-14 Nic nie znaleziono [Quick Heal] 2010-05-14 Nic nie znaleziono [CPsecure] 2010-05-14 Nic nie znaleziono [Sophos] 2010-05-11 Nic nie znaleziono [Dr.Web] 2010-05-14 Nic nie znaleziono [VirusBlokAda VBA32] 2010-05-13 Nic nie znaleziono [Frisk F-Prot Antivirus] 2010-05-14 Nic nie znaleziono [VirusBuster] 2010-05-14 Nic nie znaleziono [F-Secure Anti-Virus] 2010-05-14 Nic nie znaleziono

Dodano Dzisiaj, 18:57:
Ktoś chętny do pomocy? :wink:

**Posty:** 584 · przez **Andziorka** 19 Wrz 2010, 12:25

Wykonaj nowego loga z OTL jeszcze

**Posty:** 17 · przez **michalyek** 19 Wrz 2010, 12:37

Proszę bardzo.
Otl http://wklej.org/id/390853/
Extras http://wklej.org/id/390854/

**Posty:** 584 · przez **Andziorka** 19 Wrz 2010, 13:29

1. Wykonaj: http://andziorka.wordpress.com/2009/11/09/usuwanie-bonjour/
2. W okienko OTL wklej poniższy skrypt i kliknij Wykonaj skrypt:

:OTL

O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\ProgramData\Gadu-Gadu 10\_userdata\ggbho.2.dll File not found
O4 - Startup: C:\Users\wow\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\CurseClientStartup.ccip ()
O13 - gopher Prefix: missing
@Alternate Data Stream - 24 bytes -> C:\Windows:2120371A7EDEC350
@Alternate Data Stream - 130 bytes -> C:\ProgramData\TEMP:8CE646EE
@Alternate Data Stream - 129 bytes -> C:\ProgramData\TEMP:DF462FF6
@Alternate Data Stream - 118 bytes -> C:\ProgramData\TEMP:B3D74A13
@Alternate Data Stream - 113 bytes -> C:\ProgramData\TEMP:6BE50C2B
@Alternate Data Stream - 106 bytes -> C:\ProgramData\TEMP:1CE11B51

:Files
C:\Users\wow\AppData\Local\TempaD1440.html
C:\Users\wow\AppData\Local\TempZm1440.html
C:\Windows\tasks\User_Feed_Synchronization-{0D9E9840-420F-4245-A4F5-62B4C4F9B829}.job

:Commands
[emptytemp]
[emptyflash]
[clearallrestorepoints]

3. Wykonaj skan programem FixIEDef: http://forum.programosy.pl/program-szukajacy-trojanow-i-malware-vt97108.html i daj pwostałego loga.

**Posty:** 17 · przez **michalyek** 19 Wrz 2010, 14:00

przy wykonywaniu skrypta zaciął mi się komputer, wykonać jeszcze raz?
Ok zrobiłem.

OTL
http://wklej.org/id/390897/

FixIEDef
http://wklej.org/id/390898/

**Posty:** 584 · przez **Andziorka** 19 Wrz 2010, 17:35

Pokaż jeszcze nowego loga z OTL

**Posty:** 17 · przez **michalyek** 19 Wrz 2010, 21:18

Zrobione

Otl http://wklej.org/id/391157/
Extras http://wklej.org/id/391160/

nie znam się na tym ale coś tam popatrzyłem sobie z ciekawości i to chyba są 4 pliki które mi się wtedy zainstalowały a ten 2 avast dodał do kwarantanny.

Kod: Zaznacz wszystko: 09-17 21:15:29 | 000,218,624 | ---- | C] () -- C:\rrc.exe [2010-09-17 21:15:29 | 000,181,188 | ---- | C] () -- C:\instlr.rar [2010-09-17 21:15:29 | 000,002,037 | ---- | C] () -- C:\font00.lnk [2010-09-17 21:15:29 | 000,000,039 | ---- | C] () -- C:\conf.ini

**Posty:** 584 · przez **Andziorka** 19 Wrz 2010, 22:01

Myślałam, że znasz te pliki, ale też wyglądały dla mnie niepewnie, przeskanuj je na: http://virusscan.jotti.org/pl i daj wyniki.
Aha i nie dawaj niczego w quote, a w qode, pozmieniaj we wcześniejszych postach.

**Posty:** 17 · przez **michalyek** 19 Wrz 2010, 22:13

http://wklej.org/id/391189/
http://wklej.org/id/391190/ to ten rrc, nie wiem czemu na stronce zmienił nazwę.
http://wklej.org/id/391193/ to font00 który również zminił nazwę.
http://wklej.org/id/391194/

**Posty:** 584 · przez **Andziorka** 19 Wrz 2010, 23:16

W sieci też nic o tych plikach nie ma. Skanery nie wykazały nic groźnego. Otówrz za pomocą notatnika plik C:\conf.ini , i wklej zawartość nahttp://wklej.org/

**Posty:** 17 · przez **michalyek** 19 Wrz 2010, 23:42

Kod: Zaznacz wszystko: [0000] 0=šĘ›’„”~¶Ž‡’‰…ÂŚ€ 1=“Ž‘

heh, systemu dwójkowego na informatyce się nauczyłem ale to wygląda jeszcze ciekawiej :lol:

za wiele tego nie ma to chyba nie muszę wrzucać na tą stronkę. Nie mam pojęcia co to jest ale chyba pojawiło się wtedy co to Instlr.exe

**Posty:** 584 · przez **Andziorka** 19 Wrz 2010, 23:59

Utwórz punkt przywracania systemu. Spróbujemy usunąć, nie powinno się nic złego po tym wydarzyć, ale przezorny zawsze ubezpieczony

Usuń te pliki ręcznie. Jeśli się nie da to odpal OTL i wklej skrypt poniższy i wykonaj usuwanie:

:OTL

:Files
C:\rrc.exe
C:\instlr.rar
C:\font00.lnk
C:\conf.ini

:Commands
[emptytemp]
[emptyflash]

Autor postu otrzymał pochwałę

**Posty:** 17 · przez **michalyek** 20 Wrz 2010, 00:32

http://wklej.org/id/391256/ btw, w wykonywaniu jedyne co zaznaczyłem tylko to wszyscy użytkownicy,bez infekcji Lop i Purity i skanu dodatkowego rejestru. Jak się domyślam to się przydaje tylko do robienia logów?
Niech zgadne,teraz log z otl? :wink:

a, no i pozytywne jest to że nic się nie rozwaliło, przynajmniej ja nie widzę żadnych zmian.
Otl http://wklej.org/id/391259/
Extras http://wklej.org/id/391260/

Dzięki za dotychczasową pomoc i cierpliwość. Teraz wyjeżdzam na dwu dniową wycieczkę więc prawdopodobne kontynuacja w srodę.

**Posty:** 584 · przez **Andziorka** 20 Wrz 2010, 00:50

I standardowo do OTL wklej i wykonaj skrypt:

:OTL

@Alternate Data Stream - 118 bytes -> C:\ProgramData\TEMP:1CE11B51

:Files
C:\ProgramData\.zreglib
C:\Windows\tasks\User_Feed_Synchronization-{0D9E9840-420F-4245-A4F5-62B4C4F9B829}.job

:Commands
[emptytemp]
[emptyflash]

To już ostatni krok. Teraz uruchom OTL i kliknij w Sprzątanie.

**Posty:** 17 · przez **michalyek** 20 Wrz 2010, 00:52

jeszcze jedna rzecz: jak pozbyć się tego instlr,win32:malware-gen z kwarantanny avastu i czemu nadal tam jest jeśli został usunięty?
błąd avastu?