HEUR:Exploit.Java.Generic spowolnienie uruchamiania systemu

[dove]

Witam!

Kaspersky Pure wykrywa mi HEUR:Exploit.Java.Generic i komputer pooooowoli się włącza. Był w serwisie, ale nic tam nie zrobili tzn. usunęli Kasperskyego i zainstalowali ESETA, który tego trojana nie wykrywał. No i usuneli SpyBota, który pokazywał kilka malware w kluczu rejestru. No i od wizyty w serwisie nie działa Windows Media Player. Po kliknięciu na ikonę, albo piosenkę nie ma żadnej reakcji. Po ponownym zainstalowaniu Kasperskyego trojan wciąż jest widoczny i w sumie to nie dziwi, bo komputer włącza się tak samo wolno. W kwarantannie są 2 pliki chyba od tego trojana. W dodatku Easy Support Center Agent od kilku dni w różnych momentach przestaje działać.

 

Logi w załącznikach + coś takiego:

 

 Results of screen317's Security Check version 0.99.76  
 Windows 7 Service Pack 1 x64 (UAC is enabled)  
 Internet Explorer 10  
``````````````Antivirus/Firewall Check:``````````````
Kaspersky PURE 3.0   
 Antivirus up to date!   
`````````Anti-malware/Other Utilities Check:`````````
 Java 7 Update 25  
 Java version out of Date!
 Adobe Flash Player 11.9.900.117  
 Adobe Reader 10.1.8 Adobe Reader out of Date!  
 Mozilla Firefox (25.0)
````````Process Check: objlist.exe by Laurent````````  
 Kaspersky Lab Kaspersky PURE 3.0 avp.exe  
`````````````````System Health check`````````````````
 Total Fragmentation on Drive C:  
````````````````````End of Log``````````````````````
 

OTL.Txt

Addition.txt

FRST.txt

Extras.Txt

gmer.txt

[muzyk75]

Otwórz notatnik i wklej:

 

S3 catchme; \??\C:\ComboFix\catchme.sys [x]
S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [x]
S3 massfilter; system32\drivers\massfilter.sys [x]
S3 ZTEusbmdm6k; system32\DRIVERS\ZTEusbmdm6k.sys [x]
S3 ZTEusbnet; system32\DRIVERS\ZTEusbnet.sys [x]
S3 ZTEusbnmea; system32\DRIVERS\ZTEusbnmea.sys [x]
S3 ZTEusbser6k; system32\DRIVERS\ZTEusbser6k.sys [x]
2013-11-10 18:51 - 2013-11-10 18:51 - 00621568 _____ (Duplex Secure Ltd.) C:\Users\Ewelina\Desktop\SPTDinst-v184-x64.exe
2013-10-13 18:03 - 2013-10-13 18:03 - 00685248 _____ C:\Users\Ewelina\Downloads\Spybot-Search-Destroy(12546).exe
C:\Users\Ewelina\AppData\Local\Temp\ggdrive-menu.exe
C:\Users\Ewelina\AppData\Local\Temp\ggdrive-overlay.exe
C:\Users\Ewelina\AppData\Local\Temp\installstats.exe

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix.

 

Pobierz ADW-Cleaner: "Dział pomocy doraźnej"-->"Dezynfekcja: zbiór narzędzi usuwających"-->"Pobierz" . Po uruchomieniu kliknij "szukaj" , po zakończeniu skanu "usuń".  Reset komputera.

 

Pobierz: TFC Temp File Cleaner by Oldtimer: "Dział pomocy doraźnej"-->"Dezynfekcja kroki finalizujące temat"-->"Czyszczenie lokalizacji tymczasowych" Naciśnij "start" i rozpocznie się usuwanie plików tymczasowych.

 

Zaktualizuj Java do wersji 7u45, Adobe Reader do wersji 11

 

Google Chrome: zresetuj  wtyczeki. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie włącz.

 

Firefox reset wtyczek: kliknij pomarańczowy napis "Firefox"-->"Pomoc"-->"Informacje dla pomocy technicznej'-->"Resetuj program Firefox"

 

Pobierz i wykonaj skan Malwarebytes.

 

Wykonaj skan i załącz nowe logi z OTL i FRST.

[dove]

Prawie wszystko wykonane. Skąd mam pobrać ten Malwarebytes? Obojętnie?
Ja nie mam Google Chrome o.O On gdzieś tam widnieje wewnątrz? :/ Nie ma go w starcie i nie mogę go znaleźć przez szukaj. Kiedyś był, ale inny użytkownik komputera coś ściągnął i od tego momentu zaczęły się wszystkie problemy, dodatkowo Google Chrome nie reagował po kliknięciu na ikonę, to go odinstalowałam.

[muzyk75]

Malwarebytes--> zobacz na stronie producenta.

 

 

Chrome:
=======
Error reading preferences. Please check "preferences" file for possible corruption. <======= ATTENTION

FRST notuje uszkodzenie preferencji przeglądarki. Sprawdź w komputerze czy Chrome jest odinstalowany.

[dove]

To, że mógł on być uszkodzony to mnie nie dziwi, ale ja go nigdzie nie widzę tzn. sprawdzam tylko w panelu sterowania -> odinstaluj program, bo nie wiem jak jeszcze mogę Skanuję tym malware... Ogólnie po ADW-Cleaner wyskoczyły mi na pulpicie 2 półprzezroczyste ikonki: desktop.ini i Thumbs.db. To dobrze czy źle?
EDIT: No i Kaspersky wciąż powtarza, że wykryto szkodliwe oprogramowanie czyt. trojana.

[muzyk75]

Zaktualizowałeś Java 7u45 ?

 

Chrome --> zobacz w Program Files

[dove]

W samym Program Files go nie ma... Nie wiem czy mam coś kliknąć i się bardziej w ten Program Files wdrażać... Java zaktualizowana, ale po tej aktualizacji nie było restartu komputera...

[muzyk75]

Zobacz ten temat:https://www.java.com/pl/download/help/plugin_cache.xml

i ten od Kaspersky na temat "HEUR:Exploit.Java.Generic";http://forum.kaspersky.com/index.php?showtopic=272947

[dove]

Po kolei... Zakończyło się skanowanie i znalazło 1 rzecz w: C:\FRST\Quarantine\Spybot-Search-Destroy(12546).exe Co z tym zrobić? Kliknąć usuń, igroruj czy co?

[muzyk75]

 

Kliknąć usuń

Tak, kliknąć usuń.

[dove]

Usunięte z malwarebytes, zrobiłam wszystko z java jak w tym poradniku, później ją odinstalowałam, zainstalowałam ponownie, restar - Kaspersky wciąż pokazuja szkodliwe oprogramowanie. Po kliknięciu otwórz folder źródłowy kieruje do LocalLow\Sun\Java\Deployment\cache\6.0\31 i ten folder jest pusty. No i w kawarantannie są 2 pliki LocalLow\Sun\Java\Deployment\cache\6.0\1 i LocalLow\Sun\Java\Deployment\cache\6.0\58 Dla tych w kwarantannie zagrożenie to: HEUR:Exploit.Script.Generic Usunąć to z kwarantanny jak się będzie dało?
Komputer wciąż się długo włącza.

[muzyk75]

 

LocalLow\Sun\Java\Deployment\cache\6.0\31

 

w kawarantannie są 2 pliki LocalLow\Sun\Java\Deployment\cache\6.0\1 i LocalLow\Sun\Java\Deployment\cache\6.0\58 Dla tych w kwarantannie zagrożenie to: HEUR:Exploit.Script.Generic Usunąć to z kwarantanny jak się będzie dało?

Usuń to.

 

 

Java 7u45

Zaktualizowałaś Javę do tej wersji ?

[dove]

Tak Java jest na pewno zaaktualizowana, jeszcze po instalacji na stronie javy wyświetliło mi się coś, żeby sprawdzić czy jest najnowsza wersja javy i wyszło, że najnowsza Z kwarantanny usunięte, no ale przy LocalLow\Sun\Java\Deployment\cache\6.0\31 nie ma opcji usuń i tego nie ma w kawarantannie.

[muzyk75]

 

LocalLow\Sun\Java\Deployment\cache\6.0\31

Kliknij na kółko z logo Windows na pasku zadań-->wklej to co w cytacie w "rozpocznij wyszukiwanie" i kliknij "enter"-->szukaj lokalizacji, pliki tekstowe (txt) pomiń-->jak znajdziesz to usuń.

[dove]

W ten sposób tego znaleźć nie mogę (żadne elementy nie pasują do kryteriów wyszukiwania), ale dostałam się do tego folderu (który jest pusty) klikając w dysk C itd. Usunąć ten pusty folder?

[muzyk75]

Tak

[dove]

Oj, nie idzie to zbyt dobrze... Usunęłam ten 31 z kosza, zrobiłam reset, Kaspersky pokazał, że teraz siedzi w 35 i znowu usunęłam 35, zrobiłam reset no a on wciąż pokazuje, że trojan siedzi w 35 (z tym, że teraz to 35 jest rozwinięte\492......), który się nie usunął i ten 31 też jest spowrotem... :/ :/ :/

[muzyk75]

Otwórz notatnik i wklej:

 

2013-11-10 19:21 - 2012-05-28 06:15 - 00000828 _____ C:\windows\Tasks\ISM-UpdateService-4e00205a-2ab1-4423-8f77-cc25b82cde1d-Logon.job
2013-11-09 17:16 - 2012-05-28 06:15 - 00000830 _____ C:\windows\Tasks\ISM-UpdateService-4e00205a-2ab1-4423-8f77-cc25b82cde1d.job
Toolbar: HKLM - No Name - !{318A227B-5E9F-45bd-8999-7F8F10CA4CF5} -  No File
Toolbar: HKLM - No Name - !{8E5E2654-AD2D-48bf-AC2D-D17F00898D06} -  No File
Toolbar: HKLM-x32 - No Name - !{318A227B-5E9F-45bd-8999-7F8F10CA4CF5} -  No File
Toolbar: HKLM-x32 - No Name - !{8E5E2654-AD2D-48bf-AC2D-D17F00898D06} -  No File

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix.

 

Odinstaluj Java poprzez panel sterowania. Uruchom komputer w trybie awaryjnym-->podczas uruchamiania komputera gdy wyświetli się logo producenta naciśnij parę razy F8-->po uruchomieniu użyj: TFC Temp File Cleaner by Oldtimer.

 

Kliknij na okrągłą ikonę Windows na pasku zadań-->w rozpocznij wyszukiwanie wpisz: %temp%-->usuń wszystko z folderu który się otworzy ( o ile coś tam będzie )-->przejdź do folderu: AppData->LocalLow i usuń folder:" Sun"-->resrt kompa

 

Załącz nowe logi z OTL i FRST.

[dove]

Nie mogę usunąć tego co zostało w %temp%. Jest to plik FXSAPIDebugLogFile.txt i wyskakuje, że jest on otwarty (i data utworzenia wskazuje na kilka tygodni po kupnie laptopa a wtedy nie miał on żadnych problemów o.O Chyba...). I z którego AppData mam usunąć? Bo mogę wejść do C:\Użytkownicy itd. A Kasperky pokazuje, że on siedzi w C:\Documents and Settings...

[muzyk75]

Zobacz w każdym. Java jest odinstalowana ?

 

FXSAPIDebugLogFile.txt :
 

 

XSAPIDebugLogFile.txt zapisuje błędy, które powstają przy używaniu
"Windows-Fax i -Scan", zazwyczaj ma 0 bytes.
Jeśli "Windows-Fax und -Scan" nie używasz, to możesz >>PPanel Sterowania>>Funkcje i Programy>>>>Windows Funcje wł.-wył" deaktywować.
Potem restart komputera, wtedy ten plik FXSAPIDebugLogFile da się usunąć ręcznie. I więcej nie pokaże się.

[dove]

Po kliknięciu wł-wył funkcję wyświetla mi się lista folderów i nie mogę tam znaleźć tego windows fax i scan...
EDIT: Tak, Java odinstalowana, TFC zrobił swoje.

[muzyk75]

 

kliknięciu wł-wył funkcję wyświetla mi się lista folderów i nie mogę tam znaleźć tego windows fax i scan

Panel sterowania-->Narzędzia administracyjne-->Usługi

 

Heur.exploit - siedzi jeszcze to dziadostwo w systemie?

[dove]

Właściwie to nie jestem pewna. Robiłam dzisiaj pełne skanowanie systemu i nic nie wykrył, ale przy każdym włączeniu komputera wyskakuje wykryto szkodliwe oprogramowanie i go pokazuje jak kliknę w szczególy itd. No i komputer wciąż się długo ładuje. Nie mogę tego znaleźć Windows fax i scan też w usługach.. :/

[muzyk75]

 

ale przy każdym włączeniu komputera wyskakuje wykryto szkodliwe oprogramowanie

Po odinstalowaniu Java, dalej pokazuje komunikaty?

[dove]

Tak, nieustannie :/