Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

AVG wykrył trojana fakeav.pkc w AegisE5.dll

rraffall

Przez rraffall
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

rraffall

rraffall

Opublikowano
Opublikowano

Witam,

 

Tak jak w temacie avg wykrył trojana fakeav.pkc w lokalizacji c:/WINDOWS/system32/AegisES.dll . Prawdopodobnie od momentu zainfekowania systemu, nie można połączyć się z siecią bezprzewodową ani z internetem. Są również informacje, że są zainfekowane procesy acs.exe i Explorer.exe. Proszę o pomoc jak to usunąć.

OTL.Txt

GMER.txt

Extras.Txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

Nie widzę tu żadnych znaków infekcji. Ale do deinstalacji śmieci sponsoringowe / adware:

 

1. Otwórz menedżer rozszerzeń Firefox i odinstaluj pdfforge Toolbar + Widgi Toolbar Platform.

 

2. Przejdź do Dodaj / Usuń programy i odmontuj pdfforge Toolbar.

 

3. Skorzystaj z AD-Remover w trybie usuwania.

 

4. Dostarcz nowy log z OTL + wyniki z AD-Remover.

 

 

Tak jak w temacie avg wykrył trojana fakeav.pkc w lokalizacji c:/WINDOWS/system32/AegisES.dll. (...) Są również informacje, że są zainfekowane procesy acs.exe i Explorer.exe.

 

Czy na pewno to jest aegises.dll a nie aegise5.dll? Plik z piątką w nazwie aegise5.dll to moduł należny do bezprzewodowego Atheros. Wykrycie tego przez AVG jako "fakeav.pkc" śmierdzi fałszywym alarmem. Te dwa pozostałe także wykryte jako "fakeav.pkc"? Przeklej dokładnie wyniki z dziennika AVG, pokazujące nazwę zagrożenia i ścieżki dostępu, co on widzi w pozostałych plikach, które są przecież plikami systemowymi. Odpowiednio: acs.exe = Atheros Wireless LAN, explorer.exe = powłoka Windows.

 

PRC - [2008-04-15 14:00:00 | 001,035,264 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
PRC - [2005-12-30 09:15:16 | 000,036,864 | ---- | M] () -- C:\WINDOWS\system32\acs.exe
 
SRV - [2005-12-30 09:15:16 | 000,036,864 | ---- | M] () [Auto | Running] -- C:\WINDOWS\system32\acs.exe -- (ACS)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)

 

Prawdopodobnie od momentu zainfekowania systemu, nie można połączyć się z siecią bezprzewodową ani z internetem.

 

Skoro AVG wykrywa zagrożenia w procesach bezprzewodowego Atheros, to zapewne dlatego nie możesz się połączyć, bo blokuje to sam AVG. Tylko teraz kwestia dlaczego klasyfikuje tak Atheros, bo mi to wygląda na fałszywy alarm .... Na Google znalazłam temat wykazujący podobne cechy, choć nie ma danych co wykrył AVG: KLIK. Usunął "fakeav.pkc" wykryty w trzech plikach = padła sieć, między wierszami dośpiewuję, że być może to były dokładnie trzy takie same wyniki jak u Ciebie.

 

 

.

Odnośnik do komentarza
rraffall

rraffall

Opublikowano
  • Autor
Opublikowano

Witam ponownie,

 

Wykonałem po kolei wszystkie polecenia. Sytuacja jest bez zmian. W załączeniu przesyłam pliki z OTL, Ad-Remover i z AVG po skanie całego komputera. Pliki rzekomo zarażony to jednak aegise5.dll, mój błąd poprzednio z nazwą pliku.

Przejrzałem problem z załączonego linka, nie znam się na tym, ale zmiana podana na tym anglojęzycznym forum u mnie nic nie zmieniła.

Co mógłbym jeszcze zrobić aby tego problemu się pozbyć.

Ad-Report-CLEAN1.txt

avg_po_skanie.txt

ochrona_rezydentna_wykrywanie.txt

OTL.Txt

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Drobna poprawka pod kątem sponsorów. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
FF - prefs.js..extensions.enabledItems: pdfforge@mybrowserbar.com:4.3
FF - prefs.js..extensions.enabledItems: wtxpcom@mybrowserbar.com:4.3
O3 - HKU\.DEFAULT\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O3 - HKU\S-1-5-18\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.

Klik w Wykonaj skrypt. Przedstaw tylko log powstały z usuwania.

 

 

Wykonałem po kolei wszystkie polecenia. Sytuacja jest bez zmian.

 

Oczywiście, że bez zmian. To co miałeś wykonywać nie ma nic wspólnego z wynikami AVG.

 

 

Przejrzałem problem z załączonego linka, nie znam się na tym, ale zmiana podana na tym anglojęzycznym forum u mnie nic nie zmieniła.

 

Gdy pisałam odpowiedź, w podanym linku nie było żadnych instrukcji tylko jeden post proszącego o pomoc. Link tylko dlatego podsunęłam, by pokazać, że prawdopodobnie jest coś nie tak z najnowszymi definicjami AVG. Teraz widzę, że ktoś tam w temacie odpisał (ja tego nie widziałam pisząc wcześniej odpowiedź), co moim zdaniem ma się nijak do problemu, bo problem stanowi to co AVG usunął. Toteż:

 

 

Pliki rzekomo zarażony to jednak aegise5.dll, mój błąd poprzednio z nazwą pliku.

 

Wszystkie wyniki to w istocie jeden wynik. AVG czepia się modułu Atheros (c:\WINDOWS\system32\AegisE5.dll oraz jego kopii w System Volume Information = Przywracanie systemu) w kontekście różnych procesów. Wyłącz osłonę rezydentną AVG. Następnie w AVG wejdź do kwarantanny i przywróć plik AegisE5.dll na miejsce. W opcjach osłony rezydentnej + skanera AVG dodaj plik do wyjątków.

 

Swoją drogą, wygląda na to, że i tak posługujesz się starą wersją AVG.

 

 

 

.

Odnośnik do komentarza
rraffall

rraffall

Opublikowano
  • Autor
Opublikowano

Wszystko jest już ok. Wykonałem akcję OTL-lem ale również zaktualizowałem AVG. Dla pewności wysyłam jeszcze log z OTL po wykonania skryptu:

 

========== OTL ==========

Prefs.js: pdfforge@mybrowserbar.com:4.3 removed from extensions.enabledItems

Prefs.js: wtxpcom@mybrowserbar.com:4.3 removed from extensions.enabledItems

Registry value HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{2318C2B1-4965-11D4-9B18-009027A5CD4F} deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2318C2B1-4965-11D4-9B18-009027A5CD4F}\ not found.

Registry value HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{2318C2B1-4965-11D4-9B18-009027A5CD4F} not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2318C2B1-4965-11D4-9B18-009027A5CD4F}\ not found.

 

OTL by OldTimer - Version 3.2.23.0 log created on 06102011_165945

 

Problem wynikł prawdopodobnie z nieaktualizowania AVG.

Dziękuję za pomoc

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano (edytowane)

W porządku. Przestroga: śmietnik pdfforge Toolbar to konsekwencja braku uwagi przy instalacji PDF Creator. Niestety aplikacja jest sponsorowana i należy odznaczyć wtręt w instalatorze, by nie dopuścić do zabrudzenia systemu. Na koniec:

 

1. W OTL użyj opcję Sprzątanie, usuwającą komponenty OTL.

 

2. Wyczyść foldery Przywracania systemu: INSTRUKCJE.

 

3. Aktualizacja oprogramowania:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java™ 6 Update 24
"{3248F0A8-6813-11D6-A77B-00B0D0150000}" = J2SE Runtime Environment 5.0
"{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.4 - Polish
"Gadu-Gadu 10" = Gadu-Gadu 10
"KLiteCodecPack_is1" = K-Lite Codec Pack 4.3.4 (Full)

- Wszystkie stare Java odinstaluj i w zamian wstaw najnowszą, Adobe Reader do zastąpienia najnowszym: INSTRUKCJE.

- Proponuję wymianę kolosalnego GG10 lżejszym programem z obsługą sieci Gadu. W temacie Darmowe komunikatory popatrz na opisy AQQ, Kadu, WTW i Miranda. Osobiście polecam WTW.

- (Opcjonalnie) Można też zaktualizować kodeki.

 

 

 

.

Edytowane przez picasso
10.07.2011 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...