Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Trojan.Spy.Zbot.Gen w uphclean.exe

Mysza

Przez Mysza
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

Mysza

Mysza

Opublikowano
Opublikowano (edytowane)

Witam,

 

dzisiaj ArcaVir wyrzucił komunikat o znalezieniu Trojan.Spy.Zbot.Gen, a jedyna dostępna opcja, którą w tym momencie można wykonać to Blokuj dostęp

 

wirusa.png

 

 

komuniakt ArcaVir pojawia się wielokrotnie w ciągu dnia,

 

dołączam logi z OTL i wstępny z Gmer,

 

z pełnym Gmerem mam problem, dwa razy mi się zatrzymał i dalej ani rusz, raz w trakcie pojawił się niebieski ekran

 

dscf0640h.jpg

,

 

w międzyczasie jak podłączyłam aparat fotograficzny to pojawiło się to :

 

dscf0641m.jpg

 

 

potem uruchomiłam Gmer w trybie awaryjnym , ale po dość długim scanowaniu znowu skończyło się niebieskim ekranem

 

co z tym zrobić ?

 

 

EDIT:

Przeskanowałam komputer jeszcze ESET Online Scanner, który też wykrył jeden zainfekowany plik i niby wyleczył przez usunięcie,

ale po restarcie komputera antywirus ArcaVir dalej wyrzuca ten sam komunikat

 

wirus2.png

 

Edytowane przez mycha69
Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

Nie widzę żadnych oznak infekcji w stanie czynnym, zaś wynik z ESET kieruje na izolowany folder Przywracania systemu (trudno powiedzieć jak wyglądał oryginalny plik przed stworzeniem jego kopii w Przywracaniu). Dla kosmetyki przeglądarek usuń pozostałości po śmieciach paskowych. W OTL w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
FF - prefs.js..browser.search.defaultengine: "Ask.com"
FF - prefs.js..browser.search.defaultenginename: "Ask.com"
FF - prefs.js..browser.search.order.1: "Ask.com"
O3 - HKU\S-1-5-21-1644491937-1614895754-682003330-1004\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.

Klik w Wykonaj skrypt. Po tym klik w Sprzątanie. Koniec.

 

 

ArcaVir wyrzucił komunikat o znalezieniu Trojan.Spy.Zbot.Gen, a jedyna dostępna opcja, którą w tym momencie można wykonać to Blokuj dostęp

 

Moim zdaniem wynik ArcaVir to fałszywy alarm. ArcaVir czepia się wnętrza pliku uphclean.exe (User Profile Hive CleanUp Service):

 

SRV - [2010-09-13 20:02:44 | 000,399,872 | ---- | M] () [Auto | Running] -- C:\Program Files\UPHClean\uphclean.exe -- (UPHClean)
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{7D15B945-2725-4443-AB3F-D900556612FE}" = User Profile Hive Cleanup Service

Aczkolwiek ... plik nie ma sygnatury Microsoftu i nie wiem pod co to podciągnąć. Na mojej testowej maszynie plik jest znakowany firmowo:

 

SRV - [2010/09/13 20:02:44 | 000,399,872 | ---- | M] (Windows ® Codename Longhorn DDK provider) [Auto | Running] -- C:\Program Files\UPHClean\uphclean.exe -- (UPHClean)

Ostatecznie możesz przeinstalować User Profile Hive Cleanup Service KLIK, ale jeśli po reinstalacji z paczki pobranej na stronie MS nadal ArcaVir będzie się rzucał, należy założyć, że po prostu tak ma być i nic z tym nie kombinować, zaś plik dodać do wyjątków w skanerze.

 

 

potem uruchomiłam Gmer w trybie awaryjnym , ale po dość długim scanowaniu znowu skończyło się niebieskim ekranem

 

GMER tu miał trudności (KLIK). W skanie GMER oraz OTL widać, że działa sterownik SPTD:

 

DRV - [2010-11-21 03:05:02 | 000,691,696 | ---- | M] () [Kernel | Boot | Running] -- C:\WINDOWS\System32\Drivers\sptd.sys -- (sptd)

 

 

 

.

Odnośnik do komentarza
Mysza

Mysza

Opublikowano
  • Autor
Opublikowano

Dziękuję,

skrypt i sprzątanie wykonane.

 

Po wyczyszczeniu punktu przywracania systemu i ponownym użyciu scanera ESET już nie wykrył zagrożeń, ale ArcaVir dalej się czepia.

 

Ostatecznie możesz przeinstalować User Profile Hive Cleanup Service KLIK, ale jeśli po reinstalacji z paczki pobranej na stronie MS nadal ArcaVir będzie się rzucał, należy założyć, że po prostu tak ma być i nic z tym nie kombinować, zaś plik dodać do wyjątków w skanerze.

 

Zastanawiam się, dlaczego dopiero teraz jest jakiś problem, skoro UPHCleanup mam już od dłuższego czasu i wcześniej antywirus nie miał zastrzeżeń.

 

Jak mnie pamięc nie myli, to UPHCleanup ściągałam sama jako lekarstwo na czasami zawieszanie się komputera przy zamykaniu systemu,

 

ale teraz nie mogę ani narzędzia usunąć, ani naprawić - jest jakiś problem z uprawnieniami :

 

uprawnienieuphclean.png

 

natomiast przy próbie ręcznego usunięcia też jest odmowa dostępu

 

GMER tu miał trudności (KLIK). W skanie GMER oraz OTL widać, że działa emulacja sterownika SPTD

rzeczywiście, nie pomyślałam, że mam takie oprogramowanie (miałam Acitive Iso Burner) , bo już wcześniej uruchamiałam Gmer bez problemu, a wyłączyłam tylko antywirusa - przy czasie spróbuje ponownie.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano
Jak mnie pamięc nie myli, to UPHCleanup ściągałam sama jako lekarstwo na czasami zawieszanie się komputera przy zamykaniu systemu

 

Tak. To narzędzie do tego służy.

 

 

Zastanawiam się, dlaczego dopiero teraz jest jakiś problem, skoro UPHCleanup mam już od dłuższego czasu i wcześniej antywirus nie miał zastrzeżeń.

 

Bazy zagrożeń mogły się zaktualizować i przynieść ze sobą nowe definicje.

 

 

ale teraz nie mogę ani narzędzia usunąć, ani naprawić - jest jakiś problem z uprawnieniami : (...) natomiast przy próbie ręcznego usunięcia też jest odmowa dostępu

 

To ja się zastanawiam czy ten brak sygnatury to nie jest tylko kwestia specyficznego zablokowania pliku, dlatego brak poboru danych które być może są prawidłowe. Na temat samego zablokowania: czy przypadkiem ArcaVir nie blokuje dostępu (zgodnie z tym co zaproponował na alercie)? Spróbuj wyłączyć wszystkie osłony ArcaVir, by ten nie reagował na plik, i zweryfikuj czy to zmieni coś w kwestii deinstalacji.

 

 

rzeczywiście, nie pomyślałam, że mam takie oprogramowanie (miałam Acitive Iso Burner) , bo już wcześniej uruchamiałam Gmer bez problemu, a wyłączyłam tylko antywirusa - przy czasie spróbuje ponownie.

 

SPTD możesz więc całkowicie wyrzucić z systemu. Ten sterownik nie jest potrzebny do pracy właściwej Active ISO Burner. Instalując ten program należało ominąć instalację typu "Complete", by zapobiec montażowi SPTD.

 

 

 

.

Odnośnik do komentarza
Mysza

Mysza

Opublikowano
  • Autor
Opublikowano

To ja się zastanawiam czy ten brak sygnatury to nie jest tylko kwestia specyficznego zablokowania pliku, dlatego brak poboru danych które być może są prawidłowe. Na temat samego zablokowania: czy przypadkiem ArcaVir nie blokuje dostępu (zgodnie z tym co zaproponował na alercie)? Spróbuj wyłączyć wszystkie osłony ArcaVir, by ten nie reagował na plik, i zweryfikuj czy to zmieni coś w kwestii deinstalacji.

 

Po wyłączeniu osłon ArcaVir aktualizacja UPHCleanup z podanego linku przebiegła bez problemu,

ArcaVir mimo to nadal wyrzucał komunikat o wirusie,

zgodnie z sugestią dodałam to narzędzie/plik jako wyjątek i teraz jest spokój.

 

Gmer po usunięciu Acitive Iso Burner też przeszedł pomyślnie do końca, tylko raportu nie mam, bo gdzieś kliknęłam, zrobiła się klepsydra i nie miałam cierpliwości czekać, żeby móc zapisać wynik, więc zamknęłam system - temat tym samym też do zamknięcia. :D

Dziękuję.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...