janko.kernicky
30.10.13,15:10
Mám Windows 7 64bit.Už som zúfalý z PC. Najprv mi AVG Internet Security hlásil vírus IDP.Trojan.E13F31C v priečinku C:/Windows/temp v súbore svchost.exe, zistil som ze taky subor sa tam nema nachadzat iba v system32. Moj avg ho detekuje pri kazdom reboote a následne ho odstráni aj ine antivirusy, len neviem ako to ze sa mnozi. zaujimave je ze ked mam zablokovanu siet tak tento program nie je detekovany, pri povolenom internete ho zdetekuje avg. Skusal som už rozne programy ako ComboFix, Malwarebytes, Eset online Scanner, FSecure Scanner, SysInspector ESET, Norton online scanner, nejaky tool od Kaspersky Lab (TDS). Uploadoval som virus na Virus total, mam rozne logy vysledkov kontroly. Skenoval som to aj v safe boot režime windows cez avgscanner v cmd.exe a nič. Skusal som aj hladat v registri, jedine co som nasiel su administratorske prava na tento subor (obsahuje trojan) v registry, teraz uz to neviem najst kedze som odskrtol spustat tento program v admin režime . Mam dojem ze tento subor s virusom vytvara nejaky iny program. Musel som obnovovat system kedze som mal zapnuty combofix s avgckom a zmizla mi sucast windowsu:
wscsrc.exe, vola sa to security center a som to mal odinstalovane, teraz sa to opat nachadza v Services po obnove win7. Zaujimave je ze ked obnovim z karanteny svchost.exe (to je vraj ten virus) ho už avg nepoklada za trojsky kon a nenachadza sa vo vynimkach (ani predtym sa nechadzal).
Dúfam ze to bude fungovat (https://www.virustotal.com/en/file/cc085f3c65615590ac8870e6167ce36485fcb6bce7dbfdf8d0 24036208b136fc/analysis/)
toť vše zatiaľ, uvidim co sa stane po reboote kedze mi ho eset nasiel
wscsrc.exe, vola sa to security center a som to mal odinstalovane, teraz sa to opat nachadza v Services po obnove win7. Zaujimave je ze ked obnovim z karanteny svchost.exe (to je vraj ten virus) ho už avg nepoklada za trojsky kon a nenachadza sa vo vynimkach (ani predtym sa nechadzal).
Dúfam ze to bude fungovat (https://www.virustotal.com/en/file/cc085f3c65615590ac8870e6167ce36485fcb6bce7dbfdf8d0 24036208b136fc/analysis/)
toť vše zatiaľ, uvidim co sa stane po reboote kedze mi ho eset nasiel
expeeert
30.10.13,15:43
Sformatuj disk...
misoft
30.10.13,15:55
Ak vieš anglicky (nebudem ti to prekladať)
http://blog.teesupport.com/how-to-remove-idp-trojan-1c8d1a13-virus-idp-trojan-1c8d1a13-removal-guide/
http://www.bleepingcomputer.com/forums/t/472346/help-avg-eset-says-im-clear-im-unconvinced/ - odpoveď od CatByte
http://forums.anvisoft.com/viewtopic-45-981-0.html
(Tento Trojan má niekoľko názvov - podľa hex kódu za bodkou - a formátov súborov. Je nebezpečný - zbiera údaje, kontroluje pripojenie k sieti, odosiela dáta. A navyše - sedí v oblasti, ktorá by mala riadiť "samoopravovanie" OS [napr. aj v Temp]).
Ak ani to nepomôže - tak začať od začiatku - formát, install OS.
http://blog.teesupport.com/how-to-remove-idp-trojan-1c8d1a13-virus-idp-trojan-1c8d1a13-removal-guide/
http://www.bleepingcomputer.com/forums/t/472346/help-avg-eset-says-im-clear-im-unconvinced/ - odpoveď od CatByte
http://forums.anvisoft.com/viewtopic-45-981-0.html
(Tento Trojan má niekoľko názvov - podľa hex kódu za bodkou - a formátov súborov. Je nebezpečný - zbiera údaje, kontroluje pripojenie k sieti, odosiela dáta. A navyše - sedí v oblasti, ktorá by mala riadiť "samoopravovanie" OS [napr. aj v Temp]).
Ak ani to nepomôže - tak začať od začiatku - formát, install OS.
PaloPa
31.10.13,13:30
Všeobecné riešenie (a veľa krát najrýchlešie) pre "húževnaté" vírusy:
1| vytiahnuť disk z PC (NB)
2| pripojiť ako externý disk k zdravému PC s aktualizovaným antivírovým programom
3| urobiť full scan pripojeného disku
1| vytiahnuť disk z PC (NB)
2| pripojiť ako externý disk k zdravému PC s aktualizovaným antivírovým programom
3| urobiť full scan pripojeného disku
TheCrazyCicada
31.10.13,19:07
Security center je svinstvo.
Skús RogueKiller (http://www.sur-la-toile.com/RogueKiller/RogueKiller.exe)
zavri ostatné aplikácie, daj spustiť ako správca, po skonceni PreScan zaškrtni
kontrola MBR
kontrola Faked
Antirootkit a klikni na prehľadať a po skene klikni na "správa" a prípadne sem daj log.
Skús RogueKiller (http://www.sur-la-toile.com/RogueKiller/RogueKiller.exe)
zavri ostatné aplikácie, daj spustiť ako správca, po skonceni PreScan zaškrtni
kontrola MBR
kontrola Faked
Antirootkit a klikni na prehľadať a po skene klikni na "správa" a prípadne sem daj log.
janko.kernicky
01.11.13,18:23
neviem či toto pomohlo, ale subor hosts v zložke etc niekde vo windowse sa resetoval tým programom roguekiller, mimochodom ešte predtym som zistil že subory nachadzaju v internet explorer temporary files (dočasné subory), tak som vymazal internet explorer zo sucasti a zatial sa nic neobjavuje v spominanom skrytom priečinku.... aj tak vam dakujem za rady no uvidime :)
Pre tych, ktori maju taky isty problem odporucam program Dr.Web ktory ako je podla virustotal.com schopny odstranit sucasti virusu , alebo malwarebytes :)
zlozky ovplyvnene virusom Win32.BitCoinMiner.AF (eset), IDP.E31F13C (avg):
C:\Windows\temp - vsetky .cl subory su sucasti virusu
C:\Windows\System32\config\systemprofile\AppData\L ocal\Microsoft\Windows\Temporary Internet Files\Content.IE5 - vsetky priecinky a subory okrem index.dat = sucast virusu
Pre tych, ktori maju taky isty problem odporucam program Dr.Web ktory ako je podla virustotal.com schopny odstranit sucasti virusu , alebo malwarebytes :)
zlozky ovplyvnene virusom Win32.BitCoinMiner.AF (eset), IDP.E31F13C (avg):
C:\Windows\temp - vsetky .cl subory su sucasti virusu
C:\Windows\System32\config\systemprofile\AppData\L ocal\Microsoft\Windows\Temporary Internet Files\Content.IE5 - vsetky priecinky a subory okrem index.dat = sucast virusu