Jak usunąć pseudo-wirusa Trojan-BNK.Win32.Keylogger.gen?

Na bazie własnego doświadczenia prosta metoda bezkosztowa usunięcia wirusa Trojan-BNK.Win32.Keylogger.gen i pseudo programu antywirusowego XP Internet Security 2011.

  • Total Comander
  • Notatnik
  • Regedit
1
Nazywam się Wirusek. Nazywam się Wirusek.

Wirus XP Internet Security 2011 to program nakładkowy, który ma skłonić zdesperowanego użytkownika do zakupu pełnej licencji oprogramowania z przekierowania.
Skąd innąd ciekawa wersja wirusa wenezuelskiego. Miałem przyjemność bycia posiadaczem tego "wirusa" na swoim PC. Sprawa przykra bo po zainstalowaniu jest "niewykrywalny" i "nie usuwalny" przez większość programów antywirusowych, bo w sumie żaden z niego wirus.


2

Metoda usunięcia wymaga kilku kroków, należy przeanalizować wpisy w kluczach rejestru.

1. HKEY_CURRENT_USER\Software\Classes.exe\shell\open\command "(Default) ="
2. HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\safemode\command
"(Default)" =.
3. HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command
"(Default)" =

Jeśli znajdziemy tam np. coś takiego "%UserProfile%\Local Settings\Application Data\lax.exe" -a
"C:\Program Files\Internet Explorer\iexplore.exe" oznacza to, że mamy "wirusa" o nazwie lax.exe, który właśnie uruchamia się jako dodatek do Internet Explorera i blokuje jego działanie bardzo skutecznie informując o wykryciu szeregu bardzo groźnych trojanów.

Normalnie powinna być tam wpisana komenda "C:\Program Files\Internet Explorer\iexplore.exe".
Nazwa lax.exe może też być inna np. zw.exe, ala.exe, nazwa jest generowana losowo przy instalacji wirusa?


3

Konieczne w tym przypadku są działania przywrócenia rejestru do właściwej postaci oraz usunięcia niebezpieczenego programu lax.exe ze ścieżki : %UserProfile%\Local Settings\Application Data\lax.exe

Uwaga program ma atrybut systemowy -s przed próbą usunięcia trzeba go zmienić na zwykły. np. Total Comanderem.
Po usunieciu plików i zmianie rejestru należy komputer przeresetować i sprawdzić poprawność działania systemu i przeglądarek.


4

Uwagi i spostrzeżenia

  • Uwaga na pracę z rejestrem systemowym, warto zrobić kopię zapasową.


Przeczytaj teraz:

Dodaj komentarz

  1. Zaloguj się:
  1. 04.04.2011

Komentarze

Witam, próbowałam zrobić to co radzisz, niestety, nawet nie mogę uruchomić rejestrów, bo to cholerstwo mi to blokuje. Czy jest jakiś inny sposób, żeby sobie poradzić? Pozdrawiam

Ostatnio zmieniony: 2012-01-08 16:01:42

Zaznacz opcje w wyświetlaniu plików w TC - pokaż pliki Ukryte :)

Ostatnio zmieniony: 2012-01-02 15:35:45

Ja mam taki problem że TC nie znajduje mi tego pliku qdx.exe (bo u mnie tak się nazywa) a jak chcę go znaleść ręcznie to w szukaniu nie mogę wejść do tego katalogu gdzie to się znajduje.

Ostatnio zmieniony: 2011-12-30 21:48:27

Ale ten "gad" niczego nie blokuje :) :) :). To system Windows sam robi ten cyrk :), bo tak mu wpisano w rejestr wykonywanie każdego programu w komputerze.
Poprostu zawsze program "pseudowirusa" uruchamia się przed programem, który chcesz uruchomić.
Dosłownie przed każdym programem typu *.exe i przechwytuje główny ekran nad pulpitem.
Wygląda tak, jakby coś blokował, ale tak naprawdę to tego programu poprostu nie ma :) - tylko śmieszne okienko informacje o wykryciu robaków i wirusów.
W rejestrze jest polecenie wciąż uruchamiania przez system operacyjny tej samej całkowicie nieszkodliwej aplikacji :) nawet jak wpiszesz cmd.exe w lini uruchom też wyskoczy "wirus".
Poprostu naprawiasz rejestr, kasujesz apliację i po problemie.

Ostatnio zmieniony: 2011-12-29 13:17:21

PS
Ten gad przelazł przez moje antywiry Avirę i McAfee niezauważony a potem obydwa zablokował

Ostatnio zmieniony: 2011-12-27 02:18:10

Opis idealnie zgodny z tym co mi się zdarzyło. Nabrałem się na tego fałszywego antywira. I przeraziłem, kiedy zameldował o 25 ciężkich wirusach na pokładzie. Poradziłem sobie "na piechotę". Na dysku doniosłem instalkę programu TROJAN REMOVER. Pojawił się problem z instalacją, bo ten rzekomy antywir nie pozwalał się otwierać prawdziwym antywirom, w tym rówież nie pozwalał na instalowanie nowego. Na szczęście instalkę dało się odpalić pół minuty przed tym fałszywym antywirem podczas uruchamiania komputera. Potem skanowanie, szarpanina itp. W moim przypadku wirus miał nazwę pliku bre.exe. Wyciągnąłem tego gada na pulpit i jeździłem po nim Trojan Removerem. Po resecie udało się go wyrzucić do kosza i z kosza. Niestety zabrał ze sobą jakieś sterowniki od GG i Skypa. Ale na to też znalazłem sposób http://www.kellys-korner-xp.com/regs_edits/exefix.reg
Trochę trudo walczyć bez przeglądarki, pomogła przyjaciółka. Dziękuję Alu :)

Ostatnio zmieniony: 2011-12-27 02:26:18

>@jdsoul:
>Wpis w kluczu : "C:\Documents and Settings\Est\Ustawienia lokalne\Dane aplikacji\lga.exe" -a "%1" %*
> został wykonany przez wirusa w ten sposób że do wpisu "%1" %* dodał część "C:\Documents and Settings\Est\Ustawienia lokalne\Dane aplikacji\lga.exe" -a . Po usunięciu tego wpisu z początku wszystko wraca do normy. Pamiętajcie jednak że wirusy mogą ewoluować- zmieniać nazwy itd. dobrze jest zainstalować sobie na kompie Spybot-SD i zablokować nieautoryzowane próby zmiany rejestru z zewnątrz.
>
Dzieki wielkie i pozdro..... ;)

Ostatnio zmieniony: 2011-07-13 21:47:47

>@jdsoul:
>Wpis w kluczu : "C:\Documents and Settings\Est\Ustawienia lokalne\Dane aplikacji\lga.exe" -a "%1" %*
> został wykonany przez wirusa w ten sposób że do wpisu "%1" %* dodał część "C:\Documents and Settings\Est\Ustawienia lokalne\Dane aplikacji\lga.exe" -a . Po usunięciu tego wpisu z początku wszystko wraca do normy. Pamiętajcie jednak że wirusy mogą ewoluować- zmieniać nazwy itd. dobrze jest zainstalować sobie na kompie Spybot-SD i zablokować nieautoryzowane próby zmiany rejestru z zewnątrz.
>

O jaaaa jdsoul jesteś wielki, bez Twojej porady pozostałby mi tylko format - a tak wszystkie problemy zniknęły :) Gdybyś mieszkał bliżej Krakowa to chętnie postawiłbym Ci piwo :)

Pozdrawiam i raz jeszcze Ogromne DZIĘKI ! :)

Ostatnio zmieniony: 2011-06-23 19:31:50

Wpis w kluczu : "C:\Documents and Settings\Est\Ustawienia lokalne\Dane aplikacji\lga.exe" -a "%1" %*
został wykonany przez wirusa w ten sposób że do wpisu "%1" %* dodał część "C:\Documents and Settings\Est\Ustawienia lokalne\Dane aplikacji\lga.exe" -a . Po usunięciu tego wpisu z początku wszystko wraca do normy. Pamiętajcie jednak że wirusy mogą ewoluować- zmieniać nazwy itd. dobrze jest zainstalować sobie na kompie Spybot-SD i zablokować nieautoryzowane próby zmiany rejestru z zewnątrz.

Ostatnio zmieniony: 2011-06-23 14:13:46

Hi

Właśnie mam problem z uruchamianiem sie aplikacji. Wir usadowił się w:

"C:\Documents and Settings\Est\Ustawienia lokalne\Dane aplikacji\lga.exe" -a "%1" %*

Z tej lokalizacji juz go usunąłem wcześniej ale w rejestrze nadal jest taki wpis w dwóch miejcach:

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.exe\shell\open\command\(default)
oraz
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command\(default)

Możecie m podpowiedzieć na jakie wartości mam te wpisy zmienić ?

Dostane zaraz szału bo nie mogę, zadnej aplikacji uruchomić bezpośrednio po kliknieciu na plik .exe, tylko wywala mi sie okienko otwórz za pomocą ...

Prosze o pomoc i z góry dziekuję ;]

Pozdrawiam

Ostatnio zmieniony: 2011-06-23 09:57:31

hejka,jestem amatorem jesli chodzi o kompy i mam taki duzy problem z XP internet security 2012 co mam zrobic zeby pozbyhc sie tego dziadostwa ?
internet nie działa,program malware tak samo ,na cale szczescie czasami udaje sie wejsc do rejestru ,mam windowsa XP ,wchodziłem do rejestru ale i zmienialem wartosc na default ale wciaz tak samo ?
co robie zle ,za kazda pomoc bede wdzieczny

Ostatnio zmieniony: 2011-06-21 15:27:47

Rozumiem że chodzi o przeglądarki.
W regedit popraw w ścieżce z: HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command
"(Default)" = "%UserProfile%\Local Settings\Application Data\jcn.exe" -a
na:
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command
"(Default)" = "C:\Program Files\Internet Explorer\iexplore.exe"
I explorer powinien ruszyć. Potem pozostałe przeglądarki. Ogólnie wyszukaj wszystkie klucze zawierające plik jcn.exe i zmień na właściwe ścieżki.

Ostatnio zmieniony: 2011-05-18 21:18:58

TC znalazł plik z nazwą mojego wirusa, ale jest to plik archiwalny a nie systemowy ??
edit: ok, znalazłem, usunąłem, ale teraz nie mogę żadnych programów otworzyć na kompie :(

Ostatnio zmieniony: 2011-05-09 18:46:57


Ostatnio zmieniony: 2011-05-09 18:09:54

witam, robię wszystko wg instrukcji, ale po restarcie znowu się pojawia ten niby wirus ?? gdzieś się czai tylko nie wiem gdzie ?

Ostatnio zmieniony: 2011-05-09 18:05:00

Skąd wiesz że to jcn.exe???
Plik powinien być w ścieżce użytkownika - twój Login do Windows w "c:\Documents and Settings\"Twoja nazwa użytkownika"\Local Settings\Application Data\jcn.exe".
Ustaw w TC pokazywanie plików ukrytych.

Ostatnio zmieniony: 2011-05-06 18:31:30

U mnie virus ukazał sie jako plik jcn.exe ale TC nie moze go znalezc. Czy cos zle robie???

Ostatnio zmieniony: 2011-05-02 23:17:21

Usunięcie programu za pomocą TC:
1. Znajdź w rejestrze w tych kluczach, które podałem nazwę swojego pliku wirusa, może być ich nawet kilka.
2. W TC wciśnij Alt+F7 i wpisz nazwe poszukiwanego pliku ***.exe. TC go znajdzie i wyświetli.
3. Klikając na plik w liście przejdź do miejsca, gdzie jest ten plik i zaznacz w okienku TC rzeczony plik *.exe. Teraz wybierz z menu górnego TC opcje. [Pliki -> Zmień atrybuty] i odznacz kwadracik Systemowy w menu zmień atrybuty wyjdź naciskając przycisk OK.
4. Wróć do okna TC i zaznaczony plik *.exe potraktuj funkcją F8: Usuń.
5. I po "wirusie".

Mam nadzieję, że obsługa Regedit jest znana.

Ostatnio zmieniony: 2011-04-12 11:32:15

Witam mam prosbe do autora posta moglbys bardziej rozwinac kwestie usuniecia tego virusa wraz ze zmiana atrubutu w TC bo niestety to dla mnie to nie wystarcza poniewaz nie jestem tak zaawansowany w tym :(
Z gory dziekuje

pozdrowionka

Ostatnio zmieniony: 2011-04-11 15:35:20

Wartościowa porada. Pozdrawiam :-)

Ostatnio zmieniony: 2011-04-05 20:03:42