Jak usunąć pseudo-wirusa Trojan-BNK.Win32.Keylogger.gen?
Na bazie własnego doświadczenia prosta metoda bezkosztowa usunięcia wirusa Trojan-BNK.Win32.Keylogger.gen i pseudo programu antywirusowego XP Internet Security 2011.
- • Total Comander
- • Notatnik
- • Regedit
Wirus XP Internet Security 2011 to program nakładkowy, który ma skłonić zdesperowanego użytkownika do zakupu pełnej licencji oprogramowania z przekierowania.
Skąd innąd ciekawa wersja wirusa wenezuelskiego. Miałem przyjemność bycia posiadaczem tego "wirusa" na swoim PC. Sprawa przykra bo po zainstalowaniu jest "niewykrywalny" i "nie usuwalny" przez większość programów antywirusowych, bo w sumie żaden z niego wirus.
Metoda usunięcia wymaga kilku kroków, należy przeanalizować wpisy w kluczach rejestru.
1. HKEY_CURRENT_USER\Software\Classes.exe\shell\open\command "(Default) ="
2. HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\safemode\command
"(Default)" =.
3. HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command
"(Default)" =
Jeśli znajdziemy tam np. coś takiego "%UserProfile%\Local Settings\Application Data\lax.exe" -a
"C:\Program Files\Internet Explorer\iexplore.exe" oznacza to, że mamy "wirusa" o nazwie lax.exe, który właśnie uruchamia się jako dodatek do Internet Explorera i blokuje jego działanie bardzo skutecznie informując o wykryciu szeregu bardzo groźnych trojanów.
Normalnie powinna być tam wpisana komenda "C:\Program Files\Internet Explorer\iexplore.exe".
Nazwa lax.exe może też być inna np. zw.exe, ala.exe, nazwa jest generowana losowo przy instalacji wirusa?
Konieczne w tym przypadku są działania przywrócenia rejestru do właściwej postaci oraz usunięcia niebezpieczenego programu lax.exe ze ścieżki : %UserProfile%\Local Settings\Application Data\lax.exe
Uwaga program ma atrybut systemowy -s przed próbą usunięcia trzeba go zmienić na zwykły. np. Total Comanderem.
Po usunieciu plików i zmianie rejestru należy komputer przeresetować i sprawdzić poprawność działania systemu i przeglądarek.
Uwagi i spostrzeżenia
- •Uwaga na pracę z rejestrem systemowym, warto zrobić kopię zapasową.
• Przeczytaj teraz:
Komentarze
Ostatnio zmieniony: 2012-01-08 16:01:42
Ostatnio zmieniony: 2012-01-02 15:35:45
Ostatnio zmieniony: 2011-12-30 21:48:27
Poprostu zawsze program "pseudowirusa" uruchamia się przed programem, który chcesz uruchomić.
Dosłownie przed każdym programem typu *.exe i przechwytuje główny ekran nad pulpitem.
Wygląda tak, jakby coś blokował, ale tak naprawdę to tego programu poprostu nie ma :) - tylko śmieszne okienko informacje o wykryciu robaków i wirusów.
W rejestrze jest polecenie wciąż uruchamiania przez system operacyjny tej samej całkowicie nieszkodliwej aplikacji :) nawet jak wpiszesz cmd.exe w lini uruchom też wyskoczy "wirus".
Poprostu naprawiasz rejestr, kasujesz apliację i po problemie.
Ostatnio zmieniony: 2011-12-29 13:17:21
Ten gad przelazł przez moje antywiry Avirę i McAfee niezauważony a potem obydwa zablokował
Ostatnio zmieniony: 2011-12-27 02:18:10
Trochę trudo walczyć bez przeglądarki, pomogła przyjaciółka. Dziękuję Alu :)
Ostatnio zmieniony: 2011-12-27 02:26:18
>@jdsoul:Dzieki wielkie i pozdro..... ;)
>Wpis w kluczu : "C:\Documents and Settings\Est\Ustawienia lokalne\Dane aplikacji\lga.exe" -a "%1" %*
> został wykonany przez wirusa w ten sposób że do wpisu "%1" %* dodał część "C:\Documents and Settings\Est\Ustawienia lokalne\Dane aplikacji\lga.exe" -a . Po usunięciu tego wpisu z początku wszystko wraca do normy. Pamiętajcie jednak że wirusy mogą ewoluować- zmieniać nazwy itd. dobrze jest zainstalować sobie na kompie Spybot-SD i zablokować nieautoryzowane próby zmiany rejestru z zewnątrz.
>
Ostatnio zmieniony: 2011-07-13 21:47:47
>@jdsoul:
>Wpis w kluczu : "C:\Documents and Settings\Est\Ustawienia lokalne\Dane aplikacji\lga.exe" -a "%1" %*
> został wykonany przez wirusa w ten sposób że do wpisu "%1" %* dodał część "C:\Documents and Settings\Est\Ustawienia lokalne\Dane aplikacji\lga.exe" -a . Po usunięciu tego wpisu z początku wszystko wraca do normy. Pamiętajcie jednak że wirusy mogą ewoluować- zmieniać nazwy itd. dobrze jest zainstalować sobie na kompie Spybot-SD i zablokować nieautoryzowane próby zmiany rejestru z zewnątrz.
>
O jaaaa jdsoul jesteś wielki, bez Twojej porady pozostałby mi tylko format - a tak wszystkie problemy zniknęły :) Gdybyś mieszkał bliżej Krakowa to chętnie postawiłbym Ci piwo :)
Pozdrawiam i raz jeszcze Ogromne DZIĘKI ! :)
Ostatnio zmieniony: 2011-06-23 19:31:50
został wykonany przez wirusa w ten sposób że do wpisu "%1" %* dodał część "C:\Documents and Settings\Est\Ustawienia lokalne\Dane aplikacji\lga.exe" -a . Po usunięciu tego wpisu z początku wszystko wraca do normy. Pamiętajcie jednak że wirusy mogą ewoluować- zmieniać nazwy itd. dobrze jest zainstalować sobie na kompie Spybot-SD i zablokować nieautoryzowane próby zmiany rejestru z zewnątrz.
Ostatnio zmieniony: 2011-06-23 14:13:46
Właśnie mam problem z uruchamianiem sie aplikacji. Wir usadowił się w:
"C:\Documents and Settings\Est\Ustawienia lokalne\Dane aplikacji\lga.exe" -a "%1" %*
Z tej lokalizacji juz go usunąłem wcześniej ale w rejestrze nadal jest taki wpis w dwóch miejcach:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.exe\shell\open\command\(default)
oraz
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command\(default)
Możecie m podpowiedzieć na jakie wartości mam te wpisy zmienić ?
Dostane zaraz szału bo nie mogę, zadnej aplikacji uruchomić bezpośrednio po kliknieciu na plik .exe, tylko wywala mi sie okienko otwórz za pomocą ...
Prosze o pomoc i z góry dziekuję ;]
Pozdrawiam
Ostatnio zmieniony: 2011-06-23 09:57:31
internet nie działa,program malware tak samo ,na cale szczescie czasami udaje sie wejsc do rejestru ,mam windowsa XP ,wchodziłem do rejestru ale i zmienialem wartosc na default ale wciaz tak samo ?
co robie zle ,za kazda pomoc bede wdzieczny
Ostatnio zmieniony: 2011-06-21 15:27:47
W regedit popraw w ścieżce z: HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command
"(Default)" = "%UserProfile%\Local Settings\Application Data\jcn.exe" -a
na:
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command
"(Default)" = "C:\Program Files\Internet Explorer\iexplore.exe"
I explorer powinien ruszyć. Potem pozostałe przeglądarki. Ogólnie wyszukaj wszystkie klucze zawierające plik jcn.exe i zmień na właściwe ścieżki.
Ostatnio zmieniony: 2011-05-18 21:18:58
edit: ok, znalazłem, usunąłem, ale teraz nie mogę żadnych programów otworzyć na kompie :(
Ostatnio zmieniony: 2011-05-09 18:46:57
Ostatnio zmieniony: 2011-05-09 18:09:54
Ostatnio zmieniony: 2011-05-09 18:05:00
Plik powinien być w ścieżce użytkownika - twój Login do Windows w "c:\Documents and Settings\"Twoja nazwa użytkownika"\Local Settings\Application Data\jcn.exe".
Ustaw w TC pokazywanie plików ukrytych.
Ostatnio zmieniony: 2011-05-06 18:31:30
Ostatnio zmieniony: 2011-05-02 23:17:21
1. Znajdź w rejestrze w tych kluczach, które podałem nazwę swojego pliku wirusa, może być ich nawet kilka.
2. W TC wciśnij Alt+F7 i wpisz nazwe poszukiwanego pliku ***.exe. TC go znajdzie i wyświetli.
3. Klikając na plik w liście przejdź do miejsca, gdzie jest ten plik i zaznacz w okienku TC rzeczony plik *.exe. Teraz wybierz z menu górnego TC opcje. [Pliki -> Zmień atrybuty] i odznacz kwadracik Systemowy w menu zmień atrybuty wyjdź naciskając przycisk OK.
4. Wróć do okna TC i zaznaczony plik *.exe potraktuj funkcją F8: Usuń.
5. I po "wirusie".
Mam nadzieję, że obsługa Regedit jest znana.
Ostatnio zmieniony: 2011-04-12 11:32:15
Z gory dziekuje
pozdrowionka
Ostatnio zmieniony: 2011-04-11 15:35:20
Ostatnio zmieniony: 2011-04-05 20:03:42
Dodaj komentarz