Jak usunąć pseudo-wirusa Trojan-BNK.Win32.Keylogger.gen?
Na bazie własnego doświadczenia prosta metoda bezkosztowa usunięcia wirusa Trojan-BNK.Win32.Keylogger.gen i pseudo programu antywirusowego XP Internet Security 2011.
Kroki
1
Wirus XP Internet Security 2011 to program nakładkowy, który ma skłonić zdesperowanego użytkownika do zakupu pełnej licencji oprogramowania z przekierowania.
Skąd innąd ciekawa wersja wirusa wenezuelskiego. Miałem przyjemność bycia posiadaczem tego "wirusa" na swoim PC. Sprawa przykra bo po zainstalowaniu jest "niewykrywalny" i "nie usuwalny" przez większość programów antywirusowych, bo w sumie żaden z niego wirus.
Skąd innąd ciekawa wersja wirusa wenezuelskiego. Miałem przyjemność bycia posiadaczem tego "wirusa" na swoim PC. Sprawa przykra bo po zainstalowaniu jest "niewykrywalny" i "nie usuwalny" przez większość programów antywirusowych, bo w sumie żaden z niego wirus.
2
Metoda usunięcia wymaga kilku kroków, należy przeanalizować wpisy w kluczach rejestru.
1. HKEY_CURRENT_USER\Software\Classes\.exe\shell\open\command "(Default) ="
2. HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\safemode\command
"(Default)" =.
3. HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command
"(Default)" =
Jeśli znajdziemy tam np. coś takiego "%UserProfile%\Local Settings\Application Data\lax.exe" -a
"C:\Program Files\Internet Explorer\iexplore.exe" oznacza to, że mamy "wirusa" o nazwie lax.exe, który właśnie uruchamia się jako dodatek do Internet Explorera i blokuje jego działanie bardzo skutecznie informując o wykryciu szeregu bardzo groźnych trojanów.
Normalnie powinna być tam wpisana komenda "C:\Program Files\Internet Explorer\iexplore.exe".
Nazwa lax.exe może też być inna np. zw.exe, ala.exe, nazwa jest generowana losowo przy instalacji wirusa?
1. HKEY_CURRENT_USER\Software\Classes\.exe\shell\open\command "(Default) ="
2. HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\safemode\command
"(Default)" =.
3. HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command
"(Default)" =
Jeśli znajdziemy tam np. coś takiego "%UserProfile%\Local Settings\Application Data\lax.exe" -a
"C:\Program Files\Internet Explorer\iexplore.exe" oznacza to, że mamy "wirusa" o nazwie lax.exe, który właśnie uruchamia się jako dodatek do Internet Explorera i blokuje jego działanie bardzo skutecznie informując o wykryciu szeregu bardzo groźnych trojanów.
Normalnie powinna być tam wpisana komenda "C:\Program Files\Internet Explorer\iexplore.exe".
Nazwa lax.exe może też być inna np. zw.exe, ala.exe, nazwa jest generowana losowo przy instalacji wirusa?
3
Konieczne w tym przypadku są działania przywrócenia rejestru do właściwej postaci oraz usunięcia niebezpieczenego programu lax.exe ze ścieżki : %UserProfile%\Local Settings\Application Data\lax.exe
Uwaga program ma atrybut systemowy -s przed próbą usunięcia trzeba go zmienić na zwykły. np. Total Comanderem.
Po usunieciu plików i zmianie rejestru należy komputer przeresetować i sprawdzić poprawność działania systemu i przeglądarek.
Uwaga program ma atrybut systemowy -s przed próbą usunięcia trzeba go zmienić na zwykły. np. Total Comanderem.
Po usunieciu plików i zmianie rejestru należy komputer przeresetować i sprawdzić poprawność działania systemu i przeglądarek.
4
Uwagi i spostrzeżenia
Oceń tę poradę
4.4
(5 głosów)
Twoja ocena:
Zapisywanie głosu...
Komentarze
Komentarze (20)
Zaloguj się, aby dodać komentarz.
S
Autor Zaradni.pl
14 lat temu
Witam, próbowałam zrobić to co radzisz, niestety, nawet nie mogę uruchomić rejestrów, bo to cholerstwo mi to blokuje. Czy jest jakiś inny sposób, żeby sobie poradzić? Pozdrawiam
J
Darek Rogowski
14 lat temu
Zaznacz opcje w wyświetlaniu plików w TC - pokaż pliki Ukryte :)
S
Autor Zaradni.pl
14 lat temu
Ja mam taki problem że TC nie znajduje mi tego pliku qdx.exe (bo u mnie tak się nazywa) a jak chcę go znaleść ręcznie to w szukaniu nie mogę wejść do tego katalogu gdzie to się znajduje.
J
Darek Rogowski
14 lat temu
Ale ten "gad" niczego nie blokuje :) :) :). To system Windows sam robi ten cyrk :), bo tak mu wpisano w rejestr wykonywanie każdego programu w komputerze.
Poprostu zawsze program "pseudowirusa" uruchamia się przed programem, który chcesz uruchomić.
Dosłownie przed każdym programem typu *.exe i przechwytuje główny ekran nad pulpitem.
Wygląda tak, jakby coś blokował, ale tak naprawdę to tego programu poprostu nie ma :) - tylko śmieszne okienko informacje o wykryciu robaków i wirusów.
W rejestrze jest polecenie wciąż uruchamiania przez system operacyjny tej samej całkowicie nieszkodliwej aplikacji :) nawet jak wpiszesz cmd.exe w lini uruchom też wyskoczy "wirus".
Poprostu naprawiasz rejestr, kasujesz apliację i po problemie.
Poprostu zawsze program "pseudowirusa" uruchamia się przed programem, który chcesz uruchomić.
Dosłownie przed każdym programem typu *.exe i przechwytuje główny ekran nad pulpitem.
Wygląda tak, jakby coś blokował, ale tak naprawdę to tego programu poprostu nie ma :) - tylko śmieszne okienko informacje o wykryciu robaków i wirusów.
W rejestrze jest polecenie wciąż uruchamiania przez system operacyjny tej samej całkowicie nieszkodliwej aplikacji :) nawet jak wpiszesz cmd.exe w lini uruchom też wyskoczy "wirus".
Poprostu naprawiasz rejestr, kasujesz apliację i po problemie.
Z
Autor Zaradni.pl
14 lat temu
PS
Ten gad przelazł przez moje antywiry Avirę i McAfee niezauważony a potem obydwa zablokował
Ten gad przelazł przez moje antywiry Avirę i McAfee niezauważony a potem obydwa zablokował
Z
Autor Zaradni.pl
14 lat temu
Opis idealnie zgodny z tym co mi się zdarzyło. Nabrałem się na tego fałszywego antywira. I przeraziłem, kiedy zameldował o 25 ciężkich wirusach na pokładzie. Poradziłem sobie "na piechotę". Na dysku doniosłem instalkę programu TROJAN REMOVER. Pojawił się problem z instalacją, bo ten rzekomy antywir nie pozwalał się otwierać prawdziwym antywirom, w tym rówież nie pozwalał na instalowanie nowego. Na szczęście instalkę dało się odpalić pół minuty przed tym fałszywym antywirem podczas uruchamiania komputera. Potem skanowanie, szarpanina itp. W moim przypadku wirus miał nazwę pliku bre.exe. Wyciągnąłem tego gada na pulpit i jeździłem po nim Trojan Removerem. Po resecie udało się go wyrzucić do kosza i z kosza. Niestety zabrał ze sobą jakieś sterowniki od GG i Skypa. Ale na to też znalazłem sposób http://www.kellys-korner-xp.com/regs_edits/exefix.reg
Trochę trudo walczyć bez przeglądarki, pomogła przyjaciółka. Dziękuję Alu :)
Trochę trudo walczyć bez przeglądarki, pomogła przyjaciółka. Dziękuję Alu :)
C
Autor Zaradni.pl
14 lat temu
>@jdsoul:\n>Wpis w kluczu : "C:\Documents and Settings\Est\Ustawienia lokalne\Dane aplikacji\lga.exe" -a "%1" %*\n> został wykonany przez wirusa w ten sposób że do wpisu "%1" %* dodał część "C:\Documents and Settings\Est\Ustawienia lokalne\Dane aplikacji\lga.exe" -a . Po usunięciu tego wpisu z początku wszystko wraca do normy. Pamiętajcie jednak że wirusy mogą ewoluować- zmieniać nazwy itd. dobrze jest zainstalować sobie na kompie Spybot-SD i zablokować nieautoryzowane próby zmiany rejestru z zewnątrz.\n>\n
Dzieki wielkie i pozdro..... ;)\n
E
Autor Zaradni.pl
14 lat temu
>@jdsoul:\n>Wpis w kluczu : "C:\Documents and Settings\Est\Ustawienia lokalne\Dane aplikacji\lga.exe" -a "%1" %*\n> został wykonany przez wirusa w ten sposób że do wpisu "%1" %* dodał część "C:\Documents and Settings\Est\Ustawienia lokalne\Dane aplikacji\lga.exe" -a . Po usunięciu tego wpisu z początku wszystko wraca do normy. Pamiętajcie jednak że wirusy mogą ewoluować- zmieniać nazwy itd. dobrze jest zainstalować sobie na kompie Spybot-SD i zablokować nieautoryzowane próby zmiany rejestru z zewnątrz.\n>\n
\nO jaaaa jdsoul jesteś wielki, bez Twojej porady pozostałby mi tylko format - a tak wszystkie problemy zniknęły :) Gdybyś mieszkał bliżej Krakowa to chętnie postawiłbym Ci piwo :)\n\nPozdrawiam i raz jeszcze Ogromne DZIĘKI ! :)\n\n
J
Darek Rogowski
14 lat temu
Wpis w kluczu : "C:\Documents and Settings\Est\Ustawienia lokalne\Dane aplikacji\lga.exe" -a "%1" %*
został wykonany przez wirusa w ten sposób że do wpisu "%1" %* dodał część "C:\Documents and Settings\Est\Ustawienia lokalne\Dane aplikacji\lga.exe" -a . Po usunięciu tego wpisu z początku wszystko wraca do normy. Pamiętajcie jednak że wirusy mogą ewoluować- zmieniać nazwy itd. dobrze jest zainstalować sobie na kompie Spybot-SD i zablokować nieautoryzowane próby zmiany rejestru z zewnątrz.
został wykonany przez wirusa w ten sposób że do wpisu "%1" %* dodał część "C:\Documents and Settings\Est\Ustawienia lokalne\Dane aplikacji\lga.exe" -a . Po usunięciu tego wpisu z początku wszystko wraca do normy. Pamiętajcie jednak że wirusy mogą ewoluować- zmieniać nazwy itd. dobrze jest zainstalować sobie na kompie Spybot-SD i zablokować nieautoryzowane próby zmiany rejestru z zewnątrz.
E
Autor Zaradni.pl
14 lat temu
Hi
Właśnie mam problem z uruchamianiem sie aplikacji. Wir usadowił się w:
"C:\Documents and Settings\Est\Ustawienia lokalne\Dane aplikacji\lga.exe" -a "%1" %*
Z tej lokalizacji juz go usunąłem wcześniej ale w rejestrze nadal jest taki wpis w dwóch miejcach:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.exe\shell\open\command\(default)
oraz
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command\(default)
Możecie m podpowiedzieć na jakie wartości mam te wpisy zmienić ?
Dostane zaraz szału bo nie mogę, zadnej aplikacji uruchomić bezpośrednio po kliknieciu na plik .exe, tylko wywala mi sie okienko otwórz za pomocą ...
Prosze o pomoc i z góry dziekuję ;]
Pozdrawiam
Właśnie mam problem z uruchamianiem sie aplikacji. Wir usadowił się w:
"C:\Documents and Settings\Est\Ustawienia lokalne\Dane aplikacji\lga.exe" -a "%1" %*
Z tej lokalizacji juz go usunąłem wcześniej ale w rejestrze nadal jest taki wpis w dwóch miejcach:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.exe\shell\open\command\(default)
oraz
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command\(default)
Możecie m podpowiedzieć na jakie wartości mam te wpisy zmienić ?
Dostane zaraz szału bo nie mogę, zadnej aplikacji uruchomić bezpośrednio po kliknieciu na plik .exe, tylko wywala mi sie okienko otwórz za pomocą ...
Prosze o pomoc i z góry dziekuję ;]
Pozdrawiam