powracający, dziwny plik

Question

Witam ostatnio przeskanowałem komputer za pomocą adw cleanera i wykryło wirusa który siedzi w c/uzytkownicy/appdata/local w pliku o nazwie Geckofx i za każdym razem co go usunę to po restarcie komputera ten plik powstaję na nowo.. ktoś wie o co chodzi ?

Answer 1

https://forums.avg.com/in-en/avg-forums?sec=thread&act=show&id=82163

"geckofx" wirus

http://greatis.com/blog/how-to-remove-malware/remove-geckofx-core-dll.htm

http://www.fixitpc.pl/topic/25836-wirus-your-personal-files-are-encrypted/

https://forum.pcformat.pl/Blad-po-starcie-sytemu-i-problem-z-adwcleaner-t

https://www.bleepingcomputer.com/forums/t/494585/malware-creating-files-in-appdatalocaltemp-hijacking-admin-rights/

Nie wiem, ale możesz sprawdzić jeszcze logi z programu FRST.

https://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/

c/users/appdata/local virus geckofx

https://www.bleepingcomputer.com/forums/t/633965/help-fairly-sure-ive-been-hacked/

Do rozwiązywania takich problemów powinieneś podać logi z programu adwcleaner, ew. FRST lub jakiegoś innego. Co nie zmienia faktu, że ja polecam do tego typu spraw inne forum, a mianowicie:

https://forum.dobreprogramy.pl/c/dla-specjalistow/bezpieczenstwo

https://forum.dobreprogramy.pl/t/raport-obowiazkowy-farbar-recovery-scan-tool/511269

Answer 2

W tym katalogu domyślnie są przechowywane ustawienia aplikacji. Najprawdopodobniej, więc usuwasz jedynie ustawienia aplikacji, a nie program. To, że adw wykrywa ci szkodnika, to nie znaczy, że jest to jakieś szkodliwe oprogramowanie. Przeskanuj komputer antywirusem i jeżeli nie odczuwasz nic złego w żaden sposób to możesz to zostawić.

Comments

Czy mógłbyś podać źródło, w którym pisze, że w katalogu local są przechowywane ustawienia aplikacji, bo chciałbym o tym nieco poczytać?

---

Ogólnie w appdata, bo jest to tzw. special folder. Jest wiele takich specjalnych folderów w systemie windows. Polecam na początek: https://en.wikipedia.org/wiki/Special_folder.

---

Ok, znalazłem odpowiedź, nt. tego:

heros1303 napisał(a):I znalazłem wśród ukrytych plików folder Appdata

Przeciez to folder systemowy, w którym czasem mają ustawienia i foldery różnego rodzaju aplikacje zainstalowane w systemie zostaw go.

ze strony: http://forum.hotfix.pl/systemy-operacyjne/czy-to-jest-wazne-dla-systemu-appdata-t19906.html

Oraz inne pomocne:

http://www.fixitpc.pl/topic/4221-brak-folderu-appdata/

https://forum.dobreprogramy.pl/t/czy-mozna-skasowac-folder-appdata/324652/4

---

Dziwne bo wcześniej nie miałem wirusa ''tu gdzie teraz'', w każdym razie nic nie wykrywało. Ostatnio jedyne co pobierałem to gulp i wtyczki z czym miałem problem ;p Raz co prawda zainstalowałem jakieś demo projektu czy coś to pliki były zielone O_o ale to ich nie otwierałem tylko od razu zamknąłem i przeczyściłem więc nie sądze że to jest to ;d

PS: otworzyłem pliki źródłowe tego folderu(wiem, genialne) :D i większość miejsca w plikach zajmuje ''NUL" a po między nimi można znaleźć ciekawe rzeczy i chyba ten plik jest związany z grą stronghold kingdoms która mam na kompie ;d np. pomiędzy nulami,sohami,stxami i ffami  znalazłem : HTTP:http://newsfeed.cms.fireflyops.com/wp-content/uploads/sites/4/2017/02/pc_vs_mobile_comparison_client-300x200.jpg

oznaczenie na końcu mówi wszystko ; tylko czemu adw cleaner uznał to za wirusa ?

---

http://www.pcworld.pl/news/AdwCleaner-czyscimy-szkodniki,398265.html

Nikt nie jest nieomylny. Programy komputerowe, zapory sieciowe (firewall), czy programy antywirusowe też popełniają błąd i blokują to, czego nie powinny, a zostawiają to, co powinny zablokować, nie wszystko wykryją, a jak coś wykryją to np. wyniknie pomyłka, bo to np. akurat wirusem nie jest.

Plik przed usunięciem trafia do kwarantanny i to od użytkownika zależy, czy go usunąć, czy też nie. Właśnie dlatego, gdyby nastąpiła pomyłka, program pozwala nam wybrać, czy to usunąć, czy też nie. Pozwala na dowiedzenie się, czy to np. virus poprzez zapytanie się innych użytkowników na jakimś forum dyskusyjnym jak np. zrobiłeś to Ty. Kwarantanna jest po to, żeby nie zdarzyło się tak czasem, że np. jakiś program źle zdiagnozował plik i usunąłby coś, co jest potrzebne do prawidłowego działania systemu, czy jakiś składnik jakiejś gry komputerowej, czy jakiegoś pliku, itp.

Edit:
Tutaj na przykład, w tym temacie jest pokazane jak antyvirus się pomylił i zablokował code::blocks'a: https://forum.pasja-informatyki.pl/44447/avast-blokuje-mi-kompilator-w-code-blocks-jak-sie-go-pozbyc

A dlaczego zablokował? Bo miał w swojej bazie danych sygnaturę wirusa i na tej podstawie właśnie.

Podczas skanowania program antywirusowy szuka śladów wirusa za pomocą własnej bazy danych sygnatur wirusów. ... Za każdym razem, gdy zostanie odkryty nowy wirus, producenci oprogramowania antywirusowego rejestrują kody nazywane „sygnaturami” i dodają je do baz danych swojego oprogramowania.

Jak działa program antywirusowy? - Symantec

www.symantec.com/region/pl/resources/antivirus.html

---

Poczytaj sobie o tym jak działają programy antywirusowe.

---

Dzięki, że mnie poprawiłeś, już zedytowałem.

http://forum.komputerswiat.pl/topic/51272-instrukcja-robienia-loga-z-frst/

Polecam przede wszystkim lekturę tego, jakich narzędzi używać do przeanalizowania systemu ze złośliwego oprogramowania:

http://softonet.pl/publikacje/poradniki/ComboFix.FRST.GMER-tworzenie.logow.kiedy.po.co.i.jak.to.robic.dobrze,293

Ja polecam narzędzie FRST. Jeśli nie istnieje taka potrzeba nie instalujcie innych nawet nieinwazyjnych programów. Przede wszystkim odradzam wszystkim instalowanie inwazyjnych programów typu: ComboFix, ponieważ mogą wyrządzić więcej szkód niż pożytku.

Jeśli to tylko możliwe wykonujemy logi tylko i tylko wyłącznie narzędziami nieinwazyjnymi, podkreślam nieinwazyjnymi, takimi którymi nie wyrządzimy szkód w systemie ani nie powprowadzamy żadnych drastycznych zmian w nim lub w jakichś programach. Na dzień dzisiejszy polecam jednak używanie programu: FRST.

Po co robić skan w FRST?