PUM.UserWLoad - problem

[sznurek]

Tak jak w temacie zwie sie ten typ. Po dwukrotnym przeskanowaniu Malwarebytes Anti-Malware nie byl w stanie go usunac. Najprawdopodobniej wznawia sie po restarcie, ktorego wymaga MBAM. Na podstawie danych z zakladki "kwarantanna" MBAM-u:

Kategoria: Registry Value

Obiekt: HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|Load

 

Infekcja zapewne nastapila przez luki w Javie skutecznie wsparte przez moja nieostroznosc.

Poza potencjalnymi niesprecyzowanymi zagrozeniami szkodnik ten zdaje sie dosc widocznie spowalniac dzialanie komputera.

 

Ponizej raport securitycheck oraz pliki z OTLa

 

 

Results of screen317's Security Check version 0.99.54

Windows 7 Service Pack 1 x64

Internet Explorer 9

``````````````Antivirus/Firewall Check:``````````````

McAfee Anti-Virus i McAfee Anti-Spyware

AntiVir Desktop

Antivirus out of date!

`````````Anti-malware/Other Utilities Check:`````````

Malwarebytes Anti-Malware wersja 1.65.1.1000

CCleaner

Java 6 Update 22

Java version out of Date!

Adobe Reader 9 Adobe Reader out of Date!

Mozilla Firefox (3.6.13) Firefox out of Date!

````````Process Check: objlist.exe by Laurent````````

Avira Antivir avgnt.exe

Avira Antivir avguard.exe

Symantec Norton Online Backup NOBuAgent.exe

`````````````````System Health check`````````````````

Total Fragmentation on Drive C:

````````````````````End of Log``````````````````````

 

 

 

Dziekuje za wszelka pomoc.

OTL.Txt

Extras.Txt

[Landuss]

System jest zainfekowane według logów.

 

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O4 - HKLM..\Run: [KunoLabs] C:\Users\Dom\AppData\Roaming\KunoLabs\knlbs.exe (TrueCrypt Foundation)
O4 - HKLM..\Run: [WinServiceUpdate] C:\Users\Dom\msjssc.exe ()
O4 - HKU\S-1-5-21-4187990256-1465665935-2649587895-1000..\Run: [KunoLabs] C:\Users\Dom\AppData\Roaming\KunoLabs\knlbs.exe (TrueCrypt Foundation)
O4 - HKU\S-1-5-21-4187990256-1465665935-2649587895-1000..\Run: [WinServiceUpdate] C:\Users\Dom\msjssc.exe ()
O4 - Startup: C:\Users\Dom\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\knlbs.exe (TrueCrypt Foundation)
F3:64bit: - HKU\S-1-5-21-4187990256-1465665935-2649587895-1000 WinNT: Load - (C:\Users\Dom\LOCALS~1\Temp\mschmxzou.exe) -  File not found
F3 - HKU\S-1-5-21-4187990256-1465665935-2649587895-1000 WinNT: Load - (C:\Users\Dom\LOCALS~1\Temp\mschmxzou.exe) -  File not found
 
:Files
C:\Users\Dom\AppData\Roaming\KunoLabs
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

[sznurek]

Zrobione.

OTL.Txt

[Landuss]

Niestety musisz wykonać kolejny skrypt o takiej treści:

 

:OTL
O4 - HKU\S-1-5-21-4187990256-1465665935-2649587895-1000..\Run: [WinServiceUpdate] C:\Users\Dom\msjssc.exe File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: KunoLabs = C:\Users\Dom\AppData\Roaming\KunoLabs\knlbs.exe
 
:Files
C:\Users\Dom\AppData\Roaming\KunoLabs
 
:Commands
[reboot]

 

Nowy log do oceny ze skanowania.

[sznurek]

Zrobione.

Po restarcie pojawily sie na pulpicie 2 pliki desktop.ini

OTL.Txt

[Landuss]

Te pliki na pulpicie miałeś zawsze tylko były ukryte. OTL przestawia opcje widoku dlatego ujrzałeś pliki. Możesz to ponownie zmienić w panelu sterowania w opcjach widoku.

 

Jeśli chodzi o infekcję została usunięta, możesz przejść do zadań końcowych.

 

1. Użyj opcji Sprzątanie z OTL.

 

2. Opróżnij przywracanie systemu: KLIK

 

3. Zaktualizuj wymienione programy do najnowszych wersji:

 

"{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 22

"{AC76BA86-7AD7-FFFF-7B44-A91000000001}" = Adobe Reader 9.5.2 MUI

"Mozilla Firefox (3.6.13)" = Mozilla Firefox (3.6.13)

 

Szczegóły aktualizacyjne: KLIK