Podczas ładowania profilu użytkownika uruchamiany jest podejrzany proces

[Xever]

Proces:

"C:\Windows\System32\WScript.exe" "C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Host Process for Windows Tasks.vbs"

który z kolei ładuje

cmd /c ""C:\Users\user\AppData\Roaming\W1NRAR\svchost.bat" "

aby wreszcie spóbować załadować

svchost.exe

który na szczęście nie jest ładowany z bieżącego katalogu, a z katalogu systemowego.

Według mnie to jest bardzo podejrzane.

 

Windows 7 Ultimate x64

 

log OTL: http://wklej.org/id/1115037/txt/

 

log EXTRAS: http://wklej.org/id/1115038/txt/

[picasso]

To owszem jest infekcja. Przeprowadź następujące działania:

 

1. Przez Panel sterowania odinstaluj pozycje SafeSaver 1.74, Yontoo 1.10.03, Update for Ultimate Codec, Ultimate Codec Packages.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Host Process for Windows Tasks.vbs
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ssafe saveu
C:\ProgramData\APN
C:\ProgramData\AskPartnerNetwork
C:\Program Files (x86)\AskPartnerNetwork
C:\Users\user\AppData\Roaming\W1NRAR
C:\Users\user\AppData\Roaming\DSite
C:\Users\user\AppData\Roaming\Babylon
C:\Users\user\AppData\Roaming\*.exe
C:\Users\user\AppData\Roaming\*.dll
C:\Users\user\Documents\APNSetup.exe
C:\Windows\tasks\DSite.job
 
:OTL
O20:64bit: - HKLM Winlogon: UserInit - (C:\Windows\system32\MSDCSC\msdcsc.exe) - File not found
IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.qvo6.com/?utm_source=b&utm_medium=ild&from=ild&uid=WDCXWD15EVDS-73V9B0_WD-WMAVU251404714047&ts=1371283328
IE:64bit: - HKLM\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = http://search.qvo6.com/web/?utm_source=b&utm_medium=ild&from=ild&uid=WDCXWD15EVDS-73V9B0_WD-WMAVU251404714047&ts=0
IE - HKLM\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = http://search.qvo6.com/web/?utm_source=b&utm_medium=ild&from=ild&uid=WDCXWD15EVDS-73V9B0_WD-WMAVU251404714047&ts=0
IE - HKLM\..\SearchScopes\{BB74DE59-BC4C-4172-9AC4-73315F71CFFE}: "URL" = http://websearch.homesearch-hub.info/?l=1&q={searchTerms}&pid=658&r=2013/06/14&hid=606344816&lg=EN&cc=PL&unqvl=20
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www1.delta-search.com/?babsrc=HP_ss&mntrId=E2CD902B34CA732A&affID=119357&tsp=4948
IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://www1.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=E2CD902B34CA732A&affID=119357&tsp=4948
IE - HKCU\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = http://search.qvo6.com/web/?utm_source=b&utm_medium=ild&from=ild&uid=WDCXWD15EVDS-73V9B0_WD-WMAVU251404714047&ts=0
IE - HKCU\..\SearchScopes\{BB74DE59-BC4C-4172-9AC4-73315F71CFFE}: "URL" = http://websearch.homesearch-hub.info/?l=1&q={searchTerms}&pid=658&r=2013/06/14&hid=606344816&lg=EN&cc=PL&unqvl=20
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: C:\Program Files (x86)\Microsoft Silverlight\5.1.20125.0\npctrl.dll File not found
FF - HKLM\Software\MozillaPlugins\@pandonetworks.com/PandoWebPlugin: C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll File not found
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu. W katalogu C:\_OTL powstanie log z wynikami usuwania.

 

3. Uruchom AdwCleaner i zastosuj Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania.

 

4. Zrób nowe logi: OTL z opcji Skanuj (już bez Extras) + FRST (ma powstać plik Addition). Dołącz log z usuwania OTL z punktu 2 oraz log utworzony przez AdwCleaner.

 

 

 

.