Zainfekowane pliki exe

[nanus]

witam

system x64 przeskanowany mbam-em

 

rozumiem że pliki oznaczone gwiazdką są nadal zarażone?

mbam-log-2014-02-09 (20-13-05).txt

Addition.txt

FRST.txt

Extras.Txt

OTL.Txt

[picasso]

rozumiem że pliki oznaczone gwiazdką są nadal zarażone?

Skądże znowu. Ta gwiazdka jest normalnym oznakowaniem Windows 64-bit. Marker *32 oznacza, że uruchomiony proces jest 32-bitowy, reszta procesów jest natywnie 64-bitowa. System 64-bit ma podwójną budowę: część 64-bitową (C:\Program files + C:\Windows\system32) oraz część 32-bitową (C:\Program files (x86) + C:\Windows\SysWOW64). Wszystko jest naturalne i nie ma żadnego związku z problemami infekcji:

 

Co do usuwania MBAM: no cóż, nie poradzę na to nic, że tak zaplanowano usuwanie, ale to nie była poprawna metoda. MBAM wykrył adware, które było w postaci normalnie zainstalowanych programów. Te programy należało w poprawny sposób odinstalować, a dopiero po tym zastosować skan MBAM. Odwrotna kolejność może skutkować efektami ubocznymi i pozostawieniem sporej części adware w systemie. Adware nabawiłeś się z portali pobierania oprogramowania oraz samych instalatorów programów, o czym bez wątpienia świadczą te pliki wykryte przez MBAM:

 

C:\Users\PC\Downloads\DTLite4481-0347_www.INSTALKI.pl.exe (PUP.Optional.OpenCandy) -> Nie wykonano akcji.

C:\Users\PC\Downloads\rcp_dcomnew_sec_728.exe (PUP.Optional.RegCleanPro) -> Nie wykonano akcji.

C:\Users\PC\Downloads\Setup.exe (PUP.Optional.InstallCore.A) -> Nie wykonano akcji.

C:\Users\PC\Downloads\SoftonicDownloader_dla_battlefield-2.exe

 

By uniknąć takich niespodzianek do analizy cały ten materiał: KLIK. A do instalatora SpyHunter nie przymierzaj się, to wątpliwy program.

 

 

---

I mamy tu jeszcze co robić, obiekty adware są niedoczyszczone. Przeprowadź następujące działania:

 

1. Otwórz Notatnik i wklej w nim:

 

Task: {7125183B-A72B-4986-843F-2AFC62715B3D} - System32\Tasks\bench-sys => C:\Program Files (x86)\Bench\Updater\updater.exe 
Task: {8C3CADFE-A4C3-49D5-9805-3499C1EEDF4C} - System32\Tasks\bench-S-1-5-21-3095105249-3572350851-1959410620-1000 => C:\Program Files (x86)\Bench\Updater\updater.exe 
HKLM-x32\...\Run: [] - [X]
HKLM-x32\...\Run: [fst_pl_46] - [X]
GroupPolicy: Group Policy on Chrome detected 
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.awesomehp.com/web/?type=ds&ts=1391936305&from=tt4u&uid=HitachiXHTS547575A9E384_J2190054D34UYDD34UYDX&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.awesomehp.com/web/?type=ds&ts=1391936305&from=tt4u&uid=HitachiXHTS547575A9E384_J2190054D34UYDD34UYDX&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.awesomehp.com/web/?type=ds&ts=1391936305&from=tt4u&uid=HitachiXHTS547575A9E384_J2190054D34UYDD34UYDX&q={searchTerms}
StartMenuInternet: IEXPLORE.EXE - iexplore.exe
SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.awesomehp.com/web/?type=ds&ts=1391936305&from=tt4u&uid=HitachiXHTS547575A9E384_J2190054D34UYDD34UYDX&q={searchTerms}
SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.awesomehp.com/web/?type=ds&ts=1391936305&from=tt4u&uid=HitachiXHTS547575A9E384_J2190054D34UYDD34UYDX&q={searchTerms}
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\44980106.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\62772973.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\44980106.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\62772973.sys => ""="Driver"
C:\Program Files (x86)\Bench
C:\Program Files (x86)\predm
C:\ProgramData\WPM
C:\Users\PC\AppData\Roaming\systweak
C:\Users\PC\Downloads\Niepotwierdzony 739467.crdownload
C:\Users\PC\Downloads\SpyHunter-Installer.exe
C:\Windows\system32\roboot64.exe

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania.

 

3. Uruchom Shortcut Cleaner. Powstanie log C:\sc-cleaner.txt.

 

4. Zrób nowy skan FRST (bez Addition). Dołącz też pliki: fixlog.txt, sc-cleaner.txt i log z AdwCleaner.

 

 

.

[nanus]

dziękuje za odpowiedź

 

logi:

Fixlog.txt

sc-cleaner.txt

AdwCleanerS0.txt

[picasso]

Zapomniałeś zrobić nowy skan i dodać log wynikowy:

 

4. Zrób nowy skan FRST (bez Addition).

 

.