Problem z usunięciem trojanów

[darek90]

Już kilka dni skanuję komputer Malwarebytes Anti-Malware i cały czas mam takie coś (daję raport tylko z folderu , w którym są wirusy) :

http://imagizer.imageshack.us/a/img827/6073/n4c6.png

Gdy usunę te pliki i zrestartuję system to znowu się pojawiają , tak jakby od nowa.

Proszę o pomoc w usunięciu ich.

System: Windows 8.1 64-bit

Addition.txt

Extras.Txt

FRST.txt

OTL.Txt

Shortcut.txt

[picasso]

MBAM wykrywa składniki Bitcoin Minera w katalogu tymczasowym. To nie są wszystkie jego składniki, stąd usuwanie niepomyślne, ten miner uruchamia się przez Harmonogram zadań. Do wdrożenia następująca operacja:

 

1. Otwórz Notatnik i wklej w nim:

 

() C:\Windows\Temp\svchost.exe
Task: {8524FD40-C7C9-410C-93C3-C8753334C2A0} - System32\Tasks\Origin => C:\Users\DarekW\AppData\Roaming\Origin\update.vbe [2014-04-05] () 
C:\Users\DarekW\AppData\Roaming\Origin\update.vbe
HKLM\...\Run: [] - [X]
HKLM-x32\...\Run: [fst_pl_81] - [X]
HKLM\...\Policies\Explorer: [NoControlPanel] 0
S3 GPU-Z; \??\C:\Users\DarekW\AppData\Local\Temp\GPU-Z.sys [X]
GroupPolicy: Group Policy on Chrome detected 
StartMenuInternet: IEXPLORE.EXE - iexplore.exe
SearchScopes: HKCU - {5348BE2E-5B3A-4F26-98AF-A7FBDB67F2CA} URL =
Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {5348BE2E-5B3A-4F26-98AF-A7FBDB67F2CA} /f
Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {5348BE2E-5B3A-4F26-98AF-A7FBDB67F2CA} /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reboot:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Uruchom TFC - Temp Cleaner.

 

3. Uruchom narzędzie Fix-it restujące plik HOSTS: KLIK.

 

4. Zrób nowy skan FRST, zaznacz ponownie pole Addition, by powstały dwa raporty. Dołącz też plik fixlog.txt oraz logi z folderu C:\AdwCleaner (był używany).

 

 

 

.

[darek90]

Po uruchomieniu narzędzia z pkt 3 mam taki błąd :

http://imagizer.imageshack.us/a/img198/1936/wt1v.png

Da się to zrobić jakoś inaczej ,czy ja popełniłem jakiś błąd ?

[picasso]

Prawdopodobnie Fix-it nie jest kompatybilny z Windows 8.1 (artykuł wymienia jednak Windows 8).

 

1. Prawoklik na plik Fix-it > wejdź do karty Zgodność > sprawdź czy się da ustawić Windows 8 lub Windows 7. Jeśli tak, uruchom ponownie Fix.

 

2. Jeśli nie, zrób ręczną edycję. Z prawokliku na C:\Windows\notepad.exe wybierz Uruchom jako Administrator. W Notatniku otwórz plik C:\Windows\system32\drivers\etc\hosts i z pliku wytnij tę linię:

 

54.204.28.26 nikdaiaidiiiogaidkkekcmokcgcdeac

 

Zapisz zmiany w pliku.

 

 

.

[darek90]

Odpaliłem w trybie zgodności z ostatnią wersją systemu i zadziałało

 

AdwCleanerR0.txt

AdwCleanerR1.txt

AdwCleanerR2.txt

AdwCleanerR3.txt

AdwCleanerS0.txt

AdwCleanerS1.txt

AdwCleanerS2.txt

AdwCleanerS3.txt

Addition.txt

Fixlog.txt

FRST.txt

[picasso]

Ten Fix-it niestety nie wykonał poprawnie zadania, nie zdołał pliku skorygować i plik został usunięty, co skutkuje teraz błędami:

Hosts: Hosts file not detected in the default directory

System errors:
=============
Error: (04/12/2014 08:58:27 PM) (Source: Microsoft-Windows-DNS-Client) (User: ZARZĄDZANIE NT)
Description: Wystąpił błąd podczas próby odczytu lokalnego pliku hosts.

1. Włącz pokazywanie rozszerzeń: w Opcje folderów i wyszukiwania > Widok > odznacz Ukrywaj rozszerzenia znanych typów. Z prawokliku na C:\Windows\notepad.exe wybierz Uruchom jako Administrator. W Notatniku wklej:

#    127.0.0.1       localhost
#    ::1             localhost

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz pod nazwą hosts bez żadnego rozszerzenia

Plik ma być zapisany w folderze C:\Windows\system32\drivers\etc.

2. Zrób nowy log FRST, zaznacz pole Addition i tylko ten log Addition mi dostarcz do weryfikacji.



.

[darek90]

Nie udało mi się tego zrobić przez notatnik, bo cały czas zapisywało z rozszerzeniem .txt. W folderze etc był plik hosts.old , edytowałem i usunąłem linijkę :

54.204.28.26 nikdaiaidiiiogaidkkekcmokcgcdeac

i zapisałem jako hosts (usunąłem rozszerzenie .old)

Addition.txt

[picasso]

Na przyszłość: wystarczyło ręcznie usunąć rozszerzenie.txt. A ten edytowany host.old to była kopia utworzona przez narzędzie Fix-it. OK, zadanie wykonane. Finalizujemy czyszczenie:

 

1. Usuń używane narzędzia za pomocą DelFix.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Zaktualizuj pakiet Microsoft Office Professional Plus 2010 (instalacje pakietów SP).

 

 

 

.

[darek90]

Dziękuję za pomoc  Daję log delfix.txt ,bo pod linkiem pisało ,żeby zaprezentować na forum.

 

# DelFix v10.6 - Logfile created 15/04/2014 at 16:11:58

# Updated 11/11/2013 by Xplode

# Username : DarekW - DAREK

# Operating System : Windows 8.1  (64 bits)

 

~ Removing disinfection tools ...

 

Deleted : C:\FRST

Deleted : C:\AdwCleaner

Deleted : C:\Users\DarekW\Desktop\Addition.txt

Deleted : C:\Users\DarekW\Downloads\FRST.txt

Deleted : C:\Users\DarekW\Downloads\FRST64.exe

Deleted : C:\Users\DarekW\Downloads\OTL.exe

Deleted : C:\Users\DarekW\Downloads\TFC.exe

Deleted : HKLM\SOFTWARE\OldTimer Tools

Deleted : HKLM\SOFTWARE\AdwCleaner

 

########## - EOF - ##########

[picasso]

OK, wygląda na to, że akcja wykonana. Gdyby jeszcze jakiś log się gdzieś zaplątał, dokasuj ręcznie.

 

Temat rozwiązany. Zamykam.