wirus w pliku filescout

[Krzychu58]

Dzień dobry bardzo proszę o pomoc.

Na początek opiszę sytuację może trochę długo, ale chyba to ma znaczenie.
 

 

Do tej pory używałem Opery 20.coś po namowie kolegi zainstalowałem jako druga Operę 12 podobno miała działać lepiej, szybciej niż 20.
Następnie chciałem zainstalować Winampa w wersji 2 coś i nie mmogłem jej nigdzie znaleźć. Dlatego zainstalowalem z jakiejs zagranicznej strony na S. Mimo, że odhaczyłem wszytkie opcje, prawdopodobnie zainstalowało się złośliwe oprogramowanie. W Operze 12 pojawiały się niby okienka z reklamami.

Wykonałem szybkie skanowanie systemu Avastem Free i wykrył wirusa w pliku filescout jak poniżej, ale go  nie usunał.

Odinstalowałem Operę 12 wszytkie możliwe inne zaisntalowane tego dnia programy z Winampem włącznie.

 

Wykonałem skanowanie online na stronie: 

https://www.virustotal.com/pl/file/f98cdb173edd0b11a1a482531f43181c80df8d3f8968858b050cf858347baaed/analysis/1403020583/

 

Podaje wyciąg z listy wyników dla tego konkretnego pliku.

Antywirus Wynik Uaktualnij Symantec WS.Reputation.1 20140617 Avast Win32:Filcout-B [Adw] 20140617 Kingsoft Win32.Troj.Generic.a.(kcloud) 20140617 Microsoft TrojanDownloader:Win32/Filcout.A 20140617 VIPRE Trojan.Win32.Generic!BT 20140617 Baidu-International Trojan.Win32.FileScout.A 20140617 Emsisoft Trojan.GenericKD.1661958 ( 20140617 Ad-Aware Trojan.GenericKD.1661958 20140617 BitDefender Trojan.GenericKD.1661958 20140617 F-Secure Trojan.GenericKD.1661958 20140617 GData Trojan.GenericKD.1661958 20140617 MicroWorld-eScan Trojan.GenericKD.1661958 20140617 nProtect Trojan.GenericKD.1661958 20140617 Ikarus Trojan-Downloader.Win32.Filcout 20140617 Norman Troj_Generic.TYBTF 20140617 TrendMicro TROJ_GEN.R0CBC0DE514 20140617 TrendMicro-HouseCall TROJ_GEN.R0CBC0DE514 20140617 McAfee RDN/Generic Downloader.x!kd 20140617 McAfee-GW-Edition RDN/Generic Downloader.x!kd 20140616 Malwarebytes PUP.Optional.FileScout.A 20140617 Sophos Mal/Generic-S 20140617 AVG Downloader.Generic13.CCEX 20140617 AntiVir Adware/Filcout.U 20140617 ESET-NOD32 a variant of Win32/FileScout.A 20140617 AegisLab   20140617

Odinstalowałem Avasta i zainstalowałem Norton Internet Security na 3 miesiące i przeskanowałem ten katalog ponownie.
Program pomija pliki w katalogu i nie wykonuje skanowania, i nie wykrywa zagrożeń.

Posiadam Laptop z Windowsem 8 64 bit

Nie instalowałem oprogramowania emulującego. Jak tylko zrobię logi, to je dopiszę.


Edit 21:32===============
Podejrzany plik znajduje się w katalogu: C:\Users\Krzysiek\AppData\Roaming\File Scout

Załączam log z FRST (jest tam tez nowa opcja scan registry)

 

Edit 7:43============

Dodaje logi z OTL (strasznie długo to wszystko trwa więc następne jak znajdę chwilę.

 

 

Edit 19:27==========

 

Nie wykryto sterownika S.....

Uruchomiłem Gmer w najnowszej wersji z podanej strony.

Podczas prescanu Gmer wyświetlił kilka wyników oraz komunikat że nie może uzyskać dostępu do procesu config system bo jest uzywany.

 

Wykonałem skanowanie z zaznaczonymi wszytkimi opcjami oprocz I/O Trace oraz z zaznaczoną opcją Quick scan.

Po wykonanym skanie ponownie pojawił się komunikat o braku dostepu do cofig system oraz do pliku (czy procesu)  chyba o nazwie ntuser.

Załączam log:

 

 

 

GMER 2.1.19357 - http://www.gmer.net

Rootkit scan 2014-06-18 19:26:46

Windows 6.2.9200  x64 \Device\Harddisk0\DR0 -> \Device\00000027 ST500LM012_HN-M500MBB rev.2AR10002 465,76GB

Running: 6gdxfxlz.exe; Driver: C:\Users\Krzysiek\AppData\Local\Temp\kwryipob.sys

 

 

---- User code sections - GMER 2.1 ----

 

.text    C:\Windows\system32\atiesrxx.exe[920] C:\Windows\system32\PSAPI.DLL!GetProcessImageFileNameA + 306                                                          000007ffdd5d177a 4 bytes [5D, DD, FF, 07]

.text    C:\Windows\system32\atiesrxx.exe[920] C:\Windows\system32\PSAPI.DLL!GetProcessImageFileNameA + 314                                                          000007ffdd5d1782 4 bytes [5D, DD, FF, 07]

?        C:\Windows\SYSTEM32\BsHelpCSps.dll [616] entry point in ".data" section                                                                                     0000000010005055

.text    C:\Program Files (x86)\Hewlett-Packard\HP Connected Remote\HPConnectedRemoteService.exe[3032] C:\Windows\system32\psapi.dll!GetProcessImageFileNameA + 306  000007ffdd5d177a 4 bytes [5D, DD, FF, 07]

.text    C:\Program Files (x86)\Hewlett-Packard\HP Connected Remote\HPConnectedRemoteService.exe[3032] C:\Windows\system32\psapi.dll!GetProcessImageFileNameA + 314  000007ffdd5d1782 4 bytes [5D, DD, FF, 07]

.text    C:\Program Files (x86)\Realtek\Realtek PCIE Card Reader\RIconMan.exe[2396] C:\Windows\SYSTEM32\MSIMG32.dll!GradientFill + 690                               000007ffd41e1532 4 bytes [1E, D4, FF, 07]

.text    C:\Program Files (x86)\Realtek\Realtek PCIE Card Reader\RIconMan.exe[2396] C:\Windows\SYSTEM32\MSIMG32.dll!GradientFill + 698                               000007ffd41e153a 4 bytes [1E, D4, FF, 07]

.text    C:\Program Files (x86)\Realtek\Realtek PCIE Card Reader\RIconMan.exe[2396] C:\Windows\SYSTEM32\MSIMG32.dll!TransparentBlt + 246                             000007ffd41e165a 4 bytes [1E, D4, FF, 07]

.text    C:\Program Files\Synaptics\SynTP\SynTPEnh.exe[3980] C:\Windows\system32\PSAPI.DLL!GetProcessImageFileNameA + 306                                            000007ffdd5d177a 4 bytes [5D, DD, FF, 07]

.text    C:\Program Files\Synaptics\SynTP\SynTPEnh.exe[3980] C:\Windows\system32\PSAPI.DLL!GetProcessImageFileNameA + 314                                            000007ffdd5d1782 4 bytes [5D, DD, FF, 07]

.text    C:\Windows\system32\atieclxx.exe[3564] C:\Windows\system32\PSAPI.DLL!GetProcessImageFileNameA + 306                                                         000007ffdd5d177a 4 bytes [5D, DD, FF, 07]

.text    C:\Windows\system32\atieclxx.exe[3564] C:\Windows\system32\PSAPI.DLL!GetProcessImageFileNameA + 314                                                         000007ffdd5d1782 4 bytes [5D, DD, FF, 07]

.text    C:\Windows\system32\atieclxx.exe[3564] C:\Windows\system32\WSOCK32.dll!recvfrom + 742                                                                       000007ffdab01b32 4 bytes [b0, DA, FF, 07]

.text    C:\Windows\system32\atieclxx.exe[3564] C:\Windows\system32\WSOCK32.dll!recvfrom + 750                                                                       000007ffdab01b3a 4 bytes [b0, DA, FF, 07]

.text    C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPHELPER.EXE[6772] C:\Windows\system32\PSAPI.DLL!GetProcessImageFileNameA + 306                                         000007ffdd5d177a 4 bytes [5D, DD, FF, 07]

.text    C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPHELPER.EXE[6772] C:\Windows\system32\PSAPI.DLL!GetProcessImageFileNameA + 314                                         000007ffdd5d1782 4 bytes [5D, DD, FF, 07]

?        C:\Windows\SYSTEM32\BsHelpCSps.dll [6364] entry point in ".data" section                                                                                    0000000003d25055

?        C:\Windows\SYSTEM32\BlueSoleilCSps.dll [6364] entry point in ".rdata" section                                                                               0000000004584085

 

---- Threads - GMER 2.1 ----

 

Thread   C:\Windows\SYSTEM32\ntdll.dll [2056:2060]                                                                                                                   0000000000cc1c24

Thread   C:\Windows\SYSTEM32\ntdll.dll [2056:5096]                                                                                                                   0000000066012c6b

Thread   C:\Windows\SYSTEM32\ntdll.dll [2056:3912]                                                                                                                   000000006a7ae54e

Thread   C:\Windows\SYSTEM32\ntdll.dll [2056:3616]                                                                                                                   000000006911319b

Thread   C:\Windows\SYSTEM32\ntdll.dll [2056:1236]                                                                                                                   000000006e1716dc

Thread   C:\Windows\SYSTEM32\ntdll.dll [2056:440]                                                                                                                    000000006b9d2238

Thread   C:\Windows\SYSTEM32\ntdll.dll [2056:3808]                                                                                                                   000000006b9d2238

Thread   C:\Windows\SYSTEM32\ntdll.dll [2056:2740]                                                                                                                   000000006b9d2238

Thread   C:\Windows\SYSTEM32\ntdll.dll [2056:5688]                                                                                                                   000000006e298f59

Thread   C:\Windows\SYSTEM32\ntdll.dll [2056:4236]                                                                                                                   000000006e214b0d

Thread   C:\Windows\system32\csrss.exe [4988:5348]                                                                                                                   fffff960009b45e8

Thread   C:\Windows\SYSTEM32\ntdll.dll [2304:4104]                                                                                                                   0000000000cc1c24

Thread   C:\Windows\SYSTEM32\ntdll.dll [2304:48]                                                                                                                     0000000074644053

---- Processes - GMER 2.1 ----

 

Library  C:\Users\Krzysiek\AppData\Roaming\GG\ggdrive\ggdrive-menu.dll (*** suspicious ***) @ C:\Windows\Explorer.EXE [668] (GG drive menu/GG Network S.A.)          0000000012c30000

 

---- Disk sectors - GMER 2.1 ----

 

Disk     \Device\Harddisk0\DR0                                                                                                                                       unknown MBR code

 

---- EOF - GMER 2.1 ----

 

Addition.txt

FRST.txt

Shortcut.txt

Extras.Txt

OTL.Txt

[Stigmat]

Dodaj pozostałe obowiązkowe logi z OTL (+Extras) oraz Gmer. Instrukcje w 'Przyklejonych'

[Krzychu58]

Logi dodane,ale  boje sie używać komputera, a jest mi potrzebny.. Nie wiem czy komuś nie sprzedam jakiegoś wirusa.

[jessica]

@Picasso teraz pomaga tylko 2-3 razy w miesiącu, czyli średnio co 12 dni.

Do czasu uzyskania od Niej konkretnej pomocy, możesz zrobić przynajmniej to:

 

1) Użyj >Adw-cleaner
najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner\AdwCleaner.txt

 

2) Otwórz Notatnik i wklej w nim:

 

AppInit_DLLs: c:\progra~3\bitguard\271769~1.27\{c16c1~1\loader.dll => c:\progra~3\bitguard\271769~1.27\{c16c1~1\loader.dll File Not Found
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://start.qone8.com/?type=hp&ts=1382912944&from=cor&uid=ST500LM012XHN-M500MBB_S2SVJ9CCB27503
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.qone8.com/?type=hp&ts=1382912944&from=cor&uid=ST500LM012XHN-M500MBB_S2SVJ9CCB27503
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://start.qone8.com/?type=sc&ts=1382912944&from=cor&uid=ST500LM012XHN-M500MBB_S2SVJ9CCB27503
SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://start.qone8.com/web/?type=ds&ts=1382912944&from=cor&uid=ST500LM012XHN-M500MBB_S2SVJ9CCB27503&q={searchTerms}
SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://start.qone8.com/web/?type=ds&ts=1382912944&from=cor&uid=ST500LM012XHN-M500MBB_S2SVJ9CCB27503&q={searchTerms}
SearchScopes: HKLM-x32 - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://start.qone8.com/web/?type=ds&ts=1382912944&from=cor&uid=ST500LM012XHN-M500MBB_S2SVJ9CCB27503&q={searchTerms}
SearchScopes: HKLM-x32 - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://start.qone8.com/web/?type=ds&ts=1382912944&from=cor&uid=ST500LM012XHN-M500MBB_S2SVJ9CCB27503&q={searchTerms}
SearchScopes: HKCU - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://start.qone8.com/web/?type=ds&ts=1382912944&from=cor&uid=ST500LM012XHN-M500MBB_S2SVJ9CCB27503&q={searchTerms}
SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www2.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=7A86F4B7E204E8F1&affID=119357&tsp=5006
SearchScopes: HKCU - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://start.qone8.com/web/?type=ds&ts=1382912944&from=cor&uid=ST500LM012XHN-M500MBB_S2SVJ9CCB27503&q={searchTerms}
Toolbar: HKLM - No Name - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} -  No File
R1 {f64c1459-b911-4fd8-a74e-36a496bf26e3}w64; C:\Windows\System32\drivers\{f64c1459-b911-4fd8-a74e-36a496bf26e3}w64.sys [61112 2014-06-05] (StdLib)
S3 GPU-Z; \??\C:\Users\Krzysiek\AppData\Local\Temp\GPU-Z.sys [X]
S3 huawei_cdcacm; \SystemRoot\system32\DRIVERS\ew_jucdcacm.sys [X]
S3 huawei_enumerator; \SystemRoot\System32\drivers\ew_jubusenum.sys [X]
S3 huawei_ext_ctrl; \SystemRoot\System32\drivers\ew_juextctrl.sys [X]
S3 huawei_wwanecm; \SystemRoot\system32\DRIVERS\ew_juwwanecm.sys [X]
C:\Windows\system32\Drivers\{f64c1459-b911-4fd8-a74e-36a496bf26e3}w64.sys
C:\Users\Krzysiek\AppData\Local\Temp\ggdrive-menu.exe
C:\Users\Krzysiek\AppData\Local\Temp\ggdrive-overlay.exe
C:\Users\Krzysiek\AppData\Local\Temp\installstats.exe
C:\Users\Krzysiek\AppData\Roaming\dlg
C:\Users\Krzysiek\AppData\Roaming\File Scout
C:\Users\Krzysiek\AppData\Roaming\Babylon
ShortcutWithArgument: C:\Users\Krzysiek\Desktop\Search.lnk -> C:\ProgramData\DSearchLink\DSearchLink.exe () -> -url hxxp://www2.delta-search.com/?babsrc=DT_ss&mntrId=7A86F4B7E204E8F1&affID=119357&tsp=5006 -wbr 1
ShortcutWithArgument: C:\Users\Krzysiek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://start.qone8.com/?type=sc&ts=1382912944&from=cor&uid=ST500LM012XHN-M500MBB_S2SVJ9CCB27503
Reboot:

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Daj ten log.

 

3) Zrób nowe logi z FRST.

 

jessi

[Krzychu58]

Po co mam tę Omige wszedzie ustawiać?

[jessica]

Po co mam tę Omige wszedzie ustawiać?

nie rozumiem pytania ...

 

jessi

[Krzychu58]

Co robi ten skrypt?

i dlaczego jest tam fragment

HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.qone8.c..._S2SVJ9CCB27503

 

 

?

[jessica]

Co robi ten skrypt?

i dlaczego jest tam fragment

 

?

Skrypt usuwa pliki, usługi, klucze, które są na nim napisane.

 

"start.qone8.com" - to szkodliwa strona, więc oczywiście jest do usunięcia.

 

jessi

[Krzychu58]

załączam skan ADW przed usunięciem czegokolwiek. Czy na pewno wszystko tam jest do usunięcia?

AdwCleanerR1.txt

[Rucek]

dostałeś odpowiedź na pytanie - wykonaj proszę polecenia, po kolei, tak jak masz napisane i dopiero wtedy się zgłoś

[Krzychu58]

Dzięki. Zrobiłem oczywiście po kolei. 
Logi

AdwCleanerS0.txt

Addition.txt

Fixlog.txt

FRST.txt

Shortcut.txt

[jessica]

Wg mnie - jest już OK.

Oczywiście może jeszcze tu zajrzy @Picasso, ale nie wiem kiedy.

 

jessi

[Krzychu58]

Zdaje sie, ze podejrzany plik po prostu zniknął. Mam nadzieje, że już będzie w porządku. Dziękuję

Ale Norton zniknął. dokładnie to zostały jakieś resztki nie działające. Przeinstalowałem go.

[Krzychu58]

Coś złego się dzieje! Norton znowu znikną! 
Na liście programów w panelu sterowania pojawia się, ale narzędzie Symanteca nie wykrywa zainstalowanych programów i Norton nie uruchamia się przy starcie sytemurecznie też nie sposób uruchomić!