Craszujący się flashplayer, dziwne procesy

[Pepsi]

Witam,

Niestety pobrałem z internetu zainfekowane pliki które zaczęły bałaganić w moim komputerze

qpqpufaqwil.exe to jest jeden z proseców który widziałem w menadżerze zadań, hemxccape.exe to drugi z tych procesów.

Używałem malwarebytes anti-malware niestety kilka razy już znalazł te pliki zainfekowane niestety nie usunął ich ze skutkiem

 

Wrzucam wszystkie logi i liczę na waszą pomoc

Addition.txt

FRST.txt

Shortcut.txt

gmer.txt

OTL.Txt

Extras.Txt

[picasso]

Widzę kilka niepożądanych obiektów w starcie. Przeprowadź następujące działania:

 

1. Otwórz Notatnik i wklej w nim:

 

() C:\Users\abc\AppData\Roaming\winvap.exe
() C:\Users\abc\AppData\Roaming\nvidiadisp\nvidiadisp.exe
() C:\Users\abc\AppData\Roaming\c4sysmgr.exe
HKU\S-1-5-21-2069616815-3132189673-721496042-1000\...\Run: [Display] => C:\Users\abc\AppData\Roaming\c4sysmgr.exe [129536 2014-09-02] ()
HKU\S-1-5-21-2069616815-3132189673-721496042-1000\...\Run: [Drivers] => C:\Users\abc\AppData\Roaming\c4sysmgr.exe [129536 2014-09-02] ()
HKU\S-1-5-21-2069616815-3132189673-721496042-1000\...\Run: [svchost] => C:\ProgramData\svchost\hemxccape.exe [38182400 2014-09-02] ()
HKU\S-1-5-21-2069616815-3132189673-721496042-1000\...\RunOnce: [svchost] => C:\ProgramData\svchost\hemxccape.exe [38182400 2014-09-02] ()
BootExecute: autocheck autochk * sdnclean64.exe
Task: {868574EF-5E4C-4600-9CF3-48833F598B0A} - \DealPly No Task File 
Task: {DF5EDB52-4131-410A-AABB-646BBF3548EF} - \Desk 365 RunAsStdUser No Task File 
StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe
FF Plugin-x32: @real.com/nppl3260;version=6.0.11.2852 -> C:\Program Files (x86)\McFunSoft Video Capture Convert Burn Solution\codec\real\browser\plugins\nppl3260.dll No File
FF Plugin-x32: @real.com/nppl3260;version=6.0.12.46 -> C:\Program Files (x86)\McFunSoft Video Capture Convert Burn Solution\codec\real\browser\plugins\nppl3260.dll No File
FF Plugin-x32: @real.com/nprpjplug;version=6.0.12.1662 -> C:\Program Files (x86)\McFunSoft Video Capture Convert Burn Solution\codec\real\browser\plugins\nprpjplug.dll No File
FF Plugin-x32: @real.com/nprpjplug;version=6.0.12.46 -> C:\Program Files (x86)\McFunSoft Video Capture Convert Burn Solution\codec\real\browser\plugins\nprpjplug.dll No File
S2 DisplayFusionService; "C:\Program Files (x86)\DisplayFusion\DisplayFusionService.exe" [X]
S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X]
C:\Program Files (x86)\mozilla firefox\plugins
C:\ProgramData\svchost
C:\ProgramData\TEMP
C:\Users\abc\AppData\Roaming\*.exe
C:\Users\abc\AppData\Roaming\3909
C:\Users\abc\AppData\Roaming\app
C:\Users\abc\AppData\Roaming\Common
C:\Users\abc\AppData\Roaming\nvidiadisp
C:\Users\abc\AppData\Roaming\SettingsWin
C:\Users\abc\AppData\Roaming\SFBot
C:\Users\abc\AppData\Roaming\st1
C:\Users\abc\AppData\Roaming\Win32
C:\Windows\system32\Drivers\kjwfcn.sys
C:\Windows\system32\Drivers\myeix.sys
C:\Windows\system32\Drivers\xlaed.sys
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\avgua32.exe" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SearchProtection" /f
Hosts:
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Specjalny skrót Internet Explorer został błędnie naprawiony czymś (utrata specjalnego atrybutu):

 

Shortcut: C:\Users\abc\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation)

 

W pasku adresów eksploratora wklej ścieżkę C:\Users\abc\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff

 

3. W Google Chrome:

• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone.
• Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

 

 

 

 

.

[Pepsi]

Wszystko zrobione tutaj logi z frst, dziękuje za pomoc z moim problemem.

 

Czekam na dalsze instrukcje o ile będą wymagane

Fixlog.txt

FRST.txt

[picasso]

Co się działo podczas przetwarzania opcji Fix? Skrypt został uruchomiony wielokrotnie, czego się nie powinno robić (nie przetworzy ponownie tego samego), a wynikiem są masowe wpisy "not found".

 

 

.

[Pepsi]

Podczas wykonania tego procesu program przestał działać, nie wiedziałem ze gdy uruchomię ten skrypt 2 raz to coś będzie źle.

[picasso]

Pomijając zawirowania ze skryptem, zadania zostały pomyślnie wykonane i log końcowy nie pokazuje już obiektów malware. Kolejna porcja czynności:

 

1. Usuń używane narzędzia za pomocą DelFix.

 

2. Masz zainstalowany Malwarebytes Anti-Malware. Dla pewności wykonaj nim pełny skan komputera. Ewentualne wykrycia przedstaw.

 

 

 

.

[Pepsi]

Zrobiłem wszystko co kazałaś, malwarebytes nie znalazł nic. wszystko już w porządku

[picasso]

Na zakończenie wykonaj aktualizaję Java: KLIK. Wersja obecna w systemie (odinstaluj i zastąp najnowszą wersją 32-bit):

 

==================== Installed Programs ======================
 

Java 7 Update 55 (HKLM-x32\...\{26A24AE4-039D-4CA4-87B4-2F83217025FF}) (Version: 7.0.550 - Oracle)

 

 

.