Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

ESET znalazł jakieś paskudztwo Win32/SmartFileAdvisor, Win32/OpenCandy

Noc

Przez Noc
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

Detekcje są błahe, lecz zgodne z prawdą. To są po prostu wykryte instalatory mające adware / niechciane instalacje dodatowe:

- CDBurnerXP: integracja platformy reklamodawczej OpenCandy. Należy pobierać wersję bez sponsora.

- Alcohol 120%: wymuszanie instalacji Smart File Advisor. Detekcja wielokrotna, gdyż ESET wykrył pobrany instalator, jego fragment w Tempach oraz Koszu, plus link dobrychprogramów.

Notabene, uwaga na dobreprogramy.pl i inne portale: KLIK.

 

Oznak infekcji brak, ale możesz wykonać kosmetykę pustych wpisów i czyszczenie Temp. W Addition są też następujące zgłoszenia:

 

==================== Restore Points =========================
 

ATTENTION: System Restore is disabled.

Check "winmgmt" service or repair WMI.

 

1. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Winmgmt]
"DisplayName"="@%Systemroot%\\system32\\wbem\\wmisvc.dll,-205"
"ImagePath"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\
74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
"Description"="@%Systemroot%\\system32\\wbem\\wmisvc.dll,-204"
"ObjectName"="localSystem"
"ErrorControl"=dword:00000000
"Start"=dword:00000002
"Type"=dword:00000020
"DependOnService"=hex(7):52,00,50,00,43,00,53,00,53,00,00,00,00,00
"ServiceSidType"=dword:00000001
"FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\
00,01,00,00,00,c0,d4,01,00,01,00,00,00,e0,93,04,00,00,00,00,00,00,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Winmgmt\Parameters]
"ServiceDllUnloadOnStop"=dword:00000001
"ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
77,00,62,00,65,00,6d,00,5c,00,57,00,4d,00,49,00,73,00,76,00,63,00,2e,00,64,\
00,6c,00,6c,00,00,00
"ServiceMain"="ServiceMain"

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. Następnie włącz Przywracanie systemu.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:



CreateRestorePoint:



HKU\S-1-5-21-2660333226-2956138994-4221737075-1000\...\Run: [Power2GoExpress] => NA



BootExecute: autocheck autochk * sdnclean64.exe



ProxyServer: [s-1-5-21-2660333226-2956138994-4221737075-1001] => localhost:8080



SearchScopes: HKU\S-1-5-21-2660333226-2956138994-4221737075-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =



U3 BcmSqlStartupSvc; No ImagePath



U2 CLKMSVC10_3A60B698; No ImagePath



U2 CLKMSVC10_C3B3B687; No ImagePath



U2 DriverService; No ImagePath



U2 IAStorDataMgrSvc; No ImagePath



U2 iATAgentService; No ImagePath



U2 idealife Update Service; No ImagePath



U3 IGRS; No ImagePath



U2 IviRegMgr; No ImagePath



U2 Oasis2Service; No ImagePath



U2 PCCarerService; No ImagePath



U2 ReadyComm.DirectRouter; No ImagePath



U2 RichVideo; No ImagePath



U2 RtLedService; No ImagePath



U2 SeaPort; No ImagePath



U2 SoftwareService; No ImagePath



U3 SQLWriter; No ImagePath



U2 wlidsvc; No ImagePath



C:\Users\Pit\AppData\Local\70149b02515b3bb20dd492.47983420



C:\Users\UpdatusUser\Desktop\*.lnk



RemoveDirectory: D:\$RECYCLE.BIN



Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f



Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f



Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f



CMD: sc config WinDefend start= demand



EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Zrób nowy log FRST z opcji Scan, ale dostarcz tylko nowy plik Addition. Dołącz też plik fixlog.txt.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Fix FRST wykonany. Natomiast cały czas ten sam odczyt widnieje:

 

==================== Restore Points =========================
 

Check "winmgmt" service or repair WMI.

 

Kolejny pobór danych. Otwórz Notatnik i wklej w nim:

 

CMD: sc query winmgmt
CMD: winmgmt /salvagerepository
ListPermissions: C:\Windows\System32\LogFiles\WMI
ListPermissions: C:\Windows\System32\LogFiles\WMI\RtBackup

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Zaprezentuj wynikowy fixlog.txt.

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...