Kilka wykrytych trojanów i losowe błędy (Windows 8.1)

[radke]

Dobry wieczór!

Kupiłem dzisiaj sobie jakieś czasopismo o komputerach, a na dołączonej do niego płycie znalazłem program Emsisoft Anti-Malware. Uznałem, że skoro jest to program płatny, to pewnie jest lepszy od darmowego Avasta, którego dotychczas używałem (jeśli się mylę, proszę mnie poprawić). Od razu go zainstalowałem i wykonałem pierwsze skanowanie, które wykryło kilka malware i trojanów. Byłem pewien, że to niemożliwe, gdyż jestem raczej świadomym użytkownikiem i wątpię, żebym coś takiego przepuścił do moich plików. No ale przezorny zawsze ubezpieczony, w dodatku czasami pojawiają się jakieś błędy w moim systemie (np przy próbie uruchomienia GMER), więc proszę o sprawdzenie poniższych logów.

 

FRST.txt: http://wklej.org/id/1757625/
Addition.txt: http://wklej.org/id/1757626/
log ze skanu w Emsisofcie: http://wklej.org/id/1757631/

 

(logu z GMERa nie dostarczam, bo pojawia się jakiś błąd przy próbie uruchomienia skanowania)

[picasso]

Brak trzeciego pliku FRST Shortcut. W raportach brak oznak czynnej infekcji. A to co wykrył skaner ma nikłe, bądź zerowe znaczenie:

- Wyniki z lokalizacji tymczasowych. I tak będą te lokalizacje dokładniej czyszczone.

- KMSpico to jest crack aktywacyjny i będzie wykrywane niezależnie od jego rzeczywistej szkodliwości.

- Wpis startowy "Chomikbox" sklasyfikowany jako "adware" wygląda na fałszywy alarm. I tak bez znaczenia, bo aplikacja wygląda na odinstalowaną.

 

w dodatku czasami pojawiają się jakieś błędy w moim systemie (np przy próbie uruchomienia GMER), więc proszę o sprawdzenie poniższych logów.

Pomijając GMER, o jakie błędy chodzi?

 

 

PS. Do usunięcia tylko drobne puste wpisy + czyszczenie lokalizacji tymczasowych:

 

1. W Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj odpadek Avast Online Security. Dodatkowo, jest też rozszerzenie Youtube MP3 Online - rozszerzenie nie jest autoryzowane w Chrome Web Store.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
HKLM-x32\...\Run: [] => [X]
HKU\S-1-5-21-3525526821-3159406207-3434764065-1001\...\Run: [Clownfish] => [X]
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page =
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL =
HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page =
S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X]
S3 NTIOLib_1_0_C; \??\E:\NTIOLib_X64.sys [X]
S4 WinDivert1.1; No ImagePath
S3 xhunter1; \??\C:\Windows\xhunter1.sys [X]
Task: {188CAC1B-3820-44DD-896F-75BC49B7943E} - System32\Tasks\catalyst => c:\programdata\sunsoft\ccc.exe
Task: {8B23DB90-C6B2-450C-89B4-150D7F4591B6} - System32\Tasks\sunsoft => c:\programdata\sunsoft\sunsoft.exe 
Task: {8C09B1B5-9DBB-4036-8C7C-AF4BCA4F5902} - System32\Tasks\AutoPico Daily Restart => C:\Program Files\KMSpico\AutoPico.exe
Task: {E76A3055-99A3-4150-BA49-69674306EBBB} - System32\Tasks\{B3879C64-CC90-4C26-AB98-511D57E7D435} => Firefox.exe http://ui.skype.com/ui/0/7.0.0.102/pl/abandoninstall?source=lightinstaller&page=tsInstall
C:\Users\Radosław\AppData\Local\{302983D2-A9C2-435A-A395-B065FE5B9E46}
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw ten plik. Nowe skany FRST nie są mi potrzebne.

[radke]

Szczerze mówiąc nie zapisałem ani nie zapamiętywałem jakie to są błędy. Ostatni raz pojawił się, gdy wczoraj resetowałem komputer po update systemu. Jest to takie typowe okienko z białym krzyżykiem w czerwonym kółku. Alert rozpoczyna się od jakichś cyfr, po których następuje bodajże "x" i dalszy ciąg cyfr. Nie pamiętam niestety jak brzmi dalej. Pod błędem jest tylko przycisk "OK", kiedy go nacisnę nic szczególnego się nie dzieje, tzn. błąd znika i komputer pracuje dalej. Nie szkodzi to jakoś bardzo, po prostu wystraszyłem się bo nigdy nie miałem takiego błędu i obawiałem się, że to może być kwestia wirusa.

 

Log po fixie: http://wklej.org/id/1757997/

 

PS: Czy Emsisoft Anti-Malware to zaufany program? Mogę na nim polegać?

 

EDIT: Właśnie teraz, przy otwarciu jakiegoś folderu, pojawił się błąd o którym mówię.

 

"dllhost.exe - Application Error

The instruction at 0xd0fd1f4f referenced memory at 0x754eea80. The memory could not be read.

Click on OK to terminate the program"

 

Cóż, mój poprzedni opis tego błędu nie był zbyt dokładny.