Windows Defender wykrył: PUP.Optional.DownloadHelper

[kijek]

Witam, podczas przeglądania internetu pojawiło się okno o aktualizacji flasha. Ponieważ nigdy nie miałem do czynienia z Chrome, to uruchomiłem aktualizację i wyskoczył taki zonk  . Ogromna prośba o sprawdzenie logów. 

 

MBAM.txt FRST.txt Shortcut.txt Addition.txt Gmer.txt

[picasso]

1. Na przyszłość, Chrome ma zintegrowany Adobe Flash we własnych trzewiach i nie jest możliwy taki rodzaj "aktualizacji". Szczegóły aktualizacji Adobe Flash w Chrome w przyklejonym: KLIK.

 

2. Nie wiadomo co wykrył (ścieżka dostępu) Windows Defender, gdyż nie ma wyników z jego skanu. Natomiast MBAM nie wykrył nic szczególnego i wynikami nie ma się co martwić. Kolizja z elementami Windows Defender (detekcja obiektów w kwarantannie Windows Defender). W raportach nie widać żadnych oznak infekcji. Możesz sobie wykonać tylko mały kosmetyczny skrypt usuwający śmieciarskie zadania "Asystenta kompatybilności" i czyszczący tempy. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
Task: {0A177D5D-4EFB-4E76-958C-1DE0A9355E08} - System32\Tasks\{3CF73E57-8268-47FD-84CE-CA3B0B663609} => pcalua.exe -a C:\Users\katar\Downloads\R264250.exe -d C:\Users\katar\Downloads
Task: {3F123D1C-1E15-4AE5-B529-6175C5FB9691} - System32\Tasks\{9BB75590-461B-46CB-A16E-BCDEED372FE1} => Firefox.exe hxxp://www.skype.com/go/downloading?source=lightinstaller&ver=7.24.0.104&LastError=12029
Task: {88DCC7D1-D59F-441A-ACB2-F697AF8E0B4C} - System32\Tasks\{BF6CF79A-043D-499E-ADAC-190BFC3A472E} => Firefox.exe hxxp://www.skype.com/go/downloading?source=lightinstaller&ver=7.24.0.104&LastError=12029
Task: {BAACCC41-EB68-447A-A8A4-23F1817857F3} - System32\Tasks\{7DD794A8-D2EB-4C59-98D2-281928C7F2DA} => pcalua.exe -a C:\Users\katar\AppData\Local\Apps\2.0\BRZBWG1X.WPT\2GJRY8X0.XG5\dell..tion_6d0a76327dca4869_0007.0006_c115ed00279cd90d\Uninstaller.exe -c uninstall
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Wyłącz wszystkie programy ochronne (SpyShelter i inne). Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw ten log. Nowe skany FRST zbędne.

 

3. Wg raportu FRST jeden z plików Windows nie ma sygnatury:

 

R3 WinHttpAutoProxySvc; C:\Windows\system32\winhttp.dll [614400 2016-05-28] (Microsoft Corporation) [brak podpisu cyfrowego]

 

Wykonaj weryfikację sfc /scannow i dostarcz wynikowy przefiltrowany log: KLIK.

 

[kijek]

Witam ,logi w załączniku, zapominałem wyłączyć tylko Windows Defender przy przetwarzaniu skryptu.

 

sfc.txt Fixlog.txt

[picasso]

Skrypt FRST pomyślnie wykonany. Natomiast SFC nie podołał zadaniu, nie jest w stanie naprawić uszkodzonego pliku:

 

2016-06-20 18:03:33, Info                  CSI    00003846 [SR] Cannot repair member file [l:11]"winhttp.dll" of Microsoft.Windows.WinHTTP, version 5.1.10586.420, arch x86, nonSxS, pkt {l:8 b:31bf3856ad364e35} in the store, hash mismatch
2016-06-20 18:03:33, Info                  CSI    00003849 [SR] Unable to repair \SystemRoot\WinSxS\x86_microsoft.windows.winhttp_31bf3856ad364e35_5.1.10586.420_none_8cfec9a9847b23ae\\[l:11]"winhttp.dll"
2016-06-20 18:03:33, Info                  CSI    0000384a [SR] Repaired file \SystemRoot\WinSxS\x86_microsoft.windows.winhttp_31bf3856ad364e35_5.1.10586.420_none_8cfec9a9847b23ae\\[l:11]"winhttp.dll" by copying from backup
2016-06-20 18:03:33, Info                  CSI    0000384c [SR] Cannot repair member file [l:11]"winhttp.dll" of Microsoft.Windows.WinHTTP, version 5.1.10586.420, arch x86, nonSxS, pkt {l:8 b:31bf3856ad364e35} in the store, file is missing
2016-06-20 18:03:33, Info                  CSI    0000384d [SR] This component was referenced by [l:77]"Package_381_for_KB3163018~31bf3856ad364e35~x86~~10.0.1.2.3163018-1167_neutral"
2016-06-20 18:03:33, Info                  CSI    0000384f [SR] Could not reproject corrupted file [l:23 ml:24]"\??\C:\Windows\System32"\[l:11]"winhttp.dll"; source file in store is also corrupted

 

Na początek podaj mi spis kopii pliku. Uruchom FRST w polu Szukaj wklej winhttp.dll i klik w Szukaj plików.

 

[kijek]

Dobry Wieczór, log w załączniku.

 

Search.txt

[kijek]

Mam ogromną prośbę o zerknięcie na mój temat. 

[picasso]

kijek, nie udzielam odpowiedzi, bo na razie nie mam plików do zamiany w identycznej wersji wymaganej przez Twój system. Tu nie można podstawić pierwszego z brzegu pliku, tylko idealnie dopasowany. Nie próbuj przypadkiem szukać pliku "na Google" i via cudaczne wynalazki typu "DLL Fixer". Gdy będę mieć coś do powiedzenia, dam znać. To może potrwać.

[kijek]

Jasne, to ja sobie grzecznie poczekam :-)

[kijek]

Witam, narobiłem sobie chyba problemów?. Zmieniłem twardy dysk, po zainstalowaniu wszystkich programów, chciałem wstawić logi i poprosić o sprawdzenie. Niestety podczas instalacji Hi Suite (dedykowane oprogramowanie Huawei), Windows Defender zgłosił zagrożenie. Plik usunąłem, przeskanowałem MBAM, TDSS, i zero zagrożeń. Na obecną chwilę męczę się z Gmer - sypie BSOD. Jedynie udało się przeprowadzić skan FRST.

 

Addition.txt FRST.txt Shortcut.txt

[picasso]

Dysk zmieniony, system przeinstalowany, więc poprzednia usterka z plikiem Windows już nieaktualna. W podanych tu raportach nie widać żadnej infekcji. I wątpię w to, że Windows Defender wykrył rzeczywiste zagrożenie. Nic tu nie wskazuje, by chodziło o infekcję, dzwoni fałszywym alarmem. Z tego co wnioskuję z raportu, Windows Defender wykrył plik HuaweiHiSuiteService.exe usługi, gdyż ta jest wybrakowana:

 

S2 HuaweiHiSuiteService.exe; "C:\ProgramData\HandSetService\HuaweiHiSuiteService.exe" -/service [X]

2016-07-15 22:04 - 2016-05-17 04:02 - 01837296 ____C (Microsoft Corporation) C:\Windows\system32\Drivers\WUDFUpdate_01009.dll
2016-07-15 22:04 - 2016-05-17 04:02 - 01461992 ____C (Microsoft Corporation) C:\Windows\system32\WdfCoInstaller01009.dll
2016-07-15 22:04 - 2016-05-17 04:02 - 01461992 ____C (Microsoft Corporation) C:\Windows\system32\Drivers\WdfCoInstaller01009.dll
2016-07-15 22:04 - 2016-05-17 04:02 - 00851176 ____C (Microsoft Corporation) C:\Windows\system32\Drivers\winusbcoinstaller2.dll
2016-07-15 22:03 - 2016-07-15 22:44 - 00000000 ___DC C:\Users\katar\AppData\Local\Hisuite

 

Nasuwa się, by przywrócić ten plik z kwarantanny.

 

[kijek]

Plik usunięty, udało mi sie dokończyć skanowanie Gmer, ale przyleciałem na urlop do domu więc log pozwolę sobie wstawić jutro. Przepraszam za zamieszanie.

[picasso]

"Plik usunięty" - masz na myśli z kwarantanny (tzn. przywrócony na miejsce), czy całkowicie z dysku?

 

Dla formalności dostarcz ten log z GMER, ale nie spodziewam się, by w nim coś zostało wykryte.

[kijek]

Całkowicie, plus ręcznie pliki z rejestru. Gmer musiałem podzielić.

 

Gmer2.txt Gmer1.txt Gmer3.txt

[picasso]

Zgodnie z przypuszczeniem w GMER nic ciekawego, głównie aktywność programów zabezpieczających. Nie mam tu raczej nic do roboty. Skasuj z dysku folder C:\FRST oraz pobrany FRST + GMER i ich logi.

[kijek]

Przepraszam że dopiero teraz. Jak rozumiem temat do zamknięcia. Pięknie dziękuje za pomoc.