Adware.Elex.ShrtCln wykryty proszę o pomoc

[motionMixxx]

Witam od kilku dni powróciły komunikaty z MBAM o wykryciu ów zagrożenia.

to zagrożenie zostało wykryte dosyć dawno ale wcześniej się nic nie działo do tej pory a mianowicie notuje spadek wydajności łącza internetowego ale nie ejstem pewny czy to zagrożenie jest odpowiedzialne za takie problemy zatem postawiłem skorzystać ponownie z pomocy forum.

FRST.txt

Addition.txt

Shortcut.txt

[jessica]

Nie widzę w logach żadnej infekcji.

 

Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.
Otworzy się Notatnik - wklej do niego:

HKU\S-1-5-21-3868335875-2126856471-4078960099-1001\...\RunOnce: [Application Restart #1] => C:\Windows\SysWOW64\muachost.exe [1692840 2015-08-18] (MSI)
S3 GalaxyClientService; "D:\GOG Galaxy\GalaxyClientService.exe" [X]
Task: {B6910E7C-8CC4-465C-A223-5B64D36A537F} - System32\Tasks\{63BEBE73-4659-4A11-AB7B-653AB03F05F2} => C:\WINDOWS\system32\pcalua.exe -a "C:\Program Files (x86)\Intel Drivers Update Utility\unins000.exe"
Task: {E7A59947-22AA-48A9-9484-0054DC0094A3} - \Microsoft\Windows\UNP\RunCampaignManager -> Brak pliku <==== UWAGA
Task: {CF8D155B-9A53-4C47-89CC-FDFB693CA29F} - System32\Tasks\MSISW_Host => C:\WINDOWS\SysWOW64\muachost.exe [2015-08-18] (MSI)
Task: {E7A59947-22AA-48A9-9484-0054DC0094A3} - \Microsoft\Windows\UNP\RunCampaignManager -> Brak pliku <==== UWAGA
Task: {FB728A63-A1BE-4E40-9320-39EF1B5832C4} - System32\Tasks\{E1896ADC-4A41-4A6E-8D5E-44225BB6DE13} => C:\WINDOWS\system32\pcalua.exe -a "C:\ProgramData\Battle.net\Agent\Blizzard Uninstaller.exe" -c --lang=plPL --uid=heroes --displayname="Heroes of the Storm"
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OBS Studio\OBS Studio (32bit).lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OBS Studio\OBS Studio (64bit).lnk
EmptyTemp:

Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).
 

 

jessi

[motionMixxx]

Dziękuje za pomoc zadanie wykonane.

zatem MBAM widział coś co nie jest zagrożeniem?

Fixlog.txt

[jessica]

wg mnie to pomyłkowe wykrycie.

Na wszelki wypadek FRST sprawdzi te pliki na VirusTotal:

Uruchom FRST. NA klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego:

 

VirusTotal: C:\users\motionmixx\appdata\local\google\chrome\user data\default\web data; C:\users\motionmixx\appdata\local\google\chrome\user data\default\sync data\syncdata.sqlite3

Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).

Daj z tego "fixlog"

 

jessi

[motionMixxx]

Dołączam proszony log

Fixlog.txt

[jessica]

oba pliki dały wynik; 0\60

czyli żaden antywirus nie wykrył ich jako zagrożenie.

 

https://www.virustotal.com/file/8691ea05cf3876418a6391658b1338b95262a3985f5e8d33e6bd87b2d55c453b/analysis/1532537177/
https://www.virustotal.com/file/ee95390556f3c9ab5dc3faff271c6d5c9010098ea66840b42f47521969687186/analysis/1532537169/

 

co ciekawe: MBAM też ich nie uznał za zagrożenie!

 

jessi

[Miszel03]

Pliki ustawień przeglądarki Google Chrome zostały zmodyfikowane przez Adware.Elex, wymiana profilu powinna to załatwić (utracisz wszystkie dane z przeglądarki):

• Otwórz przeglądarkę Google Chrome: Ustawienia > karta Ustawienia > Osoby > Dodaj Osobę > dodaj osobę, zaloguj się na nią, poprzednie okno sesji zamknij > wejdź ponownie w Osoby i skasuj wszystkie poprzednie profile / osoby.
• Po tym zabiegu ponów skan Malwarebytes i przedstaw wyniki. Dostarcz również nowy zestaw raportów FRST. 

[motionMixxx]

Ja widocznie użyłem mało precyzji w temacie problemu powinienem był dodać ten screenshot który był wykonany wczoraj czyli przed działaniami które zleciła mi jessi a przeglądarki chrome nie posiadam już jakiś czas.

postanowiłem ponownie wykonać skan MBAM i rezultat jest identyczny jak na zmieszczonym zrzucie z ekranu w poście drugim