Trojan Win32/Powessere.K

[tomekfura]

Witam,

 

defender kilka razy dziennie raportuje poddanie kwarantannie Trojana Win32/Powessere.K ale go nie usuwa. 

Bywają dni kiedy go nie wykrywa (wtedy system chodzi stabilnie), oraz kiedy wykrywa go kilka razy dziennie (wtedy system przy dłuższej bezczynności użytkownika zawiesza się i resetuje samoczynnie (domniemam, że jest to związane z infekcją)).

Próbowałem już usunąć go za pomocą adwcleaner, skanera kaspersky, eset - nic to nie daje. 

Szukałem w sieci - ale nie znalazłem skutecznego rozwiązania. 

Bardzo proszę o pomoc, komputer służy mi do pracy. Dołączam logi z FRST.

FRST.txt Addition.txt

[jessica]

Cytat

Produkt Program antywirusowy Windows Defender wykrył złośliwe oprogramowanie lub inne potencjalnie niechciane oprogramowanie.
Aby uzyskać więcej informacji, zobacz:
https://go.microsoft.com/fwlink/?linkid=37020&name=Trojan:Win32/Powessere.K&threatid=2147734747&enterprise=0
Nazwa: Trojan:Win32/Powessere.K
Identyfikator: 2147734747
Ważność: Poważny
Kategoria: Koń trojański
Ścieżka: CmdLine:_C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -W Hidden -Exec -nop $t=Get-ItemProperty -Path 'HKCU:\Software\Classes\mssccfile' -Name t;IEX $t.t;

Brak logu Shortcut.txt, więc nawet nie mam możliwości zobaczenia, czy skrót Internet Explorera rzeczywiści ma takie przekierowanie.

 

Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.
Otworzy się Notatnik - wklej do niego:

Spoiler

ShortcutAndArgument: iexplorer.lnk -> C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe =>   -W Hidden -Exec -nop $t=Get-ItemProperty -Path 'HKCU:\Software\Classes\mssccfile' -Name t;IEX $t.t;
C:\Users\Tomasz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\iexplorer.lnk
C:\Users\Tomasz\AppData\Roaming\vvUkZVYz.dll
ProxyEnable: [S-1-5-19] => Proxy [funkcja włączona]
ProxyServer: [S-1-5-19] => 127.0.0.1:1080
S2 0185091540530891mcinstcleanup; C:\Users\Tomasz\AppData\Local\Temp\018509~1.EXE -cleanup -nolog [X] <==== UWAGA
S2 mccspsvc; "C:\Program Files\Common Files\McAfee\CSP\1.9.829.0\\McCSPServiceHost.exe" [X]
C:\WINDOWS\Minidump\*.dmp
HKU\S-1-5-21-1441035486-1200086365-2373271675-1001\Software\Classes\exefile:  <==== UWAGA
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
HKU\S-1-5-21-1441035486-1200086365-2373271675-1001\...\Winlogon: [Shell] C:\Windows\explorer.exe [3933296 2019-03-14] (Microsoft Windows -> Microsoft Corporation) <==== UWAGA
ContextMenuHandlers1_.DEFAULT: [ FileSyncEx] -> {CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B} =>  -> Brak pliku
ContextMenuHandlers4_.DEFAULT: [ FileSyncEx] -> {CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B} =>  -> Brak pliku
ContextMenuHandlers5_.DEFAULT: [ FileSyncEx] -> {CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B} =>  -> Brak pliku
FirewallRules: [{A26E699A-13E8-4E0A-8C9E-642F2C2153D6}] => (Allow) C:\Program Files\NVIDIA Corporation\NvStreamSrv\NvStreamNetworkService.exe Brak pliku
FirewallRules: [{8BDB8FDE-D351-4965-8132-0FC6E79421FE}] => (Allow) C:\Program Files\NVIDIA Corporation\NvStreamSrv\NvStreamNetworkService.exe Brak pliku
EmptyTemp:

Na klawiaturze naciśnij jednocześnie CTRL+S.
W FRST kliknij na Fix (NAPRAW).

 

jessi

 

[tomekfura]

Dziękuję za dotychczasową pomoc, zaraz postaram się wprowadzić to co podałaś.

Dorzucam log shortcut.txt

Shortcut.txt

[jessica]

Odpowiadam dopiero teraz, bo we wtorek padł mi router.

 

Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.
Otworzy się Notatnik - wklej do niego:

Spoiler

C:\Users\Tomasz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\iexplorer.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Asystent aktualizacji do systemu Windows 10.lnk
C:\Users\defaultuser0\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\OneDrive.lnk
EmptyTemp:

Na klawiaturze naciśnij jednocześnie CTRL+S.
W FRST kliknij na Fix (NAPRAW).

 

jessi