Autododawanie do autostartu

Witam,

ostatnio na laptopie mojej dziewczyny zaczęło dziać się coś dziwnego, otóż przy starcie systemu pojawiała się prośba UAC o przyznanie uprawnień administratora dla programu który na początku nazwy miał “Flash Player” z tym że ten konkretny Flash Player w polu wydawca miał “Nie znany”, do tego po odrzuceniu prośby pojawiała się ona dopóki nie kliknęło się tak. W Ccleanerze zauważyłem że dodają się tam wpisy za każdym razem z inną nazwą odpalające przy starcie programy wydawcy “Eraem Corniratu”, zawsze początek ścieżki jest ten sam …/Appdata/Roaming/… a potem jakieś randomowe nazwy folderów, Anti-malware go wykrywa lecz po usunięciu go pojawia się na nowo.

 

Logi

OTL: http://wklej.to/vvHpy

Extras: http://wklej.to/QVCZD

 

FRST: http://wklej.to/SifdG

Addition: http://wklej.to/qE7Vj

 

Za wszelką pomoc z góry dziękuje.

Otwórz notatnik systemowy i wklej:

Hosts:
Task: {2AAE5835-76C0-4A11-914B-7EABC6B47200} - System32\Tasks\Security Center Update - 3344597165 = C:\Users\PAULINKA\AppData\Roaming\Inhotes\gomay.exe [2014-10-27] (Eraem Corniratu) ==== ATTENTION
Task: {ECE37227-0901-429F-82CD-3E1F79319700} - System32\Tasks\Security Center Update - 2523926384 = C:\Users\PAULINKA\AppData\Roaming\Ehisadq\gaarex.exe ==== ATTENTION
Task: C:\Windows\Tasks\Security Center Update - 3344597165.job = C:\Users\PAULINKA\AppData\Roaming\Inhotes\gomay.exe ==== ATTENTION
AlternateDataStreams: C:\Temp:pid1
AlternateDataStreams: C:\Temp:pid2
HKU\S-1-5-21-1965658668-2063262735-331363555-1000\...\Run: [{80C6A4C7-DDEF-6F3A-ED34-B2A84DFA632A}] = C:\ProgramData\Microsoft\Secure\Icons\temp\tmp53F8.exe [113344 2015-01-10] () ===== ATTENTION
HKU\S-1-5-21-1965658668-2063262735-331363555-1000\...\Run: [Ukxmedia] = C:\Users\PAULINKA\AppData\Local\Ukxmedia\tmp53F8.exe [113344 2015-01-10] ()
HKU\S-1-5-21-1965658668-2063262735-331363555-1000\...\Run: [Uvkoimzon] = C:\Users\PAULINKA\AppData\Roaming\Inhotes\gomay.exe [506012 2014-10-27] (Eraem Corniratu)
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction ======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction ======= ATTENTION
HKU\S-1-5-21-1965658668-2063262735-331363555-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction ======= ATTENTION
StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe
SearchScopes: HKLM - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKLM - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKLM-x32 - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
S3 COMSysApp; %SystemRoot%\system32\dllhost.exe /Processid:{02D4B3F1-FD88-11D1-960D-00805FC79235}
S2 PowerMon; cmd /c start cmd /c "ping -n 300 127.0.0.1 C:\Windows\Temp\PowerMon\PowerMon.exe -o http://mining.eligius.st:9337 -O 12jgfM7qaFhKBYEz7KRjqdjBcz22d48bNh" [X]
S1 adgnetworktdi; system32\drivers\adgnetworktdi.sys [X]
S3 ATP; system32\DRIVERS\cmdatp.sys [X]
S3 catchme; \\C:\ComboFix\catchme.sys [X]
2015-01-10 17:41 - 2015-01-10 18:00 - 00000816 _____ () C:\Windows\Tasks\Security Center Update - 3344597165.job
2015-01-10 17:41 - 2015-01-10 17:41 - 00003828 _____ () C:\Windows\System32\Tasks\Security Center Update - 3344597165
2015-01-10 17:41 - 2015-01-10 17:41 - 00000000 ____ D () C:\Users\PAULINKA\AppData\Roaming\Inhotes
2015-01-08 11:39 - 2015-01-08 11:50 - 00003832 _____ () C:\Windows\System32\Tasks\Security Center Update - 2523926384
C:\ProgramData\Microsoft\Secure\Icons\temp\tmp53F8.exe
C:\ProgramData\fontcacheev1.dat
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.

Po fixowym restarcie nadal pojawił się nowy wpis w Autostarcie:

 

Fixlog: http://wklej.to/uaAZ0

Nie otrzymasz pomocy bez nowych logów.

W skrypcie pominięty został jeden szkodliwy wpis:

ShellIconOverlayIdentifiers: [1SecureIconsProvider] -> {FC9D8189-520A-4417-AED7-9EAC810C6FBA} => C:\ProgramData\Microsoft\Secure\Icons\SecureIconsProvider.dll ()

Skasować można cały folder Secure.

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

CloseProcesses:
HKU\S-1-5-21-1965658668-2063262735-331363555-1000\...\Run: [{80C6A4C7-DDEF-6F3A-ED34-B2A84DFA632A}] => C:\ProgramData\Microsoft\Secure\Icons\temp\tmp53F8.exe [113344 2015-01-10] () <===== ATTENTION
HKU\S-1-5-21-1965658668-2063262735-331363555-1000\...\Run: [Ukxmedia] => C:\Users\PAULINKA\AppData\Local\Ukxmedia\tmp53F8.exe [113344 2015-01-10] ()
HKU\S-1-5-21-1965658668-2063262735-331363555-1000\...\Run: [Uvkoimzon] => C:\Users\PAULINKA\AppData\Roaming\Inhotes\gomay.exe [506012 2014-10-27] (Eraem Corniratu)
ShellIconOverlayIdentifiers: [1SecureIconsProvider] -> {FC9D8189-520A-4417-AED7-9EAC810C6FBA} => C:\ProgramData\Microsoft\Secure\Icons\SecureIconsProvider.dll ()
C:\Temp
C:\Users\PAULINKA\AppData\Local\Ukxmedia
C:\Users\PAULINKA\AppData\Roaming\Inhotes
C:\ProgramData\Microsoft\Secure
EmptyTemp:

Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.

Kliknij Scan i pokaż nowy raport z FRST i Addition.

Fixlog: http://wklej.to/F7alr

FRST: http://wklej.to/yQpfv

Addition: http://wklej.to/jrG5C

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKU\S-1-5-21-1965658668-2063262735-331363555-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe
SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKLM-x32 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
C:\ProgramData\fontcacheev1.dat
C:\ProgramData\Microsoft\Secure
Hosts:
CMD: C:\Users\PAULINKA\Downloads\ComboFix.exe /uninstall
DeleteQuarantine:

Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.

Kliknij Scan i pokaż nowy raport z FRST i Addition.

Fixlog: http://wklej.to/HnBMG

FRST: http://wklej.to/yI7pJ

Addition: http://wklej.to/UebJ3

Skasuj folder C:\FRST

Odinstaluj:

Adobe Reader XI

Java 7 Update 25

Zainstaluj:

Adobe Reader XI 11.0.10

Java 8 Update 25

Dziękuje za pomoc, wszystko bangla :smiley: