Malware występujące po instalacji programu


(Mrblade64) #1

Witam, proszę o analizę loga z Combofixa i poradę jak usunąć malware z kompa. Coś pokusiło mnie i zainstalowałem program do "optymalizacji" wykorzystania rdzeni procesora (ba, nawet nie istalowałem. Po prostu uruchomiłem "instalkę" która odpaliła program bezpośrednio). Program nazywa się " ParkControl" (pobrany stąd: /*nie podawaj takich linków bo jakiegoś użytkownika też "najdzie" na ściągnięcie tego z twojego linku*/). Przy odpaleniu przeglądarki i wejściu na co którąś stronę internetową avast wywala info o wirusach. Załącznik "wir" przedstawia przykładowy obekt wykryty przez avasta.

 

Raport z pliku FRST.txt:


(Drobok) #2

Poczytaj: http://forum.dobreprogramy.pl/regulamin-działu-bezpieczeństwo-t503173/


(Atis) #3

Naciśnij klawisz z logo Windows + R i do okienka Uruchamianie wklej:

C:\Users\AlterNativ3\Downloads\ComboFix.exe /uninstall

W panelu sterowania odinstaluj Akamai NetSession Interface.

Pobierz i uruchom AdwCleaner Kliknij Skanuj i później Usuń.

Odinstaluj Chrome zaznaczając usunięcie danych przeglądania za pomocą Geek Uninstaller Free: KLIK

Najpierw możesz wyeksportować zakładki: KLIK

Później zainstaluj stabilną wersję: KLIK

Kliknij Scan i pokaż nowy raport z FRST bez Addition i Shortcut.


(Mrblade64) #4

Proszę oto raport z FRST:


(Atis) #5

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

HKU\S-1-5-21-3246342380-2868174613-2975587787-1000\...\Run: [Xvid] => C:\Program Files (x86)\Xvid\CheckUpdate.exe [8192 2011-01-17] ()
HKU\S-1-5-21-3246342380-2868174613-2975587787-1000\...\Run: [Akamai NetSession Interface] => "C:\Users\AlterNativ3\AppData\Local\Akamai\netsession_win.exe"
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKU\S-1-5-21-3246342380-2868174613-2975587787-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
BHO-x32: No Name -> {4C33F219-E1B0-438E-B399-629CE62D6CF6} -> No File
2015-06-19 10:47 - 2015-06-19 10:51 - 00000000 ____ D C:\AdwCleaner
2015-06-16 17:58 - 2015-06-16 17:58 - 00015871 _____ C:\ComboFix.txt
2015-05-27 17:24 - 2015-06-19 10:51 - 00000000 ____ D C:\ProgramData\ecgpnoigjllihdpfcdcaoejiienbonkl
2015-05-27 17:23 - 2015-06-19 10:51 - 00000000 ____ D C:\ProgramData\{a334144a-a170-77f4-a334-4144aa17512a}
2015-05-25 10:02 - 2015-06-14 18:54 - 00000000 ____ D C:\ProgramData\boost_interprocess
2015-06-19 10:50 - 2015-06-19 10:50 - 0000024 _____ () C:\Users\AlterNativ3\AppData\Roaming\appdataFr25.bin
2015-06-02 17:27 - 2015-06-02 17:27 - 0000000 ___SH () C:\ProgramData\.rdata
Task: {35A8C972-34BF-49FC-9F48-41C7D04D2093} - System32\Tasks\Bidaily Synchronize Task[973b] => c:\programdata\{a334144a-a170-77f4-a334-4144aa17512a}\future .exe [2014-05-27] () <==== ATTENTION
Task: {4F81B887-2963-4164-9230-70800A93A879} - System32\Tasks\Adobe Acrobat Update Task => C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [2014-12-19] (Adobe Systems Incorporated)
Task: {833BD4EC-A50E-43A8-A1BA-A86C4B7BF55B} - System32\Tasks\{C017189A-F8F2-4FE3-8A2E-533A1B11DA21} => pcalua.exe -a C:\Users\AlterNativ3\Downloads\parkcontroldist32.exe -d C:\Users\AlterNativ3\Downloads
Task: {A0F097DB-79EA-4199-B6A0-F91F3B8CB445} - System32\Tasks\{3895C785-B0B2-4FEB-9AC5-83B896FEBF40} => pcalua.exe -a "C:\Program Files (x86)\TeamSpeak 3 Client\package_inst.exe" -d C:\Users\AlterNativ3\Downloads -c "C:\Users\AlterNativ3\Downloads\MilitaryRadioV1(En).ts3_soundpack"
Task: {EB02381F-D652-4B1C-894A-712498C62C51} - \Microsoft\Windows\MUI\LPRemove No Task File <==== ATTENTION
Task: {F53892B0-0559-4241-B66A-BF8D5642D75A} - System32\Tasks\{907FC7AD-4505-4836-95C8-C07C36C6E309} => pcalua.exe -a C:\Users\AlterNativ3\Downloads\LeagueofLegends_EUNE_Installer_9_15_2014.exe -d C:\Windows\SysWOW64 -c /groupsextract:100; /out:"C:\Users\AlterNativ3\AppData\Roaming\Riot Games\League of Legends\prerequisites" /callbackid:2068
Task: C:\Windows\Tasks\Bidaily Synchronize Task[973b].job => c:\programdata\{a334144a-a170-77f4-a334-4144aa17512a}\future .exe <==== ATTENTION
EmptyTemp:

Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.

Kliknij Scan i pokaż nowy raport z FRST bez Addition i Shortcut.