zetorgur
(Gryspin)
5 Lipiec 2014 15:38
#1
jak w temacie. Od ok tygodnia nęka mnie chyba trojan. Adwcleaner nic nie znajduje. Objawy to m.in. spowolniona praca komputera, dziwne ikonki na pasku koło zegara, m.in. mscfami.com , wyskakujące komunikaty systemowe o braku pamięci albo o tym, że plik jest używany przez inny program…
Proszę o analizę i skrypt do wykonania:
OTL.txt - http://wklej.to/OQJit
Extras - http://wklej.to/NW9Vq
Będę wdzięczny za pomoc.
Atis
(Atis)
5 Lipiec 2014 15:57
#2
Do okna Własne opcje skanowania / skrypt wklej:
:OTL
DRV - [2014-04-05 17:39:45 | 000,055,232 | ---- | M] (StdLib) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\tStLib.sys -- (tStLib)
DRV - [2013-10-03 12:17:08 | 000,013,560 | ---- | M] (GFI Software) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\gfibto.sys -- (gfibto)
O4 - HKLM..\Run: [GPULoader] "C:\Program Files\VLC Player GPU+\GPULog.exe" File not found
O4 - HKLM..\Run: [GPUTemp] "C:\DOCUME~1\BARTEK~1.PC1\USTAWI~1\Temp\GPUTemp.exe" File not found
O4 - HKU\S-1-5-21-876113172-3026482042-1131965719-1006..\Run: [0001f43e.exe] C:\Documents and Settings\Bartek.PC135144841777\Ustawienia lokalne\Temp\0001f43e.exe ()
O4 - HKU\S-1-5-21-876113172-3026482042-1131965719-1006..\Run: [0011fdc6.exe] C:\Documents and Settings\Bartek.PC135144841777\Ustawienia lokalne\Temp\0011fdc6.exe ()
O4 - HKU\S-1-5-21-876113172-3026482042-1131965719-1006..\Run: [010e25f5.exe] C:\Documents and Settings\Bartek.PC135144841777\Ustawienia lokalne\Temp\010e25f5.exe ()
O4 - HKU\S-1-5-21-876113172-3026482042-1131965719-1006..\Run: [AdobeBridge] File not found
O4 - HKU\S-1-5-21-876113172-3026482042-1131965719-1006..\Run: [INPZIX.exe] C:\Documents and Settings\Bartek.PC135144841777\Ustawienia lokalne\Temp\INPZIX.exe File not found
O4 - HKU\S-1-5-21-876113172-3026482042-1131965719-1006..\Run: [ISR400.exe] C:\Documents and Settings\Bartek.PC135144841777\Dane aplikacji\ISR400.exe ()
O4 - HKU\S-1-5-21-876113172-3026482042-1131965719-1006..\Run: [mscfaml.com] C:\Documents and Settings\All Users\Local Settings\Temp\mscfaml.com File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: 0 = Reg Error: Value error. File not found
:Files
C:\Documents and Settings\Bartek.PC135144841777\Dane aplikacji\*.exe
C:\Documents and Settings\Bartek.PC135144841777\Dane aplikacji\dclogs
C:\Documents and Settings\All Users\Dane aplikacji\1C0
C:\Documents and Settings\All Users\Dane aplikacji\Ad-Aware Antivirus
C:\Documents and Settings\All Users\Dane aplikacji\Ad-Aware Browsing Protection
C:\Documents and Settings\Bartek.PC135144841777\Dane aplikacji\Ad-Aware Antivirus
C:\Documents and Settings\Bartek.PC135144841777\Dane aplikacji\adawaretb
:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
:Commands
[resethosts]
[emptytemp]
Kliknij Wykonaj skrypt i zatwierdź restart. Pokaż raport z usuwania.
Pobierz Farbar Recovery Scan Tool 32-Bit Version
Uruchom FRST i kliknij Scan. Pokaż raport FRST i Addition.
zetorgur
(Gryspin)
5 Lipiec 2014 16:20
#3
Dziękuję. Skrypt wykonany. Jest jakby lepiej ale jeszcze pojawia się jakaś ikonka koło zegara “mscafi.exe” czy coś takiego.
Oto raport:
http://wklej.to/IfQIL
Atis
(Atis)
5 Lipiec 2014 16:33
#4
Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :
HKLM\...\Run: [Ad-Aware Browsing Protection] => "C:\Documents and Settings\All Users\Dane aplikacji\Ad-Aware Browsing Protection\adawarebp.exe"
HKU\S-1-5-21-876113172-3026482042-1131965719-1006\...\Run: [mscfaml.com] => C:\Documents and Settings\All Users\Local Settings\Temp\mscfaml.com [0] () <===== ATTENTION
SearchScopes: HKLM - DefaultScope value is missing.
C:\AdwCleaner
C:\Documents and Settings\All Users\Local Settings\Temp\*.com
C:\Documents and Settings\All Users\Local Settings\Temp\*.exe
Task: C:\WINDOWS\Tasks\Ad-Aware Antivirus Scheduled Scan.job => C:\PROGRA~1\AD-AWA~1\AdAwareLauncher.exe
D:\Autorun.inf
D:\AUTORUN.FCB
Reboot:
Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.
Kliknij Scan i pokaż nowy raport z FRST bez Addition.
Atis
(Atis)
5 Lipiec 2014 17:21
#6
Nie sądzisz, że należy przeczytać całą odpowiedź?
Nie znasz się na tym to dlaczego zmieniasz ustawienia w FRST?
zetorgur
(Gryspin)
5 Lipiec 2014 17:31
#7
Nie zmieniałem żadnych ustawień…
Zrobiłem raport jeszcze raz:
http://wklej.to/6MsXN
Atis
(Atis)
5 Lipiec 2014 18:13
#8
Nie można tego usunąć. Spróbuj w trybie awaryjnym.
Dlatego też proszę zapoznać się z tym tematem: http://forum.dobrepr…e-logi-t208287/
A następnie korzystając z przycisku Edytuj i opcji Użyj pełnego edytora , dokonać korekty tytułu, tak aby konkretnie mówił o problemie.
W przeciwnym razie temat trafi do Kosza.
zetorgur
(Gryspin)
5 Lipiec 2014 18:44
#10
ok. tak czy inaczej bardzo dziękuję. Jest trochę lepiej.
Podpowiesz jeszcze skąd to najlepiej usunąć?
Atis
(Atis)
5 Lipiec 2014 19:15
#11
Uruchom w awaryjnym i wykonaj poprzedni Fix.
Po uruchomieniu komputera naciskaj klawisz F8 i wybierz tryb awaryjny.
http://support.kaspersky.com/pl/general/various/493#q1
Pokaż Fixlog i nowy raport z FRST.
zetorgur
(Gryspin)
8 Lipiec 2014 09:01
#12
Zrobiłem fix w awaryjnym i przeskanowałem w FRST.
Nowy Fixlog i raport z FRST:
http://wklej.to/QoWr0
http://wklej.to/gH1d2
Atis
(Atis)
8 Lipiec 2014 10:02
#13
Przecież wykonałeś pusty fixlist: http://wklej.to/QoWr0/text
Poza tym masz się logować na własne konto.
Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :
HKLM\...\Policies\Explorer\Run: [13643] => C:\Documents and Settings\All Users\Local Settings\Temp\mscfaml.com [1393690 2012-06-02] ( ())
HKU\S-1-5-21-876113172-3026482042-1131965719-1006\...\Run: [mscfaml.com] => C:\Documents and Settings\All Users\Local Settings\Temp\mscfaml.com [1393690 2012-06-02] () <===== ATTENTION
HKU\S-1-5-21-876113172-3026482042-1131965719-1006\...\Run: [{35B9AA18-CAED-1C53-610A-F692E5A4E4FB}] => C:\Documents and Settings\Bartek.PC135144841777\Dane aplikacji\Pysiy\luaqu.exe [141824 2014-06-20] ()
C:\Documents and Settings\Bartek.PC135144841777\Dane aplikacji\Ocsaix
C:\Documents and Settings\Bartek.PC135144841777\Dane aplikacji\Pysiy
C:\Documents and Settings\All Users\Local Settings\Temp\*.com
C:\Documents and Settings\All Users\Local Settings\Temp\*.exe
C:\Documents and Settings\All Users\Local Settings\Temp\*.dll
C:\Documents and Settings\Bartek.PC135144841777\Ustawienia lokalne\Temp\*.exe
C:\Documents and Settings\Bartek.PC135144841777\Ustawienia lokalne\Temp\*.dll
C:\Documents and Settings\Bartek.PC135144841777\Ustawienia lokalne\Temp\*.com
Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.
Kliknij Scan i pokaż nowy raport z FRST bez Addition.
zetorgur
(Gryspin)
12 Lipiec 2014 16:13
#14
Sorry, coś musiałem pochrzanić.
Wykonałem. Nowy fixlog:
http://wklej.to/mKg50
…i nowy FRST:
http://wklej.to/mADyP
Atis
(Atis)
12 Lipiec 2014 17:11
#15
Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :
() C:\Documents and Settings\Bartek.PC135144841777\Ustawienia lokalne\Temp\00098eb7.exe
HKU\S-1-5-21-876113172-3026482042-1131965719-1006\...\Run: [00098eb7.exe] => C:\Documents and Settings\Bartek.PC135144841777\Ustawienia lokalne\Temp\00098eb7.exe <===== ATTENTION
HKU\S-1-5-21-876113172-3026482042-1131965719-1006\...\Run: [{35B9AA18-CAED-1C53-610A-F692E5A4E4FB}] => "C:\Documents and Settings\Bartek.PC135144841777\Dane aplikacji\Pysiy\luaqu.exe"
C:\Documents and Settings\All Users\Local Settings\Temp\*.com
C:\Documents and Settings\All Users\Local Settings\Temp\*.exe
C:\Documents and Settings\All Users\Local Settings\Temp\*.dll
C:\Documents and Settings\Bartek.PC135144841777\Ustawienia lokalne\Temp\*.exe
C:\Documents and Settings\Bartek.PC135144841777\Ustawienia lokalne\Temp\*.dll
C:\Documents and Settings\Bartek.PC135144841777\Ustawienia lokalne\Temp\*.com
Uruchom FRST i kliknij Fix.
Skasuj folder C:\FRST
Wyłącz i ponownie włącz przywracanie systemu: http://support.microsoft.com/kb/310405/pl
Pobierz TFC - Temp File Cleaner Uruchom TFC i kliknij Start.
Przeskanuj za pomocą Dr.Web CureIt i napisz czy wykrywa wirusy.
zetorgur
(Gryspin)
12 Lipiec 2014 22:54
#16
Zrobione. Dr Web CureIt wykrył 10 zagrożeń. Wydaje mi się, że są one nieistotne ponieważ miałem je na dysku dużo wcześniej znim pojawiły się problemy. Oto printscreen ze skanowania:
Atis
(Atis)
12 Lipiec 2014 23:03
#17
W takim razie nie wiadomo dlaczego po restarcie tworzą się nowe szkodliwe pliki w Temp.
zetorgur
(Gryspin)
17 Lipiec 2014 08:21
#18
Wygląda na to, że wirus został usunięty, a przynajmniej wszystkie objawy zniknęły. Komp działa szybciej, a programy mogę włączyć za pierwszym razem, bez komunikatów typu “brak pamięci…” albo “program jest używany…”.
Jak się tym zaraziłem? Mam podejrzanego. Problemy zaczęły się w momencie, gdy otrzymałem (rzekomo od Allegro) informację, o nieprawidłowym wystawieniu przedmiotu (prowadzę sklep na Allegro) i blokadzie konta (do której nigdy nie doszło). Szczegóły miały być przedstawione w załączonym pliku, do którego podglądu musiałem wyłączyć makra. Mail wyglądał bardzo autentycznie, więc zaciekawiony jakim cudem automatycznie ponawiana od roku aukcja nagle okazała się być niezgodna z regulaminem, spróbowałem podejrzeć plik. Bezskutecznie.
Tak czy inaczej Atis bardzo Ci dziękuję. Jestem pod wrażeniem Twojej wiedzy i cierpliwości. Pozdrawiam i zamykam temat.