Mscfami.com - pomoc w usunięciu wirusa


(Gryspin) #1

jak w temacie. Od ok tygodnia nęka mnie chyba trojan. Adwcleaner nic nie znajduje. Objawy to m.in. spowolniona praca komputera, dziwne ikonki na pasku koło zegara, m.in. mscfami.com, wyskakujące komunikaty systemowe o braku pamięci albo o tym, że plik jest używany przez inny program...

Proszę o analizę i skrypt do wykonania:

 

OTL.txt - http://wklej.to/OQJit

Extras - http://wklej.to/NW9Vq

 

Będę wdzięczny za pomoc.


(Atis) #2

Do okna Własne opcje skanowania / skrypt wklej:

:OTL
DRV - [2014-04-05 17:39:45 | 000,055,232 | ---- | M] (StdLib) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\tStLib.sys -- (tStLib)
DRV - [2013-10-03 12:17:08 | 000,013,560 | ---- | M] (GFI Software) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\gfibto.sys -- (gfibto)
O4 - HKLM..\Run: [GPULoader] "C:\Program Files\VLC Player GPU+\GPULog.exe" File not found
O4 - HKLM..\Run: [GPUTemp] "C:\DOCUME~1\BARTEK~1.PC1\USTAWI~1\Temp\GPUTemp.exe" File not found
O4 - HKU\S-1-5-21-876113172-3026482042-1131965719-1006..\Run: [0001f43e.exe] C:\Documents and Settings\Bartek.PC135144841777\Ustawienia lokalne\Temp\0001f43e.exe ()
O4 - HKU\S-1-5-21-876113172-3026482042-1131965719-1006..\Run: [0011fdc6.exe] C:\Documents and Settings\Bartek.PC135144841777\Ustawienia lokalne\Temp\0011fdc6.exe ()
O4 - HKU\S-1-5-21-876113172-3026482042-1131965719-1006..\Run: [010e25f5.exe] C:\Documents and Settings\Bartek.PC135144841777\Ustawienia lokalne\Temp\010e25f5.exe ()
O4 - HKU\S-1-5-21-876113172-3026482042-1131965719-1006..\Run: [AdobeBridge] File not found
O4 - HKU\S-1-5-21-876113172-3026482042-1131965719-1006..\Run: [INPZIX.exe] C:\Documents and Settings\Bartek.PC135144841777\Ustawienia lokalne\Temp\INPZIX.exe File not found
O4 - HKU\S-1-5-21-876113172-3026482042-1131965719-1006..\Run: [ISR400.exe] C:\Documents and Settings\Bartek.PC135144841777\Dane aplikacji\ISR400.exe ()
O4 - HKU\S-1-5-21-876113172-3026482042-1131965719-1006..\Run: [mscfaml.com] C:\Documents and Settings\All Users\Local Settings\Temp\mscfaml.com File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: 0 = Reg Error: Value error. File not found
:Files
C:\Documents and Settings\Bartek.PC135144841777\Dane aplikacji\*.exe
C:\Documents and Settings\Bartek.PC135144841777\Dane aplikacji\dclogs
C:\Documents and Settings\All Users\Dane aplikacji\1C0
C:\Documents and Settings\All Users\Dane aplikacji\Ad-Aware Antivirus
C:\Documents and Settings\All Users\Dane aplikacji\Ad-Aware Browsing Protection
C:\Documents and Settings\Bartek.PC135144841777\Dane aplikacji\Ad-Aware Antivirus
C:\Documents and Settings\Bartek.PC135144841777\Dane aplikacji\adawaretb
:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
:Commands
[resethosts]
[emptytemp]

Kliknij Wykonaj skrypt i zatwierdź restart. Pokaż raport z usuwania.

Pobierz Farbar Recovery Scan Tool 32-Bit Version

Uruchom FRST i kliknij Scan. Pokaż raport FRST i Addition.


(Gryspin) #3

Dziękuję. Skrypt wykonany. Jest jakby lepiej ale jeszcze pojawia się jakaś ikonka koło zegara "mscafi.exe" czy coś takiego.

Oto raport:

http://wklej.to/IfQIL


(Atis) #4

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

HKLM\...\Run: [Ad-Aware Browsing Protection] => "C:\Documents and Settings\All Users\Dane aplikacji\Ad-Aware Browsing Protection\adawarebp.exe"
HKU\S-1-5-21-876113172-3026482042-1131965719-1006\...\Run: [mscfaml.com] => C:\Documents and Settings\All Users\Local Settings\Temp\mscfaml.com [0] () <===== ATTENTION
SearchScopes: HKLM - DefaultScope value is missing.
C:\AdwCleaner
C:\Documents and Settings\All Users\Local Settings\Temp\*.com
C:\Documents and Settings\All Users\Local Settings\Temp\*.exe
Task: C:\WINDOWS\Tasks\Ad-Aware Antivirus Scheduled Scan.job => C:\PROGRA~1\AD-AWA~1\AdAwareLauncher.exe
D:\Autorun.inf
D:\AUTORUN.FCB 
Reboot:

Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.

Kliknij Scan i pokaż nowy raport z FRST bez Addition.


(Gryspin) #5

nowy raport

 

http://wklej.to/hcvaS


(Atis) #6

Nie sądzisz, że należy przeczytać całą odpowiedź?

Nie znasz się na tym to dlaczego zmieniasz ustawienia w FRST?


(Gryspin) #7

Nie zmieniałem żadnych ustawień...

Zrobiłem raport jeszcze raz:

http://wklej.to/6MsXN


(Atis) #8

Nie można tego usunąć. Spróbuj w trybie awaryjnym.


(rgabrysiak) #9

 

Dlatego też proszę zapoznać się z tym tematem: http://forum.dobrepr...e-logi-t208287/

A następnie korzystając z przycisku Edytuj i opcji Użyj pełnego edytora , dokonać korekty tytułu, tak aby konkretnie mówił o problemie.

W przeciwnym razie temat trafi do Kosza.


(Gryspin) #10

ok. tak czy inaczej bardzo dziękuję. Jest trochę lepiej.

Podpowiesz jeszcze skąd to najlepiej usunąć?


(Atis) #11

Uruchom w awaryjnym i wykonaj poprzedni Fix.

Po uruchomieniu komputera naciskaj klawisz F8 i wybierz tryb awaryjny.

http://support.kaspersky.com/pl/general/various/493#q1

Pokaż Fixlog i nowy raport z FRST.


(Gryspin) #12

Zrobiłem fix w awaryjnym i przeskanowałem w FRST.

Nowy Fixlog i raport z FRST:

http://wklej.to/QoWr0

http://wklej.to/gH1d2


(Atis) #13

Przecież wykonałeś pusty fixlist: http://wklej.to/QoWr0/text

Poza tym masz się logować na własne konto.

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

HKLM\...\Policies\Explorer\Run: [13643] => C:\Documents and Settings\All Users\Local Settings\Temp\mscfaml.com [1393690 2012-06-02] ( ())
HKU\S-1-5-21-876113172-3026482042-1131965719-1006\...\Run: [mscfaml.com] => C:\Documents and Settings\All Users\Local Settings\Temp\mscfaml.com [1393690 2012-06-02] () <===== ATTENTION
HKU\S-1-5-21-876113172-3026482042-1131965719-1006\...\Run: [{35B9AA18-CAED-1C53-610A-F692E5A4E4FB}] => C:\Documents and Settings\Bartek.PC135144841777\Dane aplikacji\Pysiy\luaqu.exe [141824 2014-06-20] ()
C:\Documents and Settings\Bartek.PC135144841777\Dane aplikacji\Ocsaix
C:\Documents and Settings\Bartek.PC135144841777\Dane aplikacji\Pysiy
C:\Documents and Settings\All Users\Local Settings\Temp\*.com
C:\Documents and Settings\All Users\Local Settings\Temp\*.exe
C:\Documents and Settings\All Users\Local Settings\Temp\*.dll
C:\Documents and Settings\Bartek.PC135144841777\Ustawienia lokalne\Temp\*.exe
C:\Documents and Settings\Bartek.PC135144841777\Ustawienia lokalne\Temp\*.dll
C:\Documents and Settings\Bartek.PC135144841777\Ustawienia lokalne\Temp\*.com

Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.

Kliknij Scan i pokaż nowy raport z FRST bez Addition.


(Gryspin) #14

Sorry, coś musiałem pochrzanić.

Wykonałem. Nowy fixlog:

http://wklej.to/mKg50

 

...i nowy FRST:

http://wklej.to/mADyP


(Atis) #15

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

() C:\Documents and Settings\Bartek.PC135144841777\Ustawienia lokalne\Temp\00098eb7.exe
HKU\S-1-5-21-876113172-3026482042-1131965719-1006\...\Run: [00098eb7.exe] => C:\Documents and Settings\Bartek.PC135144841777\Ustawienia lokalne\Temp\00098eb7.exe <===== ATTENTION
HKU\S-1-5-21-876113172-3026482042-1131965719-1006\...\Run: [{35B9AA18-CAED-1C53-610A-F692E5A4E4FB}] => "C:\Documents and Settings\Bartek.PC135144841777\Dane aplikacji\Pysiy\luaqu.exe"
C:\Documents and Settings\All Users\Local Settings\Temp\*.com
C:\Documents and Settings\All Users\Local Settings\Temp\*.exe
C:\Documents and Settings\All Users\Local Settings\Temp\*.dll
C:\Documents and Settings\Bartek.PC135144841777\Ustawienia lokalne\Temp\*.exe
C:\Documents and Settings\Bartek.PC135144841777\Ustawienia lokalne\Temp\*.dll
C:\Documents and Settings\Bartek.PC135144841777\Ustawienia lokalne\Temp\*.com

Uruchom FRST i kliknij Fix.

Skasuj folder C:\FRST

Wyłącz i ponownie włącz przywracanie systemu: http://support.microsoft.com/kb/310405/pl

Pobierz TFC - Temp File Cleaner Uruchom TFC i kliknij Start.

Przeskanuj za pomocą Dr.Web CureIt i napisz czy wykrywa wirusy.


(Gryspin) #16

Zrobione. Dr Web CureIt wykrył 10 zagrożeń. Wydaje mi się, że są one nieistotne ponieważ miałem je na dysku dużo wcześniej znim pojawiły się problemy. Oto printscreen ze skanowania:

drcureit.JPG


(Atis) #17

W takim razie nie wiadomo dlaczego po restarcie tworzą się nowe szkodliwe pliki w Temp.


(Gryspin) #18

Wygląda na to, że wirus został usunięty, a przynajmniej wszystkie objawy zniknęły. Komp działa szybciej, a programy mogę włączyć za pierwszym razem, bez komunikatów typu "brak pamięci..." albo "program jest używany...".

Jak się tym zaraziłem? Mam podejrzanego. Problemy zaczęły się w momencie, gdy otrzymałem (rzekomo od Allegro) informację, o nieprawidłowym wystawieniu przedmiotu (prowadzę sklep na Allegro) i blokadzie konta (do której nigdy nie doszło). Szczegóły miały być przedstawione w załączonym pliku, do którego podglądu musiałem wyłączyć makra. Mail wyglądał bardzo autentycznie, więc zaciekawiony jakim cudem automatycznie ponawiana od roku aukcja nagle okazała się być niezgodna z regulaminem, spróbowałem podejrzeć plik. Bezskutecznie.

 

Tak czy inaczej Atis bardzo Ci dziękuję. Jestem pod wrażeniem Twojej wiedzy i cierpliwości. Pozdrawiam i zamykam temat.