PWS.Papras.DH koń trojanski poraz drugi


(Giertych) #1

Wiem, że temat był juz na forum,  ale odpowiedź była zindywidualizowana dla tamtego użytkownika, prosze o kogos doświadczonego o pomoc w mojej sprawie.

oto logi z mojego komputera.

additions.frst http://wklej.org/id/1703126/

frst.txt http://wklej.org/id/1703125/

z gory dziekuje

Margier


(Atis) #2

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

HKU\S-1-5-21-887745407-3713996803-2585536332-1000\...\Run: [solid_solution_strengthening] => C:\Program Files\Creative\ShareDLL\CADI\gluon\gluon\chateau.exe
HKU\S-1-5-21-887745407-3713996803-2585536332-1000\...\Winlogon: [Shell] C:\Program Files\Creative\ShareDLL\CADI\gluon\intermodulation\powerline_communications.exe,explorer.exe <==== ATTENTION 
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKU\S-1-5-21-887745407-3713996803-2585536332-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
Toolbar: HKU\S-1-5-21-887745407-3713996803-2585536332-1000 -> No Name - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - No File
S2 SmartViewService; C:\Program Files (x86)\DeviceVM\SmartView\SmartViewService.exe [X]
S2 transmission_control; C:\Windows\AppPatch\AppPatch64\autoshutdown\mtimd.exe [X]
S2 WCUService; C:\Program Files (x86)\DeviceVM\SmartView Software Updater\WCUService.exe [X]
S3 WsDrvInst; "C:\Program Files (x86)\Wondershare\MobileGo\DriverInstall.exe" [X]
S3 catchme; \??\C:\ComboFix\catchme.sys [X]
2015-05-04 14:25 - 2015-05-04 14:29 - 00094656 _____ (CACE Technologies) C:\Windows\system32\WPRO_41_2001woem.tmp
2015-05-04 13:33 - 2015-05-04 13:33 - 00000000 ____ D () C:\Users\X122\AppData\Roaming\Enigma Software Group
2015-04-30 15:26 - 2015-05-02 10:31 - 00000000 ____ D () C:\ProgramData\boost_interprocess
2015-04-30 15:26 - 2015-04-17 04:43 - 00052392 _____ (Elex do Brasil Participações Ltda) C:\Windows\system32\Drivers\iSafeNetFilter.sys
2015-05-04 12:38 - 2013-10-09 14:32 - 00000000 ___HD () C:\ProgramData\{8533ADFA-85F0-4dc1-946A-2A0BA58E78E3}
2013-10-09 14:30 - 2013-10-09 14:30 - 0000003 _____ () C:\Users\X122\AppData\Local\user_data.ini
Task: {31A27025-9755-47C9-9BC2-54C781AE8431} - System32\Tasks\{9A59AB58-F822-4AF1-8925-87312317D3CA} => pcalua.exe -a "E:\Pliki programow\Quallcomm\Eudora\Eudora.exe" -d "E:\Pliki programow\Quallcomm\Eudora"
Task: {AF38154D-3BC1-4F62-942C-564659045BE4} - System32\Tasks\{47F314CF-9EE5-4355-B9AF-94B9F5CC5DCA} => pcalua.exe -a "C:\Users\X122\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2DFI5LVE\irfanview_plugins_428_setup.exe" -d C:\Users\X122\Desktop
EmptyTemp:

Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.

Kliknij Scan i pokaż nowy raport z FRST bez Addition i Shortcut.


(Giertych) #3

Oto raport z usuwania http://wklej.org/id/1703313/

I nowy raport FRST http://wklej.org/id/1703317/


(Atis) #4

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

2015-05-04 18:44 - 2015-05-04 18:44 - 00094656 _____ (CACE Technologies) C:\Windows\system32\WPRO_41_2001woem.tmp
2015-04-30 16:02 - 2015-04-30 16:02 - 00037583 _____ () C:\ComboFix.txt
2015-04-30 15:26 - 2015-04-30 15:26 - 00000000 ____ D () C:\Program Files (x86)\Elex-tech
DeleteQuarantine:
CMD: C:\Users\X122\Downloads\ComboFix.exe /uninstall

Uruchom FRST i kliknij Fix. Skasuj folder C:\FRST

Dysk przeskanuj Malwarebytes Anti-Malware

Podczas instalacji usuń zaznaczenie przy Uruchom okres testowy Malwarebytes Anti-Malware Premium.

http://wstaw.org/m/2014/03/25/2014-03-25_123039.png

Język PL > Settings > General Settings > Language > Polish

Przeczytaj w jaki sposób należy instalować programy: KLIK - KLIK - KLIK - KLIK

Odinstaluj:

Adobe Reader 9

Java 7 Update 71

Java 8 Update 31

Zainstaluj:

Adobe Reader XI 11.0.10

Java 8 Update 45


(Giertych) #5

Dziękuje za pomoc, ale nadal problem istnieje przy próbie włączenia aplikacji np. świeżo zainstalowanego Adobe Reader program antywirusowy ESET podaje komunikat.

 

Znaleziono zagrożenie pamięci

Obiekt: Pamięć operacyjna >>AcroRd32.exe (4204)

Zagrożenie : odmiana zagrożenia Win32/PSW.Papras.DH koń trojański

Informacje: wyleczony - zawierał zainfekowane pliki

 

Nadal mam nadzieje ze da się to świństwo usunąć, tylko jak???


(Atis) #6

Jeżeli wykrywa tylko w jednym pliku to może być błąd skanera.

Przeskanuj ten plik na: https://www.virustotal.com/

Możesz również całkowicie odinstalować Adobe Reader, a w zamian zainstaluj Sumatra PDF, PDF-XChange Viewer lub Foxit Reader.


(Giertych) #7

Problem dotyczył pamięci operacyjnej a nie poszczególnych plików. W końcu po odinstalowaniu  tymczasowym Eseta skuteczne okazało się http://www.kaspersky.com/antivirus-removal-tool?form=1

 

Nie mogłem zbyt długo testować komputera ale komunikaty ponownie zainstalowanego Eseta ustały.

 

Może komuś kasperski też pomoże.

Dziekuje Atis za pomoc.