Win32:Dropper-gen, Win32 Malware-gen, Win32:Adware-gen

Dla specjalistów Bezpieczeństwo
#1

Witam

 

Miesiąc temu złapałem kilika wirusów na kompie. Przeskanowałem avastem i usunełem wirusy i wszystko grało. Dzisiaj ponownie zrobiłem skan  avastem i wykrył 5 zagrożeń. Nie podjełem zadnych działań na avast typu kwarantanna czy usuniecie tylko przeskanowałem dodatkowo OTL i FRST i logi poniżej. System Windows 7 64bit. Proszę o pomoc.

 

 

#2

Pobierz i uruchom AdwCleaner Kliknij Szukaj i później Usuń.

Kliknij Scan i pokaż nowy raport z FRST bez Addition.

#3

AdwCleaner zrobione. Nowe logi FRST

#4

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

HKLM-x32\...\Run: [mbot_pl_160] => [X]
Startup: C:\Users\Spawn\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Torpedo.lnk
StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - No File
FF HKLM-x32\...\Firefox\Extensions: [detgdp@gmail.com] - C:\Users\Spawn\AppData\Roaming\Mozilla\Firefox\Profiles\s4wvlilt.default\extensions\detgdp@gmail.com
S3 wikfjewe; No ImagePath
S3 AxtuDrv; \??\C:\Windows\SysWOW64\Drivers\AxtuDrv.sys [X]
C:\Windows\system32\WPRO_41_2001woem.tmp
C:\AdwCleaner
Task: {55DF962F-3121-4AE9-AB4E-68C7B37BBA0F} - System32\Tasks\4dc84d17-6b16-4492-9954-6f3bf05ba343-4 => C:\Program Files (x86)\Cinemax\4dc84d17-6b16-4492-9954-6f3bf05ba343-4.exe <==== ATTENTION
Task: {5BAD3EB1-EB28-44D4-BE88-904CC12C3F15} - System32\Tasks\Installer_cr => C:\Users\Spawn\AppData\Local\Installer\Installcr_25970\DCytdieamo_amodc_setup.exe [2014-12-22] () <==== ATTENTION
Task: {5FE71E0B-65F5-496D-853F-46EBEE93FC8D} - System32\Tasks\4dc84d17-6b16-4492-9954-6f3bf05ba343-5_user => C:\Program Files (x86)\Cinemax\4dc84d17-6b16-4492-9954-6f3bf05ba343-5.exe <==== ATTENTION
Task: {85949685-57BA-4635-802D-DFC21CDFBCB1} - System32\Tasks\YTDownloader => C:\Program Files (x86)\YTDownloader\YTDownloader.exe <==== ATTENTION
Task: {BCEC10FE-821E-4260-A3E1-9DCBA7CED69C} - System32\Tasks\globalUpdateUpdateTaskMachineUA => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [2014-12-22] (globalUpdate) <==== ATTENTION
Task: {CAEB134E-C8DA-440C-811D-CCFE7151FECD} - System32\Tasks\4dc84d17-6b16-4492-9954-6f3bf05ba343-1 => C:\Program Files (x86)\Cinemax\Cinemax-codedownloader.exe <==== ATTENTION
Task: {D342ED8E-8E07-4709-8419-CBF5A68F9471} - System32\Tasks\globalUpdateUpdateTaskMachineCore => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [2014-12-22] (globalUpdate) <==== ATTENTION
Task: {E8560F53-FAA8-48A4-B88D-2E5687D04684} - System32\Tasks\4dc84d17-6b16-4492-9954-6f3bf05ba343-5 => C:\Program Files (x86)\Cinemax\4dc84d17-6b16-4492-9954-6f3bf05ba343-5.exe <==== ATTENTION
Task: {EE634216-299A-4857-A5DC-47DF673B5067} - System32\Tasks\4dc84d17-6b16-4492-9954-6f3bf05ba343-2 => C:\Program Files (x86)\Cinemax\4dc84d17-6b16-4492-9954-6f3bf05ba343-2.exe [2014-12-22] (SBG) <==== ATTENTION
Task: C:\Windows\Tasks\4dc84d17-6b16-4492-9954-6f3bf05ba343-1.job => C:\Program Files (x86)\Cinemax\Cinemax-codedownloader.exe <==== ATTENTION
Task: C:\Windows\Tasks\4dc84d17-6b16-4492-9954-6f3bf05ba343-2.job => C:\Program Files (x86)\Cinemax\4dc84d17-6b16-4492-9954-6f3bf05ba343-2.exe <==== ATTENTION
Task: C:\Windows\Tasks\4dc84d17-6b16-4492-9954-6f3bf05ba343-4.job => C:\Program Files (x86)\Cinemax\4dc84d17-6b16-4492-9954-6f3bf05ba343-4.exe <==== ATTENTION
Task: C:\Windows\Tasks\4dc84d17-6b16-4492-9954-6f3bf05ba343-5.job => C:\Program Files (x86)\Cinemax\4dc84d17-6b16-4492-9954-6f3bf05ba343-5.exe <==== ATTENTION
Task: C:\Windows\Tasks\4dc84d17-6b16-4492-9954-6f3bf05ba343-5_user.job => C:\Program Files (x86)\Cinemax\4dc84d17-6b16-4492-9954-6f3bf05ba343-5.exe <==== ATTENTION
Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineCore.job => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe <==== ATTENTION
Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineUA.job => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe <==== ATTENTION
EmptyTemp:

Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.

Kliknij Scan i pokaż nowy raport z FRST bez Addition.

#5

Zrobione. Logi w załączniku

#6

Nie wiem, co robisz, ale o 21:25 pojawiły się nowe szkodliwe programy.

Pokaż nowy raport Addition.

#7

Hmm dziwne nic nie instalowałem tylko na necie siedze ale to standardowe strony. Nowe logi.

 

 

może przypadkowo stare logi wkleiłem?

#8

W panelu sterowania odinstaluj Object Browser.

Pobierz i uruchom AdwCleaner Kliknij Szukaj i później Usuń.

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

CloseProcesses:
S2 globalUpdate; C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [68608 2015-01-03] (globalUpdate) [File not signed]
S3 globalUpdatem; C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [68608 2015-01-03] (globalUpdate) [File not signed]
C:\Program Files (x86)\Object Browser
C:\Users\Spawn\AppData\Roaming\*.exe
C:\Users\Spawn\AppData\Local\globalUpdate
C:\Program Files (x86)\globalUpdate
Task: {03BB9E01-CF39-4227-94B6-A5255D6D9717} - System32\Tasks\161745b1-8efa-4d15-aa55-1382713105bf-4 => C:\Program Files (x86)\Object Browser\161745b1-8efa-4d15-aa55-1382713105bf-4.exe [2015-01-03] (Object Browser) <==== ATTENTION
Task: {0E9C340F-6926-4975-B7D5-25D2CBC011A3} - System32\Tasks\161745b1-8efa-4d15-aa55-1382713105bf-5 => C:\Program Files (x86)\Object Browser\161745b1-8efa-4d15-aa55-1382713105bf-5.exe [2015-01-03] (Object Browser) <==== ATTENTION
Task: {109D54E3-5B0A-47FA-80BA-6E12CFF9D4BA} - System32\Tasks\XIQF => C:\Users\Spawn\AppData\Roaming\XIQF.exe [2015-01-03] (Object Browser) <==== ATTENTION
Task: {684CF6BF-38D4-4F3D-B524-0EF145A09D03} - \globalUpdateUpdateTaskMachineUA No Task File <==== ATTENTION
Task: {6ED320EB-F246-4A26-95C9-36A3F622A9AB} - System32\Tasks\161745b1-8efa-4d15-aa55-1382713105bf-1 => C:\Program Files (x86)\Object Browser\Object Browser-codedownloader.exe [2015-01-03] (Object Browser) <==== ATTENTION
Task: {7F22816D-B87E-4EDD-8B51-101FB7CD75B1} - System32\Tasks\161745b1-8efa-4d15-aa55-1382713105bf-2 => C:\Program Files (x86)\Object Browser\161745b1-8efa-4d15-aa55-1382713105bf-2.exe [2015-01-03] (Object Browser) <==== ATTENTION
Task: {D99C9E68-7E13-4CBB-B395-E1D9251AB90D} - System32\Tasks\161745b1-8efa-4d15-aa55-1382713105bf-5_user => C:\Program Files (x86)\Object Browser\161745b1-8efa-4d15-aa55-1382713105bf-5.exe [2015-01-03] (Object Browser) <==== ATTENTION
Task: {DC7F76CA-EA20-4FB1-A6E9-D5E74C5CA251} - \globalUpdateUpdateTaskMachineCore No Task File <==== ATTENTION
Task: {F711EEE9-3FD5-40E5-88E3-75B505F76F62} - System32\Tasks\RZVZ => C:\Users\Spawn\AppData\Roaming\RZVZ.exe [2015-01-03] (Object Browser) <==== ATTENTION
Task: C:\Windows\Tasks\161745b1-8efa-4d15-aa55-1382713105bf-1.job => C:\Program Files (x86)\Object Browser\Object Browser-codedownloader.exe <==== ATTENTION
Task: C:\Windows\Tasks\161745b1-8efa-4d15-aa55-1382713105bf-2.job => C:\Program Files (x86)\Object Browser\161745b1-8efa-4d15-aa55-1382713105bf-2.exe <==== ATTENTION
Task: C:\Windows\Tasks\161745b1-8efa-4d15-aa55-1382713105bf-4.job => C:\Program Files (x86)\Object Browser\161745b1-8efa-4d15-aa55-1382713105bf-4.exe <==== ATTENTION
Task: C:\Windows\Tasks\161745b1-8efa-4d15-aa55-1382713105bf-5.job => C:\Program Files (x86)\Object Browser\161745b1-8efa-4d15-aa55-1382713105bf-5.exe <==== ATTENTION
Task: C:\Windows\Tasks\161745b1-8efa-4d15-aa55-1382713105bf-5_user.job => C:\Program Files (x86)\Object Browser\161745b1-8efa-4d15-aa55-1382713105bf-5.exe <==== ATTENTION
Task: C:\Windows\Tasks\RZVZ.job => C:\Users\Spawn\AppData\Roaming\RZVZ.exe <==== ATTENTION
Task: C:\Windows\Tasks\XIQF.job => C:\Users\Spawn\AppData\Roaming\XIQF.exe <==== ATTENTION
EmptyTemp:

Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.

Kliknij Scan i pokaż nowy raport z FRST bez Addition.

#9

Zrobione. Logi

#10

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
C:\AdwCleaner
DeleteQuarantine:

Uruchom FRST i kliknij Fix. Skasuj folder C:\FRST

Usuń stare punkty przywracania: Aby usunąć wszystkie punkty przywracania

Dysk przeskanuj Malwarebytes Anti-Malware

Podczas instalacji usuń zaznaczenie przy Uruchom okres testowy Malwarebytes Anti-Malware Premium.

http://wstaw.org/m/2014/03/25/2014-03-25_123039.png

Język PL > Settings > General Settings > Language > Polish

#11

Wykonałem wszystkie czynności. Malwarebytes wykrył jeszcze 5 zagrożeń, same instalki które usunąłem. Raport w załączniku. Po ponownym przeskanowaniu już nic nie wykryło, kwarantanna też czysta. Coś jeszcze??

#12

Dodaj do kwarantanny i to wszystko.

Cyfry w nazwie plików wskazują, że to jest asystent pobierania.

W innym temacie podałem link, że masz unikać wszelkich asystentów, SoftonicDownloaderów itp:

http://www.fixitpc.pl/topic/19809-portale-z-oprogramowaniem-instalatory-na-co-uważać/

#13

Dziękuje bardzo za pomoc.