sfox
(sfox)
8 Czerwiec 2015 20:07
#1
Witam, mam problem z wirusem, który zainfekował się z pendrive (niestety z drukarni)…
Wirus, tworzy na pendrive taki oto plik ukryty : 9975759809ee69cc2d0562054d998149.exe
Skanowałem ADWCleaner i wykrywa w rejestrze szkodliwy wpis, usuwam uruchamiam komputer i ponownie jest…
Dołączam skany z FRST:
http://www.wklej.org/id/1733174/
http://www.wklej.org/id/1733175/
http://www.wklej.org/id/1733177/
Dziękuję za pomoc
Wklej do notatnika:
CloseProcesses:
HKLM\...\Run: [9975759809ee69cc2d0562054d998149] = C:\Users\Michał\AppData\Local\Temp\skype.exe [82432 2015-02-21] (Windows) ===== ATTENTION
HKU\S-1-5-21-3042137835-220820120-4174318524-1001\...\Run: [9975759809ee69cc2d0562054d998149] = C:\Users\Michał\AppData\Local\Temp\skype.exe [82432 2015-02-21] (Windows) ===== ATTENTION
Startup: C:\Users\Michał\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\9975759809ee69cc2d0562054d998149.exe [2015-05-29] (Windows)
SearchScopes: HKU\.DEFAULT - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-19 - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-20 - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
S3 MSICDSetup; \??\J:\CDriver64.sys [X]
S3 NTIOLib_1_0_3; \??\C:\Program Files (x86)\MSI\Super Charger\NTIOLib_X64.sys [X]
S3 NTIOLib_1_0_C; \??\J:\NTIOLib_X64.sys [X]
S3 NTIOLib_FastBoot; \??\C:\Program Files (x86)\MSI\Fast Boot\NTIOLib_X64.sys [X]
S3 NTIOLib_MSIClock_CC; \??\C:\Program Files (x86)\MSI\Command Center\ClockGen\NTIOLib_X64.sys [X]
S3 NTIOLib_MSICOMM_CC; \??\C:\Program Files (x86)\MSI\Command Center\NTIOLib_X64.sys [X]
S3 NTIOLib_MSICPU_CC; \??\C:\Program Files (x86)\MSI\Command Center\CPU\NTIOLib_X64.sys [X]
S3 NTIOLib_MSIDDR_CC; \??\C:\Program Files (x86)\MSI\Command Center\DDR\NTIOLib_X64.sys [X]
S3 NTIOLib_MSIFrequency_CC; \??\C:\Program Files (x86)\MSI\Command Center\ClockGen\CPU_Frequency\NTIOLib_X64.sys [X]
S3 NTIOLib_MSIRatio_CC; \??\C:\Program Files (x86)\MSI\Command Center\CPU\CPU_Ratio\NTIOLib_X64.sys [X]
S3 NTIOLib_MSISMB_CC; \??\C:\Program Files (x86)\MSI\Command Center\SMBus\NTIOLib_X64.sys [X]
S3 NTIOLib_MSISuperIO_CC; \??\C:\Program Files (x86)\MSI\Command Center\SuperIO\NTIOLib_X64.sys [X]
2015-06-08 15:31 - 2015-06-08 15:31 - 02231296 _____ C:\Users\Michał\Downloads\adwcleaner_4.206_www.INSTALKI.pl.exe
C:\Users\Michał\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\9975759809ee69cc2d0562054d998149.exe
EmptyTemp:
Plik zapisz jako fixlist.txt i umieść w tym samym katalogu co FRST Uruchom FRST klikasz Fix Raport z usuwania pokaż na forum. Następnie ponownie uruchom FRST klikasz Scan pokaż nowy raport FRST.txt na forum
Wykonaj pełny skan Malwarebytes http://www.dobreprogramy.pl/Malwarebyte … 13117.html (w trakcie instalacji odznacz okres testowy) Wykonaj pełny skan, jeśli program coś wykryje pokaż raport na forum.
sfox
(sfox)
9 Czerwiec 2015 14:50
#5
Raport z Malware (on wykrywa szkodliwe wpisy daje usuń ale nie usuwa, coś przywraca po starcie systemu te wpisy w rejestrze…),
http://wklej.org/id/1733764/
Po wykonanej operacji proszę mi pokazać raport z usuwania oraz nowy raport FRST
Wklej do notatnika:
CloseProcesses:
HKU\S-1-5-21-3042137835-220820120-4174318524-1001\...\Run: [9975759809ee69cc2d0562054d998149] = C:\Users\Michał\AppData\Local\Temp\skype.exe [82432 2015-02-21] (Windows) ===== ATTENTION
Startup: C:\Users\Michał\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\9975759809ee69cc2d0562054d998149.exe [2015-06-09] (Windows)
Startup: C:\Users\Michał\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Trapcode.exe [2015-05-29] (Windows)
2015-06-05 23:16 - 2015-06-08 13:40 - 00000080 _____ C:\Users\Michał\AppData\Local剜捯獫慴慇敭屳呇⁁屖湥楴汴浥湥湩潦
C:\Users\Michał\AppData\Local\Temp\skype.exe
C:\Users\Michał\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\9975759809ee69cc2d0562054d998149.exe
AlternateDataStreams: C:\Users\Michał\AppData\Local\Temp:SzuNCrhFujxPqj6L1fqUPTrW
EmptyTemp:
Plik zapisz jako fixlist.txt i umieść w tym samym katalogu co FRST Uruchom FRST klikasz Fix Raport z usuwania pokaż na forum. Następnie ponownie uruchom FRST klikasz Scan pokaż nowy raport FRST.txt na forum
sfox
(sfox)
9 Czerwiec 2015 15:37
#7
Dlaczego instalowałeś MCAfee skoro masz Eseta? Proszę go odinstalować.
Wklej do notatnika:
CloseProcesses:
S4 0001141433860003mcinstcleanup; C:\Users\MICHA~1\AppData\Local\Temp\000114~1.EXE -cleanup -nolog [X]
DeleteQuarantine:
EmptyTemp:
Plik zapisz jako fixlist.txt i umieść w tym samym katalogu co FRST Uruchom FRST klikasz Fix Raport z usuwania pokaż na forum.
sfox
(sfox)
10 Czerwiec 2015 19:13
#9
Log z usuwania : http://wklej.org/id/1735117/
Co do MCAfee tak jak go zainstalowałem, to równie szybko go odinstalowałem, gdyż bardzo spowolnił mi komputer, a dlaczego zainstalowałem? Ponieważ po wpisaniu pliku tego “9975759809ee69cc2d0562054d998149.exe” w googlach od razu wyświetliła mi się informacja McAfee który ma zdefiniowanego robaka i jeśli zainstaluje program to mi go usunie. Niestety po zainstalowaniu samego McAfee, komputer mi zwolnił w taki sposób, że potem trzeba było odinstalować w trybie awarayjnym McAfee. więc obecnie mam tylko Eseta (do grudnia mam wykupioną subskrypcje).
Niestety po zainstalowaniu samego McAfee, komputer mi zwolnił w taki sposób, że potem trzeba było odinstalować w trybie awarayjnym McAfee. więc obecnie mam tylko Eseta (do grudnia mam wykupioną subskrypcje).
Tak to jest gdy na komputerze działają dwa antywirusy.
Podłącz pendrive, uruchom FRST klikasz Scan pokaż nowy raport FRST.txt na forum.
sfox
(sfox)
11 Czerwiec 2015 20:18
#11
Mnie chodzi właśnie o to, aby usunąć to co pozostało po MCAfee.
2015-06-09 11:15 - 2015-06-09 11:15 - 00000000 ____D C:\Program Files (x86)\McAfee.com 2015-06-09 11:14 - 2015-06-09 16:26 - 00000000 ____D C:\Program Files\McAfee 2015-06-09 11:14 - 2015-06-09 11:20 - 00000000 ____D C:\Program Files (x86)\McAfee 2015-06-09 11:14 - 2015-06-09 11:14 - 00000000 ____D C:\Program Files\McAfee.com 2015-06-09 11:10 - 2015-06-09 16:28 - 00000000 ____D C:\ProgramData\McAfee 2015-06-09 11:10 - 2015-06-09 16:28 - 00000000 ____D C:\Program Files\Common Files\McAfee 2015-06-09 11:10 - 2015-02-17 14:36 - 00250672 _____ (McAfee, Inc.) C:\WINDOWS\system32\mfevtps.exe R3 mfeaack; C:\Windows\System32\drivers\mfeaack.sys [401736 2015-02-17] (McAfee, Inc.) R3 mfeavfk; C:\Windows\System32\drivers\mfeavfk.sys [337888 2015-02-17] (McAfee, Inc.) R0 mfedisk; C:\Windows\System32\DRIVERS\mfedisk.sys [101872 2015-02-17] (McAfee, Inc.) R0 mfehidk; C:\Windows\System32\drivers\mfehidk.sys [864072 2015-02-17] (McAfee, Inc.) Proszę użyć McAfee Consumer Product Removal tool http://www.majorgeeks.com/files/details/mcafee_consumer_product_removal_tool.html Po tym pokaż nowy raport FRST.txt
sfox
(sfox)
11 Czerwiec 2015 23:12
#13
Użyłem McAfee Consumer Product Removal (uruchomiłem po tym komputer)
oto nowy raport FRST
Wklej do notatnika:
CloseProcesses:
CreateRestorePoint:
S2 mfemms; "C:\Program Files\Common Files\McAfee\SystemCore\\mfemms.exe" [X]
S3 mfeaack; C:\Windows\System32\drivers\mfeaack.sys [401736 2015-02-17] (McAfee, Inc.)
R0 mfedisk; C:\Windows\System32\DRIVERS\mfedisk.sys [101872 2015-02-17] (McAfee, Inc.)
C:\Users\Michał\AppData\Local剜捯獫慴慇敭屳呇⁁屖湥楴汴浥湥湩潦
C:\Users\Michał\Downloads\Setup_serial_2n4yDlvvYx4b4y3XJkmiCA2_key.exe
C:\AdwCleaner
EmptyTemp:
Plik zapisz jako fixlist.txt i umieść w tym samym katalogu co FRST Uruchom FRST klikasz Fix Raport z usuwania pokaż na forum.
sfox
(sfox)
14 Czerwiec 2015 14:57
#15
http://wklej.org/id/1738014/ - FixLog
Niestety po tej operacji, po ponownym uruchomieniu komputera, przy startowaniu Windowsa 8 (nie wyświetliło się nawet okno do logowania), wyskoczył BlueScreen. Musiałem cofnąć system do punktu w którym to co mi dałeś w notatniku nie zostało zastosowane.
Punkt przywracania systemu został utworzony przez FRST - to wynika ze skryptu i tak miało być w razie problemów. Pokaż proszę nowy raport FRST.txt
sfox
(sfox)
14 Czerwiec 2015 21:33
#17
No i właśnie z tego punktu FRST skorzystałem,
Log ze skanu : http://wklej.org/id/1738508/
P.S. dziś jeszcze zakupiłem wersje premium AntiMalware na rok.
Zanim przejdziemy do usuwania. Proszę o raport Autoruns http://www.dobreprogramy.pl/AutoRuns,Pr … 13208.html Po zakończony skanie zapisz raport spakuj plik i wrzuć na jakiś hosting. Link do niego podajesz tutaj.