Witam,
pojawił mi się, już drugi raz, dziwna usługa i plik o losowych nazwach. Plik nazywa się arefaitstech.exe, wynik na VT:
Kod:
https://www.virustotal.com/pl/file/7c1cedc37bccb90c7c8f5b194c6b907fe73f56c25b87b749ea62ed5d5940928d/analysis/1420176015/
Tak wygląda usługa: [attachment=0]<!-- ia0 -->2464-0-55530000-1420227490.jpg<!-- ia0 -->[/attachment] oczywiście wyłączyłem i plik usunąłem.
Jakoś 3 tygodnie temu gdy dostałem ten komputer, to po zainstalowaniu windowsa i sterowników/programów także miałem coś takiego samego, tylko usługa i plik miały inną losową nazwę...
LOGI:
OTL
[Aby zobaczyć linki, zarejestruj się tutaj]
EXTAS
[Aby zobaczyć linki, zarejestruj się tutaj]
FRST
[Aby zobaczyć linki, zarejestruj się tutaj]
ADDITIONAL
[Aby zobaczyć linki, zarejestruj się tutaj]
SHORTCUT
[Aby zobaczyć linki, zarejestruj się tutaj]
Ogólnie usługa już jest martwa.
Do notatnika wklej i zapisz jako
fixlist.txt
Kod:
CloseProcesses:
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
S4 CapsSotDaunt; "C:\Windows\SysWOW64\arefaitstech.exe" [X]
C:\Windows\SysWOW64\quospattyaurum.bin
C:\Windows\system32\quospattyaurum.bin
C:\ProgramData\-
C:\Users\DRAKO\AppData\Roaming\Neurotoxin
C:\ProgramData\DP45977C.lfl
C:\Program Files (x86)\Temp
C:\Users\DRAKO\AppData\Roaming\java
C:\Windows\SysWOW64\torihosesgoner.dll
CMD: netsh advfirewall reset
CMD: dir /a "C:\Program Files"
CMD: dir /a "C:\Program Files (x86)"
CMD: dir /a "C:\Program Files (x86)\Common Files"
CMD: dir /a C:\ProgramData
CMD: dir /a C:\Users\DRAKO\AppData\Local
CMD: dir /a C:\Users\DRAKO\AppData\LocalLow
CMD: dir /a C:\Users\DRAKO\AppData\Roaming
EmptyTemp:
Zapisany skrypt umieść obok ściągniętego programu
FRST
Następnie w programie kliknij
Fix,po wykonaniu pokaż raport z tego działania.
Rozumiem że to ma tak być
C:\Users\DRAKO\Desktop\Odpalony - NieBezpiecznY.htm
C:\Users\DRAKO\Desktop\Odpalony - NieBezpiecznY_pliki
Ściągnij program
[Aby zobaczyć linki, zarejestruj się tutaj]
uruchom kliknij w Change paramters,zaznacz wszystko klik ok i następnie Start Scan
Po wszystkim przedstaw raport po skanowaniu,ale nie przenoś niczego do kwarantanny i nie usuwaj.
Przeskanuj partycję
d:\ programem
Malwarebytes Anti-Malware
[Aby zobaczyć linki, zarejestruj się tutaj]
Nie kombinowałeś też coś z crackami do gier czy programów ?
Fixlog
[Aby zobaczyć linki, zarejestruj się tutaj]
Te pliki na pulpicie "Odpalony..." mają być.
TDSSKiller
[Aby zobaczyć linki, zarejestruj się tutaj]
Malwarebytes nic nie wykrył.
A co do cracków, no to niestety kombinowałem z crackami do Revo Uninstaller Pro oraz Camtasia Studio, bodajże zaraz po formacie, co by się w sumie zgadzało z tym, że 3 tygodnie temu także miałem podobny syf. Nie wiem, jakoś nie ogarnąłem, że to być może przez te cracki
Ok to by było na tyle.
OscarEditor.exe wykryte przez tdss jest prawidłowy.
Ściągnij
[Aby zobaczyć linki, zarejestruj się tutaj]
Zapisz na pulpicie,uruchom i zaznacz
Remove disinfection tools,następnie kliknij
Run
Program do usuwania wszelkich użytych narzędzi typu OTL.ADW.FRST i innych.