Dziwna usługa i plik będący wirusem.

[domestoz]

Witam,
pojawił mi się, już drugi raz, dziwna usługa i plik o losowych nazwach. Plik nazywa się arefaitstech.exe, wynik na VT:

Kod:

https://www.virustotal.com/pl/file/7c1cedc37bccb90c7c8f5b194c6b907fe73f56c25b87b749ea62ed5d5940928d/analysis/1420176015/

Tak wygląda usługa: [attachment=0]<!-- ia0 -->2464-0-55530000-1420227490.jpg<!-- ia0 -->[/attachment] oczywiście wyłączyłem i plik usunąłem.

Jakoś 3 tygodnie temu gdy dostałem ten komputer, to po zainstalowaniu windowsa i sterowników/programów także miałem coś takiego samego, tylko usługa i plik miały inną losową nazwę...


LOGI:
OTL

[Aby zobaczyć linki, zarejestruj się tutaj]

EXTAS

[Aby zobaczyć linki, zarejestruj się tutaj]

FRST

[Aby zobaczyć linki, zarejestruj się tutaj]

ADDITIONAL

[Aby zobaczyć linki, zarejestruj się tutaj]

SHORTCUT

[Aby zobaczyć linki, zarejestruj się tutaj]

[tachion]

Ogólnie usługa już jest martwa.

Do notatnika wklej i zapisz jako fixlist.txt

Kod:

CloseProcesses:
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
S4 CapsSotDaunt; "C:\Windows\SysWOW64\arefaitstech.exe" [X]
C:\Windows\SysWOW64\quospattyaurum.bin
C:\Windows\system32\quospattyaurum.bin
C:\ProgramData\-
C:\Users\DRAKO\AppData\Roaming\Neurotoxin
C:\ProgramData\DP45977C.lfl
C:\Program Files (x86)\Temp
C:\Users\DRAKO\AppData\Roaming\java
C:\Windows\SysWOW64\torihosesgoner.dll
CMD: netsh advfirewall reset
CMD: dir /a "C:\Program Files"
CMD: dir /a "C:\Program Files (x86)"
CMD: dir /a "C:\Program Files (x86)\Common Files"
CMD: dir /a C:\ProgramData
CMD: dir /a C:\Users\DRAKO\AppData\Local
CMD: dir /a C:\Users\DRAKO\AppData\LocalLow
CMD: dir /a C:\Users\DRAKO\AppData\Roaming
EmptyTemp:

Zapisany skrypt umieść obok ściągniętego programu FRST
Następnie w programie kliknij Fix,po wykonaniu pokaż raport z tego działania.

Rozumiem że to ma tak być

C:\Users\DRAKO\Desktop\Odpalony - NieBezpiecznY.htm
C:\Users\DRAKO\Desktop\Odpalony - NieBezpiecznY_pliki

Ściągnij program

[Aby zobaczyć linki, zarejestruj się tutaj]

uruchom kliknij w Change paramters,zaznacz wszystko klik ok i następnie Start Scan
Po wszystkim przedstaw raport po skanowaniu,ale nie przenoś niczego do kwarantanny i nie usuwaj.

Przeskanuj partycję d:\ programem Malwarebytes Anti-Malware

[Aby zobaczyć linki, zarejestruj się tutaj]

Nie kombinowałeś też coś z crackami do gier czy programów ?

[domestoz]

Fixlog

[Aby zobaczyć linki, zarejestruj się tutaj]

Te pliki na pulpicie "Odpalony..." mają być.

TDSSKiller

[Aby zobaczyć linki, zarejestruj się tutaj]

Malwarebytes nic nie wykrył.

A co do cracków, no to niestety kombinowałem z crackami do Revo Uninstaller Pro oraz Camtasia Studio, bodajże zaraz po formacie, co by się w sumie zgadzało z tym, że 3 tygodnie temu także miałem podobny syf. Nie wiem, jakoś nie ogarnąłem, że to być może przez te cracki

[tachion]

Ok to by było na tyle.

OscarEditor.exe wykryte przez tdss jest prawidłowy.

Ściągnij

[Aby zobaczyć linki, zarejestruj się tutaj]

Zapisz na pulpicie,uruchom i zaznacz Remove disinfection tools,następnie kliknij Run
Program do usuwania wszelkich użytych narzędzi typu OTL.ADW.FRST i innych.