Eset Online Scanner wykrył zagrożenia

[stanley50]

Od zakupu t.j.3 lata system działa właściwie bez jakiś większych komplikacji, zdarzają się jakieś błędy w dzienniku zdarzeń, ale jakoś nie przeszkadza mi to w użytkowaniu. Mam zainstalowany systemowy antywirus Essentials i Malwarebytes  Anti-Malware. Ostatnio podczas otwierania przeglądarek Internet Explorer i Chrome na samym początku po otwarciu znacznie dłużej trwa zanim okna staną się aktywne. Zacząłem trochę szukać przyczyny, ale nic konstruktywnego nie znalazłem, napotkałem za to Eset Online Scanner i uruchomiłem go. Po zakończeniu skanowania odnalazł mi jakieś zagrożenia, ale nie usuwałem ich, bo nie wiem czy to nie fałszywy alarm, ponieważ w trakcie używania systemu Essentials i Malwarebytes wiele razy uchroniły mnie przed różnego rodzaju paskudztwami. Więc zapisałem tylko wynik skanowania do pliku txt. Proszę o ewentualną analizę logów. Acha przy pierwszym uruchomieniu Gmera nastąpił blue screen.

Addition.txt

Eset online scanner.txt

FRST.txt

gmer.txt

Shortcut.txt

[picasso]

Brak oznak czynnej infekcji. Skaner ESET nie wykrył nic istotnego, większość wyników to są po prostu instalatory z adware. Instalatory próbują instalować to co jest w nazwie kodowej: toolbary Ask/Google, platforma reklamodawcza OpenCandy, a Win32/DobreProgramy to "Asystent pobierania" dobrychprogramów a nie instalator właściwy. Możesz usunąć wszystko z wyjątkiem tych dwóch wyników (to już zainstalowany program):

 

C:\Program Files (x86)\Cheat Engine 6.2\cheatengine-i386.exe odmiana zagrożenia Win32/HackTool.CheatEngine.AB potencjalnie niebezpieczna aplikacja

C:\Program Files (x86)\Cheat Engine 6.2\standalonephase1.dat odmiana zagrożenia Win32/HackTool.CheatEngine.AF potencjalnie niebezpieczna aplikacja

 

I jeszcze możesz wykonać kosmetyczne poprawki na wpisy puste / zbędne:

 

1. Odinstaluj stary Adobe Shockwave Player 11.6. To samo powinno tyczyć Gadu-Gadu 10 (to najgorsza i nabardziej zasobożerna wersja) - albo zastąpić najnowszym GG12 (jest lepsze i ma mniej reklam), albo alternatywą WTW: KLIK.

 

2. Zresetuj cache wtyczek Google Chrome, by usunąć puste wpisy. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

 

3. Do Notatnika wklej:

 

HKLM-x32\...\Run: [] => [X]
CustomCLSID: HKU\S-1-5-21-339540346-3109504209-938711790-1001_Classes\CLSID\{D0336C0B-7919-4C04-8CCE-2EBAE2ECE8C9}\InprocServer32 -> C:\Users\DOMOWY\AppData\Local\Google\Update\1.3.25.11\psuser_64.dll No File
Task: {09BC3A3E-6376-4D8C-A06C-27E2DD4ED820} - System32\Tasks\{74672ACB-F84A-4247-AA4F-EC5B05AE3952} => pcalua.exe -a "C:\Users\DOMOWY\Desktop\wszystko co związane z areo2\Driver_4.23.13.00\DriverUninstall.exe" -d "C:\Users\DOMOWY\Desktop\wszystko co związane z areo2\Driver_4.23.13.00"
Task: {1A71CFC5-641F-40B5-A75E-D778F11F492D} - System32\Tasks\{4AEDB217-4E36-414A-BB5A-6885464E850E} => pcalua.exe -a "C:\Users\DOMOWY\Desktop\wszystko co związane z areo2\Driver_4.23.13.00\DriverSetup.exe" -d "C:\Users\DOMOWY\Desktop\wszystko co związane z areo2\Driver_4.23.13.00"
Task: {2DFD0A60-5AD3-4DCA-BC04-48C7B3E3E1AD} - System32\Tasks\{02584DEB-7A83-45D8-8730-FB8AAB7832AA} => pcalua.exe -a C:\Users\DOMOWY\Desktop\Driver_4.23.13.00\DriverUninstall.exe -d C:\Users\DOMOWY\Desktop\Driver_4.23.13.00
Task: {3EE03CB9-7894-4700-8491-F9841512B14F} - System32\Tasks\{0B6859AD-E432-46E5-87DE-9D1BA3618EDA} => pcalua.exe -a C:\Users\DOMOWY\Desktop\Driver_4.23.13.00\DriverSetup.exe -d C:\Users\DOMOWY\Desktop\Driver_4.23.13.00
Task: {46314A3B-091B-44A1-A904-89670C55AB72} - System32\Tasks\{130E0415-69AF-461A-AD42-767A08C95F24} => pcalua.exe -a C:\Users\DOMOWY\Downloads\WinSetupFromUSB-0.1.1.exe -d C:\Users\DOMOWY\Downloads
Task: {4A8391C7-5E84-465C-9CBB-2917595F0F67} - System32\Tasks\{298D5FDD-667E-47A3-AFB6-F662CAA6A7A7} => pcalua.exe -a "C:\Program Files (x86)\PdaNet for Android\drvins.exe" -d "C:\Program Files (x86)\PdaNet for Android" -c /dr
Task: {7EFB7C4F-0137-41B2-BC34-00DD578BC36B} - System32\Tasks\{21A162A1-AC12-4FCC-BD78-A5A0C024D1D0} => pcalua.exe -a C:\Users\DOMOWY\Downloads\TForce4_186_manual.exe -d C:\Users\DOMOWY\Downloads
Task: {801CF207-385F-4FB3-844D-07DDE879851C} - System32\Tasks\{3A1B6200-876B-40AD-B7B5-C71E2495CCD3} => pcalua.exe -a "C:\Users\DOMOWY\Desktop\Nowy folder\DriverSetup.exe" -d "C:\Users\DOMOWY\Desktop\Nowy folder"
Task: {8F186446-24F0-4B90-8E43-DA316A261489} - System32\Tasks\{6920412B-10E8-44FB-96AD-EAC1E2B1BD81} => pcalua.exe -a C:\Users\DOMOWY\Downloads\Setup_1.0.0.250.exe -d C:\Users\DOMOWY\Desktop
Task: {929FD6BE-9E4D-4F3C-8FF3-F9A7E8EE6950} - System32\Tasks\{96A77388-0835-4F56-999A-D6706580786B} => pcalua.exe -a "C:\Users\DOMOWY\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\JMXQJVBD\AdobeAIRInstaller.exe" -d C:\Users\DOMOWY\Desktop
Task: {92AEE613-7C73-4C71-B699-74A5A0795F65} - System32\Tasks\{AB91BC68-572C-4CEC-BA2B-65F06EFF45C2} => pcalua.exe -a C:\Users\DOMOWY\Desktop\Driver\DriverSetup.exe -d C:\Users\DOMOWY\Desktop\Driver
Task: {9CDB81AA-24BB-443B-B51D-DD634F9E8F03} - System32\Tasks\{9E37B89C-C830-439A-B8A5-3CAE618EEA55} => pcalua.exe -a C:\Users\DOMOWY\Desktop\mflpro\Data\Disk1\setup.exe -d C:\Users\DOMOWY\Desktop\mflpro\Data\Disk1
Task: {A1551443-4A31-4466-A424-F134EBAB6589} - System32\Tasks\{B1F5599D-F1CC-4DE5-A96D-7CB7C3E11CFA} => pcalua.exe -a C:\Users\DOMOWY\Desktop\Driver\DriverUninstall.exe -d C:\Users\DOMOWY\Desktop\Driver
Task: {A5FEBF6D-0953-4254-90F2-703ED199DFA9} - \BatteryCareAuto No Task File 
Task: {B8DB9242-7FA9-49A2-9DA0-BC704A5CD549} - System32\Tasks\{3B7C1BCF-8B7D-462C-BE74-AEBCE640E191} => pcalua.exe -a "C:\Users\DOMOWY\Desktop\Nowy folder\DriverUninstall.exe" -d "C:\Users\DOMOWY\Desktop\Nowy folder"
Task: {C0A500CF-8365-4459-AC69-E8E3CE542084} - System32\Tasks\{6EE67B2C-F5B9-4318-98D9-43FE63E46143} => pcalua.exe -a C:\Users\DOMOWY\Downloads\VirtualBox-4.1.12-77245-Win.exe -d C:\Users\DOMOWY\Desktop
Task: {E1DE0B88-28C0-43CA-BA76-5B4645E67836} - System32\Tasks\{11843F18-8D16-4C54-9CF1-773589D56BF5} => pcalua.exe -a "C:\Program Files\BOA\UnInstall.exe" -d "C:\Program Files\BOA"
DPF: HKLM {166B1BCA-3F9C-11CF-8075-444553540000} http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
DPF: HKLM {233C1507-6A77-46A4-9443-F871F945D258} http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
DPF: HKLM {D27CDB6E-AE6D-11CF-96B8-444553540000} http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
C:\ProgramData\{*}.log
C:\Users\Default\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk
C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\CyberLink Blu-ray Disc Suite
C:\Users\DefaultAppPool\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk
C:\Users\DefaultAppPool\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\CyberLink Blu-ray Disc Suite
C:\Users\UpdatusUser\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk
C:\Users\UpdatusUser\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\CyberLink Blu-ray Disc Suite
C:\Users\DOMOWY\AppData\Roaming\VS Revo Group\Revo Uninstaller Pro\ADAU\HP Digital Imaging Monitor.lnk
C:\Users\DOMOWY\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FormatFactory\Uninstall.lnk
C:\Windows\pss\Serviio.lnk.Startup
C:\Windows\System32\Adobe\Shockwave 11
C:\Windows\SysWOW64\Adobe\Director
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^DOMOWY^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Serviio.lnk" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Logitech Download Assistant" /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw ten plik.

[stanley50]

Zalecenia wykonane, rozumiem, że instalatorów nie muszę usuwać tylko uważać na dodatki podczas instalacji? Z resztą nie tylko Cheat Engine mam zainstalowany, mam także zainstalowany FreeDVDVideoConverter jak i Format Factory, CCleaner, Cpu-z. Natomiast GG jest praktycznie nieużytkowany, tak z przyzwyczajenia siedzi w systemie. Adobe Shockwave Player 11.6. odinstalować i nie zastępować niczym? Rozumiem, że jest zbędny w systemie.

Fixlog.txt

[picasso]

Zalecenia wykonane, rozumiem, że instalatorów nie muszę usuwać tylko uważać na dodatki podczas instalacji? Z resztą nie tylko Cheat Engine mam zainstalowany, mam także zainstalowany FreeDVDVideoConverter jak i Format Factory, CCleaner, Cpu-z.

- Nie musisz wszystkich instalatorów usuwać, ale sugeruję to zrobić. Niektóre nawet nie są od najnowszych wersji. Wyjątkiem są dwa pliki:

LinuxLive-USB-Creator-LiLi(31072).exe - to nie jest poprawny instalator, to śmieć, czyli "Asystent pobierania": KLIK

Total Uninstall Pro 5.10.2.1416 Final.exe - to coś nie wygląda zdrowo, albo jakiś podejrzany crack (nie wiadomo czy nie ładuje czegoś bardzo niepożądanego), albo inne dziadostwo.

- Mówimy o wynikach skanu ESET - w skanie jedyne komponenty, które są zainstalowane, to te dwa, a reszta to są instalatory (nie ma znaczenia czy dana aplikacja jest zainstalowana).

 

Fix wykonany. Zastosuj DelFix, wyczyść foldery Przywracania systemu i zaktualizuj Java: KLIK. To tyle z zakresu czyszczenia.

[stanley50]

Reszta wykonana z powodzeniem, dodatkowo usunąłem jeszcze te 2 pliki C:\Program Files (x86)\Cheat Engine 6.2\cheatengine-i386.exe i
C:\Program Files (x86)\Cheat Engine 6.2\standalonephase1.dat w zainstalowanym już programie. Program uruchamiam w wersji 64bit a alert Eseta chyba dotyczył 32bit bo po usunięciu tych plików program działa.

Dziękuję bardzo za poświęcony czas i pozdrawiam.