Jump to content


 


Register a free account to unlock additional features at BleepingComputer.com
Welcome to BleepingComputer, a free community where people like yourself come together to discuss and learn how to use their computers. Using the site is easy and fun. As a guest, you can browse and view the various discussions in the forums, but can not create a new topic or reply to an existing one unless you are logged in. Other benefits of registering an account are subscribing to topics and forums, creating a blog, and having no ads shown anywhere on the site.


Click here to Register a free account now! or read our Welcome Guide to learn how to use this site.

Photo

Win32-tilebot-Ai?


  • Please log in to reply
1 reply to this topic

#1 masterjulzz

masterjulzz

  • Members
  • 16 posts
  • OFFLINE
  •  
  • Gender:Male
  • Location:Canada
  • Local time:05:48 AM

Posted 19 April 2017 - 01:00 AM

I found a file named mssmbios, and when I checked in the database, it appears to be bad and refer to Win32-tilebot-AI. Here's my FRST log.




 

Résultats d'analyse de  Farbar Recovery Scan Tool (FRST) (x64) Version: 17-04-2017 01
Exécuté par Masterjulzz (administrateur) sur LAPTOP-JULIEN (19-04-2017 01:56:29)
Exécuté depuis C:\Users\Masterjulzz\Desktop
Profils chargés: Masterjulzz (Profils disponibles: Masterjulzz)
Platform: Windows 8.1 (X64) Langue: Français (France)
Internet Explorer Version 11 (Navigateur par défaut: IE)
Mode d'amorçage: Normal
Tutoriel pour Farbar Recovery Scan Tool: http://www.geekstogo.com/forum/topic/335081-frst-tutorial-how-to-use-farbar-recovery-scan-tool/

==================== Processus (Avec liste blanche) =================

(Si un élément est inclus dans le fichier fixlist.txt, le processus sera arrêté. Le fichier ne sera pas déplacé.)

(Microsoft Corporation) C:\Program Files\Windows Defender\MsMpEng.exe
(Microsoft Corporation) C:\Program Files\Windows Defender\NisSrv.exe
(AMD) C:\Windows\System32\atiesrxx.exe
(AMD) C:\Windows\System32\atieclxx.exe
(Advanced Micro Devices, Inc.) C:\Program Files\ATI Technologies\ATI.ACE\Fuel\Fuel.Service.exe
(Advanced Micro Devices Inc.) C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
(Microsoft Corporation) C:\Windows\ImmersiveControlPanel\SystemSettings.exe
(Microsoft Corporation) C:\Program Files\Windows Defender\MpCmdRun.exe
(Microsoft Corporation) C:\Windows\System32\dfrgui.exe
(Microsoft Corporation) C:\Program Files\Internet Explorer\iexplore.exe
(Microsoft Corporation) C:\Program Files\Internet Explorer\iexplore.exe
(Adobe Systems Incorporated) C:\Windows\System32\Macromed\Flash\FlashUtil_ActiveX.exe
(Microsoft Corporation) C:\Program Files\Internet Explorer\iexplore.exe
(Microsoft Corporation) C:\Program Files\Internet Explorer\iexplore.exe
(Microsoft Corporation) C:\Program Files\Internet Explorer\iexplore.exe
(Microsoft Corporation) C:\Program Files\Internet Explorer\iexplore.exe
(Microsoft Corporation) C:\Windows\System32\dllhost.exe
(Microsoft Corporation) C:\Program Files\Windows Defender\MpCmdRun.exe

==================== Registre (Avec liste blanche) ====================

(Si un élément est inclus dans le fichier fixlist.txt, l'élément de Registre sera restauré à la valeur par défaut ou supprimé. Le fichier ne sera pas déplacé.)

HKLM-x32\...\Run: [StartCCC] => C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\amd64\CLIStart.exe [766688 2014-07-04] (Advanced Micro Devices, Inc.)
HKU\S-1-5-21-2149598683-2803306025-2013098070-1001\...\MountPoints2: {23eaf6a1-23cb-11e7-824f-806e6f6e6963} - "D:\World of Warcraft Setup.exe"

==================== Internet (Avec liste blanche) ====================

(Si un élément est inclus dans le fichier fixlist.txt, s'il s'agit d'un élément du Registre, il sera supprimé ou restauré à la valeur par défaut.)

Tcpip\Parameters: [DhcpNameServer] 24.200.241.37
Tcpip\..\Interfaces\{0C61C8E6-F15D-4275-8F65-7540F4D67A10}: [DhcpNameServer] 24.200.241.37
Tcpip\..\Interfaces\{8D134959-7AF4-4AF8-8096-7CFD9BF6E7F1}: [DhcpNameServer] 24.200.241.37

Internet Explorer:
==================
HKU\S-1-5-21-2149598683-2803306025-2013098070-1001\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://www.msn.com/fr-ca/?ocid=iehp

==================== Services (Avec liste blanche) ====================

(Si un élément est inclus dans le fichier fixlist.txt, il sera supprimé du Registre. Le fichier ne sera pas déplacé, sauf s'il est inscrit séparément.)

R2 AMD FUEL Service; C:\Program Files\ATI Technologies\ATI.ACE\Fuel\Fuel.Service.exe [344064 2014-07-04] (Advanced Micro Devices, Inc.) [Fichier non signé]
R3 WdNisSvc; C:\Program Files\Windows Defender\NisSrv.exe [346872 2013-08-22] (Microsoft Corporation)
R2 WinDefend; C:\Program Files\Windows Defender\MsMpEng.exe [23840 2013-08-22] (Microsoft Corporation)

===================== Pilotes (Avec liste blanche) ======================

(Si un élément est inclus dans le fichier fixlist.txt, il sera supprimé du Registre. Le fichier ne sera pas déplacé, sauf s'il est inscrit séparément.)

S0 amdkmpfd; C:\Windows\System32\drivers\amdkmpfd.sys [36096 2014-07-21] (Advanced Micro Devices, Inc.)
R2 AODDriver4.2.0; C:\Program Files\ATI Technologies\ATI.ACE\Fuel\amd64\AODDriver2.sys [59648 2013-09-20] (Advanced Micro Devices)
S0 WdBoot; C:\Windows\System32\drivers\WdBoot.sys [34760 2013-08-22] (Microsoft Corporation)
R0 WdFilter; C:\Windows\System32\drivers\WdFilter.sys [265056 2013-08-22] (Microsoft Corporation)
R3 WdNisDrv; C:\Windows\System32\Drivers\WdNisDrv.sys [124256 2013-08-22] (Microsoft Corporation)

==================== NetSvcs (Avec liste blanche) ===================

(Si un élément est inclus dans le fichier fixlist.txt, il sera supprimé du Registre. Le fichier ne sera pas déplacé, sauf s'il est inscrit séparément.)

==================== Un mois - Créés - fichiers et dossiers ========

(Si un élément est inclus dans le fichier fixlist.txt, le fichier/dossier sera déplacé.)

2017-04-19 01:56 - 2017-04-19 01:56 - 00004875 _____ C:\Users\Masterjulzz\Desktop\FRST.txt
2017-04-19 01:56 - 2017-04-19 01:56 - 00000000 ____D C:\FRST
2017-04-19 01:55 - 2017-04-19 01:55 - 02424832 _____ (Farbar) C:\Users\Masterjulzz\Desktop\FRST64.exe
2017-04-19 01:16 - 2017-04-19 01:16 - 00000000 ____D C:\Users\Masterjulzz\AppData\Local\Microsoft_Corporation
2017-04-18 09:18 - 2017-04-18 09:18 - 70328408 _____ (AMD Inc.) C:\Users\Masterjulzz\Downloads\radeon-crimson-relive-17.4.2-minimalsetup-170411_web.exe
2017-04-18 09:16 - 2017-04-18 09:16 - 00000000 ____D C:\Users\Masterjulzz\AppData\Roaming\ATI
2017-04-18 09:16 - 2017-04-18 09:16 - 00000000 ____D C:\Users\Masterjulzz\AppData\Local\ATI
2017-04-18 09:16 - 2017-04-18 09:16 - 00000000 ____D C:\Users\Masterjulzz\AppData\Local\AMD
2017-04-18 09:16 - 2017-04-18 09:16 - 00000000 ____D C:\ProgramData\ATI
2017-04-18 07:14 - 2017-04-18 07:14 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AMD Catalyst Control Center
2017-04-18 07:14 - 2017-04-18 07:14 - 00000000 ____D C:\ProgramData\AMD
2017-04-18 07:14 - 2017-04-18 07:14 - 00000000 ____D C:\Program Files\ATI Technologies
2017-04-18 07:13 - 2017-04-18 09:20 - 00000000 ____D C:\Program Files\AMD
2017-04-18 07:13 - 2017-04-18 09:20 - 00000000 ____D C:\AMD
2017-04-18 07:13 - 2017-04-18 07:14 - 00000000 ____D C:\Program Files (x86)\ATI Technologies
2017-04-18 07:13 - 2017-04-18 07:13 - 00000000 ____D C:\Program Files\Common Files\ATI Technologies
2017-04-18 07:13 - 2017-04-18 07:13 - 00000000 _____ C:\Windows\ativpsrm.bin
2017-04-18 07:13 - 2014-07-21 22:03 - 00036096 _____ (Advanced Micro Devices, Inc.) C:\Windows\system32\Drivers\amdkmpfd.sys
2017-04-17 20:51 - 2017-04-17 16:52 - 00000000 ____D C:\ProgramData\Battle.net
2017-04-17 20:32 - 2017-04-19 01:26 - 00003598 _____ C:\Windows\System32\Tasks\Optimize Start Menu Cache Files-S-1-5-21-2149598683-2803306025-2013098070-1001
2017-04-17 20:27 - 2017-04-17 20:27 - 00001462 _____ C:\Users\Masterjulzz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk
2017-04-17 20:27 - 2017-04-17 20:27 - 00000000 ____D C:\Windows\System32\Tasks\WPD
2017-04-17 20:27 - 2017-04-17 20:27 - 00000000 ____D C:\Users\Masterjulzz\AppData\Roaming\Adobe
2017-04-17 20:27 - 2017-04-17 20:27 - 00000000 ____D C:\Users\Masterjulzz\AppData\Local\VirtualStore
2017-04-17 20:27 - 2017-04-17 20:27 - 00000000 ____D C:\Users\Masterjulzz\AppData\Local\Packages
2017-04-17 20:26 - 2017-04-17 20:27 - 00000000 ____D C:\Users\Masterjulzz
2017-04-17 20:26 - 2017-04-17 20:26 - 00000020 ___SH C:\Users\Masterjulzz\ntuser.ini
2017-04-17 20:26 - 2017-04-17 20:26 - 00000000 _SHDL C:\Users\Masterjulzz\Voisinage réseau
2017-04-17 20:26 - 2017-04-17 20:26 - 00000000 _SHDL C:\Users\Masterjulzz\Voisinage d'impression
2017-04-17 20:26 - 2017-04-17 20:26 - 00000000 _SHDL C:\Users\Masterjulzz\Modèles
2017-04-17 20:26 - 2017-04-17 20:26 - 00000000 _SHDL C:\Users\Masterjulzz\Mes documents
2017-04-17 20:26 - 2017-04-17 20:26 - 00000000 _SHDL C:\Users\Masterjulzz\Menu Démarrer
2017-04-17 20:26 - 2017-04-17 20:26 - 00000000 _SHDL C:\Users\Masterjulzz\Documents\Mes vidéos
2017-04-17 20:26 - 2017-04-17 20:26 - 00000000 _SHDL C:\Users\Masterjulzz\Documents\Mes images
2017-04-17 20:26 - 2017-04-17 20:26 - 00000000 _SHDL C:\Users\Masterjulzz\Documents\Ma musique
2017-04-17 20:26 - 2017-04-17 20:26 - 00000000 _SHDL C:\Users\Masterjulzz\AppData\Roaming\Microsoft\Windows\Start Menu\Programmes
2017-04-17 20:26 - 2017-04-17 20:26 - 00000000 _SHDL C:\Users\Masterjulzz\AppData\Local\Historique
2017-04-17 20:26 - 2014-03-18 06:10 - 00000369 _____ C:\Users\Masterjulzz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Pictures.lnk
2017-04-17 20:26 - 2014-03-18 06:10 - 00000369 _____ C:\Users\Masterjulzz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Documents.lnk
2017-04-17 20:11 - 2017-04-17 20:11 - 00000000 _SHDL C:\Users\Public\Documents\Mes vidéos
2017-04-17 20:11 - 2017-04-17 20:11 - 00000000 _SHDL C:\Users\Public\Documents\Mes images
2017-04-17 20:11 - 2017-04-17 20:11 - 00000000 _SHDL C:\Users\Public\Documents\Ma musique
2017-04-17 20:11 - 2017-04-17 20:11 - 00000000 _SHDL C:\Users\Default\Voisinage réseau
2017-04-17 20:11 - 2017-04-17 20:11 - 00000000 _SHDL C:\Users\Default\Voisinage d'impression
2017-04-17 20:11 - 2017-04-17 20:11 - 00000000 _SHDL C:\Users\Default\Modèles
2017-04-17 20:11 - 2017-04-17 20:11 - 00000000 _SHDL C:\Users\Default\Mes documents
2017-04-17 20:11 - 2017-04-17 20:11 - 00000000 _SHDL C:\Users\Default\Menu Démarrer
2017-04-17 20:11 - 2017-04-17 20:11 - 00000000 _SHDL C:\Users\Default\Documents\Mes vidéos
2017-04-17 20:11 - 2017-04-17 20:11 - 00000000 _SHDL C:\Users\Default\Documents\Mes images
2017-04-17 20:11 - 2017-04-17 20:11 - 00000000 _SHDL C:\Users\Default\Documents\Ma musique
2017-04-17 20:11 - 2017-04-17 20:11 - 00000000 _SHDL C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programmes
2017-04-17 20:11 - 2017-04-17 20:11 - 00000000 _SHDL C:\Users\Default\AppData\Local\Historique
2017-04-17 20:11 - 2017-04-17 20:11 - 00000000 _SHDL C:\Users\Default User\Documents\Mes vidéos
2017-04-17 20:11 - 2017-04-17 20:11 - 00000000 _SHDL C:\Users\Default User\Documents\Mes images
2017-04-17 20:11 - 2017-04-17 20:11 - 00000000 _SHDL C:\Users\Default User\Documents\Ma musique
2017-04-17 20:11 - 2017-04-17 20:11 - 00000000 _SHDL C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programmes
2017-04-17 20:11 - 2017-04-17 20:11 - 00000000 _SHDL C:\Users\Default User\AppData\Local\Historique
2017-04-17 20:11 - 2017-04-17 20:11 - 00000000 _SHDL C:\ProgramData\Modèles
2017-04-17 20:11 - 2017-04-17 20:11 - 00000000 _SHDL C:\ProgramData\Microsoft\Windows\Start Menu\Programmes
2017-04-17 20:11 - 2017-04-17 20:11 - 00000000 _SHDL C:\ProgramData\Menu Démarrer
2017-04-17 20:11 - 2017-04-17 20:11 - 00000000 _SHDL C:\ProgramData\Bureau
2017-04-17 20:11 - 2017-04-17 20:11 - 00000000 _SHDL C:\Program Files\Fichiers communs
2017-04-17 17:26 - 2017-04-17 17:26 - 00000000 ____H C:\Windows\system32\Drivers\Msft_User_WpdMtpDr_01_11_00.Wdf
2017-04-17 17:24 - 2017-04-17 17:24 - 00001034 _____ C:\Users\Public\Desktop\World of Warcraft.lnk
2017-04-17 17:24 - 2017-04-17 17:24 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Warcraft
2017-04-17 16:55 - 2017-04-18 22:55 - 00003980 _____ C:\Windows\System32\Tasks\User_Feed_Synchronization-{69DBD8B5-529C-415A-AD02-D406F143138D}
2017-04-17 16:55 - 2017-04-17 16:55 - 00000000 __SHD C:\Users\Masterjulzz\AppData\LocalLow\EmieUserList
2017-04-17 16:55 - 2017-04-17 16:55 - 00000000 __SHD C:\Users\Masterjulzz\AppData\LocalLow\EmieSiteList
2017-04-17 16:55 - 2017-04-17 16:55 - 00000000 __SHD C:\Users\Masterjulzz\AppData\Local\EmieUserList
2017-04-17 16:55 - 2017-04-17 16:55 - 00000000 __SHD C:\Users\Masterjulzz\AppData\Local\EmieSiteList
2017-04-17 16:55 - 2017-04-17 16:55 - 00000000 ____D C:\Users\Masterjulzz\AppData\Roaming\Macromedia
2017-04-17 16:54 - 2017-04-18 19:17 - 00000000 ____D C:\Program Files (x86)\World of Warcraft
2017-04-17 16:54 - 2017-04-17 16:54 - 00000000 ____D C:\ProgramData\Blizzard Entertainment
2017-04-17 16:53 - 2017-04-19 00:50 - 00000000 ____D C:\Users\Masterjulzz\AppData\Local\Battle.net
2017-04-17 16:53 - 2017-04-17 16:53 - 00000966 _____ C:\Users\Public\Desktop\Blizzard App.lnk
2017-04-17 16:53 - 2017-04-17 16:53 - 00000000 ____D C:\Users\Masterjulzz\AppData\Local\CEF
2017-04-17 16:53 - 2017-04-17 16:53 - 00000000 ____D C:\Users\Masterjulzz\AppData\Local\Blizzard Entertainment
2017-04-17 16:53 - 2017-04-17 16:53 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Blizzard App
2017-04-17 16:52 - 2017-04-18 09:25 - 00000000 ____D C:\Program Files (x86)\Blizzard App
2017-04-17 16:52 - 2017-04-17 16:54 - 00000000 ____D C:\Users\Masterjulzz\AppData\Roaming\Battle.net
2017-04-17 15:08 - 2017-04-17 20:27 - 00000000 ____D C:\Windows\Panther

==================== Un mois - Modifiés - fichiers et dossiers ========

(Si un élément est inclus dans le fichier fixlist.txt, le fichier/dossier sera déplacé.)

2017-04-19 01:28 - 2013-08-22 11:36 - 00000000 ____D C:\Windows\AppReadiness
2017-04-18 18:38 - 2013-08-22 11:36 - 00000000 ____D C:\Windows\system32\NDF
2017-04-18 09:27 - 2013-08-22 11:36 - 00000000 ___HD C:\Program Files\WindowsApps
2017-04-18 09:20 - 2013-08-22 09:36 - 00000000 ____D C:\Windows\Inf
2017-04-18 07:14 - 2014-03-18 06:02 - 01734474 _____ C:\Windows\system32\PerfStringBackup.INI
2017-04-18 07:14 - 2014-03-18 05:26 - 00775930 _____ C:\Windows\system32\perfh00C.dat
2017-04-18 07:14 - 2014-03-18 05:26 - 00151632 _____ C:\Windows\system32\perfc00C.dat
2017-04-17 21:05 - 2013-08-22 10:45 - 00000006 ____H C:\Windows\Tasks\SA.DAT
2017-04-17 21:02 - 2013-08-22 09:25 - 00262144 ___SH C:\Windows\system32\config\BBI
2017-04-17 20:59 - 2013-08-22 09:25 - 00262144 ___SH C:\Windows\system32\config\ELAM
2017-04-17 20:12 - 2013-08-22 11:36 - 00000000 ____D C:\Windows\rescache
2017-04-17 20:11 - 2013-08-22 11:36 - 00000000 ____D C:\Program Files\Windows NT
2017-04-17 15:07 - 2013-08-22 11:36 - 00262144 _____ C:\Windows\system32\config\BCD-Template

==================== Bamital & volsnap ======================

(Il n'y a pas de correction automatique pour les fichiers qui ne satisfont pas à la vérification.)

C:\Windows\system32\winlogon.exe => Le fichier est signé numériquement
C:\Windows\system32\wininit.exe => Le fichier est signé numériquement
C:\Windows\explorer.exe => Le fichier est signé numériquement
C:\Windows\SysWOW64\explorer.exe => Le fichier est signé numériquement
C:\Windows\system32\svchost.exe => Le fichier est signé numériquement
C:\Windows\SysWOW64\svchost.exe => Le fichier est signé numériquement
C:\Windows\system32\services.exe => Le fichier est signé numériquement
C:\Windows\system32\User32.dll => Le fichier est signé numériquement
C:\Windows\SysWOW64\User32.dll => Le fichier est signé numériquement
C:\Windows\system32\userinit.exe => Le fichier est signé numériquement
C:\Windows\SysWOW64\userinit.exe => Le fichier est signé numériquement
C:\Windows\system32\rpcss.dll => Le fichier est signé numériquement
C:\Windows\system32\dnsapi.dll => Le fichier est signé numériquement
C:\Windows\SysWOW64\dnsapi.dll => Le fichier est signé numériquement
C:\Windows\system32\Drivers\volsnap.sys => Le fichier est signé numériquement

LastRegBack: 2017-04-17 20:08

==================== Fin de FRST.txt ============================

Attached Files


Edited by masterjulzz, 19 April 2017 - 01:02 AM.


BC AdBot (Login to Remove)

 


#2 shelf life

shelf life

  • Malware Response Team
  • 2,680 posts
  • OFFLINE
  •  
  • Gender:Male
  • Location:@localhost
  • Local time:05:48 AM

Posted 19 April 2017 - 04:25 PM

hi,

 

If you still need help you can do this:

Browse for the file at each of these sites below and upload it to the web sites. Once the scan is done you can copy/paste the URL into your reply.

Usually only online once or twice per day so you may not get a reply back from me until the next day.

 

https://www.virustotal.com/

https://virusscan.jotti.org/


How Can I Reduce My Risk to Malware?





0 user(s) are reading this topic

0 members, 0 guests, 0 anonymous users