Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Archiver.exe / KS.exe - logi z FRST.

SLU06 01 Wrz 2015 20:37 738 20
  • #2 01 Wrz 2015 22:05
    Kolobos
    Spec od komputerów

    Odinstaluj:
    McAfee Security Scan Plus
    PageRank
    PC.Utilities.Optimizer.PRO 3.0.1.0

    Fixlist.txt dla FRST:
    Task: C:\Windows\Tasks\Superclean.job => c:\programdata\{2a9902f5-751f-a7cd-2a99-902f57510bd5}\hqghumeaylnlf.exe <==== UWAGA
    (ARCHIVER COMPANY 2015) C:\Users\Kocham Anie\AppData\Roaming\ARCHIVER.exe
    HKLM\...\Run: [sqlservr] => wscript.exe //B "C:\Users\Kocham Anie\AppData\Roaming\sqlservr.vbs"
    HKU\S-1-5-21-1028690365-3209877844-3244365340-1000\...\Run: [MiponyAutoRun] => C:\Program Files (x86)\MiPony\MiPony.exe [4959744 2015-02-27] (www.mipony.net)
    HKU\S-1-5-21-1028690365-3209877844-3244365340-1000\...\Run: [sqlservr] => wscript.exe //B "C:\Users\Kocham Anie\AppData\Roaming\sqlservr.vbs"
    ShellExecuteHooks-x32: - {57B86673-276A-48B2-BAE7-C6DBB3020EB8} - Brak pliku [ ]
    Startup: C:\Users\Kocham Anie\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ARCHIVER.lnk [2015-09-01]
    ShortcutTarget: ARCHIVER.lnk -> C:\Users\Kocham Anie\AppData\Roaming\ARCHIVER.exe (ARCHIVER COMPANY 2015)
    Startup: C:\Users\Kocham Anie\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\sqlservr.vbs [2015-08-09] ()
    Startup: C:\Users\Kocham Anie\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SRSServ.lnk [2015-08-27]
    ShortcutTarget: SRSServ.lnk -> C:\Users\Kocham Anie\AppData\Local\Temp\SRSServ.exe (Brak pliku)
    2015-09-01 20:24 - 2015-09-01 20:24 - 00071680 _____ (ARCHIVER COMPANY 2015) C:\Users\Kocham Anie\AppData\Roaming\ARCHIVER.exe
    2015-08-31 18:02 - 2015-09-01 20:27 - 00019968 _____ (newup) C:\Users\Kocham Anie\AppData\Roaming\newup.exe
    2015-08-26 14:10 - 2015-08-09 11:52 - 04680484 _____ C:\Users\Kocham Anie\AppData\Roaming\sqlservr.vbs
    2015-08-16 11:27 - 2015-08-22 07:49 - 00000352 _____ C:\Windows\Tasks\Superclean.job
    EmptyTemp:


    Ps. Zamierzasz co chwile infekowac system?

    0
  • #3 02 Wrz 2015 15:08
    SLU06
    Poziom 6  

    W jakim sensie?

    0
  • Pomocny post
    #4 02 Wrz 2015 16:01
    Kolobos
    Spec od komputerów

    Dopiero pisales i byla to ta sama infekcja.

    1
  • #5 02 Wrz 2015 16:20
    SLU06
    Poziom 6  

    Tamta to była DNS Unlocker, a jakoś w tym samym czasie się naraz załapały, tylko o tej zapomniałem napisać. :)

    Na razie pomogło, dzięki @Kolobos.

    0
  • #7 02 Wrz 2015 19:44
    Acorus 20
    Spec od komputerów

    Pokaż nowe logi z FRST.

    0
  • #9 02 Wrz 2015 20:08
    Kolobos
    Spec od komputerów

    Wykonaj jeszcze raz podany wczesniej fixlist.txt.

    Nadal nie odinstalowales:
    PageRank (HKLM-x32\...\{6C998B44-82D8-CC7E-D847-4CD73036412A}) (Version: - "") <==== UWAGA

    0
  • #10 02 Wrz 2015 20:12
    SLU06
    Poziom 6  

    No właśnie nie mogę tego PageRank znaleźć.

    0
  • #11 02 Wrz 2015 20:13
    Kolobos
    Spec od komputerów

    Jest na liscie programow w panelu sterowania, nie jest ukryty.

    0
  • #12 02 Wrz 2015 20:15
    Acorus 20
    Spec od komputerów

    Otwórz notatnik systemowy i wklej:

    Cytat:
    CloseProcesses:
    HKLM\...\Run: [sqlservr] => wscript.exe //B "C:\Users\Kocham Anie\AppData\Roaming\sqlservr.vbs"
    HKU\S-1-5-21-1028690365-3209877844-3244365340-1000\...\Run: [sqlservr] => wscript.exe //B "C:\Users\Kocham Anie\AppData\Roaming\sqlservr.vbs"
    Startup: C:\Users\Kocham Anie\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ARCHIVER.lnk [2015-09-02]
    ShortcutTarget: ARCHIVER.lnk -> C:\Users\Kocham Anie\AppData\Roaming\ARCHIVER.exe (ARCHIVER COMPANY 2015)
    Startup: C:\Users\Kocham Anie\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\sqlservr.vbs [2015-09-02] ()
    2015-09-02 18:46 - 2015-09-02 18:46 - 00019968 _____ (newup) C:\Users\Kocham Anie\AppData\Roaming\newup.exe
    2015-09-02 18:44 - 2015-09-02 18:44 - 00071680 _____ (ARCHIVER COMPANY 2015) C:\Users\Kocham Anie\AppData\Roaming\ARCHIVER.exe
    2015-09-02 15:18 - 2015-08-09 11:52 - 04680484 _____ C:\Users\Kocham Anie\AppData\Roaming\sqlservr.vbs
    2015-08-20 17:02 - 2015-08-23 20:31 - 00000000 ____D C:\Users\Kocham Anie\Doctor Web
    C:\Windows\SysWOW64\ntshrui.dll
    EmptyTemp:


    Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.
    Uruchom jako administrator FRST i kliknij w Fix/Napraw.

    0
  • #14 02 Wrz 2015 20:18
    Kolobos
    Spec od komputerów

    Uzyj jeszcze raz AdwCleaner i usun to co znajdzie. Powinien usunac ten wpis.

    0
  • #16 02 Wrz 2015 20:35
    Kolobos
    Spec od komputerów

    Daj fixlog.txt z FRST oraz nowe logi z FRST, ze skanowania.

    0
  • Pomocny post
    #18 03 Wrz 2015 08:53
    Acorus 20
    Spec od komputerów

    Otwórz notatnik systemowy i wklej:

    Cytat:
    ShellIconOverlayIdentifiers-x32: [SharingPrivate] -> {08244EE6-92F0-47f2-9FC9-929BAA2E7235} => %SystemRoot%\system32\ntshrui.dll Brak pliku
    Startup: C:\Users\Kocham Anie\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\maker.lnk [2015-09-02]
    ShortcutTarget: maker.lnk -> C:\Users\Kocham Anie\AppData\Local\Temp\maker.exe (Brak pliku)
    2015-09-02 20:21 - 2015-09-02 20:28 - 00000000 ____D C:\AdwCleaner
    DeleteQuarantine:

    Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.
    Uruchom jako administrator FRST i kliknij w Fix/Napraw. Skasuj folder C:\FRST.
    Odinstaluj Chrome zaznaczając usunięcie danych przeglądania.
    Najpierw możesz wyeksportować zakładki: https://support.google.com/chrome/answer/96816?hl=pl
    Później zainstaluj stabilną wersję: https://www.google.pl/chrome/browser/desktop/

    1
  • #19 03 Wrz 2015 14:26
    SLU06
    Poziom 6  

    Zrobione @Acorus 20.
    Dodać nowe logi?

    0
  • Pomocny post
    #20 03 Wrz 2015 14:35
    Acorus 20
    Spec od komputerów

    Jak wszystko gra to skasuj folder C:\FRST.

    1
  • #21 06 Wrz 2015 21:30
    SLU06
    Poziom 6  

    Na razie nie wyskakuje, ale zobaczę jeszcze, bo tak za kilka dni może z powrotem wrócić. :)

    Zamykam, bo wygląda wszystko dobrze. :D

    Moderowany przez swiercm:

    Posty scaliłem. Proszę, byś w przypadku aktualizacji informacji używał opcji "Zmień".

    Archiver.exe / KS.exe - logi z FRST.

    0