Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Prawdopodobnie nieznane zagrożenie NewHeur PE wirus

alekga 06 Lis 2015 13:04 1098 10
  • #1 06 Lis 2015 13:04
    alekga
    Poziom 5  

    Nod wykrywa takie zagrożenie
    Skanowane ComboFix i Nod-em


    Ochrona systemu plików w czasie rzeczywistym plik E:\System Volume Information\_restore{EAA33C33-7820-4D4A-9395-ADFCBA299B05}\RP1598\A0184471.EXE prawdopodobnie nieznane zagrożenie NewHeur_PE wirus usunięty - poddany kwarantannie ZARZĄDZANIE NT\SYSTEM Zdarzenie wystąpiło podczas modyfikowania pliku przez aplikację: C:\WINDOWS\System32\svchost.exe.

    teraz Malwarebytes Anti-Malware i AdwCleaner.
    Spowolniony system win XP

    Teraz logi:
    Malwarebytes Anti-Malware
    i logi FRST

    0 10
  • #2 06 Lis 2015 13:57
    Kolobos
    Spec od komputerów

    Masz slaby procesor, nie za duzo ramu.

    Zamiesc screen z CrystalDiskInfo:
    http://portableapps.com/apps/utilities/crystaldiskinfo_portable

    Wylacz na chwile przywracanie systemu, nastepnie wlacz i utworz nowy punkt.

    Odinstaluj: HijackThis 1.99.1


    Obok frst.exe utworz plik fixlist.txt z zawartoscia:
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA
    HKU\S-1-5-21-1114176062-4203239008-4080677913-1006\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA
    HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.interia.pl/#utm_source=instalki1&a...n=instalki1&iwa_source=installer_instalki
    HKU\S-1-5-21-1114176062-4203239008-4080677913-1006\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.interia.pl/#utm_source=instalki1&a...n=instalki1&iwa_source=installer_instalki
    HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "hxxp://www.interia.pl/#utm_sourceinstalki1&utm_medium=installer&utm_campaign=instalki1&iwa_source=installer_instalki" <======= UWAGA
    BHO: Winamp Toolbar BHO -> {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} -> C:\Program Files\Winamp Toolbar\winamptb.dll [2007-12-13] (AOL LLC)
    Toolbar: HKLM - Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Program Files\Winamp Toolbar\winamptb.dll [2007-12-13] (AOL LLC)
    Toolbar: HKU\S-1-5-21-1114176062-4203239008-4080677913-1006 -> Winamp Toolbar - {EBF2BA02-9094-4C5A-858B-BB198F3D8DE2} - C:\Program Files\Winamp Toolbar\winamptb.dll [2007-12-13] (AOL LLC)
    S3 catchme; \??\C:\DOCUME~1\KOWALC~1\USTAWI~1\Temp\catchme.sys [X]
    U2 CertPropSvc; Brak ImagePath
    2015-11-06 12:59 - 2015-11-06 12:59 - 00000000 ____D C:\AdwCleaner
    2015-11-06 12:20 - 2015-11-06 12:20 - 00012492 _____ C:\ComboFix.txt
    2015-10-23 12:07 - 2011-06-26 07:45 - 00256000 _____ C:\WINDOWS\PEV.exe
    2015-10-23 12:07 - 2010-11-07 18:20 - 00208896 _____ C:\WINDOWS\MBR.exe
    2015-10-23 12:07 - 2009-04-20 05:56 - 00060416 _____ (NirSoft) C:\WINDOWS\NIRCMD.exe
    2015-10-23 12:07 - 2000-08-31 01:00 - 00518144 _____ (SteelWerX) C:\WINDOWS\SWREG.exe
    2015-10-23 12:07 - 2000-08-31 01:00 - 00406528 _____ (SteelWerX) C:\WINDOWS\SWSC.exe
    2015-10-23 12:07 - 2000-08-31 01:00 - 00212480 _____ (SteelWerX) C:\WINDOWS\SWXCACLS.exe
    2015-10-23 12:07 - 2000-08-31 01:00 - 00098816 _____ C:\WINDOWS\sed.exe
    2015-10-23 12:07 - 2000-08-31 01:00 - 00080412 _____ C:\WINDOWS\grep.exe
    2015-10-23 12:07 - 2000-08-31 01:00 - 00068096 _____ C:\WINDOWS\zip.exe
    2015-11-06 12:20 - 2008-08-28 09:08 - 00000000 ____D C:\QooBox
    EmptyTemp:

    W FRST wybierz Napraw.

    0
  • Pomocny post
    #5 06 Lis 2015 15:45
    Kolobos
    Spec od komputerów

    Log jest zbedny, usun katalog C:\FRST i to wszystko.

    0
  • #6 10 Lis 2015 14:17
    alekga
    Poziom 5  

    Ok dziękuję za wszystko

    0
  • #8 19 Lis 2015 12:31
    Acorus 20
    Spec od komputerów

    Odinstaluj Winamp Toolbar for Internet Explorer. Otwórz notatnik systemowy i wklej:

    Cytat:
    Task: C:\WINDOWS\Tasks\Powiadomienie o zakończeniu obsługi systemu Microsoft Windows XP — co miesiąc.job => C:\WINDOWS\system32\xp_eos.exe
    Task: C:\WINDOWS\Tasks\Powiadomienie o zakończeniu obsługi systemu Microsoft Windows XP — logowanie.job => C:\WINDOWS\system32\xp_eos.exe
    HKU\S-1-5-21-1114176062-4203239008-4080677913-1006\...\Run: [MSMSGS] => C:\Program Files\Messenger\msmsgs.exe [1695232 2008-04-14] (Microsoft Corporation)
    DPF: {CAFEEFAC-0016-0000-0001-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_01-windows-i586.cab
    DPF: {CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab


    Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.
    Uruchom jako administrator FRST i kliknij w Fix/Napraw.

    0
  • #9 19 Lis 2015 12:48
    alekga
    Poziom 5  

    Ok zrobione
    A czy te pliki w katalogu Recycler sa poprawne ?

    0
  • #10 19 Lis 2015 12:48
    Kolobos
    Spec od komputerów

    Nie ma to zwiazku z infekcja, ktorej nadal nie masz. Kosz zostaw w spokoju, a jezeli bardzo Ci przeszkadza to usun katalog, utworzy sie nowy.

    0
  • #11 19 Lis 2015 13:38
    alekga
    Poziom 5  

    problem w tym że katalog jest nie do usunięcia.
    Ok jest dobrze, trzeba słuchać mądrzejszych.

    0