Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

WinXP - Ad-aware: Vopak itp. + Trojan WinLNK.StartPage - Kaspersky nie usuwa

the-summer 15 Gru 2015 15:27 627 8
  • #1 15 Gru 2015 15:27
    the-summer
    Poziom 7  

    Od kilkunastu dni Kaspersky wykrywa mi mnóstwo adaware o różnych nazwach: Vopak, MsilAgentWin32Eorezo oraz trojany m.in. jak w temacie WinLNK.StartPage.
    Niestety Kaspersky je wykrywa, usuwam je, ale przy następnym włączeniu kompa jest to samo, czyli znów są wykrywane.

    Proszę o pomoc.

    0 8
  • #3 15 Gru 2015 15:31
    the-summer
    Poziom 7  

    Adwcleanerem już przeskanowałem. Spróbuję w takim razie tym MBAM.

    0
  • #4 15 Gru 2015 15:50
    Acorus 20
    Spec od komputerów

    Odinstaluj Media Player. Otwórz notatnik systemowy i wklej:

    Cytat:
    Task: C:\WINDOWS\Tasks\At1.job => C:\Program Files\HP\HP Deskjet Ink Adv 2060 K110\Bin\HPCustPartic.exe
    Task: C:\WINDOWS\Tasks\At2.job => C:\Program Files\HP\HP Deskjet Ink Adv 2060 K110\Bin\HPCustPartic.exe
    Task: C:\WINDOWS\Tasks\At3.job => C:\Program Files\HP\HP Deskjet Ink Adv 2060 K110\Bin\HPCustPartic.exe
    Task: C:\WINDOWS\Tasks\At4.job => C:\Program Files\HP\HP Deskjet Ink Adv 2060 K110\Bin\HPCustPartic.exe
    Task: C:\WINDOWS\Tasks\ROC_JAN2013_TB_rmv.job => C:\Program Files\AVG Secure Search\PostInstall\ROC.exe
    HKLM\...\Run: [KernelFaultCheck] => %systemroot%\system32\dumprep 0 -k
    HKU\S-1-5-19\...\RunOnce: [_nltide_3] => rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N
    HKU\S-1-5-20\...\RunOnce: [_nltide_3] => rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N
    BootExecute: autocheck autochk * BootDefrag.exe
    GroupPolicy: Ograniczenia - Chrome <======= UWAGA
    CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA
    HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
    SearchScopes: HKLM -> DefaultScope - brak wartości
    S2 FreeAgentGoNext Service; "G:\Seagate Manager\Sync\FreeAgentService.exe" [X]
    U3 ahnnp3jr; C:\WINDOWS\system32\Drivers\ahnnp3jr.sys [0 ] (Intel Corporation) <==== UWAGA (zerobajtowy plik/folder)
    S3 ewusbnet; system32\DRIVERS\ewusbnet.sys [X]
    S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X]
    S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X]
    S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X]
    S4 IntelIde; Brak ImagePath
    U4 klkbdflt2; system32\DRIVERS\klkbdflt2.sys [X]
    S3 MBAMSwissArmy; \??\C:\WINDOWS\system32\drivers\MBAMSwissArmy.sys [X]
    S2 v2imount; system32\DRIVERS\v2imount.sys [X]
    2015-12-08 17:12 - 2015-12-08 17:16 - 00000000 ____D C:\AdwCleaner
    C:\Windows\Tasks\At1.job
    C:\Windows\Tasks\At2.job
    C:\Windows\Tasks\At3.job
    C:\Windows\Tasks\At4.job
    EmptyTemp:


    Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.
    Uruchom jako administrator FRST i kliknij w Fix/Napraw.

    0
  • #5 15 Gru 2015 22:49
    the-summer
    Poziom 7  

    Przeskanowałem mbam i adwcleanerem. Usunąłem co potrzeba. I chciałem z zadowoleniem napisać, że już jest ok a tu po uruchomieniu kompa Kaspersky znów mi wyrzucił, że mam jakieś adware. Wszystkie tworzą się jako pliki .tmp, albo .tmp.exe w folderze ...\ustawienia lokalne\temp

    czynności związane z frst wykonałem. Co prawda wyrzuca jakiś błąd jak wyłączam kompa, ale jeśli miało pomóc to nie ma problemu.

    Kolejne pytanie czy powinienem przeskanować mbam'em i adwcleanerem również dyski zewnętrzne? Po ostatnim skanowaniu kompa ich nie podłączałem, ale czy powinienem je też skanować.

    0
  • #6 15 Gru 2015 22:55
    Kolobos
    Spec od komputerów

    Zamiesc nowe logi z FRST.

    1
  • #8 15 Gru 2015 23:14
    Kolobos
    Spec od komputerów

    Fixlist.txt dla FRST:
    AV: STOPzilla AntiVirus (Disabled - Out of date) {271A6322-9DAA-4E02-932D-7EDF389FFCF0}
    HKU\S-1-5-21-606747145-343818398-1606980848-1003\...\MountPoints2: {92695c44-86e0-11e1-91b1-0016449c28dc} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL start.exe
    CHR HKLM\...\Chrome\Extension: [dbhjdbfgekjfcfkkfjjmlmojhbllhbho] - hxxps://chrome.google.com/webstore/detail/dbhjdbfgekjfcfkkfjjmlmojhbllhbho
    U3 ayxwg1to; C:\WINDOWS\system32\Drivers\ayxwg1to.sys [0 ] (Silicon Image, Inc.) <==== UWAGA (zerobajtowy plik/folder)
    U4 klkbdflt2; system32\DRIVERS\klkbdflt2.sys [X]
    2015-12-09 00:50 - 2015-12-09 00:50 - 00000000 ____D C:\AdwCleaner
    2013-09-18 19:46 - 2013-09-18 19:46 - 0000000 ___RH () C:\Documents and Settings\LIS\Dane aplikacji\c35b4951180e534766bff2486fac86672


    Podaj nazwy oraz dokladna lokalizacje plikow w ktorych antywirus cos wykrywa.

    Do tego zrob skan przy pomocy http://ftp.drweb.com/pub/drweb/cureit/launch.exe

    0
  • #9 15 Gru 2015 23:31
    the-summer
    Poziom 7  

    W załączeniu screen z KIS'a. Pierwsze 2 od góry pojawiły się już po czynnościach, które opisaliście wyżej. Pozostałe były wcześniej.

    WinXP - Ad-aware: Vopak itp. + Trojan WinLNK.StartPage - Kaspersky nie usuwa

    Po przeskanowaniu za pomocą narzędzia, które poleciłeś w poście powyżej wykryło 9 zagrożeń. Zneutralizowałem.

    0