Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Wirus tworzący pliki. Prośba o sprawdzenie logów.

Badbuls 16 Kwi 2016 09:43 501 3
  • #1 16 Kwi 2016 09:43
    Badbuls
    Poziom 2  

    Witam.
    Wczoraj zauważyłem że z komputerem jest coś nie tak ponieważ programy same się instalowały zmieniła się strona główna w przeglądarce itp. Przeskanowałem Malwarebytes Anti-Malware wykryło ok. 4200 elementów lecz coś musiało jeszcze zostać bo komputer nie działa jak powinien.
    Próbowałem skanowania OTL i usuwałem foldery które mi się nie podobały lecz pewnie coś zostało jeszcze ponieważ komputer w trybie awaryjnym chodzi dobrze lecz gdy uruchomię go normalnie chodzi przez pewien okres czasu po czym nie da się otworzyć żadnego pliku przeglądarki czy nawet wyłączyć komputera (tylko guzik).
    logi z FRST w załączniku.
    Z góry dziękuję za pomoc.


    @edit
    dodałem Addition.txt

    0 3
  • Pomocny post
    #3 16 Kwi 2016 12:27
    Kolobos
    Spec od komputerów

    Wyglada na to, ze w trybie normalnym jakis program ulega awarii i zuzywa zasoby az do calkowitego "zawieszenia" systemu.

    Odinstaluj: SpyHunter

    Fixlist.txt dla FRST:
    Task: {407D0CB7-F502-47E0-8F33-DF7D0C537CEC} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> Brak pliku <==== UWAGA
    Task: {5FA83A15-599F-49C4-95B5-C5B9BF4A0C72} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku <==== UWAGA
    Task: {80B6EB5E-EA78-4116-A180-4D216F28B49D} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> Brak pliku <==== UWAGA
    Task: {81594F5C-0535-460E-98F1-915DE76DEBAD} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku <==== UWAGA
    Task: {9A6D95E9-482F-4856-A8D8-498CDBC4A2A6} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku <==== UWAGA
    Task: {A555690A-BFF2-4717-88A2-D4A135E216AE} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku <==== UWAGA
    Task: {B85A3662-1D58-4F07-A168-8D041EBA2F90} - System32\Tasks\SpyHunter4Startup => C:\Program Files (x86)\Enigma Software Group\SpyHunter\Spyhunter4.exe [2016-04-15] (Enigma Software Group USA, LLC.)
    Task: {EA316221-7AED-4F80-971B-667172A697FB} - \Browser Updater Task(Core) -> Brak pliku <==== UWAGA
    Task: {ED042764-7F0C-42A2-A22E-C59659928422} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku <==== UWAGA
    GroupPolicy: Ograniczenia - Chrome <======= UWAGA
    CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA
    HKU\S-1-5-21-2987780471-3265327603-564542850-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA
    CHR HomePage: Default -> hxxp://www.yessearches.com/?mode=nnnb&pti...AE947E&v=20160409&ts=AHEqA3EnCHAkAE....
    S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2016-04-15] ()
    S3 EsgScanner; C:\Windows\SysWOW64\DRIVERS\EsgScanner.sys [19984 2012-06-22] ()
    S3 catchme; \??\C:\ComboFix\catchme.sys [X]
    S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X]
    S3 tsusbhub; system32\drivers\tsusbhub.sys [X]
    S3 VGPU; System32\drivers\rdvgkmd.sys [X]
    2016-04-16 08:10 - 2016-04-16 08:10 - 00034766 _____ C:\ComboFix.txt
    2016-04-16 07:36 - 2011-06-26 08:45 - 00256000 _____ C:\Windows\PEV.exe
    2016-04-16 07:36 - 2010-11-07 19:20 - 00208896 _____ C:\Windows\MBR.exe
    2016-04-16 07:36 - 2009-04-20 06:56 - 00060416 _____ (NirSoft) C:\Windows\NIRCMD.exe
    2016-04-16 07:36 - 2000-08-31 02:00 - 00518144 _____ (SteelWerX) C:\Windows\SWREG.exe
    2016-04-16 07:36 - 2000-08-31 02:00 - 00406528 _____ (SteelWerX) C:\Windows\SWSC.exe
    2016-04-16 07:36 - 2000-08-31 02:00 - 00098816 _____ C:\Windows\sed.exe
    2016-04-16 07:36 - 2000-08-31 02:00 - 00080412 _____ C:\Windows\grep.exe
    2016-04-16 07:36 - 2000-08-31 02:00 - 00068096 _____ C:\Windows\zip.exe
    2016-04-16 07:34 - 2016-04-16 08:10 - 00000000 ____D C:\Qoobox
    2016-04-15 23:04 - 2016-04-15 23:04 - 05660069 ____R (Swearware) C:\Users\Patryk\Downloads\ComboFix.exe
    2016-04-15 20:59 - 2016-04-15 20:59 - 00000000 ____D C:\Program Files (x86)\Enigma Software Group
    2016-04-15 17:30 - 2016-04-15 17:30 - 00000000 _____ C:\autoexec.bat
    2016-04-15 17:28 - 2016-04-15 17:28 - 00022704 _____ C:\Windows\system32\Drivers\EsgScanner.sys
    2016-04-15 17:13 - 2016-04-15 17:13 - 00061298 _____ C:\Users\Patryk\Downloads\Extras.Txt
    2016-04-15 17:12 - 2016-04-15 17:12 - 00109744 _____ C:\Users\Patryk\Downloads\OTL.Txt
    2016-04-15 15:24 - 2016-04-15 15:24 - 00000001 _____ C:\Windows\SysWOW64\pl.html
    EmptyTemp:

    Po wykonaniu usun katalog C:\FRST.

    0
  • #4 16 Kwi 2016 14:45
    Badbuls
    Poziom 2  

    Udało się, system wydaje się chodzić jak powinien lecz zauważyłem jakąś dziwną sieć którą widzi komputer a nigdy wcześniej jej nie widziałem więc wolę się upewnić że to również nie sprawka wirusa. Chodzi o sieć o SSID 1233456 (inne usunąłem bo raczej nie potrzebne).
    Wirus tworzący pliki. Prośba o sprawdzenie logów.

    0