Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Service.exe - gdy go usuwam pojawia się na nowo po uruchomieniu systemu.

RockyElite 18 Cze 2016 12:58 420 6
  • #1 18 Cze 2016 12:58
    RockyElite
    Poziom 3  

    Witam, od jakiegoś czasu mam problem, ponieważ na dysku systemowym C: pojawił się pod innymi folderami plik service.exe. Gdy go usuwam pojawia się na nowo po uruchomieniu systemu. Wcześniej miałem wirusa na pendrive i po podłączeniu do komputera chciał przejść, ale Avast wykrył zagrożenie i go usunął. Potem zostały jakieś śmieci, więc wyczyściłem komputer wraz z rejestrem Ccleanerem oraz ComboFixem.

    0 6
  • #3 18 Cze 2016 21:51
    RockyElite
    Poziom 3  

    Kolobos napisał:
    Uzyj AdwCleaner, opcja Scan i Clean/Szukaj i Usun: http://www.bleepingcomputer.com/download/adwcleaner/

    Zamiesc w zalaczniku logi z FRST (Frst.txt oraz Addition.txt):
    http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/

    Zrob pelny skan przy pomocy Mbam i usun to co wykryje:
    http://www.bleepingcomputer.com/download/malwarebytes-anti-malware/


    Ok z tym adwclenarem to już wcześniej też robiłem. Załączam logi.

    0
  • #4 18 Cze 2016 22:00
    Kolobos
    Spec od komputerów

    Nie uzywaj Combofix.

    Obok frst.exe utworz plik Fixlist.txt z zawartoscia:
    Task: {1D0B69E9-88C5-4CC5-AE04-EE0DE582E807} - System32\Tasks\{161B9A1C-D660-40CA-9436-448FF30A5F94} => D:\Program Files (x86)\Electronic Arts\Need for Speed Carbon\NFSC.exe
    Task: {22BFD032-2692-4A2D-B370-62B64AAA7331} - System32\Tasks\{FBBBFF56-4773-483F-8B80-484A7491F7AE} => D:\Program Files (x86)\Electronic Arts\Need for Speed Carbon\NFSC.exe
    Task: {29AEAEFC-C185-49D8-86C7-77265F237995} - System32\Tasks\{6A33E134-45BE-4DB4-B510-0D7E1896DF66} => pcalua.exe -a C:\Users\ppp\Desktop\Setup.exe -d C:\Users\ppp\Desktop -c C:\Users\ppp\Desktop\Data1.cab.tmp
    Task: {426E988D-3AAC-4FF0-A72B-4D699E153D71} - System32\Tasks\{2F259D5D-BD0F-457C-8C66-FA0503A596A2} => D:\Program Files (x86)\Electronic Arts\Need for Speed Carbon\NFSC.exe
    Task: {98C4DB66-9AB7-456B-A397-9148E0D4C84E} - System32\Tasks\{602300A9-07C4-46B0-AB2A-FEA83A628065} => D:\Program Files (x86)\Electronic Arts\Need for Speed Carbon\NFSC.exe
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA
    HKU\S-1-5-21-294584221-4085631108-1916366123-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA
    URLSearchHook: HKU\S-1-5-21-294584221-4085631108-1916366123-1000 - (Brak nazwy) - {BC86E1AB-EDA5-4059-938F-CE307B0C6F0A} - Brak pliku
    SearchScopes: HKU\S-1-5-21-294584221-4085631108-1916366123-1000 -> DefaultScope {A9CDA5F6-C97B-46ae-9FF8-8CB6D9396672} URL = hxxp://uk.search.yahoo.com/search?p={searchTerms}&fr=chr-devicevm&type=IEBD
    SearchScopes: HKU\S-1-5-21-294584221-4085631108-1916366123-1000 -> {6B1298B3-7CB3-4ab3-9684-AE1BACD4D8AE} URL = hxxp://www.google.com/custom?client=pub-37942...%3BGIMP%3A0000FF%3BFORID%3A1&hl=pl&q={searchTerms}
    SearchScopes: HKU\S-1-5-21-294584221-4085631108-1916366123-1000 -> {A9CDA5F6-C97B-46ae-9FF8-8CB6D9396672} URL = hxxp://uk.search.yahoo.com/search?p={searchTerms}&fr=chr-devicevm&type=IEBD
    Toolbar: HKU\S-1-5-21-294584221-4085631108-1916366123-1000 -> Brak nazwy - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - Brak pliku
    FF Extension: Avira Browser Safety - C:\Users\ppp\AppData\Roaming\Mozilla\Firefox\Profiles\yZAAzdD9.default\Extensions\abs@avira.com [2016-06-13]
    CHR HKLM\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - hxxps://clients2.google.com/service/update2/crx
    S3 catchme; \??\C:\ComboFix\catchme.sys [X]
    2016-06-15 19:48 - 2011-06-26 08:45 - 00256000 _____ C:\Windows\PEV.exe
    2016-06-15 19:48 - 2010-11-07 19:20 - 00208896 _____ C:\Windows\MBR.exe
    2016-06-15 19:48 - 2009-04-20 06:56 - 00060416 _____ (NirSoft) C:\Windows\NIRCMD.exe
    2016-06-15 19:48 - 2000-08-31 02:00 - 00518144 _____ (SteelWerX) C:\Windows\SWREG.exe
    2016-06-15 19:48 - 2000-08-31 02:00 - 00406528 _____ (SteelWerX) C:\Windows\SWSC.exe
    2016-06-15 19:48 - 2000-08-31 02:00 - 00098816 _____ C:\Windows\sed.exe
    2016-06-15 19:48 - 2000-08-31 02:00 - 00080412 _____ C:\Windows\grep.exe
    2016-06-15 19:48 - 2000-08-31 02:00 - 00068096 _____ C:\Windows\zip.exe
    2016-06-15 19:47 - 2016-06-15 20:04 - 00000000 ____D C:\Qoobox
    2016-06-15 19:46 - 2016-06-15 19:46 - 05659224 ____R (Swearware) C:\Users\ppp\Downloads\ComboFix.exe
    2016-06-18 21:22 - 2016-03-24 02:15 - 00000000 ____D C:\AdwCleaner
    EmptyTemp:

    W FRST wybierz Napraw.

    W logach nie widac pliku service.exe na c:.

    0
  • #5 18 Cze 2016 22:30
    RockyElite
    Poziom 3  

    Kolobos napisał:
    Nie uzywaj Combofix.

    Obok frst.exe utworz plik Fixlist.txt z zawartoscia:
    Task: {1D0B69E9-88C5-4CC5-AE04-EE0DE582E807} - System32\Tasks\{161B9A1C-D660-40CA-9436-448FF30A5F94} => D:\Program Files (x86)\Electronic Arts\Need for Speed Carbon\NFSC.exe
    Task: {22BFD032-2692-4A2D-B370-62B64AAA7331} - System32\Tasks\{FBBBFF56-4773-483F-8B80-484A7491F7AE} => D:\Program Files (x86)\Electronic Arts\Need for Speed Carbon\NFSC.exe
    Task: {29AEAEFC-C185-49D8-86C7-77265F237995} - System32\Tasks\{6A33E134-45BE-4DB4-B510-0D7E1896DF66} => pcalua.exe -a C:\Users\ppp\Desktop\Setup.exe -d C:\Users\ppp\Desktop -c C:\Users\ppp\Desktop\Data1.cab.tmp
    Task: {426E988D-3AAC-4FF0-A72B-4D699E153D71} - System32\Tasks\{2F259D5D-BD0F-457C-8C66-FA0503A596A2} => D:\Program Files (x86)\Electronic Arts\Need for Speed Carbon\NFSC.exe
    Task: {98C4DB66-9AB7-456B-A397-9148E0D4C84E} - System32\Tasks\{602300A9-07C4-46B0-AB2A-FEA83A628065} => D:\Program Files (x86)\Electronic Arts\Need for Speed Carbon\NFSC.exe
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA
    HKU\S-1-5-21-294584221-4085631108-1916366123-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA
    URLSearchHook: HKU\S-1-5-21-294584221-4085631108-1916366123-1000 - (Brak nazwy) - {BC86E1AB-EDA5-4059-938F-CE307B0C6F0A} - Brak pliku
    SearchScopes: HKU\S-1-5-21-294584221-4085631108-1916366123-1000 -> DefaultScope {A9CDA5F6-C97B-46ae-9FF8-8CB6D9396672} URL = hxxp://uk.search.yahoo.com/search?p={searchTerms}&fr=chr-devicevm&type=IEBD
    SearchScopes: HKU\S-1-5-21-294584221-4085631108-1916366123-1000 -> {6B1298B3-7CB3-4ab3-9684-AE1BACD4D8AE} URL = hxxp://www.google.com/custom?client=pub-37942...%3BGIMP%3A0000FF%3BFORID%3A1&hl=pl&q={searchTerms}
    SearchScopes: HKU\S-1-5-21-294584221-4085631108-1916366123-1000 -> {A9CDA5F6-C97B-46ae-9FF8-8CB6D9396672} URL = hxxp://uk.search.yahoo.com/search?p={searchTerms}&fr=chr-devicevm&type=IEBD
    Toolbar: HKU\S-1-5-21-294584221-4085631108-1916366123-1000 -> Brak nazwy - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - Brak pliku
    FF Extension: Avira Browser Safety - C:\Users\ppp\AppData\Roaming\Mozilla\Firefox\Profiles\yZAAzdD9.default\Extensions\abs@avira.com [2016-06-13]




    CHR HKLM\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - hxxps://clients2.google.com/service/update2/crx
    S3 catchme; \??\C:\ComboFix\catchme.sys [X]
    2016-06-15 19:48 - 2011-06-26 08:45 - 00256000 _____ C:\Windows\PEV.exe
    2016-06-15 19:48 - 2010-11-07 19:20 - 00208896 _____ C:\Windows\MBR.exe
    2016-06-15 19:48 - 2009-04-20 06:56 - 00060416 _____ (NirSoft) C:\Windows\NIRCMD.exe
    2016-06-15 19:48 - 2000-08-31 02:00 - 00518144 _____ (SteelWerX) C:\Windows\SWREG.exe
    2016-06-15 19:48 - 2000-08-31 02:00 - 00406528 _____ (SteelWerX) C:\Windows\SWSC.exe
    2016-06-15 19:48 - 2000-08-31 02:00 - 00098816 _____ C:\Windows\sed.exe
    2016-06-15 19:48 - 2000-08-31 02:00 - 00080412 _____ C:\Windows\grep.exe
    2016-06-15 19:48 - 2000-08-31 02:00 - 00068096 _____ C:\Windows\zip.exe
    2016-06-15 19:47 - 2016-06-15 20:04 - 00000000 ____D C:\Qoobox
    2016-06-15 19:46 - 2016-06-15 19:46 - 05659224 ____R (Swearware) C:\Users\ppp\Downloads\ComboFix.exe
    2016-06-18 21:22 - 2016-03-24 02:15 - 00000000 ____D C:\AdwCleaner
    EmptyTemp:

    W FRST wybierz Napraw.

    W logach nie widac pliku service.exe na c:.


    Wkleiłem te wszystkie linijki do wcześniej utworzone pliku Fixlist.txt, umieściłem koło first.exe. Nacisnąłem napraw, po zakończeniu operacji komputer ponownie się uruchomił. Potem usunąłem plik service.txt, uruchomiłem ponownie komputer i znowu się pojawił. U mnie pojawia się na dysku c:. W środku jakiś dziwny tekst pisze:

    Just before processing loop...
    Type=60,Port=b2,BiosAddr=cfeed762
    Current=0.000000,Total=0.000000,MaxVid=1.250000,Rev=0x20
    MapAddr=0x0025D762

    0
  • Pomocny post
    #6 18 Cze 2016 22:35
    Kolobos
    Spec od komputerów

    To nie jest plik exe, tylko txt jak sam widzisz.

    Tworzy go C:\PROGRAM FILES\GIGABYTE\EASYSAVER\ESSVR.EXE, zostaw go w spokoju.

    0
  • #7 18 Cze 2016 22:47
    RockyElite
    Poziom 3  

    Kolobos napisał:
    To nie jest plik exe, tylko txt jak sam widzisz.

    Tworzy go C:\PROGRAM FILES\GIGABYTE\EASYSAVER\ESSVR.EXE, zostaw go w spokoju.


    Aha mój błąd. Myślałem, że to wirus albo jakieś złośliwe oprogramowanie. :D Dziękuje za informacje.

    0