Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

- Tor.exe - jak się tego POZBYĆ?!

masterServant 16 Lut 2017 14:55 738 8
  • #1 16 Lut 2017 14:55
    masterServant
    Poziom 3  

    Cześć, ostatnio w procesach w menadżerze zadań zauważyłem "tor.exe" - nie wiem skąd to się wzięło. Gdy próbuję usunąć wszystkie pliki związane z tym czymś w %appdata% i zamknąć proces, po każdym ponownym uruchomieniu komputera to wraca. Załączam pliki uzyskane podczas skanu, proszę o pomoc.

    0 8
  • #2 16 Lut 2017 15:03
    Kolobos
    Spec od komputerów

    Uzyj AdwCleaner, opcja Scan i Clean/Szukaj i Usun: http://www.bleepingcomputer.com/download/adwcleaner/

    Wykonaj Fixlist.txt dla FRST:
    Task: {01F71FFD-E3B6-4905-B1C2-7D687353D662} - System32\Tasks\{1F165A2B-DE67-4BE3-A0BA-398C32B2E8AD} => D:\Steam\steamapps\common\Heroes & Generals\hngsteamlauncher.exe
    Task: {6767D8B3-7635-4907-8A74-D4258863DAEF} - System32\Tasks\{B515C218-2E4D-4D5E-B6AD-AF53F57C09D3} => pcalua.exe -a C:\Users\Tomek\Downloads\2058_Gta_Sa_Spolszczenie.exe -d C:\Users\Tomek\Downloads
    ShortcutWithArgument: C:\Users\Tomek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP%
    ShortcutWithArgument: C:\Users\Tomek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP%
    ShortcutWithArgument: C:\Users\Tomek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> %SNF%
    ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> %SNF%
    AlternateDataStreams: C:\ProgramData:NT [40]
    AlternateDataStreams: C:\ProgramData:NT2 [432]
    AlternateDataStreams: C:\Users\All Users:NT [40]
    AlternateDataStreams: C:\Users\All Users:NT2 [432]
    AlternateDataStreams: C:\Users\Tomek:Heroes & Generals [38]
    AlternateDataStreams: C:\ProgramData\Application Data:NT [40]
    AlternateDataStreams: C:\ProgramData\Application Data:NT2 [432]
    AlternateDataStreams: C:\ProgramData\Dane aplikacji:NT [40]
    AlternateDataStreams: C:\ProgramData\Dane aplikacji:NT2 [432]
    AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT [40]
    AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2 [432]
    AlternateDataStreams: C:\Users\Tomek\Dane aplikacji:NT [40]
    AlternateDataStreams: C:\Users\Tomek\Dane aplikacji:NT2 [432]
    AlternateDataStreams: C:\Users\Tomek\AppData\Roaming:NT [40]
    AlternateDataStreams: C:\Users\Tomek\AppData\Roaming:NT2 [432]
    HKU\S-1-5-21-158218331-783493303-2573784002-1001\...\Run: [{71CB8215-51C9-B60E-071F-14A78BFD893C}] => C:\Users\Tomek\AppData\Roaming\{C8ECF87A-8D3A-3E38-F97F-27981002C023}\bwgvdsaql.exe [250880 2017-02-15] ()
    HKU\S-1-5-21-158218331-783493303-2573784002-1001\...\MountPoints2: F - F:\autorun.exe
    HKU\S-1-5-21-158218331-783493303-2573784002-1001\...\MountPoints2: {c4ac2f8f-b3d3-11e6-bffb-0090f58f7917} - G:\Lenovo_Suite.exe
    HKU\S-1-5-21-158218331-783493303-2573784002-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%6...c2LNzcPCgF1IR5_yuwZco2K1lsjzCrQSvGU-jKPQ,,&q={searchTerms}




    HKU\S-1-5-21-158218331-783493303-2573784002-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://%66%65%65%64.%68%65%6C%70%65%72%62%61...wjTgP1ncBeGgqK7Xj9GLbRfF6D_eGXo-pj7Xu5zjP0g,,,,
    HKU\S-1-5-21-158218331-783493303-2573784002-1001\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://www.msn.com/pl-pl/?ocid=iehp
    SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL =
    FF Plugin-x32: @live.heroesandgenerals.com/npretox -> D:\Heroes & Generals\live\npretox-1.0.6.1\npretoxlive-1.0.6.1.dll [Brak pliku]
    S3 EuMusDesignVirtualAudioCableWdm; system32\DRIVERS\vrtaucbl.sys [X]
    S3 FairplayKD; \??\C:\ProgramData\MTA San Andreas All\Common\temp\FairplayKD.sys [X]
    S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X]
    S3 tsusbhub; system32\drivers\tsusbhub.sys [X]
    S3 VGPU; System32\drivers\rdvgkmd.sys [X]
    2017-02-16 13:36 - 2017-02-16 13:36 - 00000000 ____D C:\Users\Tomek\AppData\Roaming\tor
    2017-02-13 02:18 - 2017-02-13 02:18 - 00000000 ___HD C:\Users\Tomek\AppData\Roaming\{C8ECF87A-8D3A-3E38-F97F-27981002C023}
    EmptyTemp:

    Po wykonaniu usun katalog C:\FRST.

    Zrob tez pelny skan przy pomocy Mbam i usun to co wykryje:
    http://www.bleepingcomputer.com/download/malwarebytes-anti-malware/

    0
  • #3 16 Lut 2017 19:03
    masterServant
    Poziom 3  

    Niestety, to nic nie dało. Wszystko, co wykrył mi AdwCleaner usunąłem, potem zrobiłem ten fixlist i nacisnąłem "Napraw". Niby wszystko było okej, komputer się zresetował, lecz ten tor.exe nadal jest...

    0
  • #4 16 Lut 2017 19:31
    Kolobos
    Spec od komputerów

    Zamiesc fixlog z wykonania oraz nowe logi z FRST, ze skanowania.

    0
  • #6 16 Lut 2017 23:10
    Kolobos
    Spec od komputerów

    Podany Fixlist.txt wykonaj w trybie awaryjnym:
    CloseProcesses:
    () C:\Users\Tomek\AppData\Roaming\tor.exe
    S1 ESProtectionDriver; \??\C:\Windows\system32\drivers\mbae64.sys [X]
    S3 MBAMSwissArmy; \??\C:\Windows\system32\drivers\MBAMSwissArmy.sys [X]
    S3 MBAMWebProtection; \??\C:\Windows\system32\drivers\mwac.sys [X]
    2017-02-16 17:14 - 2017-02-16 22:41 - 00000000 ____D C:\Users\Tomek\AppData\Roaming\tor
    2017-02-16 17:14 - 2017-02-16 17:14 - 03351566 _____ C:\Users\Tomek\AppData\Roaming\tor.exe
    2017-02-16 15:53 - 2017-02-16 15:57 - 00000000 ____D C:\AdwCleaner

    Po wykonaniu zamiesc fixlog oraz nowy log z FRST.

    0
  • #9 21 Lut 2017 23:36
    masterServant
    Poziom 3  

    Niestety, nic nie działało - nie mam nerwów, aby czekać 10 dni żeby ten Mbam coś zeskanował. Zrobiłem po prostu format i problem ustąpił, eh - dzięki za chęć pomocy.

    0