Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Uproczywy nawracający Wirus pod procesem svchost.exe

amyemily 26 Cze 2018 20:26 204 10
  • #1 26 Cze 2018 20:26
    amyemily
    Poziom 3  

    Witam. Proszę o pomoc. Wirus podszywa się pod svchost.exe . Antywirus Norton co chwilę mi go blokuje , wyskakują powiadomienia o zablokowaniu ataku, ale to nic nie daje. Komputer spowolnił na maksimum. Dodatkowo co chwilę samoczynnie właczają mi się przeglądarki z załadowanymi stronami , które chcą dodać kolejne "robaki" . Gdy chcę pobrać program ADW CLEANER lub FRST wyrzuca mnie z przeglądarki. Jakby ustawiony na to czego ma nie włączać. Po skanowaniu Malwarebytes Anti-Malware ukazały się Trojany poddane kwarantannie, które miały zniknąć po restarcie komputera ale to nic nie dało. Trochę poczytałam w innych tematach , ale nie mogę sobie poradzić. Zaczyna brakować mi już cierpliwości. Wirus ciągle nawraca, nie mam pojęcia co jeszcze mogę zrobić, liczę na waszą pomoc. Pomóżcie mi proszę.

    0 10
  • Pomocny post
    #2 26 Cze 2018 20:49
    mieszaczwcz
    Poziom 26  

    Próbowałeś w trybie awaryjnym bez LANu zainstalować ADW z PENA?
    Lub Płyta Ratunkowa z narzędziami 2/2018 Komputer Świat - to najprościej.

    0
  • #3 26 Cze 2018 20:59
    amyemily
    Poziom 3  

    Właśnie sie udało, przy wyłaczeniu internetu , z innego komputera przenieść na pen drive i zainstalować obydwie aplikacje.
    ADW CLENER wyszukał i usunął dziada. Mam nadzieje że to już jego koniec na dobre...
    EDIT : tak na marginesie , jestem kobietą i właśnie jeszcze to przyszło mi do głowy, i tak.. spróbowałam ;) - udało się.

    0
  • Pomocny post
    #4 26 Cze 2018 21:08
    Kolobos
    Spec od komputerów

    Dla pewnosci zamiesc logi z FRST.

    0
  • Pomocny post
    #5 27 Cze 2018 08:34
    safbot1st
    Poziom 43  

    PUP.Multiplug.Heuristic C:\ProgramData\AUDYSSEY LABS
    Tylko to usunął ADW i ciężko uwierzyć, że to była całość infekcji.
    Te infekcje svchost to najgorsze "dziady" jakie spotkałem.
    Zamieść screen z listą obciążających CPU procesów w managerze zadań. Miniatury zdjęć się pokazują w folderach z nimi?
    Zamieść logi jak prosi @Kolobos wyżej.

    0
  • #6 27 Cze 2018 09:27
    amyemily
    Poziom 3  

    Witam. Tak, mieliście rację. Dziadostwo niestety dalej gdzieś siedzi. Nie da się łatwo zniwelować.
    Odinstalowałam chrome na której samoczynnie włączały się strony. Teraz mam to na Operze. Wczoraj nie miałam już na to dłużej sił.
    W procesach nie widzę nic szczególnie niepokojącego oprócz "przerywania systemowe" ?
    Natomiast w szczegółach mam około 70 procesów svchost.exe
    Zamieszczam print screen'y z menedżera oraz dzisiejsze logi z adw cleaner i frst.

    Uproczywy nawracający Wirus pod procesem svchost.exeUproczywy nawracający Wirus pod procesem svchost.exe

    0
  • Pomocny post
    #7 27 Cze 2018 09:39
    safbot1st
    Poziom 43  

    Na screenach nie widać obciążającego svchost, za to w logach infekcja.
    Nie zamieściłeś poza tym Addition.txt.
    Otwórz notatnik i wklej:

    CloseProcesses:
    C:\Windows\System32\browser_broker.exe
    C:\Users\julia\AppData\Local\Packages\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\TempState\
    HKU\S-1-5-21-1569761147-2126233075-500324840-1001\...\Run: [uTorrent] => C:\Users\julia\AppData\Roaming\uTorrent\uTorrent.exe [1984184 2018-06-26] (BitTorrent Inc.)
    HKU\S-1-5-21-1569761147-2126233075-500324840-1001\...\MountPoints2: {aeeeb351-7897-11e8-8960-806e6f6e6963} - "H:\DVDSetup.exe"
    CHR HKLM\...\Chrome\Extension: [cjabmdjcfcfdmffimndhafhblfmpjdpe] - C:\Program Files\Norton Security\Engine\22.14.2.13\Exts\Chrome.crx <nie znaleziono>
    CHR HKLM\...\Chrome\Extension: [iikflkcanblccfahdhdonehdalibjnif] - hxxps://clients2.google.com/service/update2/crx
    2018-06-26 11:57 - 2018-06-26 11:57 - 000003904 _____ C:\Windows\System32\Tasks\{1AF60004-EB1B-8E67-C18A-F06126C3ED75}
    2018-06-25 20:37 - 2018-06-25 20:37 - 000000000 ____H C:\ProgramData\DP45977C.lfl
    CHR HKLM-x32\...\Chrome\Extension: [cjabmdjcfcfdmffimndhafhblfmpjdpe] - C:\Program Files\Norton Security\Engine\22.14.2.13\Exts\Chrome.crx <nie znaleziono>
    CHR HKLM-x32\...\Chrome\Extension: [iikflkcanblccfahdhdonehdalibjnif] - hxxps://clients2.google.com/service/update2/crx
    S3 MSICDSetup; \??\H:\CDriver.sys [X]
    2018-06-26 18:10 - 2018-06-26 18:10 - 003389753 _____ C:\Users\julia\Downloads\0ef2061c-5cf7-40bd-b323-aca9d349e28d.tmp
    2018-06-25 18:36 - 2018-04-12 01:30 - 000000000 ____D C:\Windows\CbsTemp
    2018-06-25 17:56 - 2018-04-12 01:38 - 000000000 ____D C:\Windows\system32\FxsTmp
    2018-04-12 01:34 - 2018-04-12 01:34 - 000059904 ____N (Microsoft Corporation) C:\Program Files (x86)\Common Files\eRygYyEo.exe
    2018-04-12 01:34 - 2018-04-12 01:34 - 000178688 ____N (Microsoft Corporation) C:\Users\julia\AppData\Roaming\IYxOH.exe
    2018-06-26 12:54 - 2018-04-12 01:35 - 000607840 _____ (Microsoft Corporation) C:\Users\julia\AppData\Local\Temp\kernel32.dll
    Task: {3862D734-BEF3-4167-9834-6B44BF3D38F9} - System32\Tasks\{1AF60004-EB1B-8E67-C18A-F06126C3ED75} => "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" hxxp://blog-smile.com/cl/?guid=q0qhxrm58l8acu0pasht51bpur9ophu6&prid=1&pid=4_1324_0
    EmptyTemp:

    Zapisz jako fixlist.txt obok FRST.exe i w FRST wybierz "Napraw".
    Po naprawie wygeneruj od nowa i zamieść ponownie oba logi.

    0
  • #8 27 Cze 2018 09:59
    amyemily
    Poziom 3  

    Dobrze , więc dodaję jeszcze raz oba nowe logi z FRST , dodając że jeszcze nic nie zmieniałam i nie naprawiałam.
    Chciałabym mieć pewność , że wszystko będzie dobrze zrobione .
    Po sprawdzeniu proszę o informację czy procedura nadal jak wyżej ?
    Dziękuję! Jesteście niezastąpieni!

    0
  • Pomocny post
    #9 27 Cze 2018 10:14
    safbot1st
    Poziom 43  

    W poście #7 zmieniony, poprawiony kod do fixlist.txt
    Wykonaj naprawę w FRST za pomocą tak przygotowanego TXT.
    Napisz, czy objawy ustąpiły.

    1
  • #11 27 Cze 2018 10:50
    safbot1st
    Poziom 43  

    Usuń C:\FRST i to wszystko.

    0