Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

[Rozwiązano] Win10 podejrzenie infekcji wirusem Sality, msiexec64 i 1 niezidentyfikowany

NivreH 21 Lip 2018 18:20 297 5
  • #1 21 Lip 2018 18:20
    NivreH
    Poziom 2  

    Hej, mam problem z wirusem, który blokuje mi wszelkie znane antywirusy (malvarebytes, adwcleaner itd; wyłącza mi również FRST) strony z tymi antywirusami, elektrodę również mi zablokowało, więc piszę do was z trybu awaryjnego, udało mi się przeskanować komputer w trybie awaryjnym różnymi programami antywirusowymi, lecz po "usunięciu" wirusów problem nadal jest, prawdopodobnie pliki gdzieś się reinstalują jak ten msiexec64

    Win10 podejrzenie infekcji wirusem Sality, msiexec64 i 1 niezidentyfikowany


    komputer strasznie muli, procesor jest wykorzystywany w 100% wentylator chodzi jak szalony, ten 3-ci wirus uruchamia w przeglądarce chrome różne reklamy, ze swojej strony próbowałem wszystkiego na ile umiem, niestety usuwam problem tylko do ponownego uruchomienia komputera.

    załączam logi z FRST bardzo proszę o pomoc w rozwiązaniu problemu.

    0 5
  • Pomocny post
    #2 21 Lip 2018 18:34
    Kolobos
    Spec od komputerów

    To nie sality.

    Odinstaluj:
    McAfee WebAdvisor
    SpyHunter 5
    WinThruster

    Wykonaj Fixlist.txt dla FRST:
    CloseProcesses:
    Task: {15E29628-7C52-44F0-B068-988CD2658D31} - \{947ECFC2-7519-B6AD-2660-4C2AEB404A9B} -> Brak pliku <==== UWAGA
    Task: {1FB14934-A2ED-4260-9AC7-B44667191158} - \NvBatteryBoostCheckOnLogon_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} -> Brak pliku <==== UWAGA
    Task: {3E49978A-F98F-4BD3-8390-47D0A35B52B4} - \{705D4027-70DF-C177-BD78-DD4A72320A40} -> Brak pliku <==== UWAGA
    Task: {416ED551-160F-40E2-B79E-3E6498B307B2} - \BlockchainResearchToolsSvc -> Brak pliku <==== UWAGA
    Task: {B0413D2D-50B8-4AA0-AAF8-0E5EC9B39D85} - \Microsoft\Windows\UNP\RunCampaignManager -> Brak pliku <==== UWAGA
    Task: {BB1878D0-3D8B-4041-91A7-0D9E86446914} - \{5A61852D-D061-654A-D053-FD4DF1737749} -> Brak pliku <==== UWAGA
    Task: {BBFC78AE-3D58-4E84-B5F3-43AD22391493} - \{B7622881-DDE4-B577-4609-6617EAD24E64} -> Brak pliku <==== UWAGA
    Task: C:\WINDOWS\Tasks\CreateExplorerShellUnelevatedTask.job => C:\WINDOWS\explorer.exe
    HKLM\Software\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR/DisableConfig] <==== UWAGA
    HKU\S-1-5-21-3134162171-3948898653-1504375315-1001\...\MountPoints2: {661f201e-3ee0-11e7-8754-50e549c7606f} - "I:\Install.exe"
    Lsa: [Notification Packages] scecli C:\Program Files\TrueKey\McAfeeTrueKeyPasswordFilter
    SearchScopes: HKLM-x32 -> DefaultScope - brak wartości
    BHO: McAfee WebAdvisor -> {B164E929-A1B6-4A06-B104-2CD0E90A88FF} -> c:\Program Files (x86)\McAfee\siteadvisor\x64\McIEPlg.dll [2018-06-05] (McAfee, Inc.)
    BHO-x32: True Key Helper -> {0F4B8786-5502-4803-8EBC-F652A1153BB6} -> C:\Program Files\Intel Security\True Key\MSIE\truekey_ie.dll [2017-02-08] (Intel Security)
    BHO-x32: McAfee WebAdvisor -> {B164E929-A1B6-4A06-B104-2CD0E90A88FF} -> c:\Program Files (x86)\McAfee\siteadvisor\McIEPlg.dll [2018-06-05] (McAfee, Inc.)
    Toolbar: HKLM-x32 - True Key - {4BAAC1B8-0800-42C9-8FA6-08B211F356B8} - C:\Program Files\Intel Security\True Key\MSIE\truekey_ie.dll [2017-02-08] (Intel Security)
    Handler: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\Program Files (x86)\McAfee\siteadvisor\x64\McIEPlg.dll [2018-06-05] (McAfee, Inc.)
    Handler-x32: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\Program Files (x86)\McAfee\siteadvisor\McIEPlg.dll [2018-06-05] (McAfee, Inc.)
    C:\Program Files (x86)\McAfee\SiteAdvisor\e10ssaffplg.xpi
    FF HKLM\...\Firefox\Extensions: [{4ED1F68A-5463-4931-9384-8FFF5ED91D92}] - C:\Program Files (x86)\McAfee\SiteAdvisor\e10ssaffplg.xpi
    FF Extension: (McAfee® WebAdvisor) - C:\Program Files (x86)\McAfee\SiteAdvisor\e10ssaffplg.xpi [2018-05-15]
    FF HKLM-x32\...\Firefox\Extensions: [{4ED1F68A-5463-4931-9384-8FFF5ED91D92}] - C:\Program Files (x86)\McAfee\SiteAdvisor\e10ssaffplg.xpi
    CHR HKLM\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho] - hxxp://clients2.google.com/service/update2/crx




    CHR HKLM-x32\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho] - hxxp://clients2.google.com/service/update2/crx
    HKU\S-1-5-21-3134162171-3948898653-1504375315-1001\...\StartMenuInternet\ChromeHTML: -> C:\Program Files (x86)\Easthas\Application\chrome.exe <==== UWAGA
    S3 McAfee SiteAdvisor Service; C:\Program Files (x86)\McAfee\SiteAdvisor\McSACore.exe [604824 2018-06-05] (McAfee, Inc.)
    S2 ShMonitor; C:\Program Files\EnigmaSoft\SpyHunter\ShMonitor.exe [538416 2018-07-21] (EnigmaSoft Limited)
    S3 EnigmaFileMonDriver; C:\WINDOWS\system32\Drivers\EnigmaFileMonDriver.sys [61624 2018-07-21] (EnigmaSoft Limited)
    S3 mfesapsn; C:\Program Files (x86)\McAfee\SiteAdvisor\x64\mfesapsn.sys [111608 2017-02-14] (McAfee, Inc.)
    S1 cdvtgsst; \??\C:\WINDOWS\system32\drivers\cdvtgsst.sys [X]
    S3 cpuz143; \??\C:\WINDOWS\temp\cpuz143\cpuz143_x64.sys [X]
    S3 GPUZ; \??\C:\WINDOWS\TEMP\GPUZ.sys [X]
    S3 iobit_monitor_server; \??\C:\Program Files (x86)\IObit\Advanced SystemCare\drivers\Monitor_win10_x64.sys [X]
    2018-07-21 16:26 - 2018-07-21 16:26 - 000061624 _____ (EnigmaSoft Limited) C:\WINDOWS\system32\Drivers\EnigmaFileMonDriver.sys
    2018-07-21 16:25 - 2018-07-21 16:25 - 005937968 _____ (EnigmaSoft Limited) C:\Users\Erwin\Downloads\SpyHunter-Installer.exe
    2018-07-21 16:25 - 2018-07-21 16:25 - 000001059 _____ C:\Users\Public\Desktop\SpyHunter5.lnk
    2018-07-21 16:25 - 2018-07-21 16:25 - 000000000 ____D C:\sh5ldr
    2018-07-21 16:25 - 2018-07-21 16:25 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EnigmaSoft
    2018-07-21 16:25 - 2018-07-21 16:25 - 000000000 ____D C:\ProgramData\EnigmaSoft Limited
    2018-07-21 16:25 - 2018-07-21 16:25 - 000000000 ____D C:\Program Files\EnigmaSoft
    2018-07-21 15:31 - 2018-07-21 17:22 - 000000000 ___HD C:\Users\Erwin\AppData\Local\NET.Framework SDK
    2018-07-21 04:22 - 2018-07-21 04:22 - 000001120 _____ C:\Users\Public\Desktop\WinThruster.lnk
    2018-07-21 04:22 - 2018-07-21 04:22 - 000000000 ____D C:\Users\Erwin\AppData\Roaming\WinThruster
    2018-07-21 04:22 - 2018-07-21 04:22 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinThruster
    2018-07-21 04:21 - 2018-07-21 17:50 - 000000000 ____D C:\Program Files (x86)\WinThruster
    2018-07-21 04:21 - 2018-07-21 04:21 - 002753008 _____ (Solvusoft ) C:\Users\Erwin\Downloads\Setup_WinThruster_2018.exe
    2018-07-21 04:14 - 2018-07-21 04:14 - 003448880 _____ C:\Users\Erwin\Downloads\avg_remover_slt(3).exe
    2018-07-21 04:13 - 2018-07-21 04:13 - 003448880 _____ C:\Users\Erwin\Downloads\avg_remover_slt(2).exe
    2018-07-21 02:15 - 2018-07-21 02:15 - 003448880 _____ C:\Users\Erwin\Downloads\avg_remover_slt(1).exe
    2018-07-21 01:06 - 2018-07-21 01:06 - 000295520 _____ (Kaspersky Lab ZAO) C:\Users\Erwin\Downloads\salitykiller_1.3.7.0.exe
    2018-07-21 01:00 - 2018-07-21 01:00 - 003448880 _____ C:\Users\Erwin\Downloads\avg_remover_slt (1).exe
    2018-07-21 00:37 - 2018-07-21 00:37 - 007407312 _____ (Malwarebytes) C:\Users\Erwin\Downloads\AdwCleaner(1).exe
    2018-07-20 23:23 - 2018-07-20 23:23 - 000388608 _____ (Trend Micro Inc.) C:\Users\Erwin\Downloads\HijackThis.exe
    2018-07-20 17:21 - 2018-07-21 05:21 - 000000000 ___HD C:\Users\Erwin\AppData\Local\Peer.Net
    2018-07-20 15:21 - 2018-07-20 15:21 - 000000002 _____ C:\Users\Erwin\AppData\Local\imw.ini
    2018-07-07 14:31 - 2018-07-07 14:31 - 020367104 _____ (TeamViewer GmbH) C:\Users\Erwin\Downloads\TeamViewer_Setup (6).exe
    2018-07-07 14:26 - 2018-07-07 14:26 - 020367104 _____ (TeamViewer GmbH) C:\Users\Erwin\Downloads\TeamViewer_Setup (5).exe
    2018-07-07 14:25 - 2018-07-07 14:25 - 020367104 _____ (TeamViewer GmbH) C:\Users\Erwin\Downloads\TeamViewer_Setup (4).exe
    2018-07-07 11:32 - 2018-07-07 11:32 - 020367104 _____ (TeamViewer GmbH) C:\Users\Erwin\Downloads\TeamViewer_Setup (3).exe
    2018-07-07 11:32 - 2018-07-07 11:32 - 020367104 _____ (TeamViewer GmbH) C:\Users\Erwin\Downloads\TeamViewer_Setup (2).exe
    2018-07-07 11:32 - 2018-07-07 11:32 - 020367104 _____ (TeamViewer GmbH) C:\Users\Erwin\Downloads\TeamViewer_Setup (1).exe
    2018-06-25 16:29 - 2018-06-26 13:14 - 000000000 ____D C:\Program Files (x86)\McAfee
    2018-05-25 03:49 - 2018-06-05 10:58 - 000000000 ____D C:\Users\Erwin\AppData\Roaming\ed82a5a8
    2018-07-21 00:43 - 2016-11-11 20:14 - 000000000 ____D C:\AdwCleaner
    2018-06-25 16:29 - 2016-11-07 23:38 - 000000000 ____D C:\ProgramData\McAfee
    2018-04-12 01:34 - 2018-04-12 01:34 - 000178688 ____N (Microsoft Corporation) C:\Users\Erwin\eAuauwkACg.exe
    2018-04-12 01:34 - 2018-04-12 01:34 - 000059904 ____N (Microsoft Corporation) C:\Program Files (x86)\OAiBvEvbLb.exe
    2018-04-12 01:34 - 2018-04-12 01:34 - 000059904 ____N (Microsoft Corporation) C:\Program Files (x86)\UnGrxPoZeCWA.exe
    2018-04-12 01:34 - 2018-04-12 01:34 - 000059904 ____N (Microsoft Corporation) C:\Program Files (x86)\Common Files\TIeQYjUIe.exe
    2018-04-12 01:34 - 2018-04-12 01:34 - 000059904 ____N (Microsoft Corporation) C:\Program Files (x86)\Common Files\YUmXHgeaOMie.exe
    2018-07-20 15:21 - 2018-07-20 15:21 - 000000002 _____ () C:\Users\Erwin\AppData\Local\imw.ini
    2018-06-26 14:18 - 2018-06-26 14:18 - 000000002 _____ () C:\Users\Erwin\AppData\Local\WMI.ini

    Po wykonaniu zamiesc nowe logi z FRST, ze skanowania.

    0
  • Pomocny post
    #4 21 Lip 2018 19:30
    Kolobos
    Spec od komputerów

    Usun katalog C:\FRST i to wszystko.

    0
  • #5 21 Lip 2018 19:49
    NivreH
    Poziom 2  

    Dziękuję bardzo za pomoc i poświęcony czas :)

    0
  • #6 21 Lip 2018 19:50
    NivreH
    Poziom 2  

    Dziękuję bardzo za pomoc i poświęcony czas :)

    Dodano po 1 [minuty]:

    zastosowałem się do instrukcji programisty Kolobos

    0