Skocz do zawartości

Malware, jak usunąć?


Rekomendowane odpowiedzi

Zauważyłem w Autostarcie dwie aplikacje, które uruchamiają się wraz z systemem. Pojawił się w moim folderze użytkownika folder wuaucldt, jak się później okazało plik exe - zostal przeze mnie uruchomiony.

Avast dopiero po ręcznym skanowaniu tego pliku wskazał Malware, wrzucił go do kwarantanny, a ja go z tej kwarantanny usunąłem.

 

Pliki które uruchamiają się przy starcie to wuaucldt oraz hhrbealdsiasexymnuv.

 

Log Gmer: http://www.wklej.org/id/396593/

 

OTL: http://www.wklej.org/id/396610/

Extras: http://www.wklej.org/id/396611/

 

Proszę o pomoc.

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
O4 - HKU\S-1-5-21-2254651957-1038395838-2164521862-1000..\Run: [wuaucldt] c:\users\tomasz\wuaucldt.exe File not found
O4 - Startup: C:\Users\Tomasz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\algkir32.exe ()
O9 - Extra Button: eBay - {76577871-04EC-495E-A12B-91F7C3600AFA} -  File not found
O9 - Extra Button: Amazon.co.uk - {8A918C1D-E123-4E36-B562-5C1519E434CE} -  File not found
 
:Files
C:\Users\Tomasz\AppData\Roaming\yopgrf.dat
C:\Users\Tomasz\AppData\Roaming\avdrn.dat
C:\Users\Tomasz\AppData\Local\Temp*.html
C:\Users\Tomasz\oashdihasidhasuidhiasdhiashdiuasdhasd
 
:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"TCP Query User{485852E0-54A0-4871-BC62-09063EDCE42D}C:\program files\sopcast\adv\sopadver.exe"=-
"UDP Query User{34079D77-50E6-4566-91AA-B23148358764}C:\program files\sopcast\adv\sopadver.exe"=-
 
:Commands
[emptyflash]
[emptytemp]

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

 

 

 

Odnośnik do komentarza

Według poprzedniego logu pliku nie było, widocznie znów się pojawił. W takim razie kolejny skrypt do OTL:

 

:OTL
O4 - HKU\S-1-5-21-2254651957-1038395838-2164521862-1000..\Run: [wuaucldt] c:\users\tomasz\wuaucldt.exe ()
 
:Files
C:\Users\Tomasz\AppData\Roaming\yopgrf.dat
C:\Users\Tomasz\oashdihasidhasuidhiasdhiashdiuasdhasd
 
:Commands
[emptytemp]

 

Nowe logi do oceny.

 

 

 

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...