fudal Opublikowano 8 Lipca 2015 Zgłoś Udostępnij Opublikowano 8 Lipca 2015 Witam, dzisiaj mój komputer zaczął wyświetlać mi różne reklamy, instalować różne rzeczy oraz przeklądarka włączała mi inne, nieporządane karty. Zauważyłem że do moich procesów dodały się "winlogon.exe" oraz "atieclxx.exe" nie widziałem ich wcześniej przy użytkowaniu komputera i czytałem że są to prawdopodobnie wirusy. Czy mógłby ktoś mi pomóc je usunąć oraz naprawić mój komputer, będę bardzo wdzięczny. Dołączam wymagane logi. Addition.txt FRST.txt Shortcut.txt GMER.TXT.txt Odnośnik do komentarza
jessica Opublikowano 8 Lipca 2015 Zgłoś Udostępnij Opublikowano 8 Lipca 2015 @Picasso podobno ma już zacząć pomagać, ale jeśli w ciągu kilku dni nie otrzymasz Jej zaleceń, to zrobisz przynajmniej to: 1) Użyj >Adw-cleanernajpierw kliknij na SZUKAJ (SCAN), a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ (CLEANING), to kliknij na niego.Pokaż raport z niego C:\AdwCleaner\AdwCleaner.txt 2) Zrób nowe logi FRST. 3) 2015-07-08 15:46 - 2015-07-08 15:46 - 00000000 _____ C:\Windows\prleth.sys2015-07-08 15:46 - 2015-07-08 15:46 - 00000000 _____ C:\Windows\hgfs.sys2015-07-08 15:45 - 2015-07-08 16:05 - 00000000 ____D C:\Users\Dom\AppData\Local\15093 Znasz te powyższe obiekty? 4) (AMD) C:\Windows\System32\atieclxx.exe To właściwy proces. 5) C:\Windows\system32\winlogon.exe => File is digitally signed Innego "winlogon.exe" w logach nie widzę. jessi Odnośnik do komentarza
fudal Opublikowano 8 Lipca 2015 Autor Zgłoś Udostępnij Opublikowano 8 Lipca 2015 Dziękuję za pomoc, dodaje logi z FRST oraz AdCleaner. I nie znam żadnego z tych elementów, punkt 3. AdwCleanerS2.txt Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
jessica Opublikowano 8 Lipca 2015 Zgłoś Udostępnij Opublikowano 8 Lipca 2015 Otwórz Notatnik i wklej w nim: Task: {2C59ECAF-3A27-4640-9F4B-519B05BDD70F} - \Microsoft\Windows\MUI\LPRemove No Task File <==== ATTENTIONTask: {2D10AC9D-AB66-413D-8719-DDBDE95DFAF0} - System32\Tasks\{3CB43A42-6514-4584-8F12-73BF2E0AD59D} => pcalua.exe -a C:\Users\Dom\AppData\Roaming\mystartsearch\UninstallManager.exe -c -ptid=corTask: {5438FBF9-B2C2-44C5-B6CC-B23B4FABBCA4} - System32\Tasks\{36CC6307-B330-49DB-8BD7-7546AB8979FC} => pcalua.exe -a "D:\CABAL2 (US)\c2installer.exe" -d "D:\CABAL2 (US)"Task: {558805D3-7A26-48F5-8676-07971F9FB216} - System32\Tasks\{7BD7EB18-C71D-4C26-88D9-1BD91786B3E0} => pcalua.exe -a "D:\Testy Bplus\Loader.exe" -d "D:\Testy Bplus"Task: {A5B33430-8D3D-40AE-B4D1-37B9A1A4A7E9} - System32\Tasks\{20AEFDD9-8ACA-4191-A38C-DEA53635DF92} => pcalua.exe -a "D:\gry\Cryptic Studios\Neverwinter.exe" -d "D:\gry\Cryptic Studios"Task: {C4BC4CA9-6BF2-4663-84BA-1FB5C9A6F25C} - System32\Tasks\{CA5640F5-9389-4902-90B3-84AA8B8E3DB9} => pcalua.exe -a F:\autorun.exe -d F:\Task: {EB776D58-67E2-4E61-9C3C-7AC47C5330AC} - System32\Tasks\{06EA2033-3D4B-49B8-838D-516AFF60FD19} => pcalua.exe -a D:\gry\nfs\Virtualmt2\VirtualMT2.exe -d D:\gry\nfs\Virtualmt2HKU\S-1-5-21-620759806-2564684941-1707045063-1001\...\Run: [GoogleChromeAutoLaunch_B45CF322C3DDAB17738CEB2CDE894577] => "C:\Program Files\Crossbrowse\Crossbrowse\Application\crossbrowse.exe" --no-startup-windowC:\Program Files\Crossbrowse\Crossbrowse\Application\crossbrowse.exeReg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes" /fReg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /fReg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /fHKLM\...\Run: [] => [X]SearchScopes: HKU\.DEFAULT -> {483830EE-A4CD-4b71-B0A3-3D82E62A6909} URL =S3 AndNetDiag; system32\DRIVERS\lgandnetdiag.sys [X]S3 ANDNetModem; system32\DRIVERS\lgandnetmodem.sys [X]S3 EagleXNt; \??\C:\Windows\system32\drivers\EagleXNt.sys [X]S3 xhunter1; \??\C:\Windows\xhunter1.sys [X]C:\Program Files\Enigma Software GroupC:\Program Files\c706a493-9ba1-4d1d-938e-c0eafe1e2b48C:\Windows\system32\029B560A371F4E00AB32838EBC01B9E7C:\Windows\prleth.sysC:\Windows\hgfs.sysC:\Users\Dom\AppData\Local\15093Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /fEmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exeUruchom FRST i kliknij przycisk Fix.Powstanie plik fixlog.txt.Daj ten log. jessi Odnośnik do komentarza
fudal Opublikowano 8 Lipca 2015 Autor Zgłoś Udostępnij Opublikowano 8 Lipca 2015 Dodaje fixlog.txt, przepraszam że tak późno. Fixlog.txt Odnośnik do komentarza
marcin878787 Opublikowano 8 Lipca 2015 Zgłoś Udostępnij Opublikowano 8 Lipca 2015 prleth.sys należy do parallels workstation jeżeli znajduje się w lokalizacji "C:\Windows\System32\DRIVERS" hgfs.sys należy do Vmware o ile znajduje się w "C:\WINDOWS\system32\DRIVERS" Odnośnik do komentarza
jessica Opublikowano 8 Lipca 2015 Zgłoś Udostępnij Opublikowano 8 Lipca 2015 ale tu akurat pliki o tych nazwach były w innej lokalizacji, więc były podejrzane Odnośnik do komentarza
marcin878787 Opublikowano 8 Lipca 2015 Zgłoś Udostępnij Opublikowano 8 Lipca 2015 jessica oczywiście masz racje dlatego o tym wspomniałem ( pisząc "jeżeli" ) potwierdzając tym samym, że mogą być podejrzane. Najlepiej je wysłać do analizy na virustotal. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się