svchost.exe trojan wykrywany co sekundę przez ESET SS + 100% użycia HDD

[MikeThomas]

Witam.

 

bodaj, że 2 do 3ech dni temu poinstalowałem ręcznie ze strony Lenovo wszystkie najnowsze sterowniki pod Win 10 bo takowy posiadam i do tej pory byłem z niego naprawdę zadowolony. Przyznaje ściągam dużo torrentów i może to nie chodzi o update sterów, a o jakiś zarażony plik/folder z grą którą ściągnąłem lub filmem, nie wiem dlatego proszę o pomoc. 

 

Od dnia dzisiejszego, od rana męczę się z co chwilę wyskakującymi komunikatami z ESET (najnowszego) o:

svchost.exe win32/trojan.downloader.Wauchos.M

svchost.exe win32/trojan.downloader.Wauchos.W

 

pousuwałem błędy Odkurzaczem, CCleanerem, pełne skanowanie systemu ESETem

i teraz niby nic już nie pokazuje ale podejrzewam, że i tak to gdzieś siedzi dlatego proszę o sprawdzenie. 

 

No i dodatkowo właśnie w menadżerze zadań multum otwartych plików svchost.exe 

do tego od samego startu Windows użycie HDD na poziomie 99 - 100 % i nie spada.

 

Usunąłem przed chwilą Daemon Tools tak jak było napisane ale program Deffoger chyba nic nie zablokował nie wiem ... w załączniku log z deffogera. 

a usuwałem CCleanerem więc nie wiem czy może usunęło już wszystko co przeszkadzało czy nie ... 

 

Pozdrawiam

FRST.txt Shortcut.txt Addition.txt defogger_disable.txt GMER.txt

[picasso]

Cytat

Od dnia dzisiejszego, od rana męczę się z co chwilę wyskakującymi komunikatami z ESET (najnowszego) o:

svchost.exe win32/trojan.downloader.Wauchos.M

svchost.exe win32/trojan.downloader.Wauchos.W

 

W starcie uruchamia się szkodliwy obiekt "Indexer", który uaktywnia skrypt SGLIndexer.vbs. Poza tym są drobne martwe ślady innych infekcji.

 

 

Cytat

No i dodatkowo właśnie w menadżerze zadań multum otwartych plików svchost.exe

 

To normalne zachowanie nie powiązane z infekcją: KLIK. Występuje na wszystkich systemach operacyjnych.

 

 

 

Działania do przeprowadzenia:

 

1. Odinstaluj stare wersje: Java 7 Update 25, Java 8 Update 45 (64-bit).

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-118448563-3675886309-3321917299-1001\...\Run: [WerFault] => C:\Users\Thomas\AppData\Roaming\61778.exe
HKU\S-1-5-21-118448563-3675886309-3321917299-1001\...\CurrentVersion\Windows: [Load] C:\Users\Thomas\LOCALS~1\Temp\mschchmam.exe <===== UWAGA
HKU\S-1-5-21-118448563-3675886309-3321917299-1001\...\Winlogon: [Shell] C:\WINDOWS\Explorer.exe [4502352 2016-01-29] (Microsoft Corporation) <==== UWAGA
Startup: C:\Users\Thomas\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Indexer.lnk [2016-03-15]
GroupPolicy: Ograniczenia - Chrome <======= UWAGA
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL =
CHR HomePage: Default -> gazeta.allplayer.org/
CHR StartupUrls: Default -> "hxxp://search.babylon.com/?affID=112555&tt=3612_7&babsrc=HP_ss&mntrId=2070d0960000000000000617c4f19fb4","hxxp://home.sweetim.com/?crg=3.1010000&st=12&barid={5A41FD70-A53D-434C-975F-5B7B5B667113}","hxxp://do-search.com/?type=hp&ts=1432454299&z=1f9bc17b04fb7a2aff2a4a0g5z3cdo7zcwbzeodq3o&from=cor&uid=ST1000LM024XHN-M101MBB_S30YJ9HF816434","hxxp://www.istartsurf.com/?type=hp&ts=1433940339&z=2cf5db7b1000730097babf7g0z4c2c7tfz1e4c5e0e&from=cornl&uid=ST1000LM024XHN-M101MBB_S30YJ9HF816434"
CHR HKU\S-1-5-21-118448563-3675886309-3321917299-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [efhdjkbfpoohkmfaldijcpbnmbpefpkb] - C:\Program Files (x86)\ALLPlayer\AllPlayer.crx <nie znaleziono>
CHR HKLM-x32\...\Chrome\Extension: [dhigneefebkcagnpnpbibganpmfgebnk] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [efhdjkbfpoohkmfaldijcpbnmbpefpkb] - C:\Program Files (x86)\ALLPlayer\AllPlayer.crx <nie znaleziono>
Task: {073EE70A-22A7-486A-AC5E-94743A271C19} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku <==== UWAGA
Task: {0D372DFD-AB74-4DF4-9A40-264159540867} - System32\Tasks\System Monitor => C:\ProgramData\734579\sysmon.exe
Task: {2CDD8E2D-8E6C-4305-AAF0-6D185D168F8A} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku <==== UWAGA
Task: {41B2715D-D973-4578-A994-D0B1709AF79B} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program => C:\Program Files\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe
Task: {4314DA4C-ABC7-4A0A-8BCB-5B3C29D3748A} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 35 => C:\Program Files (x86)\Lenovo\Customer Feedback Program 35\Lenovo.TVT.CustomerFeedback.Agent35.exe [2016-01-08] (Lenovo)
Task: {6C69D9EA-A9A0-400F-9B47-9C3AD8F7652E} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku <==== UWAGA
Task: {777BA029-620D-4DD6-BD73-E703E9A294FE} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> Brak pliku <==== UWAGA
Task: {7E888819-0CD4-4F09-B653-3DF7BA285E63} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku <==== UWAGA
Task: {95CC55AF-50C5-4A23-815D-39FE2BF7CAAF} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> Brak pliku <==== UWAGA
Task: {B69982F8-BCEE-4ACD-B62A-B7E0E594F393} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku <==== UWAGA
Task: {C4DE3F84-A979-43A8-BAC9-F4CB3D61D4C6} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku <==== UWAGA
Task: {C6B50AC3-9CCD-482A-9593-87B7CCC6C28E} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku <==== UWAGA
Task: {CA87B543-4DF3-4B19-91CF-E47E55EF7CFE} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku <==== UWAGA
Task: {D6890FBD-30C7-4F9A-8804-62769DBEFAAB} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku <==== UWAGA
Task: {F97B466D-64BE-4947-A9F8-AC198135D2F7} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku <==== UWAGA
C:\Program Files (x86)\Mozilla Firefox
C:\ProgramData\*.bin
C:\ProgramData\c20be4b830f5a1130178a8e9050c3e8fdf334631
C:\ProgramData\XML
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\CyberLink PowerDirector 10
C:\Users\Thomas\AppData\Local\Chromium
C:\Users\Thomas\AppData\Roaming\SGLIndexer.vbs
C:\Users\Thomas\AppData\Roaming\Microsoft\Windows\SendTo\Android (ALLPlayer Pilot).lnk
C:\Users\Thomas\AppData\Roaming\Microsoft\Word\CURRICULUM%20VITAE305022511050895358\CURRICULUM%20VITAE.docx.lnk
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v HotKeysCmds /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "Energy Manager" /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "Lenovo Utility" /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v Persistence /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v mcpltui_exe /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v NvBackend /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v IAStorIcon /f
CMD: netsh advfirewall reset
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Drobna sprawa w Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj Gazeta.pl. To dodatek sponsorowany pozostawiony po odinstalowanym AllPlayer.

 

4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy problemy ustąpiły.

 

[MikeThomas]

Działania przeprowadziłem po kolei. 
Nie miałem w Chromie tego rozszerzenia Gazeta.pl

 

Do jutra edytuje i dam znać czy coś się poprawiło/zmieniło zachowanie lapka.

A logi zamieszczam w załączniku.Dziękuję.

 

Fixlog.txt FRST.txt

[picasso]

Infekcja została pomyślnie usunięta, zgłoszenia raportowane wcześniej powinny ustać. Natomiast nie zostały zresetowane zgodnie z planem wszystkie wejścia Google Chrome i nadal w konfiguracji ładują się odpadki adware:

 

CHR HomePage: Default -> hxxp://search.babylon.com/?affID=112555&tt=3612_7&babsrc=HP_ss&mntrId=2070d0960000000000000617c4f19fb4
CHR StartupUrls: Default -> "hxxp://search.babylon.com/?affID=112555&tt=3612_7&babsrc=HP_ss&mntrId=2070d0960000000000000617c4f19fb4","hxxp://home.sweetim.com/?crg=3.1010000&st=12&barid={5A41FD70-A53D-434C-975F-5B7B5B667113}","hxxp://do-search.com/?type=hp&ts=1432454299&z=1f9bc17b04fb7a2aff2a4a0g5z3cdo7zcwbzeodq3o&from=cor&uid=ST1000LM024XHN-M101MBB_S30YJ9HF816434","hxxp://www.istartsurf.com/?type=hp&ts=1433940339&z=2cf5db7b1000730097babf7g0z4c2c7tfz1e4c5e0e&from=cornl&uid=ST1000LM024XHN-M101MBB_S30YJ9HF816434"

 

Pod tym kątem:

• Zresetuj synchronizację (o ile włączona), punkt 2: Otwórz Panel Google. Na dole kliknij Resetuj synchronizację.
• Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń wszystkie adresy, przestaw na "Otwórz stronę nowej karty"
• Ustawienia > karta Ustawienia > Wygląd i zaznacz "Pokaż przycisk strony startowej" > klik w Zmień i usuń adres search.babylon.com

 

[MikeThomas]

Dziękuję prześlicznie, nawet nie wiedziałem, że mam te bzdury w Chromie. 

Temat do zamknięcia, wszystko działa jak powinno. 
Przy okazji Świąt Wielkanocnych, szczęścia, zdrowia oraz wytrwałości w dążeniu do wyznaczonych celów.
Pozdrawiam.

[picasso]

Na koniec zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.