Powracający SppExtComObjHook.dll

[Burbonerist]

Witam! Od dwóch dni męczy mnie komunikat o powracającym trojanie o nazwie SppExtComObjHook.dll. Przeleciałem komputer Hitman Pro, Adwcleanerem, Malwarebytes i nic nie wyskoczyło w tej kwestii. W załączniku wrzucam pliki z FRST. System Windows 8.1 x64. 

Addition.txt

FRST.txt

Shortcut.txt

[picasso]

Podobny temat: KLIK. Plik jest wytwarzany przez crack aktywacji, powiązany wpis to zadanie w harmonogramie:

 

Task: {08D3E5F8-AAD3-4CF1-9060-CC7801578F7A} - System32\Tasks\AutoKMS => C:\Windows\AutoKMS\AutoKMS.exe [2015-01-20] ()

 

1. Zacznij od usunięcia cracka.

 

2. Dodatkowe poprawki. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
(CreateRestorePoint:
HKU\S-1-5-21-1408775573-1599534048-231330914-1001\...\Run: [AdobeBridge] => [X]
AppInit_DLLs-x32: Ȇ噎䵒䉐̄ => Brak pliku
GroupPolicyScripts: Ograniczenia 
GroupPolicyScripts\User: Ograniczenia 
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia 
FF Plugin HKU\S-1-5-21-1408775573-1599534048-231330914-1001: ubisoft.com/uplaypc -> C:\Program Files\ubigówno\Ubisoft Game Launcher\npuplaypc.dll [brak pliku]
Task: {08D3E5F8-AAD3-4CF1-9060-CC7801578F7A} - System32\Tasks\AutoKMS => C:\Windows\AutoKMS\AutoKMS.exe [2015-01-20] ()
Task: {8116136B-BC96-4957-9346-97F633F47838} - System32\Tasks\{963232E4-DBED-42E4-B745-F5FCE371D9D8} => pcalua.exe -a "C:\Program Files (x86)\Codemasters\FUEL\FUEL.exe" -d "C:\Program Files (x86)\Codemasters\FUEL"
Task: {AE03CE59-1109-4DE3-BA89-C621A2448530} - System32\Tasks\{452ECBCA-52B4-46CE-B76C-AAE86E580A42} => pcalua.exe -a "D:\Games\Dying Light The Following Enhanced Edition\unins000.exe"
Task: {F42D3399-76DB-45E5-A61D-A359DEB08014} - System32\Tasks\{180C0E80-14D6-4D4B-B422-E901D41231D2} => pcalua.exe -a "C:\Program Files (x86)\VIA\VIAudioi\VDeck\VDeck.exe" -d "C:\Program Files (x86)\VIA\VIAudioi\VDeck"
S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2016-07-17] ()
S3 AsrOcDrv; \??\C:\Windows\SysWOW64\Drivers\AsrOcDrv.sys [X]
R4 hitmanpro37; \??\C:\Windows\system32\drivers\hitmanpro37.sys [X]
S3 VBoxNetFlt; \SystemRoot\system32\DRIVERS\VBoxNetFlt.sys [X]
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PAexec => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PAexec => ""="Service"
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google
C:\ProgramData\Microsoft\Windows\GameExplorer\{154432E0-8AC3-4F23-A60D-22E0F39C257B}
C:\Users\Capri\AppData\Local\Microsoft\Windows\GameExplorer\{7F27935C-F3C4-4E97-9EA1-C68457B09A6C}
C:\Users\Capri\AppData\Roaming\msregsvv.dll
C:\Windows\AutoKMS
C:\Windows\system32\Drivers\EsgScanner.sys
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition ale bez Shortcut. Dołącz też plik fixlog.txt.

[Burbonerist]

Problem został całkowicie rozwiązany w kompletnie inny sposób. Okazało się, że to AVG jest głównym problemem. Po zmianie antywirusa wszystko wróciło normy. Dziękuję Kaspersky za nadchodzący rok dobrej ochrony.

[picasso]

To nie zmienia faktu, że crack jest nadal w systemie, a czy on będzie wykrywany w określonych programach to inne zagadnienie. Oczywiście to Twój wybór, że crack zatrzymujesz, ale ja nadal sugeruję się go pozbyć (eliminacja obiektu startowego).

 

Nadal reszta zdań do wykonania, skrypt do FRST po ominięciu wpisów cracka:

 

CloseProcesses:
(CreateRestorePoint:
HKU\S-1-5-21-1408775573-1599534048-231330914-1001\...\Run: [AdobeBridge] => [X]
AppInit_DLLs-x32: Ȇ噎䵒䉐̄ => Brak pliku
GroupPolicyScripts: Ograniczenia 
GroupPolicyScripts\User: Ograniczenia 
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia 
FF Plugin HKU\S-1-5-21-1408775573-1599534048-231330914-1001: ubisoft.com/uplaypc -> C:\Program Files\ubigówno\Ubisoft Game Launcher\npuplaypc.dll [brak pliku]
Task: {8116136B-BC96-4957-9346-97F633F47838} - System32\Tasks\{963232E4-DBED-42E4-B745-F5FCE371D9D8} => pcalua.exe -a "C:\Program Files (x86)\Codemasters\FUEL\FUEL.exe" -d "C:\Program Files (x86)\Codemasters\FUEL"
Task: {AE03CE59-1109-4DE3-BA89-C621A2448530} - System32\Tasks\{452ECBCA-52B4-46CE-B76C-AAE86E580A42} => pcalua.exe -a "D:\Games\Dying Light The Following Enhanced Edition\unins000.exe"
Task: {F42D3399-76DB-45E5-A61D-A359DEB08014} - System32\Tasks\{180C0E80-14D6-4D4B-B422-E901D41231D2} => pcalua.exe -a "C:\Program Files (x86)\VIA\VIAudioi\VDeck\VDeck.exe" -d "C:\Program Files (x86)\VIA\VIAudioi\VDeck"
S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2016-07-17] ()
S3 AsrOcDrv; \??\C:\Windows\SysWOW64\Drivers\AsrOcDrv.sys [X]
R4 hitmanpro37; \??\C:\Windows\system32\drivers\hitmanpro37.sys [X]
S3 VBoxNetFlt; \SystemRoot\system32\DRIVERS\VBoxNetFlt.sys [X]
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PAexec => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PAexec => ""="Service"
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google
C:\ProgramData\Microsoft\Windows\GameExplorer\{154432E0-8AC3-4F23-A60D-22E0F39C257B}
C:\Users\Capri\AppData\Local\Microsoft\Windows\GameExplorer\{7F27935C-F3C4-4E97-9EA1-C68457B09A6C}
C:\Users\Capri\AppData\Roaming\msregsvv.dll
C:\Windows\system32\Drivers\EsgScanner.sys
EmptyTemp:

Edytowane 14 Września 2016 przez picasso
Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso