konares Opublikowano 8 Listopada 2016 Zgłoś Udostępnij Opublikowano 8 Listopada 2016 Witam, ostatnio zauważyłem, że w tle pracy mojego komputera samoistnie włączają się strony IE, które zamulają system. Nie wiem jak sobie z tym poradzić. Zamieszczam logi z prośbą o pomoc. Wirusy to m.in.: Sathurtbot.U, Kryptik.FIYD, Kryptik.EOQS, Fleercivet.AG. ESET wykrywa, ale nie daje rady usunąć. gmer.txt Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
jessica Opublikowano 10 Listopada 2016 Zgłoś Udostępnij Opublikowano 10 Listopada 2016 Otwórz Notatnik i wklej w nim: Task: {4494F998-B246-453E-A56C-F39377ED5913} - System32\Tasks\APSnotifierPP2 => C:\Program Files\AnyProtectEx\AnyProtect.exe <==== UWAGATask: {65C0576C-D694-46D4-8FBF-8F73806BCEB2} - System32\Tasks\Scheduled Update for Ask Toolbar => C:\Program Files\Ask.com\UpdateTask.exe [2010-05-21] () <==== UWAGATask: {C8555432-1BCD-4DA9-9EB9-1B8C82ED0863} - System32\Tasks\APSnotifierPP3 => C:\Program Files\AnyProtectEx\AnyProtect.exe <==== UWAGATask: {F7E8DAE7-EB8D-496C-97DE-CD310DA7F682} - System32\Tasks\APSnotifierPP1 => C:\Program Files\AnyProtectEx\AnyProtect.exe <==== UWAGAHKLM\...\Run: [] => [X]RemoveDirectory: C:\Users\Kamil Kozak\AppData\Roaming\BrowserMeRemoveDirectory: C:\Users\Kamil Kozak\AppData\Local\739cRemoveDirectory: C:\Users\Kamil Kozak\AppData\Local\ImsoftRemoveDirectory: C:\Users\Kamil Kozak\AppData\Local\YhmPackRemoveDirectory: C:\Users\Kamil Kozak\AppData\Roaming\0942HKU\S-1-5-21-1250789083-1527708771-4203453902-1002\...\Run: [Enbtion] => C:\Windows\System32\regsvr32.exe "C:\Users\Kamil Kozak\AppData\Local\Imsoft\xpgpulpb.dll"HKU\S-1-5-21-1250789083-1527708771-4203453902-1002\...\Run: [YhmPack] => regsvr32.exe "C:\Users\Kamil Kozak\AppData\Local\YhmPack\dsmpedjk.dll" <===== UWAGAHKU\S-1-5-21-1250789083-1527708771-4203453902-1002\...\Run: [**saslvfb<*>] => "C:\Users\Kamil Kozak\AppData\Local\739c\04fe.lnk" <===== UWAGA (Nazwa wartości zawiera nieprawidłowe znaki)HKU\S-1-5-21-1250789083-1527708771-4203453902-1002\...\Run: [browserMe] => C:\Users\Kamil Kozak\AppData\Roaming\BrowserMe\ChromeUpdate.exe [47520256 2016-10-31] ()URLSearchHook: HKLM - uTorrentControl_v6 Toolbar - {96f454ea-9d38-474f-b504-56193e00c1a5} - Brak plikuURLSearchHook: HKU\S-1-5-21-1250789083-1527708771-4203453902-1002 - uTorrentControl_v6 Toolbar - {96f454ea-9d38-474f-b504-56193e00c1a5} - Brak plikuSearchScopes: HKLM -> DefaultScope {3F18EC94-D2EC-4417-84ED-275594AF30BF} URL = hxxp://startsear.ch/?aff=1&src=sp&cf=56933e90-e939-11e0-8336-643150868987&q={searchTerms}SearchScopes: HKU\S-1-5-21-1250789083-1527708771-4203453902-1002 -> {3F18EC94-D2EC-4417-84ED-275594AF30BF} URL = hxxp://startsear.ch/?aff=1&src=sp&cf=56933e90-e939-11e0-8336-643150868987&q={searchTerms}SearchScopes: HKU\S-1-5-21-1250789083-1527708771-4203453902-1002 -> {4EAB2DB0-8462-422C-B420-7E582A435754} URL = hxxp://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3289075&CUI=&UM=1SearchScopes: HKU\S-1-5-21-1250789083-1527708771-4203453902-1002 -> {813ABDA0-0A8D-4CFE-A71D-4D01C4FA3EAF} URL = hxxp://startsear.ch/?aff=1&q={searchTerms}SearchScopes: HKLM -> {3F18EC94-D2EC-4417-84ED-275594AF30BF} URL = hxxp://startsear.ch/?aff=1&src=sp&cf=56933e90-e939-11e0-8336-643150868987&q={searchTerms}Toolbar: HKLM - uTorrentControl_v6 Toolbar - {96f454ea-9d38-474f-b504-56193e00c1a5} - Brak plikuToolbar: HKU\S-1-5-21-1250789083-1527708771-4203453902-1002 -> Brak nazwy - {759D9886-0C6F-4498-BAB6-4A5F47C6C72F} - Brak plikuToolbar: HKU\S-1-5-21-1250789083-1527708771-4203453902-1002 -> Brak nazwy - {D4027C7F-154A-4066-A1AD-4243D8127440} - Brak plikuToolbar: HKU\S-1-5-21-1250789083-1527708771-4203453902-1002 -> Brak nazwy - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - Brak plikuToolbar: HKU\S-1-5-21-1250789083-1527708771-4203453902-1002 -> Brak nazwy - {EEE6C35B-6118-11DC-9C72-001320C79847} - Brak plikuToolbar: HKU\S-1-5-21-1250789083-1527708771-4203453902-1002 -> uTorrentControl_v6 Toolbar - {96F454EA-9D38-474F-B504-56193E00C1A5} - Brak plikuDPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_33-windows-i586.cabDPF: {CAFEEFAC-0016-0000-0033-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_33-windows-i586.cabDPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_33-windows-i586.cabS3 usbbus; system32\DRIVERS\lgusbbus.sys [X]S3 UsbDiag; system32\DRIVERS\lgusbdiag.sys [X]S3 USBModem; system32\DRIVERS\lgusbmodem.sys [X]C:\Users\Kamil Kozak\AppData\Local\SysHashTableC:\Users\Kamil Kozak\AppData\Roaming\½ÓC:\ProgramData\@000001.datC:\ProgramData\@system.tempC:\ProgramData\@system3.attC:\Users\Kamil Kozak\AppData\Roaming\Microsoft\Office\Niedawny\cennik termostaty.LNKC:\Users\Kamil Kozak\AppData\Roaming\Microsoft\Office\Niedawny\ct-200E.LNKC:\Users\Kamil Kozak\AppData\Roaming\Microsoft\Office\Niedawny\Plecy bez bólu.LNKC:\Users\Kamil Kozak\AppData\Roaming\Microsoft\Office\Niedawny\schur-bezp.LNKHOSTS:EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exeUruchom FRST i kliknij przycisk Fix (NAPRAW). Zrób nowe logi FRST. Napisz, czy zmieniła się sytuacja? jessi Odnośnik do komentarza
konares Opublikowano 20 Listopada 2016 Autor Zgłoś Udostępnij Opublikowano 20 Listopada 2016 Wielkie dzięki Jessi za pomoc z logami, wydaję się, że główny problem zażegnany, pozostałości usunięte ESETem i CCleanerem, załączam nowe logi ))Pozdrawiam )) FRST.txt Addition.txt Shortcut.txt Odnośnik do komentarza
jessica Opublikowano 20 Listopada 2016 Zgłoś Udostępnij Opublikowano 20 Listopada 2016 Otwórz Notatnik i wklej w nim: ShortcutTarget: Smash_Hit_Premium_v1.3.2__Only_Premium_.TROJAN.ONHAX_.apk.lnk -> C:\ProgramData\{2164f388-5ff5-ae6d-2164-4f3885ffce21}\Smash_Hit_Premium_v1.3.2__Only_Premium_.TROJAN.ONHAX_.apk.exe (Brak pliku)C:\ProgramData\@system.tempRemoveDirectory: C:\Users\Kamil Kozak\AppData\Roaming\BrowserMeC:\ProgramData\@000001.datTask: C:\windows\Tasks\APSnotifierPP1.job => C:\Program Files\AnyProtectEx\AnyProtect.exe <==== UWAGATask: C:\windows\Tasks\APSnotifierPP2.job => C:\Program Files\AnyProtectEx\AnyProtect.exe <==== UWAGATask: C:\windows\Tasks\APSnotifierPP3.job => C:\Program Files\AnyProtectEx\AnyProtect.exe <==== UWAGAEmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exeUruchom FRST i kliknij przycisk Fix (NAPRAW). Potem chyba możemy kończyć: Otwórz Notatnik i wklej w nim: DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok FRST. Uruchom FRST i kliknij w Fix (NAPRAW).przez SHIFT+DEL usuń pozostały folder C:\FRST. jessi Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się