SOUNF Opublikowano 7 Czerwca 2017 Zgłoś Udostępnij Opublikowano 7 Czerwca 2017 Cześć, mam następujący problem: AVG Internet Security (wersja 16.151.8013) podczas skanowania wykrywa: "";"Koń trojański Hiloti.CT, c:\Windows\System32\svchost.exe (5420)";"Zabezpieczone"Co ciekawe podczas jednego z wcześniejszych skanowań było np.: "";"Koń trojański Hiloti.CT, c:\Windows\System32\svchost.exe (2548)";"Zabezpieczone" Teraz pytanie, czy sformułowanie "Zabezpieczone" oznacza, że wszystko jest ok? Mogę czuć się bezpiecznie? Trochę niepokoi mnie fakt, że przy każdym nowym skanowaniu problem ciągle występuje. Malwarebytes Anti-Malware, Adwcleaner oraz Dr.Web CureIt! niczego nie wykrywają. Proszę o pomoc i radę. FRST.txt Addition.txt Shortcut.txt GMER.txt Odnośnik do komentarza
picasso Opublikowano 7 Czerwca 2017 Zgłoś Udostępnij Opublikowano 7 Czerwca 2017 Oznak infekcji tu nie widzę. Nie jest natomiast wykluczone, że to zgłoszenie może być powiązane z aktywnością cracka aktywacji - AVG go bardzo nie lubi. Czy ten crack jest nadal w użytku? Task: {99839982-7126-4C82-B5B4-8B7145035B16} - System32\Tasks\AutoKMS => C:\Windows\AutoKMS\AutoKMS.exe [2015-01-03] () PS. I możesz wykonać kosmetyczny skrypt usuwający wpisy szczątkowe, schowany w spoilerze: 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: BootExecute: autocheck autochk * sdnclean64.exe GroupPolicyScripts\User: Ograniczenia MSCONFIG\Services: AdAppMgrSvc => 2 MSCONFIG\Services: Autodesk Content Service => 2 MSCONFIG\Services: mi-raysat_3dsmax2015_64 => 3 MSCONFIG\startupfolder: C:^Users^GOKUiSOUNF^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^MagicDisc.lnk => C:\Windows\pss\MagicDisc.lnk.Startup MSCONFIG\startupreg: AceStream => C:\Users\GOKUiSOUNF\AppData\Roaming\ACEStream\engine\ace_engine.exe MSCONFIG\startupreg: AceWebExtensionUpdater => C:\Users\GOKUiSOUNF\AppData\Roaming\AceWebExtension\updater\ace_web_extension.exe MSCONFIG\startupreg: ADSKAppManager => "C:\Program Files (x86)\Common Files\Autodesk Shared\AppManager\R1\AdAppMgr.exe" -showminimized -checkautorun MSCONFIG\startupreg: SDTray => "C:\Program Files (x86)\Spybot - Search & Destroy 2\SDTray.exe" Task: {523935CF-F8F5-4FE5-A3EA-E9E7EE7C4139} - System32\Tasks\GlaryInitialize 5 => D:\Programy\Glary Utilities_Portable\Portable\Initialize.exe Task: {97027034-0020-4DB8-AF72-0566B6B98446} - System32\Tasks\WiseUninsDetecter => C:\Users\GOKUiSOUNF\Desktop\WPU\Wise Program Uninstaller\UnMonitor.exe Task: {98650F5F-557D-44CB-B4B3-1F89DCCE9CAA} - System32\Tasks\AVAST Software\Avast settings backup => C:\Program Files\Common Files\AV\avast! Antivirus\backup.exe [2017-01-27] (AVAST Software) Task: {9D49F3BB-0194-47E7-A257-459CB1072B04} - System32\Tasks\Opera scheduled Autoupdate 1447706883 => C:\Program Files (x86)\Opera\launcher.exe Task: C:\Windows\Tasks\GlaryInitialize 5.job => D:\Programy\Glary Utilities_Portable\Portable\Initialize.exe Task: C:\Windows\Tasks\WiseUninsDetecter.job => C:\Users\GOKUiSOUNF\Desktop\WPU\Wise Program Uninstaller\UnMonitor.exe ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku S2 GhFlt; \??\C:\Windows\system32\drivers\ghflt.sys [X] S3 VGPU; System32\drivers\rdvgkmd.sys [X] S3 xhunter1; \??\C:\Windows\xhunter1.sys [X] HKU\S-1-5-21-2120545082-2535284669-2406820220-1000\...\Policies\Explorer: [] HKU\S-1-5-21-2120545082-2535284669-2406820220-1000\...\MountPoints2: {271c5ac9-8513-11e4-9d44-806e6f6e6963} - E:\Run.exe HKU\S-1-5-21-2120545082-2535284669-2406820220-1000\Software\Classes\.scr: AutoCADScriptFile => C:\Windows\system32\notepad.exe "%1" FF Plugin: @microsoft.com/GENUINE -> disabled [brak pliku] FF Plugin-x32: @microsoft.com/GENUINE -> disabled [brak pliku] FF Plugin HKU\S-1-5-21-2120545082-2535284669-2406820220-1000: @hola.org/vlc,version=1.6.685 -> C:\Users\GOKUiSOUNF\AppData\Local\Hola\firefox\app\vlc [brak pliku] DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\AVAST Software DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Safer-Networking DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes C:\Program Files\Common Files\AV\avast! Antivirus C:\Program Files (x86)\IObit C:\ProgramData\IObit C:\ProgramData\ProductData C:\ProgramData\TEMP C:\Users\GOKUiSOUNF\AppData\LocalLow\IObit C:\Users\GOKUiSOUNF\AppData\Roaming\IObit C:\Users\GOKUiSOUNF\AppData\Roaming\Wise Uninstaller C:\Users\GOKUiSOUNF\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\724e6c6e1aea27c4\COMODO Internet Security.lnk C:\Windows\System32\Tasks\AVAST Software EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. 2. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\GOKUiSOUNF\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff Odnośnik do komentarza
SOUNF Opublikowano 7 Czerwca 2017 Autor Zgłoś Udostępnij Opublikowano 7 Czerwca 2017 Bardzo dziękuję za odpowiedź. Dziwne to z tym AutoKMS - nie używam tego w ogóle, korzystam z OpenOffice'a. Patrząc po dacie [2015-01-03] siedzi to od dawna. Przez ten czas korzystałem z różnych wersji AVG jak i innych programów i nie kojarzę żadnych alertów. Jak to AutoKMS usunąć? 1. oczywiście zaraz wykonam i 2. również. Edit: Punkty 1. i 2. wykonane. Dodałem Fixlog.txt Proszę o sprawdzenie. Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 7 Czerwca 2017 Zgłoś Udostępnij Opublikowano 7 Czerwca 2017 Skoro nie używany, to usunie go poniższy skrypt. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: Task: {99839982-7126-4C82-B5B4-8B7145035B16} - System32\Tasks\AutoKMS => C:\Windows\AutoKMS\AutoKMS.exe [2015-01-03] () RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\GOKUiSOUNF\Doctor Web RemoveDirectory: C:\Windows\AutoKMS Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Nastąpi restart. Przedstaw wynikowy fixlog.txt. I wypowiedz się czy po usuwaniu nadal są zgłoszenia AVG. Odnośnik do komentarza
SOUNF Opublikowano 8 Czerwca 2017 Autor Zgłoś Udostępnij Opublikowano 8 Czerwca 2017 (edytowane) Zrobione. W załączeniu fixlog.txt - proszę o sprawdzenie. Niestety AVG ciągle wykrywa to samo. Trochę mnie to niepokoi... Czy jest możliwe, że wszystko jest ok, a AVG daje fałszywe alarmy? Fixlog.txt Edytowane 8 Czerwca 2017 przez Rucek Odnośnik do komentarza
SOUNF Opublikowano 9 Czerwca 2017 Autor Zgłoś Udostępnij Opublikowano 9 Czerwca 2017 Witam jeszcze raz i przepraszam za post pod postem. Nastąpiła dziwna sytuacja. Wczoraj wieczorem skan AVG wykrył to samo: "Koń trojański Hiloti.CT". Natomiast dzisiaj rano i później już nic nie wykrył. Nie rozumiem dlaczego się tak dzieje. Dodatkowo podczas pisania tego postu wyskoczył mi BSOD;/. Załączam jeszcze raz raporty i proszę o sprawdzenie. Nie wiem czy to ma znaczenie, ale GMER nawet podczs quickskanu wykrył jedną rzecz związaną z svchost.exe. Nie wiem czy mogę czuć się bezpiecznie... GMER.txt FRST.txt Addition.txt Shortcut.txt Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się