Skocz do zawartości

Koń Trojański Hiloti.CT - AVG IS


Rekomendowane odpowiedzi

Cześć,

 

mam następujący problem: AVG Internet Security (wersja 16.151.8013) podczas skanowania wykrywa:

"";"Koń trojański Hiloti.CT, c:\Windows\System32\svchost.exe (5420)";"Zabezpieczone"
Co ciekawe podczas jednego z wcześniejszych skanowań było np.:

"";"Koń trojański Hiloti.CT, c:\Windows\System32\svchost.exe (2548)";"Zabezpieczone"

Teraz pytanie, czy sformułowanie "Zabezpieczone" oznacza, że wszystko jest ok? Mogę czuć się bezpiecznie?

Trochę niepokoi mnie fakt, że przy każdym nowym skanowaniu problem ciągle występuje.

 

Malwarebytes Anti-Malware, Adwcleaner oraz Dr.Web CureIt! niczego nie wykrywają.

 

Proszę o pomoc i radę.

FRST.txt

Addition.txt

Shortcut.txt

GMER.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Oznak infekcji tu nie widzę. Nie jest natomiast wykluczone, że to zgłoszenie może być powiązane z aktywnością cracka aktywacji - AVG go bardzo nie lubi. Czy ten crack jest nadal w użytku?

 

Task: {99839982-7126-4C82-B5B4-8B7145035B16} - System32\Tasks\AutoKMS => C:\Windows\AutoKMS\AutoKMS.exe [2015-01-03] ()

 

 

PS. I możesz wykonać kosmetyczny skrypt usuwający wpisy szczątkowe, schowany w spoilerze:

 

 

 

 

1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:

 

CloseProcesses:
CreateRestorePoint:
BootExecute: autocheck autochk * sdnclean64.exe
GroupPolicyScripts\User: Ograniczenia 
MSCONFIG\Services: AdAppMgrSvc => 2
MSCONFIG\Services: Autodesk Content Service => 2
MSCONFIG\Services: mi-raysat_3dsmax2015_64 => 3
MSCONFIG\startupfolder: C:^Users^GOKUiSOUNF^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^MagicDisc.lnk => C:\Windows\pss\MagicDisc.lnk.Startup
MSCONFIG\startupreg: AceStream => C:\Users\GOKUiSOUNF\AppData\Roaming\ACEStream\engine\ace_engine.exe
MSCONFIG\startupreg: AceWebExtensionUpdater => C:\Users\GOKUiSOUNF\AppData\Roaming\AceWebExtension\updater\ace_web_extension.exe
MSCONFIG\startupreg: ADSKAppManager => "C:\Program Files (x86)\Common Files\Autodesk Shared\AppManager\R1\AdAppMgr.exe" -showminimized -checkautorun
MSCONFIG\startupreg: SDTray => "C:\Program Files (x86)\Spybot - Search & Destroy 2\SDTray.exe"
Task: {523935CF-F8F5-4FE5-A3EA-E9E7EE7C4139} - System32\Tasks\GlaryInitialize 5 => D:\Programy\Glary Utilities_Portable\Portable\Initialize.exe
Task: {97027034-0020-4DB8-AF72-0566B6B98446} - System32\Tasks\WiseUninsDetecter => C:\Users\GOKUiSOUNF\Desktop\WPU\Wise Program Uninstaller\UnMonitor.exe
Task: {98650F5F-557D-44CB-B4B3-1F89DCCE9CAA} - System32\Tasks\AVAST Software\Avast settings backup => C:\Program Files\Common Files\AV\avast! Antivirus\backup.exe [2017-01-27] (AVAST Software)
Task: {9D49F3BB-0194-47E7-A257-459CB1072B04} - System32\Tasks\Opera scheduled Autoupdate 1447706883 => C:\Program Files (x86)\Opera\launcher.exe
Task: C:\Windows\Tasks\GlaryInitialize 5.job => D:\Programy\Glary Utilities_Portable\Portable\Initialize.exe
Task: C:\Windows\Tasks\WiseUninsDetecter.job => C:\Users\GOKUiSOUNF\Desktop\WPU\Wise Program Uninstaller\UnMonitor.exe
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku
S2 GhFlt; \??\C:\Windows\system32\drivers\ghflt.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
S3 xhunter1; \??\C:\Windows\xhunter1.sys [X]
HKU\S-1-5-21-2120545082-2535284669-2406820220-1000\...\Policies\Explorer: []
HKU\S-1-5-21-2120545082-2535284669-2406820220-1000\...\MountPoints2: {271c5ac9-8513-11e4-9d44-806e6f6e6963} - E:\Run.exe
HKU\S-1-5-21-2120545082-2535284669-2406820220-1000\Software\Classes\.scr: AutoCADScriptFile => C:\Windows\system32\notepad.exe "%1"
FF Plugin: @microsoft.com/GENUINE -> disabled [brak pliku]
FF Plugin-x32: @microsoft.com/GENUINE -> disabled [brak pliku]
FF Plugin HKU\S-1-5-21-2120545082-2535284669-2406820220-1000: @hola.org/vlc,version=1.6.685 -> C:\Users\GOKUiSOUNF\AppData\Local\Hola\firefox\app\vlc [brak pliku]
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\AVAST Software
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Safer-Networking
DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes
DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes
DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes
C:\Program Files\Common Files\AV\avast! Antivirus
C:\Program Files (x86)\IObit
C:\ProgramData\IObit
C:\ProgramData\ProductData
C:\ProgramData\TEMP
C:\Users\GOKUiSOUNF\AppData\LocalLow\IObit
C:\Users\GOKUiSOUNF\AppData\Roaming\IObit
C:\Users\GOKUiSOUNF\AppData\Roaming\Wise Uninstaller
C:\Users\GOKUiSOUNF\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\724e6c6e1aea27c4\COMODO Internet Security.lnk
C:\Windows\System32\Tasks\AVAST Software
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go.

 

 

2. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER:

 

C:\Users\GOKUiSOUNF\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools

 

Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff

 

 

 

 

Odnośnik do komentarza

Bardzo dziękuję za odpowiedź.

Dziwne to z tym AutoKMS - nie używam tego w ogóle, korzystam z OpenOffice'a. Patrząc po dacie [2015-01-03] siedzi to od dawna. Przez ten czas korzystałem z różnych wersji AVG jak i innych programów i nie kojarzę żadnych alertów. Jak to AutoKMS usunąć?

1. oczywiście zaraz wykonam i 2. również.

 

Edit:

Punkty 1. i 2. wykonane. Dodałem Fixlog.txt

Proszę o sprawdzenie.

Fixlog.txt

Odnośnik do komentarza

Skoro nie używany, to usunie go poniższy skrypt.

 

Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:

 

CloseProcesses:
Task: {99839982-7126-4C82-B5B4-8B7145035B16} - System32\Tasks\AutoKMS => C:\Windows\AutoKMS\AutoKMS.exe [2015-01-03] ()
RemoveDirectory: C:\AdwCleaner
RemoveDirectory: C:\FRST\Quarantine
RemoveDirectory: C:\Users\GOKUiSOUNF\Doctor Web
RemoveDirectory: C:\Windows\AutoKMS

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Nastąpi restart. Przedstaw wynikowy fixlog.txt. I wypowiedz się czy po usuwaniu nadal są zgłoszenia AVG.

Odnośnik do komentarza

Witam jeszcze raz i przepraszam za post pod postem.

Nastąpiła dziwna sytuacja. Wczoraj wieczorem skan AVG wykrył to samo: "Koń trojański Hiloti.CT". Natomiast dzisiaj rano i później już nic nie wykrył. Nie rozumiem dlaczego się tak dzieje. Dodatkowo podczas pisania tego postu wyskoczył mi BSOD;/.

Załączam jeszcze raz raporty i proszę o sprawdzenie. Nie wiem czy to ma znaczenie, ale GMER nawet podczs quickskanu wykrył jedną rzecz związaną z svchost.exe.

Nie wiem czy mogę czuć się bezpiecznie...

GMER.txt

FRST.txt

Addition.txt

Shortcut.txt

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...