Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Pojawianie się podejrzanych folderów exe

Ryoukio

Przez Ryoukio
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

Ryoukio

Ryoukio

Opublikowano
Opublikowano

Witam przed dwoma dniami odkryłem dziwny problem na moim komputerze gdyż w niektórych folderach programowych pojawia się taki sam folder (tą samą nazwą) ale z rozszerzeniem .exe po usunięciu go i ponownym uruchomieniu komputera znów się pojawia, po przeskanowaniu kilkoma programami wykrywa mi Trojan.Qhost w pliku smss.exe ale ciągle się pojawia. Co zrobić. Załączam pliki ze skanu FRST.

Shortcut.txt

FRST.txt

Addition.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
sik

sik

Opublikowano
Opublikowano

Uruchom FRST, naciśnij jednocześnie CTRL+Y, otworzy się Notatnik - wklej do niego:

 

Spoiler

CloseProcesses:

Task: {F0489865-3608-47CE-84CA-479DC1AEA68C} - System32\Tasks\DecEmanuel => C:\Users\Emanuel\AppData\Roaming\rccajzyoup.exe <==== UWAGA
HKU\S-1-5-21-652811554-794021937-3607036813-1000\...\Run: [smss] => C:\WINDOW\System32\smss.exe [753664 2011-04-24] () <==== UWAGA
HKU\S-1-5-21-652811554-794021937-3607036813-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\Run: [smss] => C:\WINDOW\System32\smss.exe [753664 2011-04-24] () <==== UWAGA
GroupPolicy: Ograniczenia ? <==== UWAGA
Handler: WSISAllmytubechrome - Brak wartości CLSID
FF Extension: (Game Debate PC System Requirement Tool) - C:\Users\Emanuel\AppData\Roaming\Mozilla\Firefox\Profiles\x102lfk5.default\Extensions\jid1-E6k1NoroBGfTwA@jetpack.xpi [2016-09-28] [Przestarzałe]
FF Plugin: @microsoft.com/GENUINE -> disabled [Brak pliku]
FF Plugin-x32: @microsoft.com/GENUINE -> disabled [Brak pliku]
S3 catchme; \??\C:\ComboFix\catchme.sys [X]
S3 MSICDSetup; \??\E:\CDriver64.sys [X]
S3 NTIOLib_1_0_C; \??\E:\NTIOLib_X64.sys [X]
S3 SliceDisk5; \??\C:\Program Files\A-FF Find and Mount\slicedisk-x64.sys [X]
S3 VBAudioVACMME; system32\DRIVERS\vbaudio_cable64_win7.sys [X]
S3 VBAudioVMVAIOMME; system32\DRIVERS\vbaudio_vmvaio64_win7.sys [X]
S3 xhunter1; \??\C:\Windows\xhunter1.sys [X]

EmptyTemp:

 

Naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW)

Odnośnik do komentarza
jessica

jessica

Opublikowano
Opublikowano

zaraz przygotuję usuwanie tego, co nie zostało uwzględnione przy poprzednim usuwaniu ...

 

 

Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.
Otworzy się Notatnik - wklej do niego:

Spoiler

C:\Users\Emanuel\AppData\Roaming\rccajzyoup.exe
C:\WINDOW\System32\smss.exe
S4 mracsvc; C:\Windows\System32\mracsvc.exe [10654992 2018-08-16] (LLC Mail.Ru)
C:\Windows\System32\mracsvc.exe
S3 mracdrv; C:\Windows\System32\drivers\mracdrv.sys [9871128 2018-08-16] (LLC Mail.Ru)
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys => ""="Driver"
MSCONFIG\Services: mracsvc => 3
FirewallRules: [{21CE9244-4AB5-42D8-B656-3750E7A1F942}] => (Allow) C:\Program Files (x86)\CyberLink\PowerDVD18\PowerDVD.exe Brak pliku
FirewallRules: [{2492FA33-464C-400E-9806-8DE3EE334D54}] => (Allow) C:\Program Files (x86)\CyberLink\PowerDVD18\Kernel\DMS\CLMSServerPDVD18.exe Brak pliku
FirewallRules: [{46B6B42F-9549-4F62-8D70-3C9D40FA8FBC}] => (Allow) C:\Program Files (x86)\CyberLink\PowerDVD18\PowerDVD18Agent.exe Brak pliku
FirewallRules: [{8E0D8E1C-9886-497C-931C-2EA5208C05B3}] => (Allow) C:\Program Files (x86)\CyberLink\PowerDVD18\Movie\PowerDVDMovie.exe Brak pliku
FirewallRules: [{903B01B7-D214-474B-91E7-7821F5BF4E51}] => (Allow) C:\Program Files (x86)\CyberLink\PowerDVD18\CastingStation.exe Brak pliku
EmptyTemp:

Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).

 

Zrób nowe logi FRST - już bez Shortcut.

 

jessi

Odnośnik do komentarza
jessica

jessica

Opublikowano
Opublikowano

W logach nie widzę tych podejrzanych folderów, o których pisałeś.

Czy one dalej powstają?

Czy ich pojawienie się nie zbiegło się w czasie z zainstalowaniem któregoś Twego programu?

 

Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.
Otworzy się Notatnik - wklej do niego:

Spoiler

C:\ProgramData\wobcpcvn.rxt
C:\ProgramData\wsmievvg.cpx
C:\ProgramData\gzrokpxw.ohp

Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).

 

EDIT:

Cytat

 

dopisz do mojej "fixlist" jeszcze to:

C:\Windows\System32\drivers\mracdrv.sys

 

Czy dopisałeś to do mojej poprzedniej "fixlist"?

 

jessi

 

Odnośnik do komentarza
Ryoukio

Ryoukio

Opublikowano
  • Autor
Opublikowano (edytowane)

Właśnie nie pamiętam czy było coś instalowane, raczej od ostatniego instalowania minęły dobre kilka tygodni. Zapomniałem zrobić ważną rzecz jeszcze w malwarebytes przeskanować sam dysk D , na którym znajdują są owe foldery. Już wykryło nawet kilka plików i sam wirus. Być może są to pozostałości po wirusie, który wygenerował pliki exe w każdym folderze.

 

 

Screenshot_1.png

Edytowane przez Ryoukio
Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...