Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Fałszywy winlogon.exe

arkos1970

Przez arkos1970
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano (edytowane)

Lista procesów zbędna. Na dłoni mam w logu z OTL wszystkie dane i co jest powodem usterki (wartość Shell z trojanem). HiJackThis + AD-Remover odinstaluj z systemu. Pierwszy nie ma w ogóle zgodności z 64-bitami (przedstawia nieprawidłowo komponenty) i jest już programem wymarłym (TrendMicro umyło ręce i umieściło program na SourceForge). Drugi nierozwijany, zastępuje go AdwCleaner.

 

 

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O4 - HKLM..\Run: [9AE.exe] C:\Program Files (x86)\LP\0EA4\9AE.exe ()
O4 - HKLM..\Run: [crrss] C:\Windows\system32\crrss.exe File not found
O4 - HKLM..\Run: [MozillaAgent] C:\Windows\Temp\_ex-68.exe (hzyys3gzMq)
O4 - HKU\S-1-5-21-2685944304-1924584341-4067322775-1001..\Run: [14A.exe] C:\Users\SS\AppData\Roaming\Microsoft\EA64\14A.exe ()
O4 - HKU\S-1-5-21-2685944304-1924584341-4067322775-1001..\Run: [408.exe] C:\Users\SS\AppData\Roaming\Microsoft\2994\408.exe ()
O4 - HKU\S-1-5-21-2685944304-1924584341-4067322775-1001..\Run: [644.exe] C:\Users\SS\AppData\Roaming\Microsoft\0994\644.exe ()
O4 - HKU\S-1-5-21-2685944304-1924584341-4067322775-1001..\Run: [A07.exe] C:\Users\SS\AppData\Roaming\Microsoft\6994\A07.exe ()
O4 - HKU\S-1-5-21-2685944304-1924584341-4067322775-1001..\Run: [AAA.exe] C:\Users\SS\AppData\Roaming\Microsoft\DD64\AAA.exe ()
O4 - HKU\S-1-5-21-2685944304-1924584341-4067322775-1001..\Run: [AE8.exe] C:\Users\SS\AppData\Roaming\Microsoft\FA04\AE8.exe ()
O4 - HKU\S-1-5-21-2685944304-1924584341-4067322775-1001..\Run: [b16.exe] C:\Users\SS\AppData\Roaming\Microsoft\4D34\B16.exe ()
O4 - HKU\S-1-5-21-2685944304-1924584341-4067322775-1001..\Run: [D87.exe] C:\Users\SS\AppData\Roaming\Microsoft\D994\D87.exe ()
O4 - HKU\S-1-5-21-2685944304-1924584341-4067322775-1001..\Run: [ED4.exe] C:\Users\SS\AppData\Roaming\Microsoft\9994\ED4.exe ()
O4 - HKU\S-1-5-21-2685944304-1924584341-4067322775-1001..\Run: [winlogon] C:\Users\SS\winlogon.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HideSCAHealth = 1 
F3:64bit: - HKU\S-1-5-21-2685944304-1924584341-4067322775-1001 WinNT: Load - (C:\Users\SS\AppData\Roaming\E92FA\lvvm.exe) - C:\Users\SS\AppData\Roaming\E92FA\lvvm.exe ()
F3 - HKU\S-1-5-21-2685944304-1924584341-4067322775-1001 WinNT: Load - (C:\Users\SS\AppData\Roaming\E92FA\lvvm.exe) -C:\Users\SS\AppData\Roaming\E92FA\lvvm.exe ()
IE - HKU\S-1-5-21-2685944304-1924584341-4067322775-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 1
IE - HKU\S-1-5-21-2685944304-1924584341-4067322775-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:60485
FF - prefs.js..network.proxy.http: "127.0.0.1"
FF - prefs.js..network.proxy.http_port: 60485
FF - prefs.js..network.proxy.type: 1
 
:Files
C:\Windows\tasks\At1.job
C:\Program Files (x86)\LP
C:\Users\SS\AppData\Roaming\*.exe
C:\Users\SS\AppData\Roaming\E92FA
C:\Users\SS\AppData\Roaming\4E6E9
C:\Users\SS\AppData\Roaming\Microsoft\EA64
C:\Users\SS\AppData\Roaming\Microsoft\2994
C:\Users\SS\AppData\Roaming\Microsoft\0994
C:\Users\SS\AppData\Roaming\Microsoft\6994
C:\Users\SS\AppData\Roaming\Microsoft\DD64
C:\Users\SS\AppData\Roaming\Microsoft\FA04
C:\Users\SS\AppData\Roaming\Microsoft\4D34
C:\Users\SS\AppData\Roaming\Microsoft\D994
C:\Users\SS\AppData\Roaming\Microsoft\9994
 
:Reg
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=-
 
:Commands
[resethosts]
[emptytemp]

 

Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z wynikami usuwania.

 

2. Przejdź do Panelu sterowania i odinstaluj śmiecia StartNow Toolbar. Następnie otwórz Google Chrome, wejdź do opcji do zarządzania wyszukiwarkami, przestaw domyślną na coś innego niż aktualnie, zaś Yahoo kierujące do startnow.com usuń całkiem z listy.

 

========== Chrome  ==========
 
CHR - default_search_provider: Yahoo (Enabled)
CHR - default_search_provider: search_url = "http://klit.startnow.com/s/?q={searchTerms}&src=defsearch&provider=&provider_name=yahoo&provider_code=&partner_id=693&product_id=741&affiliate_id=&channel=&toolbar_id=200&toolbar_version=2.4.0&install_country=PL&install_date=20120208&user_guid=1D45AA893C6F4D0B997DEA730C23C9F8&machine_id=7b1e29084ad183810d9e6d9a2221b6f0&browser=CR&os=win&os_version=6.1-x64-SP0"

 

3. Do oceny OTL z opcji Skanuj oraz log z wynikami usuwania pozyskany w punkcie 1.

 

 

 

.

Edytowane przez picasso
27.03.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...