Czy znacie jakieś dobre, inne ilepsze niż standardowe narzędzie do edycji zadań które są w harmonogramie zadań?

Mam jakiegoś wirusa i nie mogę go usunąć. Objaw jest taki, że explorer.exe uruchamia svchost.exe z dziwnymi parametrami, łączy się z netem…

Chciałem przeszukać czy nie jest to uruchamiane w harmonogramie zadań, ale to narzędzie które jest w windowsie jest tak ‘badziewiaste’, że szkoda gadać. Nie można w nim nic przeszukać wg jakiś kryteriów, jest wiele opisów nieczytelnych i jest tego bardzo dużo

Pokaż logi z OTL na wklej.org:

analiza-dezynfekcja-zestaw-nieingerencyjnych-narzedzi-t485632.html#p3059741

Autoruns -> Scheduled Tasks

Emsisoft HiJackFree -> Autoruns -> Schedule

Extras

http://www.wklej.org/id/1020339/

OTL

http://www.wklej.org/id/1020342/

Teraz ten proces nie wyskakuje. Zablokowałem w Comobo, ale nie ma nic w zdarzeniach. Blokuje go chyba Malwarebytes.

Nie mam pojęcia, bo jako specjalista laik mieszałem dużo w systemie. Kiedy to się działo w folderze C:$Recycle.Bin powstawał bardzo długi plik czy folder który był suwany przez Malwabebytes i Defender. Kiedy myślałem, że już jest spokojnie to wczoraj pojawił się w tej lokalizacji przy koszu ponownie plik wykrywany jako trojan

AutoRuns

http://www.wklej.org/id/1020373/

Nie widać żadnej infekcji.

Wygląda na to, że zablokowałeś systemowy explorer.exe.

Odinstaluj przestarzały Spybot i przywróć domyślny plik Hosts:

http://support.microsoft.com/kb/972034/pl

Autoruns -> Scheduled Tasks

http://www.wklej.org/id/1020437/

Emsisoft HiJackFree -> Autoruns -> Schedule

http://www.wklej.org/id/1020436/

Wykonałem też wszystko z poprzedniego postu.

W Comodo jest ustawione, że powinien pytać przy każdej próbie uruchomienia przez explorer.exe innego procesu, ale nic nie pyta. Jeżeli nic nadal nie widać podejrzanego w powyższych logach to spróbuje powyłączać wszystkie ograniczenia i jak problem się powtórzy wtedy pewnie powinienem wykonać wszystkie logi jeszcze raz(?)

W ProcessMonitor widziałem, że explorer uruchamiał svchost.exe z parametrami z jakąś domeną ‘-g no -t 2 -o [http://ooyohrmebh9qfof.com/](http://ooyohrmebh9qfof.com/) -u kmkpolkxcl -p iye’ (właśnie odnalazłem w historii bo usunąłem kiedy myślałem, ze problem minął) po zabiciu procesu pojawiał się ponownie po jakiś 5 minutach. ten svchost łączył się z netem i korzystał z 90% zasobów procesora. Jedyny post jaki znalazłem wtedy:

http://forum.softpedia.com/topic/919503 … n-program/

artura4 ,

Proszę zapoznaj się z tematem i popraw tytuł tematu na konkretny, mówiący o problemie. W celu dokonania zaleconej korekty proszę użyć przycisku Edytuj przy poście otwierającym ten temat.

Zignorowanie zalecenia będzie skutkowało przeniesieniem tematu do Kosza.

Zablokowałeś w Comodo i może dlatego nie widać tego w logu z OTL.

Pobierz i uruchom TDSSKiller

Kliknij Start scan i jeśli coś wykryje wybierz Skip

Pokaż raport z tego programu.

Dysk przeskanuj Dr.Web CureIt

Raport przy domyślnych ustawieniach:

http://www.wklej.org/id/1020619/

Przy włączonych wszystkich opcjach, po restarcie (coś tam 10 znalazł)

http://www.wklej.org/id/1020631/

skanuję Dr.Web CureIt… Nic nie znalazł.

Zaraz wyłączę Comodo

Nie widać żadnej infekcji.

UnsignedFile.Multi.Generic nie są szkodliwe, więc nie usuwaj tych plików.

Co do menadżera zadań, to jest takie małe portable, po polsku, ustawne. Wymyślasz i masz. http://www.programosy.pl/program,task-c … table.html

Oczywiście bardzo, bardzo dziękuję za pomoc.

W comodo ustawiłem plik explorer.exe bez ograniczeń, wyłączyłem ochronę, ale nic się nie działo. Być może problem się pojawia po wejściu na jakąś dziwną stronę. Obecnie generalnie uruchamiam przeglądarki w 'piaskownicy, a FlashPlayerPlugin_11_7_700_169.exe jest domyślnie uruchamiany jako aplikacja izolowana.

Jeszcze raz dziękuję