Nieznana Aplikacja - proces ApphguotoloS.exe


(polnml) #1

Witam. Wie ktoś może co to za aplikacja i za co odpowiada proces ApphguotoloS.exe znajdujący się w c:\programdata\ApphguotoloS.

Podejrzewam, że może to być coś od Apple (np od QuickTime) ale pewności nie mam. Ma ktoś z was uruchomiony ApphguotoloS ?

To jest wpis z ComboFix.

ComboFix.txt


(yanko wojownik) #2

Google mówi, że to malware które może próbować przejąć kontrolę nad przeglądarką.

Przeskanować by może system np. tym http://www.secureaplus.com/Main/download_ty.php?opt=2   link jest do instalatora offline, a tu opis http://www.dobreprogramy.pl/SecureAPlus,Program,Windows,45923.html  


(Atis) #3

Zamiast instalować jakieś programy  pokaż logi z FRST na wklej.org lub wklej.to


(polnml) #4

Po odpaleniu FRST zrobił się niezły burdel w systemie. Niektóre programy mają pozmieniane nazwy, a kilka z nich zmieniło skojarzenia. Filmy zamiast w BestPlayer otwierają się w napiproject, komunikator wtw otwiera pocztę a Opera cały czas pyta czy ma być domyślną przeglądarką i nie pamięta ustawień :slight_smile:

Wywaliłem katalog \ApphguotoloS i wszystko z nim związane. Jak na razie nie zauważyłem negatywnych skutków.


(angry) #5

Daj logi FRST do przeanalizowania.

plik mogłeś przeskanować w https://www.virustotal.com


(Atis) #6

Bzdury opowiadasz, bo FRST niczego automatycznie nie usuwa, zmienia itp.

 


(polnml) #7

Log

FRST.txt


(Atis) #8

Przecież w instrukcji jest napisane, że należy pokazać trzy raporty na wklej.org lub wklej.to

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

CreateRestorePoint:
Winlogon\Notify\igfxcui: igfxdev.dll [X]
HKU\S-1-5-21-1057783699-2863150027-4276993716-1000\...\Policies\Explorer: [NoInternetOpenWith] 1
AppInit_DLLs: C:\ProgramData\ApphguotoloS\Salt-Fix.dll = Brak pliku
AppInit_DLLs-x32: C:\ProgramData\ApphguotoloS\VilaEx.dll = Brak pliku
IFEO\application whitelisting.exe: [Debugger] "C:\Programy\AVG PC TuneUp 2015\TUAutoReactivator64.exe"
IFEO\dtagent.exe: [Debugger] "C:\Programy\AVG PC TuneUp 2015\TUAutoReactivator64.exe"
IFEO\origin.exe: [Debugger] "C:\Programy\AVG PC TuneUp 2015\TUAutoReactivator64.exe"
IFEO\originthinsetup.exe: [Debugger] "C:\Programy\AVG PC TuneUp 2015\TUAutoReactivator64.exe"
IFEO\secureaplus.exe: [Debugger] "C:\Programy\AVG PC TuneUp 2015\TUAutoReactivator64.exe"
IFEO\secureaplusnoavsetup_v3.5.1.exe: [Debugger] "C:\Programy\AVG PC TuneUp 2015\TUAutoReactivator64.exe"
IFEO\uninst_secureaplus.exe: [Debugger] "C:\Programy\AVG PC TuneUp 2015\TUAutoReactivator64.exe"
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia ======= UWAGA
HKU\S-1-5-21-1057783699-2863150027-4276993716-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia ======= UWAGA
HKU\S-1-5-21-1057783699-2863150027-4276993716-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBP-OqRkK_4g5H3zXx0q1D1XXsHhKKzkrHKVfc2yf-dRhQNfGRZMgfLTVymBwMf0j3tb7jahaus08CbPVRVFT745H8nJGHtwT5AlIwWpqfSl1AkLUvWTQCrhksqQQuM6vFef1Mtt0ZNSZ9pVqasomzShSJB9BuyqsV5Vq-B0qO5YzNtag,,
SearchScopes: HKLM-x32 - DefaultScope {ielnksrch} URL =
SearchScopes: HKLM-x32 - ielnksrch URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBP-OqRkK_4g5H3zXx0q1D1XXsHhKKzkrHKVfc2yf-dRhQNfGRZMgfLTVymBwMf0j3tb7jahaus08CbPVRVFT745H8nJGHtwT5MR-P6TUIFPRdHB2hrw2K0VOYhnNl9M38y79Cy2bTpkKgrQvnzvZzH0l6GxMhOPJjTZWjvVwhtnrahPA,,q={searchTerms}
SearchScopes: HKU\S-1-5-21-1057783699-2863150027-4276993716-1000 - {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBP-OqRkK_4g5H3zXx0q1D1XXsHhKKzkrHKVfc2yf-dRhQNfGRZMgfLTVymBwMf0j3tb7jahaus08CbPVRVFT745H8nJGHtwT5MR-P6TUIFPRdHB2hrw2K0VOYhnNl9M38y79Cy2bTpkKgrQvnzvZzH0l6GxMhOPJjTZWjvVwhtnrahPA,,q={searchTerms}
U4 ApplicationHosting; C:\ProgramData\\ApplicationHosting\\ApplicationHosting.exe [431104 2015-12-22] () [Brak podpisu cyfrowego]
U3 teamviewervpn; system32\DRIVERS\teamviewervpn.sys [X]
RemoveDirectory: C:\Qoobox
2016-01-04 20:38 - 2016-01-04 20:38 - 00518144 _____ (SteelWerX) C:\Windows\SWREG.exe
2016-01-04 20:38 - 2016-01-04 20:38 - 00406528 _____ (SteelWerX) C:\Windows\SWSC.exe
2016-01-04 20:38 - 2016-01-04 20:38 - 00256000 _____ C:\Windows\PEV.exe
2016-01-04 20:38 - 2016-01-04 20:38 - 00208896 _____ C:\Windows\MBR.exe
2016-01-04 20:38 - 2016-01-04 20:38 - 00098816 _____ C:\Windows\sed.exe
2016-01-04 20:38 - 2016-01-04 20:38 - 00080412 _____ C:\Windows\grep.exe
2016-01-04 20:38 - 2016-01-04 20:38 - 00068096 _____ C:\Windows\zip.exe
2015-12-22 00:11 - 2016-01-02 19:28 - 00000000 ____ D C:\ProgramData\ApplicationHosting
2015-12-22 00:10 - 2016-01-02 19:29 - 00002389 _____ C:\Windows\SysWOW64\findit.xml
2015-12-22 00:10 - 2015-12-22 00:11 - 00000000 ____ D C:\ProgramData\Solotoughs
EmptyTemp:

Uruchom FRST i kliknij Napraw (Fix). Pokaż raport z usuwania Fixlog.

 


(polnml) #9

Dziękuję wszystkim za zaangażowanie. Już wiem ± skąd się to wzięło. Po zainstalowaniu Phoenix (program do wgrywania oprogramowania w telefonach) lub po podłączeniu Nokia Asha 201.2 Pojawił się ten katalog ApphguotoloS.

Co do FRST po odpaleniu wyskakuje mi 6 komunikatów (error…) i dopiero odpala się program.

Myślę, że można zamknąć temat.


(Atis) #10

 Nadal masz zainfekowany system. W logu widać usługę:

Pobierz i uruchom AdwCleaner Kliknij Skanuj (Scan) i później Usuń (Cleaning).

 

 

 


(polnml) #11

 ApplicationHosting wyłączyłem w usługach i usunąłem ręcznie. Comodo internet security, Zalman altiloger, Windows Defender, ani  AdwCleaner nic nie wykryły. Dzięki za pomoc.