polnml
(polnml)
4 Styczeń 2016 20:16
#1
Witam. Wie ktoś może co to za aplikacja i za co odpowiada proces ApphguotoloS.exe znajdujący się w c:\programdata\ApphguotoloS.
Podejrzewam, że może to być coś od Apple (np od QuickTime) ale pewności nie mam. Ma ktoś z was uruchomiony ApphguotoloS ?
To jest wpis z ComboFix.
ComboFix.txt
y-woj
(y-woj)
5 Styczeń 2016 01:04
#2
Google mówi, że to malware które może próbować przejąć kontrolę nad przeglądarką.
Przeskanować by może system np. tym http://www.secureaplus.com/Main/download_ty.php?opt=2 link jest do instalatora offline, a tu opis http://www.dobreprogramy.pl/SecureAPlus,Program,Windows,45923.html
Atis
(Atis)
5 Styczeń 2016 11:01
#3
Zamiast instalować jakieś programy pokaż logi z FRST na wklej.org lub wklej.to
polnml
(polnml)
6 Styczeń 2016 13:59
#4
Po odpaleniu FRST zrobił się niezły burdel w systemie. Niektóre programy mają pozmieniane nazwy, a kilka z nich zmieniło skojarzenia. Filmy zamiast w BestPlayer otwierają się w napiproject, komunikator wtw otwiera pocztę a Opera cały czas pyta czy ma być domyślną przeglądarką i nie pamięta ustawień
Wywaliłem katalog \ApphguotoloS i wszystko z nim związane. Jak na razie nie zauważyłem negatywnych skutków.
angry
(angry)
6 Styczeń 2016 15:02
#5
Daj logi FRST do przeanalizowania.
plik mogłeś przeskanować w https://www.virustotal.com
Atis
(Atis)
6 Styczeń 2016 17:46
#6
Bzdury opowiadasz, bo FRST niczego automatycznie nie usuwa, zmienia itp.
Atis
(Atis)
7 Styczeń 2016 10:55
#8
Przecież w instrukcji jest napisane, że należy pokazać trzy raporty na wklej.org lub wklej.to
Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :
CreateRestorePoint:
Winlogon\Notify\igfxcui: igfxdev.dll [X]
HKU\S-1-5-21-1057783699-2863150027-4276993716-1000\...\Policies\Explorer: [NoInternetOpenWith] 1
AppInit_DLLs: C:\ProgramData\ApphguotoloS\Salt-Fix.dll = Brak pliku
AppInit_DLLs-x32: C:\ProgramData\ApphguotoloS\VilaEx.dll = Brak pliku
IFEO\application whitelisting.exe: [Debugger] "C:\Programy\AVG PC TuneUp 2015\TUAutoReactivator64.exe"
IFEO\dtagent.exe: [Debugger] "C:\Programy\AVG PC TuneUp 2015\TUAutoReactivator64.exe"
IFEO\origin.exe: [Debugger] "C:\Programy\AVG PC TuneUp 2015\TUAutoReactivator64.exe"
IFEO\originthinsetup.exe: [Debugger] "C:\Programy\AVG PC TuneUp 2015\TUAutoReactivator64.exe"
IFEO\secureaplus.exe: [Debugger] "C:\Programy\AVG PC TuneUp 2015\TUAutoReactivator64.exe"
IFEO\secureaplusnoavsetup_v3.5.1.exe: [Debugger] "C:\Programy\AVG PC TuneUp 2015\TUAutoReactivator64.exe"
IFEO\uninst_secureaplus.exe: [Debugger] "C:\Programy\AVG PC TuneUp 2015\TUAutoReactivator64.exe"
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia ======= UWAGA
HKU\S-1-5-21-1057783699-2863150027-4276993716-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia ======= UWAGA
HKU\S-1-5-21-1057783699-2863150027-4276993716-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBP-OqRkK_4g5H3zXx0q1D1XXsHhKKzkrHKVfc2yf-dRhQNfGRZMgfLTVymBwMf0j3tb7jahaus08CbPVRVFT745H8nJGHtwT5AlIwWpqfSl1AkLUvWTQCrhksqQQuM6vFef1Mtt0ZNSZ9pVqasomzShSJB9BuyqsV5Vq-B0qO5YzNtag,,
SearchScopes: HKLM-x32 - DefaultScope {ielnksrch} URL =
SearchScopes: HKLM-x32 - ielnksrch URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBP-OqRkK_4g5H3zXx0q1D1XXsHhKKzkrHKVfc2yf-dRhQNfGRZMgfLTVymBwMf0j3tb7jahaus08CbPVRVFT745H8nJGHtwT5MR-P6TUIFPRdHB2hrw2K0VOYhnNl9M38y79Cy2bTpkKgrQvnzvZzH0l6GxMhOPJjTZWjvVwhtnrahPA,,q={searchTerms}
SearchScopes: HKU\S-1-5-21-1057783699-2863150027-4276993716-1000 - {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBP-OqRkK_4g5H3zXx0q1D1XXsHhKKzkrHKVfc2yf-dRhQNfGRZMgfLTVymBwMf0j3tb7jahaus08CbPVRVFT745H8nJGHtwT5MR-P6TUIFPRdHB2hrw2K0VOYhnNl9M38y79Cy2bTpkKgrQvnzvZzH0l6GxMhOPJjTZWjvVwhtnrahPA,,q={searchTerms}
U4 ApplicationHosting; C:\ProgramData\\ApplicationHosting\\ApplicationHosting.exe [431104 2015-12-22] () [Brak podpisu cyfrowego]
U3 teamviewervpn; system32\DRIVERS\teamviewervpn.sys [X]
RemoveDirectory: C:\Qoobox
2016-01-04 20:38 - 2016-01-04 20:38 - 00518144 _____ (SteelWerX) C:\Windows\SWREG.exe
2016-01-04 20:38 - 2016-01-04 20:38 - 00406528 _____ (SteelWerX) C:\Windows\SWSC.exe
2016-01-04 20:38 - 2016-01-04 20:38 - 00256000 _____ C:\Windows\PEV.exe
2016-01-04 20:38 - 2016-01-04 20:38 - 00208896 _____ C:\Windows\MBR.exe
2016-01-04 20:38 - 2016-01-04 20:38 - 00098816 _____ C:\Windows\sed.exe
2016-01-04 20:38 - 2016-01-04 20:38 - 00080412 _____ C:\Windows\grep.exe
2016-01-04 20:38 - 2016-01-04 20:38 - 00068096 _____ C:\Windows\zip.exe
2015-12-22 00:11 - 2016-01-02 19:28 - 00000000 ____ D C:\ProgramData\ApplicationHosting
2015-12-22 00:10 - 2016-01-02 19:29 - 00002389 _____ C:\Windows\SysWOW64\findit.xml
2015-12-22 00:10 - 2015-12-22 00:11 - 00000000 ____ D C:\ProgramData\Solotoughs
EmptyTemp:
Uruchom FRST i kliknij Napraw (Fix). Pokaż raport z usuwania Fixlog.
polnml
(polnml)
7 Styczeń 2016 19:17
#9
Dziękuję wszystkim za zaangażowanie. Już wiem ± skąd się to wzięło. Po zainstalowaniu Phoenix (program do wgrywania oprogramowania w telefonach) lub po podłączeniu Nokia Asha 201.2 Pojawił się ten katalog ApphguotoloS.
Co do FRST po odpaleniu wyskakuje mi 6 komunikatów (error…) i dopiero odpala się program.
Myślę, że można zamknąć temat.
Atis
(Atis)
9 Styczeń 2016 11:43
#10
Nadal masz zainfekowany system. W logu widać usługę:
Pobierz i uruchom AdwCleaner Kliknij Skanuj (Scan) i później Usuń (Cleaning).
polnml
(polnml)
12 Styczeń 2016 16:18
#11
ApplicationHosting wyłączyłem w usługach i usunąłem ręcznie. Comodo internet security, Zalman altiloger, Windows Defender, ani AdwCleaner nic nie wykryły. Dzięki za pomoc.