Podejrzenie wirusa - blokuje programy antywirusowe


(xbudzik) #1

Problem jest z wirusem, nie działają na niego żadne antywirusy.
Wszystkie programy do zwalczania wirusów wypróbowane.
Podejrzewam plik C:\Windows\SysWOW64\XSrvSetup.exe ale to dylko domysły, chciałbym opinie specjalistów.
Z góry dziękuję


(ybu) #2

Wykonaj wg. tego i czekaj na polecenia kogoś z duetu Acorus ,Atis(oni się tym zajmują na forum)


(Atis) #3

W logach brakuje ukośników w ścieżkach.
http://wklej.org/


(xbudzik) #4

Faktycznie ta wklejka usuwa ukośniki,
Druga wklejka u mnie nie dziala nic nie wysyła.
wiec prosze pobrac za free
http://catshare.net/XiBuzhD9P114Hfli/FRST.txt
http://catshare.net/FTYfCL22NALYWHSX/Addition.txt


(Atis) #5

Przecież Kaspersky normalnie działa.

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist:

PHKU\S-1-5-21-3548233536-396139262-1046829617-1000\...\Run: [] => [X]
GroupPolicy: Ograniczenia <==== UWAGA
GroupPolicy\User: Ograniczenia <==== UWAGA
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <==== UWAGA
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-21-3548233536-396139262-1046829617-1000 -> DefaultScope {6BB257C8-5471-46bd-8FC7-347836399B9E} URL = hxxp://uk.search.yahoo.com/search?p={searchTerms}&fr=chr-devicevm&type=IEBD
SearchScopes: HKU\S-1-5-21-3548233536-396139262-1046829617-1000 -> {6BB257C8-5471-46bd-8FC7-347836399B9E} URL = hxxp://uk.search.yahoo.com/search?p={searchTerms}&fr=chr-devicevm&type=IEBD
S3 gdrv; \??\C:\Windows\gdrv.sys [X]
S3 Tablet2k; "%SystemRoot%\System32\Drivers\Tablet2k.sys" [X]
S3 VBoxNetFlt; system32\DRIVERS\VBoxNetFlt.sys [X]
S3 VMnetAdapter; system32\DRIVERS\vmnetadapter.sys [X]
2017-12-28 23:08 - 2017-12-28 23:08 - 000000000 ____D C:\TDSSKiller_Quarantine
2017-12-28 17:54 - 2014-12-15 08:54 - 000000000 ____D C:\AdwCleaner
2010-09-11 10:09 - 2010-09-11 10:09 - 000000000 _____ () C:\Users\PC\AppData\Roaming\chrtmp
Task: {368613C9-9106-41CA-AD09-4868FE43EEF4} - System32\Tasks\{97816942-7580-4DB3-BA05-13AC2425A55E} => C:\Windows\system32\pcalua.exe -a E:\EASetup.exe -d E:\
Task: {7238CBA2-1D76-4483-9926-AAE8243D1556} - System32\Tasks\{C41E9FE2-1E13-4E63-A248-913FE460F43A} => C:\Windows\system32\pcalua.exe -a E:\gra\nfs_hotpursuit2.exe -d E:\gra
Task: {7F43FBB6-16DA-403C-B76B-8574D1D0CA14} - System32\Tasks\RealDownloaderRealUpgradeScheduledTaskS-1-5-21-3548233536-396139262-1046829617-1000 => C:\Program Files (x86)\RealNetworks\RealDownloader\realupgrade.exe
Task: {EEFACC08-A005-4696-BD82-F1D1CE1E321A} - System32\Tasks\Java Update Scheduler => C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe
Task: {F2950BEA-D02E-4C3B-A292-301569772565} - System32\Tasks\{6E4DBEDB-F9DD-4A7B-BDD9-1C59A0CA0E38} => C:\Windows\system32\pcalua.exe -a C:\Users\PC\Downloads\startuplite-setup-1.07.exe -d C:\Users\PC\Downloads
Task: {FB3C354D-297A-4EB2-9B58-090F6361906B} - \Microsoft\Windows\Power Efficiency Diagnostics\AnalyzeSystem -> Brak pliku <==== UWAGA
AlternateDataStreams: C:\ProgramData\Microsoft:kvfYyqmVTUDYBss0KVGvbyB [2260]
AlternateDataStreams: C:\ProgramData\Microsoft:yLuyQMOiKuIiHv3loWUnf6HIc4 [2062]
AlternateDataStreams: C:\Users\PC\Cookies:eFHCSBQ5cAikmL3lFCBRE4Nk [2506]
AlternateDataStreams: C:\Users\PC\AppData\Local\Temporary Internet Files:tXwfAnw0MaMWPVzSfeM [2226]
EmptyTemp:

Uruchom FRST i kliknij Napraw (Fix). Pokaż raport z usuwania Fixlog.
Kliknij Skanuj (Scan) i pokaż nowy raport z FRST bez Addition i Shortcut.


(xbudzik) #6

Dzięki @Atis za odpowiedź.
zamieszczam logi i raport

http://wklej.org/id/3335970/
http://wklej.org/hash/de904d1e5ef/

co do poprawy po wykonaniu działań niewiele się zmieniło.
moje nadal niepokojące działania:

  1. system się bardzo długo uruchamia
  2. Malware zgłasza błąd: ochrona plików wyłączona (ale dziwne raz działa raz nie działa)
  3. Nie działały aktualizacje automatyczne windowsa (naprawiłem i działają)
  4. teraz w w kaspersky rescue disk nie zgłasza informacji że baza wirusów jest skorumpowana
  5. nie mogę wejsc na adres modemu wifi 192.168.1.1 zawsze mogłem, teraz nie wiem dlaczego nie mogę

Przeskanowałem system kaspersky nic nie znalazł, malware tez nie, tylko SUPERAntiSpyware znalazl 2 trojany

Czytałem o tym C:\Windows\SysWOW64\XSrvSetup.exe i nie rozumiem dlaczego on u mnie się uruchamia. Nie jest potrzebny to może go usunąć. Nie jest wymagany do uruchomienia windows. Jest potencjalnym nosicielem wirusów co też obrazuje wątek z waszego forum.


Co na to aby go wywalic?


(Atis) #7

Ponieważ plik nie jet szkodliwy, a twoje problemy nie mają związku z wirusami.

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist:

HKU\S-1-5-21-3548233536-396139262-1046829617-1000\...\Run: [] => [X]
GroupPolicy: Ograniczenia <==== UWAGA
2018-01-02 22:07 - 2018-01-02 22:07 - 000000000 ____D C:\Users\PC\Downloads\FRST-OlderVersion
2018-01-02 22:11 - 2011-03-23 09:45 - 000000000 ____D C:\Users\PC\AppData\LocalLow\Temp
DeleteQuarantine:

Uruchom FRST i kliknij Napraw (Fix). Później skasuj folder C:\FRST