Podejrzewany wirus. Pomoc w rozpoznaniu i dezynfekcji


(Karix20) #1

Witam!!

 

Od jakiegoś czasu mam problemy z komputerem podejrzewam obecność wirusa na dysku bardzo bym był wdzięczny za pomoc. Podejrzenia są spowodowane Task Host Window, który jest obecny pomimo czystego startu i usunięcia z autostartu wielu programów.

 

Log FRST.txt :  http://www.wklej.org/id/1417627/

Log Addition.txt : http://www.wklej.org/id/1417631/

Log Shortcut.txt : http://www.wklej.org/id/1417632/

Log OTL : http://www.wklej.org/id/1417635/

Log Extras : http://www.wklej.org/id/1417636/

 

Dziękuję za wszelką pomoc. Pozdrawiam.


(Acorus) #2

Odinstaluj Spybot - Search & Destroy,SpyHunter,PC Tools Spyware Doctor 9.1.Otwórz Notatnik i wklej:

Task: {0A51DA09-D828-46C5-B576-C1102733282E} - System32\Tasks\Safer-Networking\Spybot - Search and Destroy\Check for updates = C:\Program Files (x86)\Spybot - Search amp; Destroy 2\SDUpdate.exe
Task: {3801FFF4-A032-4C22-8500-F1B22437FE7B} - System32\Tasks\Safer-Networking\Spybot - Search and Destroy\Scan the system = C:\Program Files (x86)\Spybot - Search amp; Destroy 2\SDScan.exe
Task: {7644EB99-1431-43A9-8CBB-6B82671A0E32} - System32\Tasks\Safer-Networking\Spybot - Search and Destroy\Refresh immunization = C:\Program Files (x86)\Spybot - Search amp; Destroy 2\SDImmunize.exe
Winlogon\Notify\SDWinLogon-x32: SDWinLogon.dll [X]
HKU\S-1-5-21-2543291721-2643571671-3349848320-1000\...\Run: [Spybot-SD Cleaning] = C:\Program Files (x86)\Spybot - Search Destroy 2\SDCleaner.exe [3642312 2013-05-16] (Safer-Networking Ltd.)
Toolbar: HKLM - No Name - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File
Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - No File
R2 SDScannerService; C:\Program Files (x86)\Spybot - Search Destroy 2\SDFSSvc.exe [1817560 2013-05-16] (Safer-Networking Ltd.)
R2 SDUpdateService; C:\Program Files (x86)\Spybot - Search Destroy 2\SDUpdSvc.exe [1033688 2013-05-16] (Safer-Networking Ltd.)
R2 SDWSCService; C:\Program Files (x86)\Spybot - Search Destroy 2\SDWSCSvc.exe [171928 2013-05-15] (Safer-Networking Ltd.)
S3 esgiguard; C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [14872 2014-01-07] ()
S3 MSICDSetup; \\F:\CDriver64.sys [X]
S3 NTIDrvr; System32\Drivers\NTIDrvr.sys [X]
S3 NTIOLib_1_0_3; \\C:\Program Files (x86)\MSI\Super Charger\NTIOLib_X64.sys [X]
S3 NTIOLib_1_0_4; \\C:\Program Files (x86)\MSI\Live Update\NTIOLib_X64.sys [X]
S3 NTIOLib_1_0_6; \\C:\Program Files (x86)\Setup Files\Ms7752v2C0\NTIOLib_X64.sys [X]
S3 NTIOLib_1_0_C; \\F:\NTIOLib_X64.sys [X]
S3 NTIOLib_FastBoot; \\C:\Program Files (x86)\MSI\Fast Boot\NTIOLib_X64.sys [X]
2014-07-15 12:06 - 2014-07-15 12:06 - 00002218 _____ () C:\Users\Karol\Desktop\SpyHunter.lnk
2014-07-15 12:06 - 2014-07-15 12:06 - 00000000 ____ D () C:\Windows\1F7E4FF9D2E542589AE1E16E6CB3252A.TMP
2014-07-15 12:06 - 2014-07-15 12:06 - 00000000 ____ D () C:\Users\Karol\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\SpyHunter
2014-07-15 12:06 - 2014-07-15 12:06 - 00000000 ____ D () C:\sh4ldr
2014-07-15 12:06 - 2014-07-15 12:06 - 00000000 ____ D () C:\Program Files\Enigma Software Group
2014-07-15 12:05 - 2014-07-15 12:05 - 00003088 _____ () C:\Windows\System32\Tasks\{8C961273-DFD8-4D4F-A8B2-3E3DEB7A2D1A}
2014-07-12 11:59 - 2014-07-12 12:00 - 00000000 ____ D () C:\AdwCleaner
2014-06-15 18:14 - 2014-07-08 11:25 - 00003138 _____ () C:\Windows\System32\Tasks\{2618B86E-D2A3-4409-9D81-4864389572E6}
2014-06-15 18:10 - 2014-07-08 11:26 - 00003134 _____ () C:\Windows\System32\Tasks\{A118C346-6E87-45D1-8CC0-93EA3E3AB079}

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.


(Karix20) #3

Wykonałem, co poleciłeś. Wrzucam nowe logi. Spójrz proszę, czy widzisz coś niepokojącego. Nie wiem, czy grzebać w usługach windowsa, czy nie bo problem dalej występuje, jednak już czysty rozruch poszedł bez task host windows, a z procesów chodzących w tle to zostały chyba tylko usługi windowsa i najpotrzebniejsze programy.

 

Fixlog : http://www.wklej.org/id/1417790/

FRST : http://www.wklej.org/id/1417789/

Shortcut : http://www.wklej.org/id/1417791/


(Acorus) #4

Skasuj folder C:\FRST

Użyj http://www.bleepingcomputer.com/download/tfc/ (uruchom TFC i kliknij Start).

Przeskanuj programem Malwarebytes Anti-Malware http://data-cdn.mbamupdates.com/v2/mbam/consumer/data/mbam-setup-2.0.2.1012.exe

Podczas instalacji usuń zaznaczenie przy Uruchom okres testowy Malwarebytes Anti-Malware Premium.

Język PL > Settings > General Settings > Language > Polish


(Karix20) #5

Dzięki za kolejną odpowiedź !!

 

Niestety problem nadal występuje :frowning: Malwarebytes Anti-Malware nic nie wykrył. Wcześniej zapomniełem wspomnieć, że Spyware doctor lub Spyhunter wykrył u mnie Trojan generic i jakieś malware. Jeżeli to były fałszywe alarmy to jutro zacznę bawić się z testami usług windows.


(Acorus) #6

Przeskanuj programem Dr.WEB CureIt http://www.freedrweb.com/cureit/?lng=pl


(Karix20) #7

Dr.Web CureIt też nic nie wykrył pewnie to były jakieś fałszywe alarmy, a mój problem wynika z innej przyczyny. Dzięki za pomoc, chyba że masz jeszcze jakiś inny pomysł.


(Acorus) #8

Jak Dr.Web CureIt nic nie wykrył to musiały być fałszywe alarmy.