Rosnąca ilość explorer exe *32


(Rafal Sywak) #1

Niestety mam problem właśnie z procesem explorer exe *32, który pojawił się u mnie od kilku dni w związku z niedawnym pojawieneim się wirusa na fb treści ,,hahaha" w zapakowanym formacie. Niestety pobrałem plik i go rozpakowałem. Wiele rzeczy zmieniłem później, antywirus avast - ten bezpłatny wykrył zagrożenia, które usunąłem. Teraz nic nie wykrywa zlego. Wiele sterowników przeinstalowałem, ale wlaśnie nie dawno zorientowałem się, że to właśnie owy proces explorer exe *32 - jego kilkukrotna zawartość w procesach (mniej więcej cztery) jest przyczyną zamulenia komputera i jego bardzo powolnej pracy. Co dziwne, nie za każdym razem ten proces mnoży się na starcie kilkurotnie, losowo raz jest dobrze, raz bardzo źle.

 

Sesredcznie proszę o pomoc.

Moje podzespoły to:

Windows 7 64 bit

Procesor AMD Fx 4130

Karta Główna Asus M5A78L-MUSB3

Karta Graficzna Geforce Gtx 650 Ti

8 Gb Ram ddr3 1600 Mhz

 

Gdyby coś było potrzebne to podam. Z forów przeczytałem już podobne tematy i widziałem rozwiązania, ale nie wiem czy dane wspisy w notatnik systemowy czy jak to się tam zwie - nie znam się za bardzo, są takie same dla tych samych problemów. Przesyłam wyniki skanowania OTL.

 

 

Bardzo proszę o pomoc, dziękuję :slight_smile:

OTL.Txt

Extras.Txt


(Atis) #2

W panelu sterowania odinstaluj IePluginService12.27.0.3413 i SupTab.

Pobierz i uruchom AdwCleaner Kliknij Szukaj i później Usuń.

Pobierz Farbar Recovery Scan Tool 64-Bit Version

Uruchom FRST i kliknij Scan. Pokaż raport FRST i Addition.


(Rafal Sywak) #3

Bardzo dziękuję za szybką odpowiedź :slight_smile:

Odinstalowałem kolejno IePluginService12.27.0.3413 i SupTab.

AdwCleaner też zeskanował i Farbar Recovery Scan Tool 64-Bit Version.

 

Proszę to wszystkie raporty i jeszcze avast mi coś pokazal, nie wiem czy to ważne, ale uznał to za zagrożenie.

 

To z avasta:

 

URL hxxp://utils.cdneurope.com/js/mo.js|{gzip}   Infekcja JS:Downloader-ZY [Trj]

FRST.txt

Addition.txt

AdwCleanerS0.txt


(Atis) #4

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

HKLM-x32\...\Run: [] => [X]
HKU\S-1-5-21-1593731364-2346958074-2984330939-1000\...\Run: [ares] => "C:\Users\Rafael\Ares\Ares.exe" -h
HKU\S-1-5-21-1593731364-2346958074-2984330939-1000\...\Run: [AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA] => 1
HKU\S-1-5-21-1593731364-2346958074-2984330939-1000\...\Run: [svchost] => regsvr32 /s "C:\Temp:0006C5CE.dat"
SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = 
Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - No File
FF Extension: Site Matcher - C:\Users\Rafael\AppData\Roaming\Mozilla\Firefox\Profiles\jbgyjx2u.default-1395430981936\Extensions\sitematcher@sitematcher.com [2014-05-28]
S2 Update WebSpades; "C:\Program Files (x86)\WebSpades\updateWebSpades.exe" [X]
R1 wStLib64; C:\Windows\System32\drivers\wStLib64.sys [61112 2014-03-18] (StdLib)
C:\AdwCleaner
C:\Program Files (x86)\SiteLookup
C:\Windows\System32\drivers\wStLib64.sys
C:\Users\Rafael\AppData\Local\Temp\*.exe
C:\Users\Rafael\AppData\Local\Temp\*.dll
Task: {4E8DDFDA-FCC0-40A4-974F-603F0256C182} - System32\Tasks\RealPlayerRealUpgradeScheduledTaskS-1-5-21-1593731364-2346958074-2984330939-1000 => C:\Program Files (x86)\Real\RealUpgrade\RealUpgrade.exe
Task: {6EEFD845-2972-499C-B28C-8F846C65C59B} - \pricemeterdownloader No Task File <==== ATTENTION
Task: {782C5039-95C8-456E-AE25-059A8149CD7E} - System32\Tasks\RealPlayerRealUpgradeLogonTaskS-1-5-21-1593731364-2346958074-2984330939-1000 => C:\Program Files (x86)\Real\RealUpgrade\RealUpgrade.exe
Task: {98A42D78-43EE-4726-AFB0-3DD2A89FF550} - \PriceMeterLiveUpdateUpdateTaskMachineCore No Task File <==== ATTENTION
Task: {C07B72E9-0155-471C-988B-23695DCE06F8} - \PriceMeterUpdater No Task File <==== ATTENTION
Task: {CB85EC00-8328-4743-BDBA-CAC977BB63FF} - \PriceMeterLiveUpdateUpdateTaskMachineUA No Task File <==== ATTENTION
AlternateDataStreams: C:\temp:0006C5CE.dat
AlternateDataStreams: C:\temp:pid1
AlternateDataStreams: C:\temp:pid2
AlternateDataStreams: C:\temp:pidG
AlternateDataStreams: C:\temp:srv
C:\temp
Reboot:

Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.

Kliknij Scan i pokaż nowy raport z FRST bez Addition.


(Rafal Sywak) #5

Proszę sie nie śmiać, ale jak włączyć notanik sytemowy? Wybacz kłopot :wink:


(Atis) #6

Wszystkie programy -> Akcesoria -> Notatnik


(Rafal Sywak) #7

Wklejam w ten najzwyklejszy w windowsie i zapisuje na pulpicie jako dokument tekstowy w nazwie fixlist.tx?


(Atis) #8

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

HKU\S-1-5-21-1593731364-2346958074-2984330939-1000\...\Run: [AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA] => 1
HKU\S-1-5-21-1593731364-2346958074-2984330939-1000\...\Run: [svchost] => regsvr32 /s "C:\Temp:0006C5CE.dat"
C:\Users\Rafael\AppData\Local\Temp\*.dll
C:\Users\Rafael\AppData\Local\Temp\*.exe
C:\Temp

Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.

Kliknij Scan i pokaż nowy raport z FRST bez Addition.


(Rafal Sywak) #9

Teraz jest już dobrze?


(Atis) #10

Skasuj folder C:\FRST

Odinstaluj Adobe Shockwave Player 12.0.

Pobierz TFC - Temp File Cleaner Uruchom TFC i kliknij Start.

Usuń stare punkty przywracania: Aby usunąć wszystkie punkty przywracania

Dysk przeskanuj Malwarebytes Anti-Malware

Podczas instalacji usuń zaznaczenie przy Uruchom okres testowy Malwarebytes Anti-Malware Premium.

Język PL > Settings > General Settings > Language > Polish


(Rafal Sywak) #11

I to już wszystko? Przeskanowałem tym programem Malwarebytes Anti-Malware wykrył on trzy błędy po czym klikłem na apply action i zostały one usunięte. Po szybkości kompa twierdzę, że już jest dobrze, chyba, że jeszcze jest jakiś kroczek :slight_smile: Niemniej bardzo dziękuję, świetna, fachowa pomoc :slight_smile:


(Atis) #12

Tak.