DJDawidPL
(Dawidorlowicz)
29 Sierpień 2014 12:30
#1
Witam. Mam problem z svchostem.exe ktory zużywa mi caly czas ok. 50% procesora. W menedzeze zadan jak go wylacze wraca do normy ale po ponownym uruchomieniu laptopa znowu to powraca. Proszę o pomoc.
Tu dołączam log z HiJackThis:http://wklej.to/gRaJf
I screen’y z menedzera i proces explorera.
Atis
(Atis)
29 Sierpień 2014 12:46
#2
DJDawidPL
(Dawidorlowicz)
29 Sierpień 2014 13:41
#3
Atis
(Atis)
29 Sierpień 2014 13:52
#4
Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :
(Microsoft® Corporation) C:\ProgramData\wmc.exe
() C:\Users\Piotr6660\AppData\Roaming\Microsoft\svchost.exe
HKLM-x32\...\Run: [] => [X]
HKU\S-1-5-21-547756336-373496009-2426929767-1001\...\Run: [Pokki] => C:\WINDOWS\system32\rundll32.exe "%LOCALAPPDATA%\Pokki\Engine\Launcher.dll",RunLaunchPlatform
HKU\S-1-5-21-547756336-373496009-2426929767-1001\...\Run: [AdobeBridge] => [X]
HKU\S-1-5-21-547756336-373496009-2426929767-1001\...\Run: [svchost] => C:\Users\Piotr6660\AppData\Roaming\Microsoft\nircmd.exe [44032 2013-08-11] (NirSoft)
SearchScopes: HKLM - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKLM-x32 - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKCU - DefaultScope {73146441-3D74-49B9-911F-7AE37CDC7F7F} URL =
SearchScopes: HKCU - {73146441-3D74-49B9-911F-7AE37CDC7F7F} URL =
C:\ProgramData\.windows.sys
C:\ProgramData\wmc.exe
C:\Users\Piotr6660\AppData\Roaming\Microsoft\svchost.exe
C:\Users\Piotr6660\AppData\Roaming\Microsoft\nircmd.exe
Task: {72ACD153-3E3E-415D-8A78-7D8913F2CF2C} - System32\Tasks\SYSTEM => C:\ProgramData\wmc.exe [2014-08-26] (Microsoft® Corporation)
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""=""
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""=""
Folder: C:\Users\Piotr6660\AppData\Roaming\Microsoft
EmptyTemp:
Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.
Kliknij Scan i pokaż nowy raport z FRST bez Addition i Shortcut.
DJDawidPL
(Dawidorlowicz)
29 Sierpień 2014 14:05
#5
Atis:
Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist: (Microsoft® Corporation) C:\ProgramData\wmc.exe () C:\Users\Piotr6660\AppData\Roaming\Microsoft\svchost.exe HKLM-x32…\Run: [] => [X] HKU\S-1-5-21-547756336-373496009-2426929767-1001…\Run: [Pokki] => C:\WINDOWS\system32\rundll32.exe “%LOCALAPPDATA%\Pokki\Engine\Launcher.dll”,RunLaunchPlatform HKU\S-1-5-21-547756336-373496009-2426929767-1001…\Run: [AdobeBridge] => [X] HKU\S-1-5-21-547756336-373496009-2426929767-1001…\Run: [svchost] => C:\Users\Piotr6660\AppData\Roaming\Microsoft\nircmd.exe [44032 2013-08-11] (NirSoft) SearchScopes: HKLM - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKCU - DefaultScope {73146441-3D74-49B9-911F-7AE37CDC7F7F} URL = SearchScopes: HKCU - {73146441-3D74-49B9-911F-7AE37CDC7F7F} URL = C:\ProgramData.windows.sys C:\ProgramData\wmc.exe C:\Users\Piotr6660\AppData\Roaming\Microsoft\svchost.exe C:\Users\Piotr6660\AppData\Roaming\Microsoft\nircmd.exe Task: {72ACD153-3E3E-415D-8A78-7D8913F2CF2C} - System32\Tasks\SYSTEM => C:\ProgramData\wmc.exe [2014-08-26] (Microsoft® Corporation) HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => “”="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => “”="" Folder: C:\Users\Piotr6660\AppData\Roaming\Microsoft EmptyTemp: Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog. Kliknij Scan i pokaż nowy raport z FRST bez Addition i Shortcut.
FRST:http://wklej.to/0qCNN
Fixlog:http://wklej.to/Plihi
Dziekuje za pomoc. I takie pytanie z ciekawosci czy to był jakiś wirus czy co??
Atis
(Atis)
29 Sierpień 2014 14:11
#6
Wygląda na kilka różnych trojanów, bo oprócz tego fałszywego svchost był jeszcze taki:
http://forum.dobreprogramy.pl/zmienia-mi-sie-numer-rachunku-mbank-t481422/
Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :
C:\Users\Piotr6660\AppData\Roaming\Microsoft\*.exe
C:\Users\Piotr6660\AppData\Roaming\Microsoft\*.dll
C:\Users\Piotr6660\AppData\Roaming\Microsoft\*.cl
C:\Users\Piotr6660\AppData\Roaming\Microsoft\*.rar
C:\Users\Piotr6660\AppData\Roaming\Microsoft\*.bat
Folder: C:\Users\Piotr6660\AppData\Roaming\Microsoft
Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.
DJDawidPL
(Dawidorlowicz)
29 Sierpień 2014 14:22
#7
fixlog: http://wklej.to/f0H5C
No nie mam jeszcze konta w banku ale juz moge byc spokojny?? Jakieś skany jeszcze??
Atis
(Atis)
29 Sierpień 2014 14:47
#8
Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :
DeleteQuarantine:
Uruchom FRST i kliknij Fix. Później skasuj folder C:\FRST
Odinstaluj Java 7 Update 65.
Dysk przeskanuj Malwarebytes Anti-Malware
Podczas instalacji usuń zaznaczenie przy Uruchom okres testowy Malwarebytes Anti-Malware Premium.
http://wstaw.org/m/2014/03/25/2014-03-25_123039.png
Język PL > Settings > General Settings > Language > Polish
DJDawidPL
(Dawidorlowicz)
29 Sierpień 2014 15:08
#9
Wszystko co wykrylo to byly wasze “launchery” xddd
Atis
(Atis)
29 Sierpień 2014 15:43
#10
Osoby odpowiadające na forum nie mają wpływu na portal i jego asystenta.
Po prawej stronie wybierz Linki bezpośrednie.
Jeżeli jesteś zalogowany to Asystent pobierania jest wyłączony.