caleb88
(caleb88)
23 Maj 2015 11:01
#1
Witam!
Co chwile (kilkanascie, kilkadziesiat razy w ciagu minuty) wyskakuje komunikat z antywirusa Symantec Endpoint Protection “[sID: 38347] System Infected: Backdoor.Trojan Activity 25 detected”. Jest to niezalezne od tego co sie robi na komputerze. Wchodzac w logi widac, ze zagrozenie pochodzi z C:\Windows\System32\svchost.exe.
Skan programem AntiMalware nie wykazal zadnych wirusow.
FRST:
Addition:
http://wklej.org/hash/784507275f6/
Pozdrawiam i dziekuje z gory za pomoc!
Caleb
Atis
(Atis)
23 Maj 2015 11:14
#2
Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :
CloseProcesses:
HKLM-x32\...\Run: [] => [X]
HKLM Group Policy restriction on software: spider.exe <====== ATTENTION
HKLM Group Policy restriction on software: sol.exe <====== ATTENTION
HKLM Group Policy restriction on software: *.wmf <====== ATTENTION
HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot% <====== ATTENTION
HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%\*.exe <====== ATTENTION
HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%\System32\*.exe <====== ATTENTION
HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir% <====== ATTENTION
HKU\S-1-5-21-2051102694-2188014494-960542640-1486\...\Run: [SebweVmibh] => regsvr32.exe "C:\ProgramData\SebweVmibh\KivtIxpuq.oaf"
SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
Toolbar: HKU\S-1-5-21-2051102694-2188014494-960542640-1486 -> No Name - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - No File
CHR Extension: (Bookmark Manager) - C:\Users\csanches\AppData\Local\Google\Chrome\User Data\Default\Extensions\gmlllbghnfkpflemihljekbapjopfjik [2015-04-24]
2015-05-23 01:19 - 2015-05-23 01:19 - 00000000 ____ D () C:\ProgramData\SebweVmibh
EmptyTemp:
Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.
Kliknij Scan i pokaż nowy raport z FRST bez Addition i Shortcut.
caleb88
(caleb88)
23 Maj 2015 12:01
#3
Witam!
FRST sie zawiesil przy oproznianiu Firefox temp i musialem go wylaczyc. Zrestartowalem komputer i odpalilem fix jeszcze raz.
Fixlog (zawieszenie):
http://wklej.org/hash/f2e8c575156/
Fixlog drugi raz:
http://wklej.org/hash/b2566922b0d/
Symantec niestety wciaz blokuje to ustrojstwo.
FRST:
http://wklej.org/hash/22aeb2c35b5/
Atis
(Atis)
23 Maj 2015 12:22
#4
Wykonaj Fix w trybie awaryjnym.
Po uruchomieniu komputera naciskaj klawisz F8 i wybierz tryb awaryjny.
http://support.kaspersky.com/pl/general/various/493#q1
Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :
CloseProcesses:
HKU\S-1-5-21-2051102694-2188014494-960542640-1486\...\Run: [SebweVmibh] => regsvr32.exe "C:\ProgramData\SebweVmibh\KivtIxpuq.oaf"
S2 smihlp2; \??\C:\Program Files\ThinkVantage Fingerprint Software\smihlp.sys [X]
C:\ProgramData\SebweVmibh
EmptyTemp:
Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.
Kliknij Scan i pokaż nowy raport z FRST bez Addition i Shortcut.
caleb88
(caleb88)
23 Maj 2015 12:37
#5
Fixlog:
http://wklej.org/hash/7f5d808f4b6/
FRST:
http://wklej.org/hash/973064294ea/
Wyglada na to, ze ustrojstwo sie juz nie uaktywnia! Dzieki wielkie za pomoc!
Atis
(Atis)
23 Maj 2015 14:46
#6
Skasuj folder C:\FRST
Dysk przeskanuj ESET Online Scanner
Odinstaluj:
Adobe Flash Player 17 ActiveX
Adobe Reader X
Microsoft Silverlight
Zainstaluj:
Flash Player 17.0.0.188 ActiveX
Adobe Reader XI 11.0.11
Silverlight 5.1.40416.0