Deelor
(Deelor94)
13 Styczeń 2015 14:39
#1
Od pewnego czasu jak przyjechałem kuzyn coś porobił na komputerze i przy starcie windowsa wyskakuje jakiś program, nie mogę go znaleźć, ani zatrzymać jego uruchamianie na autostarcie. Szukałem kilkoma programami… Do tego jakoś dziwnie komputer zamula od tego czasu… Coś musi być w procesach albo gdzieś, bo gdy chce wejść w swoje gry online to przy starcie hackshieldy wykazują że mam cheat’y.
Tutaj logi
http://wklej.org/id/1594055/ FRST
http://wklej.org/id/1594056/ Addition
http://wklej.org/id/1594057/ Shortcut
http://wklej.org/id/1594059/ OTL
http://wklej.org/id/1594060/ Extras
Acorus
(Acorus)
13 Styczeń 2015 15:39
#2
Otwórz notatnik systemowy i wklej:
HKU\S-1-5-21-1715567821-2025429265-682003330-1004\...\Run: [Flvto Youtube Downloader] = C:\Documents and Settings\Oskar\Ustawienia lokalne\Dane aplikacji\Flvto Youtube Downloader\FlvtoYoutubeDownloader.exe [493568 2014-11-26] (Hotger)
Startup: C:\Documents and Settings\Oskar\Menu Start\Programy\Autostart\PandaUSBVaccine.lnk
ShortcutTarget: PandaUSBVaccine.lnk - C:\Program Files\Panda USB Vaccine\USBVaccine.exe (Panda Security)
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction ======= ATTENTION
SearchScopes: HKLM - DefaultScope value is missing.
FF Plugin HKU\S-1-5-21-1715567821-2025429265-682003330-1004: pandonetworks.com/PandoWebPlugin - C:\Program Files\Pando Networks\Media Booster\npPandoWebPlugin.dll No File
FF Plugin HKU\S-1-5-21-1715567821-2025429265-682003330-1004: ubisoft.com/uplaypc - C:\Program Files\Ubisoft\Ubisoft Game Launcher\npuplaypc.dll No File
S3 Cardex; \\C:\WINDOWS\system32\drivers\TBPANEL.SYS [X]
S3 EagleXNt; \\C:\WINDOWS\system32\drivers\EagleXNt.sys [X]
S3 FairplayKD; \\C:\Documents and Settings\All Users\Dane aplikacji\MTA San Andreas All\1.3\temp\FairplayKD.sys [X]
S4 IntelIde; No ImagePath
U1 iSafeNetFilter; \\C:\Program Files\iSafe\iSafeNetFilter.sys [X]
S3 VBoxNetFlt; system32\DRIVERS\VBoxNetFlt.sys [X]
U1 WS2IFSL; No ImagePath
NETSVC: cqhusp - No Registry Path.
NETSVC: uasgxstng - No Registry Path.
NETSVC: kseeyrhi - No Registry Path.
NETSVC: oqudex - No Registry Path.
2015-01-11 23:46 - 2015-01-11 23:47 - 00000000 ____ D () C:\AdwCleaner
2014-12-14 09:31 - 2013-01-24 22:02 - 00002184 _____ () C:\WINDOWS\system32\secustat.dat
C:\Documents and Settings\All Users\hash.dat
C:\Documents and Settings\Oskar\SUPER_PI.EXE
EmptyTemp:
Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.
Deelor
(Deelor94)
13 Styczeń 2015 16:11
#3
Czyżbyś kazał mi usunąć PandaUSBVaccine? To jest bardzo dobry program, tak to walczyłem ciągle z zainfekowanymi pendrive’ami z sality wirusem
Flvto Youtube Downloader też nie jest żadnym typem śmieciowych programów, używam tego często
Acorus
(Acorus)
13 Styczeń 2015 16:44
#4
Wcale ich nie usuwam tylko nie muszą być w autostarcie.
Deelor
(Deelor94)
13 Styczeń 2015 18:03
#5
Teraz zrestartowałem komputer i chodzi mi o to coś - jak to usunąć, z programów odinstalowałem to, w autostarcie tego nie ma i nie wiem gdzie dalej szukać.
http://i.imgur.com/Si3Z6BI.png
Atis
(Atis)
13 Styczeń 2015 21:30
#6
W tych logach jest jeszcze zaplanowane zadanie i szkodliwy svchost
Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :
Task: C:\WINDOWS\Tasks\AppIsUpdate.job => C:\Documents and Settings\Oskar\Ustawienia lokalne\Dane aplikacji\AppIs\update.exe
C:\Windows\svchost.exe
C:\Documents and Settings\Oskar\Ustawienia lokalne\Dane aplikacji\AppIs
C:\Temp
Hosts:
EmptyTemp:
Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.
Kliknij Scan i pokaż nowy raport z FRST i Addition.
Pobierz i uruchom TDSSKiller
Kliknij Start scan i jeśli coś wykryje wybierz Skip
Pokaż raport z tego programu zapisany na: C:\TDSSKiller.wersja_data_czas_log.txt
Deelor
(Deelor94)
14 Styczeń 2015 11:54
#7
Dalej wyskakuje ten program…
http://wklej.org/id/1595210/ log, nic nie wykryło…
Jakieś pomysły jak zlikwidować ten program?
Atis
(Atis)
14 Styczeń 2015 12:10
#8
Zacznij dokładnie czytać odpowiedzi.
Deelor
(Deelor94)
15 Styczeń 2015 09:22
#9
Atis
(Atis)
15 Styczeń 2015 20:44
#10
Nie widać nic szkodliwego.
W menedżerze zadań sprawdź jak się nazywa uruchomiony proces od tego programu.
Później nazwę wpisz do FRST i kliknij Search Registry.
Jeżeli coś znajdzie to pokaż raport.
Deelor
(Deelor94)
19 Styczeń 2015 10:43
#11
Farbar Recovery Scan Tool (x86) Version: 19-01-2015
Atis
(Atis)
19 Styczeń 2015 17:10
#12
Wpisy MUICache nie mają znaczenia jeśli chodzi o autostart.
Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :
CloseProcesses:
C:\Documents and Settings\Oskar\Pulpit\ElfCrack.exe
C:\Documents and Settings\Oskar\Ustawienia lokalne\Temp\*.exe
C:\Documents and Settings\All Users\Dane aplikacji\{8533ADFA-85F0-4dc1-946A-2A0BA58E78E3}
EmptyTemp:
Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.
Kliknij Scan i pokaż nowy raport z FRST i Addition.
Pobierz i uruchom Autoruns
File -> Save… -> AutoRuns.arn
Plik AutoRuns.arn wyślij na http://sendfile.pl i podaj link.
Deelor
(Deelor94)
19 Styczeń 2015 18:07
#13
Atis
(Atis)
19 Styczeń 2015 21:01
#14
Nie wiadomo w jaki sposób uruchamiany jest ten trojan.
Pobierz i uruchom Gmer (Download EXE)
Na czas skanowania wyłącz wszystkie programy.
Nie zmieniaj żadnych ustawień tylko kliknij Szukaj.
Po zakończeniu skanowania kliknij Zapisz i pokaż raport.
Deelor
(Deelor94)
20 Styczeń 2015 14:31
#15
[HKEY_USERS\S-1-5-21-1715567821-2025429265-682003330-1004\Software\Microsoft\Windows\ShellNoRoam\MUICache]
Tego procesu KQSOI.exe nie da się jakimś programem czy czymś zablokować?
http://wklej.org/id/1601907/
Wyskoczyło że coś znalazło