Wirus/program nie do zlokalizowania


(Deelor94) #1

Od pewnego czasu jak przyjechałem kuzyn coś porobił na komputerze i przy starcie windowsa wyskakuje jakiś program, nie mogę go znaleźć, ani zatrzymać jego uruchamianie na autostarcie. Szukałem kilkoma programami.. Do tego jakoś dziwnie komputer zamula od tego czasu.. Coś musi być w procesach albo gdzieś, bo gdy chce wejść w swoje gry online to przy starcie hackshieldy wykazują że mam cheat'y.

 

Tutaj logi

http://wklej.org/id/1594055/ FRST

http://wklej.org/id/1594056/ Addition

http://wklej.org/id/1594057/ Shortcut

http://wklej.org/id/1594059/ OTL

http://wklej.org/id/1594060/ Extras

 


(Acorus) #2

Otwórz notatnik systemowy i wklej:

HKU\S-1-5-21-1715567821-2025429265-682003330-1004\...\Run: [Flvto Youtube Downloader] = C:\Documents and Settings\Oskar\Ustawienia lokalne\Dane aplikacji\Flvto Youtube Downloader\FlvtoYoutubeDownloader.exe [493568 2014-11-26] (Hotger)
Startup: C:\Documents and Settings\Oskar\Menu Start\Programy\Autostart\PandaUSBVaccine.lnk
ShortcutTarget: PandaUSBVaccine.lnk - C:\Program Files\Panda USB Vaccine\USBVaccine.exe (Panda Security)
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction ======= ATTENTION
SearchScopes: HKLM - DefaultScope value is missing.
FF Plugin HKU\S-1-5-21-1715567821-2025429265-682003330-1004: pandonetworks.com/PandoWebPlugin - C:\Program Files\Pando Networks\Media Booster\npPandoWebPlugin.dll No File
FF Plugin HKU\S-1-5-21-1715567821-2025429265-682003330-1004: ubisoft.com/uplaypc - C:\Program Files\Ubisoft\Ubisoft Game Launcher\npuplaypc.dll No File
S3 Cardex; \\C:\WINDOWS\system32\drivers\TBPANEL.SYS [X]
S3 EagleXNt; \\C:\WINDOWS\system32\drivers\EagleXNt.sys [X]
S3 FairplayKD; \\C:\Documents and Settings\All Users\Dane aplikacji\MTA San Andreas All\1.3\temp\FairplayKD.sys [X]
S4 IntelIde; No ImagePath
U1 iSafeNetFilter; \\C:\Program Files\iSafe\iSafeNetFilter.sys [X]
S3 VBoxNetFlt; system32\DRIVERS\VBoxNetFlt.sys [X]
U1 WS2IFSL; No ImagePath
NETSVC: cqhusp - No Registry Path.
NETSVC: uasgxstng - No Registry Path.
NETSVC: kseeyrhi - No Registry Path.
NETSVC: oqudex - No Registry Path.
2015-01-11 23:46 - 2015-01-11 23:47 - 00000000 ____ D () C:\AdwCleaner
2014-12-14 09:31 - 2013-01-24 22:02 - 00002184 _____ () C:\WINDOWS\system32\secustat.dat
C:\Documents and Settings\All Users\hash.dat
C:\Documents and Settings\Oskar\SUPER_PI.EXE
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.


(Deelor94) #3

Czyżbyś kazał mi usunąć PandaUSBVaccine? To jest bardzo dobry program, tak to walczyłem ciągle z zainfekowanymi pendrive’ami z sality wirusem

 

Flvto Youtube Downloader też nie jest żadnym typem śmieciowych programów, używam tego często


(Acorus) #4

Wcale ich nie usuwam tylko nie muszą być w autostarcie.


(Deelor94) #5

Teraz zrestartowałem komputer i chodzi mi o to coś - jak to usunąć, z programów odinstalowałem to, w autostarcie tego nie ma i nie wiem gdzie dalej szukać.

http://i.imgur.com/Si3Z6BI.png


(Atis) #6

W tych logach jest jeszcze zaplanowane zadanie i szkodliwy svchost

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

Task: C:\WINDOWS\Tasks\AppIsUpdate.job => C:\Documents and Settings\Oskar\Ustawienia lokalne\Dane aplikacji\AppIs\update.exe
C:\Windows\svchost.exe
C:\Documents and Settings\Oskar\Ustawienia lokalne\Dane aplikacji\AppIs
C:\Temp
Hosts:
EmptyTemp:

Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.

Kliknij Scan i pokaż nowy raport z FRST i Addition.

Pobierz i uruchom TDSSKiller

Kliknij Start scan i jeśli coś wykryje wybierz Skip

Pokaż raport z tego programu zapisany na: C:\TDSSKiller.wersja_data_czas_log.txt


(Deelor94) #7

Dalej wyskakuje ten program… :confused:

 

http://wklej.org/id/1595210/ log, nic nie wykryło…

Jakieś pomysły jak zlikwidować ten program?


(Atis) #8

Zacznij dokładnie czytać odpowiedzi.


(Deelor94) #9

http://wklej.org/id/1596305/ fixlog

 

http://wklej.org/id/1596308/ FRST

 

http://wklej.org/id/1596309/ Addition


(Atis) #10

Nie widać nic szkodliwego.

W menedżerze zadań sprawdź jak się nazywa uruchomiony proces od tego programu.

Później nazwę wpisz do FRST i kliknij Search Registry.

Jeżeli coś znajdzie to pokaż raport.


(Deelor94) #11

Farbar Recovery Scan Tool (x86) Version: 19-01-2015


(Atis) #12

Wpisy MUICache nie mają znaczenia jeśli chodzi o autostart.

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

CloseProcesses:
C:\Documents and Settings\Oskar\Pulpit\ElfCrack.exe
C:\Documents and Settings\Oskar\Ustawienia lokalne\Temp\*.exe
C:\Documents and Settings\All Users\Dane aplikacji\{8533ADFA-85F0-4dc1-946A-2A0BA58E78E3}
EmptyTemp:

Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.

Kliknij Scan i pokaż nowy raport z FRST i Addition.

Pobierz i uruchom Autoruns

File -> Save… -> AutoRuns.arn

Plik AutoRuns.arn wyślij na http://sendfile.pl i podaj link.


(Deelor94) #13

http://wklej.org/id/1600936/ - fixlog

http://sendfile.pl/pokaz/211566—os1i.html - autoruns.arn

http://wklej.org/id/1600946/ - FRST

http://wklej.org/id/1600945/ /Addition


(Atis) #14

Nie wiadomo w jaki sposób uruchamiany jest ten trojan.

Pobierz i uruchom Gmer (Download EXE)

Na czas skanowania wyłącz wszystkie programy.

Nie zmieniaj żadnych ustawień tylko kliknij Szukaj.

Po zakończeniu skanowania kliknij Zapisz i pokaż raport.


(Deelor94) #15

[HKEY_USERS\S-1-5-21-1715567821-2025429265-682003330-1004\Software\Microsoft\Windows\ShellNoRoam\MUICache]

 

 

Tego procesu KQSOI.exe nie da się jakimś programem czy czymś zablokować?

 

 

 

http://wklej.org/id/1601907/

 

Wyskoczyło że coś znalazło :stuck_out_tongue: