Wirus svchost.exe

estima27 · 18 Maj 2015 21:00

Witam. Zwaracam sie z prosba o pomoc w usunieciu tego wirusa z kompuera. Mam na kompie frst i olt wiec zaraz wstawie to co wyskoczylo po skanowaniu. Prosze o szybko odpowiedz…

Wstawiam Log-i raporty z OTL I FRST.

OTL: http://wklej.org/id/1715387/

FRST: http://wklej.org/id/1715390/

P.S

Jeśli to zły dział proszę Admina aby przeniósł temat w dobre miejsce.

OTL : http://wklej.org/id/1715396/

Acorus · 19 Maj 2015 08:11

Brak loga Addition.txt

estima27 · 19 Maj 2015 13:06

już dodaję

Jest i Addition - http://wklej.org/id/1715828/

Pomocy

Acorus · 19 Maj 2015 13:27

Odinstaluj Norton Internet Security.Otwórz notatnik systemowy i wklej:

Task: {7EE75E8D-8E9E-44F4-91B4-D2C9F62FCE17} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-3099691929-597136357-677967994-1001Core = C:\Users\Mateusz\AppData\Local\Facebook\Update\FacebookUpdate.exe [2013-01-26] (Facebook Inc.)
Task: {C10BECE1-70BC-47A9-969D-05B1814020E7} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-3099691929-597136357-677967994-1001UA = C:\Users\Mateusz\AppData\Local\Facebook\Update\FacebookUpdate.exe [2013-01-26] (Facebook Inc.)
Task: C:\windows\Tasks\FacebookUpdateTaskUserS-1-5-21-3099691929-597136357-677967994-1001Core.job = C:\Users\Mateusz\AppData\Local\Facebook\Update\FacebookUpdate.exe
Task: C:\windows\Tasks\FacebookUpdateTaskUserS-1-5-21-3099691929-597136357-677967994-1001UA.job = C:\Users\Mateusz\AppData\Local\Facebook\Update\FacebookUpdate.exe
HKLM\...\Run: [RtHDVCpl] = C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe [11855976 2011-05-19] (Realtek Semiconductor)
HKLM-x32\...\Run: [GrooveMonitor] = C:\Program Files (x86)\Microsoft Office\Office12\GrooveMonitor.exe [30040 2009-02-26] (Microsoft Corporation)
HKLM-x32\...\Run: [Adobe ARM] = C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [959904 2013-11-21] (Adobe Systems Incorporated)
HKU\S-1-5-21-3099691929-597136357-677967994-1000\...\Run: [AVG-Secure-Search-Update_JUNE2013_TB] = "C:\Program Files (x86)\AVG Secure Search\AVG-Secure-Search-Update_JUNE2013_TB.exe" /PROMPT /CMPID=JUNE2013_TB
HKU\S-1-5-21-3099691929-597136357-677967994-1000\...\Run: [AVG-Secure-Search-Update_JUNE2013_HP] = "C:\Program Files (x86)\AVG Secure Search\AVG-Secure-Search-Update_JUNE2013_HP.exe" /PROMPT /CMPID=JUNE2013_HP
HKU\S-1-5-21-3099691929-597136357-677967994-1001\...\Run: [ALLUpdate] = "D:\ALLPlayer\ALLUpdate.exe" "sleep"
HKU\S-1-5-21-3099691929-597136357-677967994-1001\...\Run: [Facebook Update] = C:\Users\Mateusz\AppData\Local\Facebook\Update\FacebookUpdate.exe [138096 2013-01-26] (Facebook Inc.)
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction ======= ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page =
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL =
HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page =
SearchScopes: HKU\.DEFAULT - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-19 - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-20 - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-21-3099691929-597136357-677967994-1000 - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
BHO: Doownload keepuer - {4A6E8FF7-9080-59E2-813D-ED6ED10B6B25} - C:\Program Files (x86)\Doownload keepuer\e3ED3w5K.x64.dll No File
BHO: YoutubeAdblocker - {868835A9-3C09-E250-4739-A704341799D5} - C:\Program Files (x86)\YoutubeAdblocker\IrFuuma.x64.dll No File
FF Extension: Crazy Score - C:\Users\Mateusz\AppData\Roaming\Mozilla\Firefox\Profiles\qw2z4izt.default\Extensions\{0852afcc-4115-420d-937a-41c379b83c30}.xpi [2015-05-18]
FF HKLM-x32\...\Firefox\Extensions: [{BBDA0591-3099-440a-AA10-41764D9DB4DB}] - C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_18.5.0.125\IPSFFPlgn
FF Extension: No Name - C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_18.5.0.125\IPSFFPlgn [2012-06-21]
FF HKLM-x32\...\Firefox\Extensions: [{2D3F3651-74B9-4795-BDEC-6DA2F431CB62}] - C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_18.5.0.125\coFFPlgn
FF Extension: Norton Toolbar - C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_18.5.0.125\coFFPlgn [2011-06-24]
CHR Extension: (Bookmark Manager) - C:\Users\Mateusz\AppData\Local\Google\Chrome\User Data\Default\Extensions\gmlllbghnfkpflemihljekbapjopfjik [2015-05-13]
S2 Update Mgr CrazyScore; C:\Program Files (x86)\Common Files\68f7eaff-0da4-47f4-8262-425ca2a087dd\updater.exe [478984 2015-05-18] ()
R1 avgtp; C:\windows\system32\drivers\avgtpx64.sys [49952 2014-03-20] (AVG Technologies)
S3 massfilter; system32\drivers\massfilter.sys [X]
S3 ZTEusbnet; system32\DRIVERS\ZTEusbnet.sys [X]
S3 ZTEusbnmea; system32\DRIVERS\ZTEusbnmea.sys [X]
S3 ZTEusbser6k; system32\DRIVERS\ZTEusbser6k.sys [X]
2015-05-18 21:40 - 2015-05-18 21:41 - 00000000 ____ D () C:\Program Files (x86)\Crazy Score
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.

estima27 · 19 Maj 2015 23:14

Dzięki. Zrobiłem Jak kazałeś.

Wstawiam FIXLOG: http://wklej.org/id/1716373/

oraz takiego screena, ponieważ gdy skanuje AVAST-em to pokazuje mi się dziwny przetwarzany plik.

Screen : http://postimg.org/image/9wwpt6qcz/

Proszę o odpowiedź czy wszystko gra i o co chodzi.

Atis · 19 Maj 2015 23:37

http://www.systemlookup.com/Drivers/6342-FlashPlayerUpdateService_exe.html

estima27 · 20 Maj 2015 08:54

Podczas instalacji tego avast wykrywa mi to jako zagrożenie cały czas.

Atis · 20 Maj 2015 09:39

Kto Ci kazał coś instalować?

Na stronie masz informację o pliku.

Przestań wreszcie bezmyślnie klikać i wszystko instalować.

estima27 · 20 Maj 2015 09:45

Ok. i co mam zrobić z tą informacją ?

P.s

W tym ss chodziło mi o to, iż po Przetwarzane Pliki jest najpierw SVC a dopiero potem C:\

estima27 · 21 Maj 2015 18:25

Wstawiam nowe raporty z OTL i FRST . Da ktoś znać czy wszystko ok i jeśli coś jest to co do zrobienia ?

OTL: http://wklej.org/id/1717876/

Extras: http://wklej.org/id/1717880/

FRST: http://wklej.org/id/1717882/

Addition: http://wklej.org/id/1717883/

Pozdrawiam !

spandaupol · 21 Maj 2015 19:01

Uruchomiło się narzędzie chkdsk, efekt

Wklej do notatnika:

CloseProcesses:
C:\found.0*
C:\AdwCleaner
C:\ProgramData\Norton
EmptyTemp:

Plik zapisz jako fixlist.txt i umieść w tym samym katalogu co FRST Uruchom FRST klikasz Fix Raport z usuwania pokaż na forum.

Do sprawdzenia dysk twardy CrystalDiskInfo

estima27 · 21 Maj 2015 20:25

Ok zrobione.

Raport z usuwania: http://wklej.org/id/1717994/

CrystaldiskInfo: http://s23.postimg.org/6ulo1det7/dysk.png

spandaupol · 21 Maj 2015 20:40

Wklej do notatnika:

CloseProcesses:
C:\found.001
C:\found.000
EmptyTemp:

Plik zapisz jako fixlist.txt i umieść w tym samym katalogu co FRST Uruchom FRST klikasz Fix Raport z usuwania pokaż na forum. Usuń folder C:\FRST

estima27 · 21 Maj 2015 21:14

Raport z usuwania: http://wklej.org/id/1718041/

Folder usunięty.

Pytanko już ostatnie czy to wszystko, wirus został usunięty ?