x-kom hosting

AdwCleaner jest blokowany

Vicktor
utworzono
utworzono

Witam, ostatnio zauważyłem, że czasami otwierają mi się w przeglądarce (Opera) strony z reklamami, jakieś zakłady bukmacherskie, jakiś sport, nie wiem dokładnie, bo od razu staram się to zamykać. Naturalnie, chciałem pobrać program AdwCleaner. Co się jednak dzieje po wpisaniu hasła "AdwCleaner"/"Adw Cleaner" czy nawet innych haseł pokrewnych wyżej wymienionym? Przeglądarka się zamyka. Opera, Microsoft Edge (korzystam z W10), Internet Explorer. Przy użyciu TOR-a udało mi się wreszcie zainstalować AdwCleaner, zrobiłem "czyszczenie", program wykrył 8 zagrożeń, wszystkie usunąłem, zrobiłem restart komputera, a potem okazało się, że to nic nie dało... Ciągle nie mogłem wyszukiwać hasła "AdwCleaner" i pokrewnych. Dodam, że nie mogłem nawet otworzyć folderu AdwCleaner... Teraz nawet TOR nie dał rady. W menedżerze zadań zakończyłem parę procesów, dopiero wtedy udało się uruchomić AdwCleaner (wcześniej się nie dało). Właśnie robię pełne skanowanie Avastem, ma ktoś jakiś pomysł na rozwiązanie problemu?

Vicktor
komentarz
komentarz

W menedżerze zadań mam 2 rzeczy(?), bez nazwy, nazwa procesu to svchost.exe. Po wyłączeniu tych procesów wszystko działa normalnie. Problem w tym, że one ciągle wracają po restarcie kompa.

Twój_Anioł_Stróż
komentarz
komentarz

bez logów nic nie wiem

Vicktor
komentarz
komentarz

Nie mogę tego pobrać z linku, który podałeś. "Sorry, you don't have permission for that!" - to widzę cały czas, nie mogę się tam też zarejestrować, cały czas wyskakuje error.

 

Po usunięciu tych 2 rzeczy faktycznie mogę wpisywać i wchodzić w folder AdwCleaner, jednak nadal wyskakują niechciane strony w przeglądarce...

Pobrałem FRST ze strony MalwareBytes, robię skan.

Niby cały czas mam napisane "Skanowanie Zaplanowane zadania ..." i ciągle to idzie, to jednak logi już chyba mam.

Addition.txt

FRST.txt

Twój_Anioł_Stróż
komentarz
komentarz (edytowane)

Task: {163F75B8-7ADD-4CFF-AEDD-181C1CDC68A5} - System32\Tasks\{C2D3E8D9-8F80-7B53-6710-261B690D070D} => C:\Users\wikto\AppData\Local\oeAyReOZox.exe [2017-09-29] (Microsoft Corporation)

 

infekcja jest

 

Log Addition.txt nie jest cały.

 

Uruchom FRST. NA klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego:

Cytuj

Task: {163F75B8-7ADD-4CFF-AEDD-181C1CDC68A5} - System32\Tasks\{C2D3E8D9-8F80-7B53-6710-261B690D070D} => C:\Users\wikto\AppData\Local\oeAyReOZox.exe [2017-09-29] (Microsoft Corporation)

C:\Users\wikto\AppData\Local\oeAyReOZox.exe
HKLM Group Policy restriction on software: %systemroot%\system32\mrt.exe <==== UWAGA
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA
SearchScopes: HKU\S-1-5-21-1220463200-1143305268-653950051-1001 -> DefaultScope {AE94ECC5-35A7-486E-A1C4-4EC803EC50B7} URL =
SearchScopes: HKU\S-1-5-21-1220463200-1143305268-653950051-1001 -> {AE94ECC5-35A7-486E-A1C4-4EC803EC50B7} URL =
S2 ClickToRunSvc; "C:\Program Files\Common Files\Microsoft Shared\ClickToRun\OfficeClickToRun.exe" /service [X]
S3 Disc Soft Lite Bus Service; "C:\Program Files\DAEMON Tools Lite\DiscSoftBusServiceLite.exe" [X]
S2 HiPatchService; C:\Program Files (x86)\Hi-Rez Studios\HiPatchService.exe [X]
S2 SkypeUpdate; "C:\Program Files (x86)\Skype\Updater\Updater.exe" [X]
C:\Users\wikto\GaxEuISFciSb.exe
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:


Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).

 

Zrób nowe logi FRST.

.

Vicktor
komentarz
komentarz

Znowu wewaliło mi te 2 rzeczy podające się za svchost. Mogę usunąć plik svchost.exe, który znajduje się w folderze C:\Windows\SysWOW64, nie w folderze System32, a to ten w folderze System32 jest odpowiedzialny za resztę poprawnych procesów, które mają nazwę procesu svchosy.ex?

svchost.exe* miało być w ostatnim wyrazie. Jego data modyfikacji jest taka sama jak tego pliku, o którym mówisz infekcja.

Twój_Anioł_Stróż
komentarz
komentarz

Masz System 64bit, więc "svchost" chyba może być też w SysWOW64

Vicktor
komentarz
komentarz

Ale to ten w System32 jest odpowiedzialny za resztę procesów. Sprawdzałem, w każdym sprawdzałem lokalizację pliku. Teraz piszę z telefonu, bo po tym fixowaniu/naprawianie komputer mi się uruchamia ponownie... Tak powinno być? Co by się stało, gdybym usunął plik svchost.exe z SysWOW64?

 

Czy pełen skan Avastem to wykryje i załatwi problem? Czy nie? :(

Mam teraz wkleić ten plik stworzony po naprawie czy zrobić nowe logi?

A ten plik-infekcja usunąć? Co robić? :(

Twój_Anioł_Stróż
komentarz
komentarz (edytowane)

raczej nie

 

Uruchom FRST.
W polu SEARCH (SZUKAJ) wklej:

Cytuj

svchost.exe


kliknij na przycisk "Search Files (Szukaj Plików)".
Raport z tego będzie tam, gdzie jest FRST.

 

Cytuj

Mam teraz wkleić ten plik stworzony po naprawie czy zrobić nowe logi?

tak

Vicktor
komentarz
komentarz
Cytuj

tak

Dużo mi to mówi... Dzięki...

 

Długo trwa takie wyszukiwanie? Dosyć długo już to trwa...

Twój_Anioł_Stróż
komentarz
komentarz

daj mi nowe logi FRST, raport z usuwania, log z wyszukiwania

Vicktor
komentarz
komentarz
8 minut temu, Twój_Anioł_Stróż napisał:

raczej nie

To była odpowiedź do skanowania Avastem, czy do usunięcia tego pliku?

Tylko log z wyszukiwania jest na razie pusty, a ciągle robi się szukanie w tym programie...

Twój_Anioł_Stróż
komentarz
komentarz

dotyczyło Avasta

 

Vicktor
komentarz
komentarz

A infekcję skasować? Czy może skan innym antywirusem coś da? Dlaczego ciągle robi mi się te wyszukiwanie? Ja już cały znerwicowany jestem... :(

Dam ci tu plik od naprawy, bo tą infekcję "pomyślnie przeniesiono":

Dam jeszcze ten Search.txt, w którym nic nie ma, a cały czas robi się szukanie...

Fixlog.txt

Search.txt

Musiałem wyjść z tego wyszukiwania, bo to trwa wiecznie...

Robię nowe logi...

Czemu miało służyć to wyszukiwanie?

Twój_Anioł_Stróż
komentarz
komentarz

Sądząc po tym wyszukiwaniu, to wcale nie masz już Systemu.:D

 

Zrób nowe logi FRST.

Vicktor
komentarz
komentarz

... Dla mnie to nie jest śmieszne... Naprawdę... :'(

Może jednak skan Avastem da radę? Byłoby łatwiej i szybciej dla nas obu...

Może jednak skan Avastem da radę? Byłoby łatwiej i szybciej dla nas obu...

Masz logi

FRST.txt

Addition.txt

Shortcut.txt

Twój_Anioł_Stróż
komentarz
komentarz

A dla mnie jest śmieszne, bo skoro odpowiadasz, to znaczy, że w rzeczywistości masz System, a więc FRST nie wywiązał się z zadania.

 

Vicktor
komentarz
komentarz

Nie wiem czemu 2 razy się zrobiła jedna linijka, może coś przypadkowo skopiowałem

Wiesz, zależy mi na rozwiązaniu tego problemu... Bardzo. Tym bardziej, że nie chcę, aby nagle odpalały mi się strony z nagimi paniami, bez uprzedzenia, a tak się dzieje...

Twój_Anioł_Stróż
komentarz
komentarz

ja czekam na logi, bez nich jestem całkowicie ślepy

Vicktor
komentarz
komentarz

Wysłałem wyżej

Tam, gdzie są dwie takie same linijki

Wysyłam te nowe jeszcze raz

FRST.txt

Addition.txt

Shortcut.txt

Twój_Anioł_Stróż
komentarz
komentarz (edytowane)

nie odświeżyło mi strony - dlatego nie mogłem zobaczyć tych logów

 

Uruchom FRST. NA klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego:

Cytuj

Task: {390155A3-320A-48E8-984C-E17F3E37C33A} - System32\Tasks\{380A42B6-6E67-6B9B-28D6-AB25157109D7} => C:\Users\wikto\GaxEuISFciSb.exe

C:\Users\wikto\GaxEuISFciSb.exe
Task: {C54A6B98-D330-47A2-AC80-1A13D2E68A65} - \Microsoft\Windows\UNP\RunCampaignManager -> Brak pliku <==== UWAGA
FirewallRules: [{0E22A4FC-5DE9-4940-B628-C96785B2C0F3}] => (Allow) C:\Users\wikto\GaxEuISFciSb.exe
FirewallRules: [{F2C928DB-930C-4D3C-9BF7-DF5C1A43CD17}] => (Allow) C:\Users\wikto\AppData\Local\oeAyReOZox.exe
C:\Users\wikto\AppData\Local\oeAyReOZox.exe
S2 0051571527833336mcinstcleanup; C:\WINDOWS\TEMP\005157~1.EXE -cleanup -nolog [X]
C:\Users\wikto\Downloads\gkytqtqhjkzylzh.txt
2017-09-29 15:42 - 2017-09-29 15:42 - 000174592 ____N (Microsoft Corporation) C:\Program Files (x86)\arOaRAyI.exe
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Wiedźmin Edycja rozszerzona\The Witcher.lnk
VirusTotal: C:\Windows\SysWOW64\svchost.exe
EmptyTemp:


Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).


Daj z tego raport.

 

Zrób nowe logi FRST - już bez Shortcut.

.

Vicktor
komentarz
komentarz

Aniele Stróżu? Nie żebym poganiał czy coś, ale, mniej więcej, ile czasu jeszcze zajmie przejrzenie tych logów? 

 

W międzyczasie robię pełen skan Avastem, ale ten zatrzymał się na 15%...

 

Teraz przez około 10-15 minut nie będzie mnie przy komputerze - piszę to, w razie gdybym nie odpisywał

Twój_Anioł_Stróż
komentarz
komentarz (edytowane)

ja odpowiedziałem już (wróć do mojego poprzedniego posta)

Vicktor
komentarz
komentarz

Nie odświeżyłem strony :P Dzisiaj nie mam już niestety czasu, zrobię to co napisałeś jutro

Wciąż szukasz rozwiązania problemu? Napisz teraz na forum!

Możesz zadać pytanie bez konieczności rejestracji - wystarczy, że wypełnisz formularz.

×
×
  • Dodaj nową pozycję...

Powiadomienie o plikach cookie

Strona wykorzystuje pliki cookies w celu prawidłowego świadczenia usług i wygody użytkowników. Warunki przechowywania i dostępu do plików cookies możesz zmienić w ustawieniach przeglądarki.