SafeGroup

SafeGroup > Bezpieczeństwo > Pomoc po zainfekowaniu > Problem z plikiem winsvchost.exe
Pełna wersja: Problem z plikiem winsvchost.exe
Aktualnie przeglądasz uproszczoną wersję forum. Kliknij tutaj, by zobaczyć wersję z pełnym formatowaniem.

Patryk12

26.06.2013, 12:36
Witam

Po włączeniu komputera avast wykrył mi trojana chyba w pliku winsvchost.exe i dał go do kwarantanny. Uruchomiłem ponownie komputer aby zobaczyć co się stanie. Po uruchomieniu komputera wyskoczył błąd o tym że system windows nie może znaleźć pliku winsvchost.exe. Proszę o pomoc bo nie wiem co zrobić

System: Windows 7 Ultimate
Antywirus: Avast 8.0.1498

Tu są logi z OTL

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

tachion

26.06.2013, 21:27
Odinstaluj:

WebCake 3.00
Pandora Service
Delta Chrome Toolbar
Mozilla Maintenance Service
ContinueToSave 1.74
Happy Cloud Client jeśli nie używane

W OTLw własne opcje skanowania skrypt wklej i wykonaj:

Kod:
:OTL
PRC - [2013-06-07 22:55:30 | 000,047,896 | ---- | M] (WebCake LLC) -- C:\Users\NASZ\AppData\Roaming\WebCake\WebCakeDesktop.exe
MOD - [2013-01-24 13:16:54 | 001,050,112 | ---- | M] () -- c:\progra~2\contin~1\sprote~1.dll
IE:[b]64bit:[/b] - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.qvo6.com/?utm_source=b&utm_medium=ild&from=ild&uid=SAMSUNGXHD502IJ_S13TJ9BQB11182&ts=1370718489
IE:[b]64bit:[/b] - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.qvo6.com/?utm_source=b&utm_medium=ild&from=ild&uid=SAMSUNGXHD502IJ_S13TJ9BQB11182&ts=1370718489
IE:[b]64bit:[/b] - HKLM\..\SearchScopes,DefaultScope = {33BB0A4E-99AF-4226-BDF6-49120163DE86}
IE:[b]64bit:[/b] - HKLM\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = http://search.qvo6.com/web/?utm_source=b&utm_medium=ild&from=ild&uid=SAMSUNGXHD502IJ_S13TJ9BQB11182&ts=4259910
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.qvo6.com/?utm_source=b&utm_medium=ild&from=ild&uid=SAMSUNGXHD502IJ_S13TJ9BQB11182&ts=1370718489
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.qvo6.com/?utm_source=b&utm_medium=ild&from=ild&uid=SAMSUNGXHD502IJ_S13TJ9BQB11182&ts=1370718489
IE - HKLM\..\SearchScopes,DefaultScope = {33BB0A4E-99AF-4226-BDF6-49120163DE86}
IE - HKLM\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = http://search.qvo6.com/web/?utm_source=b&utm_medium=ild&from=ild&uid=SAMSUNGXHD502IJ_S13TJ9BQB11182&ts=4259910
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.qvo6.com/?utm_source=b&utm_medium=ild&from=ild&uid=SAMSUNGXHD502IJ_S13TJ9BQB11182&ts=1370718489
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.qvo6.com/?utm_source=b&utm_medium=ild&from=ild&uid=SAMSUNGXHD502IJ_S13TJ9BQB11182&ts=1370718489
IE - HKCU\..\SearchScopes,DefaultScope = {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}
IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://www.delta-search.com/?q={searchTerms}&affID=119816&tt=130313_80nocr&babsrc=SP_ss&mntrId=14A0485B39BE5FCE
64bit-FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{336D0C35-8A85-403a-B9D2-65C292C39087}: C:\PROGRAM FILES\IB UPDATER\FIREFOX
FF - prefs.js..browser.search.defaultenginename: ""
FF - prefs.js..browser.search.defaultenginename,S: S", ""
FF - prefs.js..browser.search.defaultthis.engineName: ""
FF - prefs.js..browser.search.defaulturl: ""
FF - prefs.js..browser.search.order.1: ""
FF - prefs.js..browser.search.order.1,S: S", ""
FF - prefs.js..browser.search.selectedEngine: "Google"
FF - prefs.js..browser.search.selectedEngine,S: S", ""
FF - prefs.js..sweetim.toolbar.previous.browser.search.defaultenginename: ""
FF - prefs.js..sweetim.toolbar.previous.browser.search.selectedEngine: ""
FF - prefs.js..browser.startup.homepage: ""
FF - prefs.js..sweetim.toolbar.previous.keyword.URL: ""
O2 - BHO: (cOOntiNuetaosave) - {97B77A8A-E895-B2DA-1AE5-4CBA08AFFB2E} - C:\ProgramData\cOOntiNuetaosave\51a9ab014d8ba.dll ()
O4 - HKCU..\Run: [AdobeUpdate] C:\Users\NASZ\AppData\Roaming\Adobex86\invis.vbs ()
O4 - HKCU..\Run: [WebCake Desktop] C:\Users\NASZ\AppData\Roaming\WebCake\WebCakeDesktop.exe (WebCake LLC)
O8:[b]64bit:[/b] - Extra context menu item: Pobierz plik wideo w FDM - C:\Program Files (x86)\Free Download Manager\dlfvideo.htm ()
O8:[b]64bit:[/b] - Extra context menu item: Pobierz w FDM - C:\Program Files (x86)\Free Download Manager\dllink.htm ()
O8:[b]64bit:[/b] - Extra context menu item: Pobierz wszystkie pliki w FDM - C:\Program Files (x86)\Free Download Manager\dlall.htm ()
O8:[b]64bit:[/b] - Extra context menu item: Pobierz zaznaczone pliki w FDM - C:\Program Files (x86)\Free Download Manager\dlselected.htm ()
O8 - Extra context menu item: Pobierz plik wideo w FDM - C:\Program Files (x86)\Free Download Manager\dlfvideo.htm ()
O8 - Extra context menu item: Pobierz w FDM - C:\Program Files (x86)\Free Download Manager\dllink.htm ()
O8 - Extra context menu item: Pobierz wszystkie pliki w FDM - C:\Program Files (x86)\Free Download Manager\dlall.htm ()
O8 - Extra context menu item: Pobierz zaznaczone pliki w FDM - C:\Program Files (x86)\Free Download Manager\dlselected.htm ()
O20 - AppInit_DLLs: (c:\progra~2\contin~1\sprote~1.dll) - c:\progra~2\contin~1\sprote~1.dll ()
@Alternate Data Stream - 135 bytes -> C:\ProgramData\TEMP:74603393
@Alternate Data Stream - 127 bytes -> C:\ProgramData\TEMP:FB6A21E3

:Files
C:\Windows\tasks\*.*
AUTORUN.INF /alldrives
C:\Users\NASZ\AppData\Roaming\mozilla\firefox\profiles\qxyo0akc.default\searchplugins\babylon.xml
C:\Users\NASZ\AppData\Roaming\mozilla\firefox\profiles\qxyo0akc.default\searchplugins\BrowserProtect.xml
C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml
C:\Users\NASZ\AppData\Roaming\mozilla\firefox\profiles\qxyo0akc.default\searchplugins\delta.xml
C:\Program Files (x86)\mozilla firefox\searchplugins\qvo6.xml
C:\Users\NASZ\AppData\Roaming\scrypt130511Juniperglg2tc4032w256l4.bin
C:\Users\NASZ\AppData\Roaming\Djoui.exe
C:\Users\NASZ\AppData\Roaming\Djoui.exe.ini

:Commands
[EMPTYTEMP]


Ściągnij program

[Aby zobaczyć linki, zarejestruj się tutaj]

i uruchom AdwCleanerz opcji Delete .

Następnie uruchom OTLponownie i kliknij Skanuj . Przedstaw nowy log OTLoraz raport z Adwcleaner .

Przedstaw również raport z wykonania.

Ściągnij

[Aby zobaczyć linki, zarejestruj się tutaj]

kliknij skan przedstaw raport z niego.

Patryk12

27.06.2013, 10:15
OTL skan i wykonanie:

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]


AdwCleaner:

[Aby zobaczyć linki, zarejestruj się tutaj]


TDSSKiller:

[Aby zobaczyć linki, zarejestruj się tutaj]

tachion

28.06.2013, 19:18
Czy już jest wszystko ok ?

Patryk12

28.06.2013, 20:24
Narazie tak Tongue

tachion

28.06.2013, 21:35
W takim razie można przejść do sprzątania w otl.
W adwcleaner kliknij odinstaluj.
SafeGroup > Bezpieczeństwo > Pomoc po zainfekowaniu > Problem z plikiem winsvchost.exe