SafeGroupBezpieczeństwoPomoc po zainfekowaniu v
Problem z procesem [winsvchost.exe]

Tryby wyświetlania wątku
Problem z procesem [winsvchost.exe]
rysio925 Offline
Nowicjusz
Liczba postów: 2
Liczba wątków: 1
Dołączył: 03.03.2013
Reputacja: 0
#1
23.11.2013, 20:44
Witam,

Objawy zainfekowania:
Gdy odpalę komputer od razu procek skacze na 70-80% ram na jakieś 40% i wszystkie te zasoby zabiera własnie ten proces: winsvchost.exe. Za każdym razem gry zakończę ten właśnie proces uruchamia się ponownie zabierając bardzo dużo zasobów.

Wykonywane działania:
Komputer był skanowany Norton Internet Security, Malwarebytes'' Anti-Malware, dodawałem ten proces do kwarantanny ale nadal pustoszy moje zasoby w kompie.

Logi:

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]


Proszę o pomoc i z góry dziękuję.
Szukaj
Odpowiedz
tachion Offline
Ekipa forum
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja: 507
#2
23.11.2013, 22:20
Odinstaluj:

IObit Malware Fighter

Do notatnika wklej:

Kod:
() C:\Users\Rysiek\Videos\napsnap.exe
() C:\Users\Rysiek\Videos\mfcmifc.exe
HKLM-x32\...\Winlogon: [Userinit] C:\Windows\SysWOW64\userinit.exe, [x]
HKCU\...\Run: [iLivid] - "C:\Users\Rysiek\AppData\Local\iLivid\iLivid.exe" -autorun
HKCU\...\RunOnce: [MFC Managed Interfaces Library] - C:\Users\Rysiek\Videos\mfcmifc.exe [17920 2013-11-23] ()
HKCU\...\Run: [AdobeUpdate] - C:\Users\Rysiek\AppData\Roaming\Adobex86x\invis.vbs [78 2012-07-02] ()
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.symantec.com/redirects/security_response/fix_homepage/index.jsp?lg=pl&pid=nis&pvid=21.1.0.18
HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.qvo6.com/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=hp&from=cor&uid=SamsungXSSDX840XSeries_S14CNEACA13899B&ts=1380490115
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.qvo6.com/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=hp&from=cor&uid=SamsungXSSDX840XSeries_S14CNEACA13899B&ts=1380490115
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.qvo6.com/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=hp&from=cor&uid=SamsungXSSDX840XSeries_S14CNEACA13899B&ts=1380490115
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://securityresponse.symantec.com/avcenter/fix_homepage/
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.symantec.com/redirects/security_response/fix_homepage/index.jsp?lg=pl&pid=NIS&pvid=21.1.0.18
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://securityresponse.symantec.com/avcenter/fix_homepage/
CHR RestoreOnStartup: "hxxp://www1.delta-search.com/?babsrc=HP_ss&mntrId=261B88532E506AC8&affID=119821&tsp=4950", "hxxp://websearch.searchboxes.info/?pid=500&r=2013/07/25&hid=133100328&lg=EN&cc=PL&unqvl=28"
C:\Users\Rysiek\AppData\Local\Temp\28487.exe
C:\Users\Rysiek\AppData\Local\Temp\42557.exe
C:\Users\Rysiek\AppData\Local\Temp\44377.exe
C:\Users\Rysiek\AppData\Local\Temp\79328.exe
C:\Users\Rysiek\AppData\Local\Temp\8787.exe
C:\Users\Rysiek\AppData\Local\Temp\91621.exe
C:\Users\Rysiek\AppData\Local\Temp\NEwBSDynDNS.exe
2013-11-17 17:42 - 2013-11-17 17:42 - 01645408 _____ (Bandoo Media Inc) C:\Users\Rysiek\Downloads\iLividSetup-r484-n-bc (1).exe
2013-11-17 17:39 - 2013-11-17 17:39 - 01645408 _____ (Bandoo Media Inc) C:\Users\Rysiek\Downloads\iLividSetup-r484-n-bc.exe
2013-11-12 18:55 - 2013-11-12 18:55 - 01628536 _____ (Bandoo Media Inc) C:\Users\Rysiek\Downloads\iLividSetup_A-r484-t-bc.exe
2013-11-17 17:42 - 2013-11-17 17:42 - 01645408 _____ (Bandoo Media Inc) C:\Users\Rysiek\Downloads\iLividSetup-r484-n-bc (1).exe
2013-11-17 17:39 - 2013-11-17 17:39 - 01645408 _____ (Bandoo Media Inc) C:\Users\Rysiek\Downloads\iLividSetup-r484-n-bc.exe
2013-11-12 18:55 - 2013-11-12 18:55 - 01628536 _____ (Bandoo Media Inc) C:\Users\Rysiek\Downloads\iLividSetup_A-r484-t-bc.exe


Zapisz jako fixlist.txti umieść obok FRST
Następnie w programie kliknij Fix ,po wykonaniu pokaż raport.

Ściągnij program

[Aby zobaczyć linki, zarejestruj się tutaj]

i uruchom AdwCleanerz opcji Clean .
pokaż raport i napisz czy nadal jest problem.
Szukaj
Odpowiedz
rysio925 Offline
Nowicjusz
Liczba postów: 2
Liczba wątków: 1
Dołączył: 03.03.2013
Reputacja: 0
#3
23.11.2013, 22:56
Raport z FRST

[Aby zobaczyć linki, zarejestruj się tutaj]


Raport z AdwCleaner

[Aby zobaczyć linki, zarejestruj się tutaj]


Problem został jak narazie rozwiązany, zobaczymy w późniejszym czasie.
Dzięki wielkie i pozdro.
Szukaj
Odpowiedz
tachion Offline
Ekipa forum
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja: 507
#4
24.11.2013, 00:02
Ściągnij TFC i kliknij start

[Aby zobaczyć linki, zarejestruj się tutaj]


Jeśli po jego wykonaniu w metro nie będzie się chciała uruchomić pogoda czy ie to

klik alt-ctrl-delete> menadżer zadań> na liście procesów znajdź explorer.exez prawokliku zakończ zadanie ,następnie na samej górze klik w opcje Plik> Uruchom nowe zadaniei wpisz C:\Windows\explorer.exei klik ok

w AdwCleaner klik Odinstaluj
Szukaj
Odpowiedz


Skocz do:


Użytkownicy przeglądający ten wątek: 1 gości