Zasyfiony system windows 7

**Posty:** 158 · przez **programista007** 18 Lip 2015, 15:13

Witam !
Odnosząc się tego tematu: viewtopic.php?f=10&t=144502&p=1024700, zamieszczam 3 logi z FRST (Frst, Addition, fixlog)
Mam problem z komputerem dotyczący procesora i jakiegoś syfu..więcej informacje w temacie powyżej

1. FRST
http://wklej.org/id/1758631/
2. Addition
http://wklej.org/id/1758632/
3. fixlog
http://wklej.org/id/1758838/

Proszę o pomoc !

**Posty:** 4765 · przez **ordynat** 18 Lip 2015, 16:39

Logi FRST są nieaktualne - po nich było usuwanie.

W logach są wpisy, które kojarzą mi się z wirusem SALITY, lub z wirusem VIRUT - dawno nie miałem z nimi do czynienia, więc juz nie pamietam dobrze, z ktorym wirusem.

1) Użyj Sality Killer -->http://support.kaspersky.com/downloads/utils/salitykiller.exe
Link zapasowy, gdyby wirus zablokował stronę narzędzia: > http://www.mediafire.com/?5e3b0870wm7xefk

2) Użyj Virut Killer >>http://support.kaspersky.com/viruses/utility#
http://virutkiller.sharewarejunction.com/

Napisz, czy któryś coś wykrył?

**Posty:** 158 · przez **programista007** 18 Lip 2015, 20:58

Sality Killer:
Infected files: 0
Infected processes: 0
Infected threads: 0
Cured FIles: 0
Executed Registry scripts: 1

Virut Killer:
Infected files: 0
Infected processes: 0
Infected threads: 0
Unhooked functions: 0
Cured FIles: 0
Will be cured on reboot: 0

Niestety, dalej nic

Ale coś mi się wydaje że to chyba Win32/Sality, strasznie trace miejsce na dysku...i w ogóle...przymula kompa..u mnie padło to chyba na procek
NO, muszę przyznać że wpier****łem się w niezłe kłopoty.

**Posty:** 4765 · przez **ordynat** 18 Lip 2015, 21:06

Daj aktualne logi FRST

**Posty:** 158 · przez **programista007** 18 Lip 2015, 21:22

Log FRST: http://wklej.org/id/1759149/
Log Addition : http://wklej.org/id/1759154/

w FRST popatrz szczególnie na TEMP, podejżewam te pliki jako virus ale ich nie wychwytuje.
Sprawdzałem też czy jednak sality jest...i szczerze, zaczynam się bać, czy po reboot'cie usunie mi pamięć systemową ???

WTF

**Posty:** 4765 · przez **ordynat** 18 Lip 2015, 22:11

prawdę mówiąc, to nie rozumiem, co właściwie wykrył Virus Remover: powinien wykryc tylko zawirusowany plik, a nie "memory", bo SALITY nigdy nie zaraża pamięci, zaraza tylko pliki.

zaraz to przejrzę ...

**Posty:** 158 · przez **programista007** 18 Lip 2015, 22:18

Robiłem reboota...i faktycznie remover coś skanował.. pojawialy sie pliki związanę z Windows Defender i obok pisało tylko Not found albo Can't open
Też nic z tego nie rozumiem...System memory, bałem się że usunie mi RAM albo coś...widzę że wirusek sięgnął chyba po nowszą wersje !! NIe no żartuję XDD
Ale tak czy siak...coś tu jest dziwnego...dodam skan tym removerem do tak jakby harmonogramu...wyłączę kompa i rano cały komp przeskanuje na obecność tego gówna.

**Posty:** 4765 · przez **ordynat** 18 Lip 2015, 22:26

1) Otwórz Notatnik i wklej w nim:

2015-07-18 17:21 - 2015-07-18 17:21 - 00012970 _____ () G:\Users\Hubert\AppData\Local\Temp\ulhji.exe
2015-07-18 17:26 - 2015-07-18 17:26 - 00053930 _____ () G:\Users\Hubert\AppData\Local\Temp\wingewftf.exe
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Aesasa" /f
FirewallRules: [TCP Query User{C53CC368-0134-47E7-A471-EE8C5BE59FDD}G:\program files\miuitab\cmdshell.exe] => (Block) G:\program files\miuitab\cmdshell.exe
FirewallRules: [UDP Query User{429590BF-8D01-4128-9772-21ED4E102D7C}G:\program files\miuitab\cmdshell.exe] => (Block) G:\program files\miuitab\cmdshell.exe
FirewallRules: [TCP Query User{3112667F-D489-4AAA-95E9-BAECBC1010F8}G:\users\hubert\appdata\local\temp\winlumaa.exe] => (Block) G:\users\hubert\appdata\local\temp\winlumaa.exe
FirewallRules: [UDP Query User{242953C4-8F26-40CA-A947-029B49B152A6}G:\users\hubert\appdata\local\temp\winlumaa.exe] => (Block) G:\users\hubert\appdata\local\temp\winlumaa.exe
FirewallRules: [TCP Query User{05B0292F-51B0-4256-9D6A-192ED9086A02}G:\program files\webprotectorplus\webprotectorplus.exe] => (Block) G:\program files\webprotectorplus\webprotectorplus.exe
FirewallRules: [UDP Query User{4C405E76-136C-4806-B6BB-A276DBB1710D}G:\program files\webprotectorplus\webprotectorplus.exe] => (Block) G:\program files\webprotectorplus\webprotectorplus.exe
FirewallRules: [TCP Query User{551253D3-9E5B-4452-A7D2-EFEB06F26CB1}G:\users\hubert\appdata\local\temp\tnrshq.exe] => (Block) G:\users\hubert\appdata\local\temp\tnrshq.exe
FirewallRules: [UDP Query User{9D11EEF8-C2F0-4CCC-9B3D-4FE6A3148C82}G:\users\hubert\appdata\local\temp\tnrshq.exe] => (Block) G:\users\hubert\appdata\local\temp\tnrshq.exe
FirewallRules: [TCP Query User{255061B7-1617-4905-AA5B-63120DCB622B}G:\users\hubert\appdata\local\temp\wingupk.exe] => (Block) G:\users\hubert\appdata\local\temp\wingupk.exe
FirewallRules: [UDP Query User{59C6CE40-ABF5-4D81-9246-02D283A99202}G:\users\hubert\appdata\local\temp\wingupk.exe] => (Block) G:\users\hubert\appdata\local\temp\wingupk.exe
FirewallRules: [TCP Query User{9F2D8320-DF46-476E-9AEC-5EDD3E08380F}G:\users\hubert\appdata\local\temp\winrkdc.exe] => (Block) G:\users\hubert\appdata\local\temp\winrkdc.exe
FirewallRules: [UDP Query User{B4DF6EB8-D282-42A8-8AFC-AB80C34623DD}G:\users\hubert\appdata\local\temp\winrkdc.exe] => (Block) G:\users\hubert\appdata\local\temp\winrkdc.exe
FirewallRules: [TCP Query User{5CF888F7-3C96-4202-B81F-559DBAAAA6A0}G:\windows\explorer.exe] => (Block) G:\windows\explorer.exe
FirewallRules: [UDP Query User{74E674EF-2B33-49EC-BDFF-661A4F5A4362}G:\windows\explorer.exe] => (Block) G:\windows\explorer.exe
FirewallRules: [TCP Query User{95FB0143-7417-41B4-942A-DD9CE091A88A}G:\users\hubert\appdata\local\temp\winvdvqj.exe] => (Block) G:\users\hubert\appdata\local\temp\winvdvqj.exe
FirewallRules: [UDP Query User{F8642951-FA08-414E-A4A0-3385816F2B5A}G:\users\hubert\appdata\local\temp\winvdvqj.exe] => (Block) G:\users\hubert\appdata\local\temp\winvdvqj.exe
FirewallRules: [TCP Query User{692E932A-2CD3-4E0B-96CF-ECF8300A40C4}G:\windows\system32\ctfmon.exe] => (Block) G:\windows\system32\ctfmon.exe
FirewallRules: [UDP Query User{5E32AF2F-4A25-4C5A-9267-434D9E9028E2}G:\windows\system32\ctfmon.exe] => (Block) G:\windows\system32\ctfmon.exe
FirewallRules: [TCP Query User{858CC380-817E-4008-814F-637117A0127A}G:\users\hubert\appdata\local\temp\winnlfur.exe] => (Allow) G:\users\hubert\appdata\local\temp\winnlfur.exe
FirewallRules: [UDP Query User{5DB39C72-125D-4FBE-9B23-0C71DE4FE38A}G:\users\hubert\appdata\local\temp\winnlfur.exe] => (Allow) G:\users\hubert\appdata\local\temp\winnlfur.exe
FirewallRules: [TCP Query User{0E0A2167-16E3-404E-BB3F-18519F244AA0}G:\users\hubert\appdata\local\temp\winhswggo.exe] => (Allow) G:\users\hubert\appdata\local\temp\winhswggo.exe
FirewallRules: [UDP Query User{BE944D0A-B46D-4913-BE8D-03E0B38B039F}G:\users\hubert\appdata\local\temp\winhswggo.exe] => (Allow) G:\users\hubert\appdata\local\temp\winhswggo.exe
FirewallRules: [TCP Query User{E3D5BA41-8329-4C60-A3D5-305FEA241DA4}G:\users\hubert\appdata\local\temp\winuhnnax.exe] => (Allow) G:\users\hubert\appdata\local\temp\winuhnnax.exe
FirewallRules: [UDP Query User{768671F1-39D7-4165-B959-680C8010A551}G:\users\hubert\appdata\local\temp\winuhnnax.exe] => (Allow) G:\users\hubert\appdata\local\temp\winuhnnax.exe
FirewallRules: [TCP Query User{F19A528E-E8F6-40A6-8128-5745B1187D2E}G:\users\hubert\appdata\local\temp\wingetsb.exe] => (Block) G:\users\hubert\appdata\local\temp\wingetsb.exe
FirewallRules: [UDP Query User{6315447B-24C3-4512-83A8-4EBBE8A14594}G:\users\hubert\appdata\local\temp\wingetsb.exe] => (Block) G:\users\hubert\appdata\local\temp\wingetsb.exe
FirewallRules: [TCP Query User{29023CAF-CC75-42F3-8B8B-A94A296162A3}G:\users\hubert\appdata\local\temp\sdsiy.exe] => (Block) G:\users\hubert\appdata\local\temp\sdsiy.exe
FirewallRules: [UDP Query User{7392A051-F8EA-4598-B53B-C231711F4819}G:\users\hubert\appdata\local\temp\sdsiy.exe] => (Block) G:\users\hubert\appdata\local\temp\sdsiy.exe
FirewallRules: [TCP Query User{EB794687-0679-4AD5-BBCD-61109F1F56E1}G:\users\użytkownik\appdata\local\temp\heqr.exe] => (Block) G:\users\użytkownik\appdata\local\temp\heqr.exe
FirewallRules: [UDP Query User{D500009C-4159-49F3-985A-297485495CD5}G:\users\użytkownik\appdata\local\temp\heqr.exe] => (Block) G:\users\użytkownik\appdata\local\temp\heqr.exe
FirewallRules: [TCP Query User{56FFCA3D-ADE1-4926-87B2-F26D75A42312}G:\users\użytkownik\appdata\local\temp\xvqpf.exe] => (Block) G:\users\użytkownik\appdata\local\temp\xvqpf.exe
FirewallRules: [UDP Query User{F2C46B8A-2404-4E59-B734-0AF33B61236E}G:\users\użytkownik\appdata\local\temp\xvqpf.exe] => (Block) G:\users\użytkownik\appdata\local\temp\xvqpf.exe
FirewallRules: [TCP Query User{D2494577-BB85-4018-983A-96D62DDB6D67}G:\users\hubert\appdata\local\temp\winiyffy.exe] => (Block) G:\users\hubert\appdata\local\temp\winiyffy.exe
FirewallRules: [UDP Query User{FE20EA0A-E694-40C2-A252-256D8E681796}G:\users\hubert\appdata\local\temp\winiyffy.exe] => (Block) G:\users\hubert\appdata\local\temp\winiyffy.exe
FirewallRules: [TCP Query User{22397FE5-ACCC-469D-A492-B00B738146CD}G:\users\użytkownik\appdata\local\temp\winyaqwif.exe] => (Block) G:\users\użytkownik\appdata\local\temp\winyaqwif.exe
FirewallRules: [UDP Query User{E73F11DA-18CA-4342-B914-2F90E559351E}G:\users\użytkownik\appdata\local\temp\winyaqwif.exe] => (Block) G:\users\użytkownik\appdata\local\temp\winyaqwif.exe
FirewallRules: [TCP Query User{FB4A73EE-3970-4E96-B365-A0869986E770}G:\users\hubert\appdata\local\temp\ixgxb.exe] => (Block) G:\users\hubert\appdata\local\temp\ixgxb.exe
FirewallRules: [UDP Query User{B6162FBE-82A8-42EE-BBF4-5CB7311DCFC9}G:\users\hubert\appdata\local\temp\ixgxb.exe] => (Block) G:\users\hubert\appdata\local\temp\ixgxb.exe
FirewallRules: [TCP Query User{E68A4DA2-5447-4480-83C2-2BECCF977FAD}G:\users\użytkownik\appdata\local\temp\nxtd.exe] => (Block) G:\users\użytkownik\appdata\local\temp\nxtd.exe
FirewallRules: [UDP Query User{BB3D3564-4D44-4988-94B2-06C6D060FFE8}G:\users\użytkownik\appdata\local\temp\nxtd.exe] => (Block) G:\users\użytkownik\appdata\local\temp\nxtd.exe
FirewallRules: [TCP Query User{0BEC8FB2-CAD2-4754-BF22-32E7F5CA52F6}G:\users\hubert\appdata\local\temp\winqdhvwe.exe] => (Block) G:\users\hubert\appdata\local\temp\winqdhvwe.exe
FirewallRules: [UDP Query User{F603D180-994A-4BFC-BE6A-787CFEF6B9C3}G:\users\hubert\appdata\local\temp\winqdhvwe.exe] => (Block) G:\users\hubert\appdata\local\temp\winqdhvwe.exe
FirewallRules: [TCP Query User{FD17D459-6F25-4EDA-BAF6-B419F31F61B7}G:\users\użytkownik\appdata\local\temp\aslscv.exe] => (Block) G:\users\użytkownik\appdata\local\temp\aslscv.exe
FirewallRules: [UDP Query User{1F6EEB08-A91D-4763-AE46-706CDF669C24}G:\users\użytkownik\appdata\local\temp\aslscv.exe] => (Block) G:\users\użytkownik\appdata\local\temp\aslscv.exe
FirewallRules: [TCP Query User{6CA5F8E1-996E-4B56-97C8-5374178D30F7}G:\users\hubert\appdata\local\temp\winiiyji.exe] => (Block) G:\users\hubert\appdata\local\temp\winiiyji.exe
FirewallRules: [UDP Query User{911E2916-A469-42E3-8685-60A0D0798086}G:\users\hubert\appdata\local\temp\winiiyji.exe] => (Block) G:\users\hubert\appdata\local\temp\winiiyji.exe
FirewallRules: [TCP Query User{5D523296-6BD6-4CAB-AE92-12076D3257BF}G:\users\użytkownik\appdata\local\temp\winorer.exe] => (Block) G:\users\użytkownik\appdata\local\temp\winorer.exe
FirewallRules: [UDP Query User{504AD55B-57F1-4C81-B5A6-8758603925E3}G:\users\użytkownik\appdata\local\temp\winorer.exe] => (Block) G:\users\użytkownik\appdata\local\temp\winorer.exe
FirewallRules: [TCP Query User{CBB2FB22-DC20-4513-8CE7-FE542B6B1200}G:\users\hubert\appdata\local\temp\winknys.exe] => (Block) G:\users\hubert\appdata\local\temp\winknys.exe
FirewallRules: [UDP Query User{074FF391-5FD6-4E0A-A303-0121D05A3F63}G:\users\hubert\appdata\local\temp\winknys.exe] => (Block) G:\users\hubert\appdata\local\temp\winknys.exe
FirewallRules: [TCP Query User{5C7EBC05-EEC8-48E6-BEBF-53C8142B7D40}G:\users\użytkownik\appdata\local\temp\llkgel.exe] => (Block) G:\users\użytkownik\appdata\local\temp\llkgel.exe
FirewallRules: [UDP Query User{6967B858-9ABD-4B32-AE72-2F29EDC91A93}G:\users\użytkownik\appdata\local\temp\llkgel.exe] => (Block) G:\users\użytkownik\appdata\local\temp\llkgel.exe
FirewallRules: [TCP Query User{79D50B74-A5CF-4D9B-8935-DF9D60FF3E26}G:\users\hubert\appdata\local\temp\winbevmmj.exe] => (Block) G:\users\hubert\appdata\local\temp\winbevmmj.exe
FirewallRules: [UDP Query User{3261707E-2710-4DD4-A149-0AB1FD959D2F}G:\users\hubert\appdata\local\temp\winbevmmj.exe] => (Block) G:\users\hubert\appdata\local\temp\winbevmmj.exe
FirewallRules: [TCP Query User{45D5C306-7DFD-449E-A848-758054C12F6C}G:\users\użytkownik\appdata\local\temp\ulfgy.exe] => (Block) G:\users\użytkownik\appdata\local\temp\ulfgy.exe
FirewallRules: [UDP Query User{FCCF903A-8CDD-488E-8B5D-A7DACB18528F}G:\users\użytkownik\appdata\local\temp\ulfgy.exe] => (Block) G:\users\użytkownik\appdata\local\temp\ulfgy.exe
FirewallRules: [TCP Query User{22023ED1-047C-4F09-AC49-DD9A44638F37}C:\program files\internet download manager\idman.exe] => (Block) C:\program files\internet download manager\idman.exe
FirewallRules: [UDP Query User{8F5F1B86-1374-4884-A795-986EAA3981C5}C:\program files\internet download manager\idman.exe] => (Block) C:\program files\internet download manager\idman.exe
FirewallRules: [TCP Query User{4A44DED0-95CB-4977-947B-7FFB2C5F1AD0}G:\users\hubert\appdata\local\temp\winuwee.exe] => (Block) G:\users\hubert\appdata\local\temp\winuwee.exe
FirewallRules: [UDP Query User{EDB21386-5774-4DA8-8B6D-8ACF9AF4190B}G:\users\hubert\appdata\local\temp\winuwee.exe] => (Block) G:\users\hubert\appdata\local\temp\winuwee.exe
FirewallRules: [TCP Query User{72FC30C3-C47D-4C77-8521-095207A65082}G:\users\hubert\appdata\local\temp\wineolplh.exe] => (Block) G:\users\hubert\appdata\local\temp\wineolplh.exe
FirewallRules: [UDP Query User{E9994C92-8247-447B-9F34-CFB69F943EA2}G:\users\hubert\appdata\local\temp\wineolplh.exe] => (Block) G:\users\hubert\appdata\local\temp\wineolplh.exe
FirewallRules: [TCP Query User{BADB7F21-B025-4FCE-B85B-816F0BCE908C}G:\users\hubert\appdata\local\temp\winvnyxhn.exe] => (Block) G:\users\hubert\appdata\local\temp\winvnyxhn.exe
FirewallRules: [UDP Query User{C4E83A61-F8D5-4D8A-B40B-7E9393F10F0B}G:\users\hubert\appdata\local\temp\winvnyxhn.exe] => (Block) G:\users\hubert\appdata\local\temp\winvnyxhn.exe
FirewallRules: [TCP Query User{DF37E77C-9D0D-4FB2-8D06-44F2E5F8277C}G:\users\hubert\appdata\local\temp\winucfj.exe] => (Block) G:\users\hubert\appdata\local\temp\winucfj.exe
FirewallRules: [UDP Query User{F84EA1DD-89DE-4406-BD18-EB0DD386D97F}G:\users\hubert\appdata\local\temp\winucfj.exe] => (Block) G:\users\hubert\appdata\local\temp\winucfj.exe
FirewallRules: [TCP Query User{1C4EC01E-90AF-4717-99DE-F5200F0BEDF2}G:\users\hubert\appdata\local\temp\winmojpnp.exe] => (Block) G:\users\hubert\appdata\local\temp\winmojpnp.exe
FirewallRules: [UDP Query User{A4000FA7-05BD-4D97-8F68-085E3F0456C4}G:\users\hubert\appdata\local\temp\winmojpnp.exe] => (Block) G:\users\hubert\appdata\local\temp\winmojpnp.exe
FirewallRules: [TCP Query User{8C89950B-F4E3-4777-92EB-66D6F35901DF}G:\users\hubert\appdata\local\temp\egck.exe] => (Block) G:\users\hubert\appdata\local\temp\egck.exe
FirewallRules: [UDP Query User{30AD1BCB-557E-4FCA-8FAD-68703BEE7B60}G:\users\hubert\appdata\local\temp\egck.exe] => (Block) G:\users\hubert\appdata\local\temp\egck.exe
FirewallRules: [TCP Query User{BC527026-8B07-4D08-BCA6-46A3EEE0F6B6}G:\users\hubert\appdata\local\temp\winaapiu.exe] => (Block) G:\users\hubert\appdata\local\temp\winaapiu.exe
FirewallRules: [UDP Query User{0CB76DD9-7405-45C3-B3F2-6DBCB1172ED8}G:\users\hubert\appdata\local\temp\winaapiu.exe] => (Block) G:\users\hubert\appdata\local\temp\winaapiu.exe
FirewallRules: [TCP Query User{CE0D9F0C-1CB2-47FB-9BB2-6DAADD649A55}G:\users\hubert\appdata\local\temp\kdqbvx.exe] => (Block) G:\users\hubert\appdata\local\temp\kdqbvx.exe
FirewallRules: [UDP Query User{AB68DA53-70DD-418C-8F7A-FD36629A0D07}G:\users\hubert\appdata\local\temp\kdqbvx.exe] => (Block) G:\users\hubert\appdata\local\temp\kdqbvx.exe
FirewallRules: [TCP Query User{1213A33E-F796-4696-A2CF-2BE9B600F3C8}G:\users\użytkownik\appdata\local\temp\winaiesjp.exe] => (Block) G:\users\użytkownik\appdata\local\temp\winaiesjp.exe
FirewallRules: [UDP Query User{3E0B433A-3D45-4C47-8312-54C82E1A4A16}G:\users\użytkownik\appdata\local\temp\winaiesjp.exe] => (Block) G:\users\użytkownik\appdata\local\temp\winaiesjp.exe
FirewallRules: [TCP Query User{3190E745-E8F0-4A1D-A5BE-2138A4241DA8}G:\users\użytkownik\appdata\local\temp\saxx.exe] => (Block) G:\users\użytkownik\appdata\local\temp\saxx.exe
FirewallRules: [UDP Query User{BE2E7272-D315-402A-8A78-DFAD5156DB38}G:\users\użytkownik\appdata\local\temp\saxx.exe] => (Block) G:\users\użytkownik\appdata\local\temp\saxx.exe
FirewallRules: [TCP Query User{EB54E856-554C-4742-B99B-C8286885F30B}C:\program files\electronic arts\need for speed carbon\nfsc.exe] => (Block) C:\program files\electronic arts\need for speed carbon\nfsc.exe
FirewallRules: [UDP Query User{487849B9-5910-4AE7-9368-95D8E2A1FB4D}C:\program files\electronic arts\need for speed carbon\nfsc.exe] => (Block) C:\program files\electronic arts\need for speed carbon\nfsc.exe
FirewallRules: [TCP Query User{371E4AA6-81D3-4DA5-86E7-DEFB141FE83A}G:\users\użytkownik\appdata\local\temp\winrlxo.exe] => (Block) G:\users\użytkownik\appdata\local\temp\winrlxo.exe
FirewallRules: [UDP Query User{F6D7FE71-58C6-40E1-8208-BEB203A92F55}G:\users\użytkownik\appdata\local\temp\winrlxo.exe] => (Block) G:\users\użytkownik\appdata\local\temp\winrlxo.exe
FirewallRules: [TCP Query User{285775B3-55EC-4C0F-852F-1C931FC0EDFF}G:\users\użytkownik\appdata\local\temp\winhsgjt.exe] => (Block) G:\users\użytkownik\appdata\local\temp\winhsgjt.exe
FirewallRules: [UDP Query User{A6F5D445-AC8A-4E89-872B-65D30794A713}G:\users\użytkownik\appdata\local\temp\winhsgjt.exe] => (Block) G:\users\użytkownik\appdata\local\temp\winhsgjt.exe
FirewallRules: [TCP Query User{BC4848A3-A4ED-4D94-8018-1FCD96B9C30C}G:\users\użytkownik\appdata\local\temp\winrwjn.exe] => (Block) G:\users\użytkownik\appdata\local\temp\winrwjn.exe
FirewallRules: [UDP Query User{7C8C6E0F-EBA5-4A25-9E0D-D24ECEC98E2E}G:\users\użytkownik\appdata\local\temp\winrwjn.exe] => (Block) G:\users\użytkownik\appdata\local\temp\winrwjn.exe
FirewallRules: [TCP Query User{A4B381BA-3FC3-4747-A9C8-999393694086}G:\users\użytkownik\appdata\local\temp\winvtvbwx.exe] => (Block) G:\users\użytkownik\appdata\local\temp\winvtvbwx.exe
FirewallRules: [UDP Query User{5CDE5DED-2D40-4466-8561-9D97A66242AA}G:\users\użytkownik\appdata\local\temp\winvtvbwx.exe] => (Block) G:\users\użytkownik\appdata\local\temp\winvtvbwx.exe
FirewallRules: [TCP Query User{E7B3B2ED-5A8F-4171-9CD7-3474FB23FE5A}G:\users\użytkownik\appdata\local\temp\biwff.exe] => (Block) G:\users\użytkownik\appdata\local\temp\biwff.exe
FirewallRules: [UDP Query User{0354E0C1-59ED-4174-A5B8-748C4A2EE26E}G:\users\użytkownik\appdata\local\temp\biwff.exe] => (Block) G:\users\użytkownik\appdata\local\temp\biwff.exe
FirewallRules: [TCP Query User{5FCDDE0F-620C-4725-A846-3E29873B9FC7}G:\users\użytkownik\appdata\local\temp\winmncnb.exe] => (Block) G:\users\użytkownik\appdata\local\temp\winmncnb.exe
FirewallRules: [UDP Query User{44218B68-1AAD-43A3-8C2C-8659FDAC4A25}G:\users\użytkownik\appdata\local\temp\winmncnb.exe] => (Block) G:\users\użytkownik\appdata\local\temp\winmncnb.exe
FirewallRules: [TCP Query User{5BD351A4-174F-4F1F-86DA-353006716150}G:\users\hubert\appdata\local\temp\ulhji.exe] => (Block) G:\users\hubert\appdata\local\temp\ulhji.exe
FirewallRules: [UDP Query User{76791B46-9889-48CF-8395-DFE3E9050910}G:\users\hubert\appdata\local\temp\ulhji.exe] => (Block) G:\users\hubert\appdata\local\temp\ulhji.exe
AlternateDataStreams: G:\Users\Hubert\Ustawienia lokalne:7gKZRHbem8kcUiYj5TF0W4r5
AlternateDataStreams: G:\Users\Hubert\AppData\Local:7gKZRHbem8kcUiYj5TF0W4r5
AlternateDataStreams: G:\Users\Hubert\AppData\Local\Dane aplikacji:7gKZRHbem8kcUiYj5TF0W4r5
AlternateDataStreams: G:\Users\Hubert\AppData\Local\Temp:VYHHy8aiWVKEJc3GKGeRQqc
Task: {22BB4E27-8B20-439F-B091-877EBB427ACD} - System32\Tasks\{CD64A7BA-6178-45AE-854B-272D8C7B1F12} => pcalua.exe -a D:\MinecraftZyczu(1).exe -d D:\
Task: {2A349D01-37AE-4FA6-9D9E-B41BECBC88F2} - System32\Tasks\{11D871A8-0EFE-4D51-81F5-76F0283693A0} => pcalua.exe -a "D:\Program Files\CS 1.6 v50\Uninstall.exe" -d "D:\Program Files\CS 1.6 v50"
Task: {57BBF61F-3DC1-4568-AC06-5EF4459F5981} - System32\Tasks\{5010B97B-F217-4E32-992D-54622006AC31} => pcalua.exe -a "G:\Program Files\AMX Mod X\Installer.exe" -d "G:\Program Files\AMX Mod X"
HKU\S-1-5-21-3753487368-1345118372-3004599630-1001\...\Run: [Aesasa] => G:\Users\Hubert\AppData\Roaming\Aesasa.exe
G:\Users\Hubert\AppData\Roaming\Aesasa.exe
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=cvs&utm_campaign=install_ie&utm_content=ds&from=cvs&uid=HitachiXHTS541612J9SA00_SB2D41E4K7TRWEK7TRWEX&ts=1436260824&type=default&q={searchTerms}
SearchScopes: HKU\.DEFAULT -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=cvs&utm_campaign=install_ie&utm_content=ds&from=cvs&uid=HitachiXHTS541612J9SA00_SB2D41E4K7TRWEK7TRWEX&ts=1436260824&type=default&q={searchTerms}
SearchScopes: HKU\.DEFAULT -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=cvs&utm_campaign=install_ie&utm_content=ds&from=cvs&uid=HitachiXHTS541612J9SA00_SB2D41E4K7TRWEK7TRWEX&ts=1436260824&type=default&q={searchTerms}
SearchScopes: HKU\.DEFAULT -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=cvs&utm_campaign=install_ie&utm_content=ds&from=cvs&uid=HitachiXHTS541612J9SA00_SB2D41E4K7TRWEK7TRWEX&ts=1436260824&type=default&q={searchTerms}
FF NewTab: chrome://quick_start/content/index.html
FF DefaultSearchEngine: webssearches
FF SelectedSearchEngine: webssearches
FF Extension: deskCut - G:\Users\Hubert\AppData\Roaming\Mozilla\Firefox\Profiles\tlg79n1b.default\Extensions\deskCutv2@gmail.com [2015-07-11]
S4 tsusbhub; system32\drivers\tsusbhub.sys [X]
S3 WinRing0_1_2_0; \??\G:\Program Files\IObit\Game Booster 3\Driver\WinRing0.sys [X]
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix.
Powstanie plik fixlog.txt.
Daj ten log.

2) Zrób nowe logi FRST.
.

**Posty:** 158 · przez **programista007** 19 Lip 2015, 08:30

1)
Fixlog: http://wklej.org/id/1759324/

2)
FRST: http://wklej.org/id/1759325/
Addition: http://wklej.org/id/1759326/

**Posty:** 4765 · przez **ordynat** 19 Lip 2015, 09:57

G:\Users\Użytkownik\AppData\Local\Temp\winmncnb.exe
G:\Users\Użytkownik\AppData\Local\Temp\winpsqa.exe

Jakiś plik dalej podtrzymuje infekcję, ale w logach nie ma takiego podejrzanego pliku.

1) Otwórz Notatnik i wklej w nim:

G:\jmql.exe
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix.

2) Przeskanuj komputer i wszystkie pamięci przenośne przy pomocy KVRT http://www.programosy.pl/program,kaspersky-virus-removal-tool.html

Potem sprawdź, czy pojawił się jakiś nowy plik w folderze G:\Users\Użytkownik\AppData\Local\Temp
zaczynający się na literkę "w".
.

Autor postu otrzymał pochwałę

**Posty:** 158 · przez **programista007** 19 Lip 2015, 11:35

Okej fixlist wykonany jmql.exe => moved successfully, lecz po restarcie jmql.exe odnowił się na nowo na dysku G:\ próbowałem jeszcze raz usunąć..opróżniłem kosz...mineło kilka sekund i na oczach mi się że tak powiem "zrepsił" na nowo na dysku..WTF
Tu masz chyba rację jakaś aplikacja zarażona tworzy sobie nawzajem zarażone pliki...które potem atakują aplikacje systemowe...tu coś jest z tym jmql.exe

Na początku jak uruchomiłem kompa, plików win w Temp nie było..po chwili pojawiły się kolejne 3.

No nic, zabieram się za skanowanie, może jeszcze dzisiaj uda mi się odpowiedzieć jak tam skan wyszedł.
Zacząłem skanować...i ej, pamiętasz virus remover ? on chyba pisał prawdę, kaspersky teraz skanował system memory..i pisze detected 1 object ! Oh ten virus chyba serio zezłościł się na mój komp. O już 12 objects

**Posty:** 4765 · przez **ordynat** 19 Lip 2015, 12:56

czarno to widzę.

**Posty:** 158 · przez **programista007** 19 Lip 2015, 14:26

I mialeś rację...ouu

683 virusy, wszystko prawie sality.gen....o w dupe...
Większość to pliki z G:\WINNT potem dotyczące użytkowników typu właśnie Hubert, Użytkownik..potem jakieś pojedyńcze pierdołki..typu trojani itd. itp.
Wszystko na Cure...zaraz powiem wyniki.

**Posty:** 4765 · przez **ordynat** 19 Lip 2015, 15:16

Fatalnie.

1) Zrób log z USBFix z opcji LISTING http://www.fixitpc.pl/topic/8-dezynfekcja-zbi%C3%B3r-narz%C4%99dzi-usuwaj%C4%85cych/#entry74

2) Jeśli znasz się na komputerach, to najlepszym sposobem jest wypalenie na innym komputerze bootowalnej płytki z AV, i użycie jej na swoim komputerze >http://www.fixitpc.pl/topic/102-plyty-startowe-ze-skanerami/

Jeśli nie znasz się zbytnio na komputerach, to pozostaje tradycyjne usuwanie:

a) użyj KVRT - masz już go
b) Użyj >http://www.programosy.pl/program,dr-web-cureit.html
Link zapasowy (już ze zmienioną nazwą), jeśli oficjalna strona będzie zablokowana przez wirusa >>http://www.mediafire.com/?ddwccmc45yvu5ht
c) użyj Sality Killer - masz już go
d) użyj Remover Sality - masz już go
e) wszystkie skany powtarzaj wielokrotnie po kolei dotąd, aż żaden z nich nic nie będzie wykrywał.
5) sprawdź, czy Tryb Awaryjny nie jest uszkodzony (F8 przed startem Systemu)
6) wtedy dasz logi z FRST
.

**Posty:** 158 · przez **programista007** 19 Lip 2015, 16:16

Wiesz, nie wiem czy wykonywać to co powiedziałeś bo uporałem się z tym problemem, jednak wykonałem bitwę z tym gównem....udało się....Kaspersky jednak dal radę...po zakończeniu skanowania pisało There are unprocessed detected object i nie wiem czy coś błędnie się zrobiło...ale jest więcej miejsca i procek pracuje w końcu normalnie !!!! Dzięki tobie wygrałem tą bitwę...jesteś w tym ekspertem !!!

Dzięki wielkie za pomoc !!! Naprawdę mi pomogłeś, zasługujesz na pochwałę...ale jeśli mam to wykonać to nie ma problemu, zrobię to ! dam ci tego logi FRST. Już się za to zabieram !

Kto jest na forum