Wirus - prawdopodobnie trotux

**Posty:** 6 · przez **brainscollector** 06 Mar 2017, 14:11

Witam.
Szukałem dzisiaj dla dziewczyny sterowników do dzwięku żeby działały jej głośniki 5.1 no i znalazłem jakiś, zainstalowałem po czym avast zwariował i zaczął co chwila pokazywać jakieś zagrożenia.
Zrobiłem skan adw cleanerem, wyczyścił tam troszkę no ale zrobiłem drugi raz skan kontrolny i teraz za każdym razem znajduje te same wpisy w rejestrze które odnawiają się po każdym usunięciu.
Wklejam logi z adw i otl.

Z góry dziękuje wam za pomoc

Dodano Dzisiaj, 14:55:
Zrobiłem jeszcze Alan Malwarebytes I Także znalazło jakieś dodatkowe pliki poza tym i więcej plików z trotuxa. Po drugim skanowaniu wygląda że już tego nie znajduje jednak w adw cały czas pojawiają się te same 4 wpisy z trotuxem.

**Posty:** 4765 · przez **ordynat** 06 Mar 2017, 14:59

1) Zrób logi z FRST > http://forum.programosy.pl/frst-otl-zoek-vt139692.html
Przed skanem zaznacz "Addition.txt" oraz "Shortcut.txt"

2) Uruchom FRST.
W polu SEARCH (SZUKAJ) wklej:

*trotux*.*

kliknij na przycisk "Search Files (Szukaj Plików)".
Raport z tego będzie tam, gdzie jest FRST.

3) Uruchom FRST.
W polu SEARCH (SZUKAJ) wklej:

jhdbca; trotux;

kliknij na przycisk "Search Registry" (Szukaj w Rejestrze).
Raport z tego będzie tam, gdzie jest FRST.

Autor postu otrzymał pochwałę

**Posty:** 6 · przez **brainscollector** 06 Mar 2017, 15:22

dziękuję za szybką odpowiedź.

oto logi

**Posty:** 4765 · przez **ordynat** 06 Mar 2017, 15:52

Nie dałeś logów FRST (czyli z punktu 1 moich zaleceń)

Autor postu otrzymał pochwałę

**Posty:** 6 · przez **brainscollector** 06 Mar 2017, 15:55

Search.txt: (658 Bajty) Ściągnięto 39 razy

SearchReg.txt: (242 Bajty) Ściągnięto 40 razy

Dodałem 2 logi tak jak Pan polecił

dodam jeszcze raz

**Posty:** 230 · przez **krystian3w** 06 Mar 2017, 16:05

brainscollector napisał(a):Dodałem 2 logi tak jak Pan polecił dodam jeszcze raz

ordynat napisał(a):1) Zrób logi z FRST > frst-otl-zoek-vt139692.html
Przed skanem zaznacz "Addition.txt" oraz "Shortcut.txt"

Masz dołączyć FRST.txt, Addition.txt i Shortcut.txt jeszcze.

Autor postu otrzymał pochwałę

**Posty:** 6 · przez **brainscollector** 06 Mar 2017, 16:15

Zaznaczam te opcje, wpisuje, przyciskam co należy ale za każdym razem pojawia się tylko jeden plik tekstowy, nigdzie nie ma śladu po FRST.txt, Addition.txt i Shortcut.txt, sprawdzałem na dysku c w folderze FRST ale tam też nie ma tych plików. Naprawdę nie chce robić kłopotów czy robić z siebie czy z was głupiego ale tak naprawdę się dzieje.

**Posty:** 4765 · przez **ordynat** 06 Mar 2017, 16:20

Zrób logi z FRST > frst-otl-zoek-vt139692.html
Przed skanem zaznacz "Addition.txt" oraz "Shortcut.txt"

czyli:
uruchom FRST
zaznacz podane opcje
kliknij na SKANUJ

Autor postu otrzymał pochwałę

**Posty:** 6 · przez **brainscollector** 06 Mar 2017, 16:25

... Rzeczywiście, to na głupiego wyszedłem. Przepraszam

**Posty:** 4765 · przez **ordynat** 06 Mar 2017, 16:44

Rzeczywiście, to na głupiego wyszedłem

Ależ nie - to tylko dowód, że w warunkach stresu człowiek się gubi, a dla Ciebie to na pewno był stres, bo to Twoje pierwsze posty na forum.

Otwórz Notatnik i wklej w nim:

CustomCLSID: HKU\S-1-5-21-1476933524-1311964847-3179676331-1000_Classes\CLSID\{1BF42E4C-4AF4-4CFD-A1A0-CF2960B8F63E}\InprocServer32 -> C:\Users\Artur\AppData\Local\Microsoft\OneDrive\17.3.6743.1212\amd64\FileSyncShell64.dll => No File
CustomCLSID: HKU\S-1-5-21-1476933524-1311964847-3179676331-1000_Classes\CLSID\{7AFDFDDB-F914-11E4-8377-6C3BE50D980C}\InprocServer32 -> C:\Users\Artur\AppData\Local\Microsoft\OneDrive\17.3.6743.1212\amd64\FileSyncShell64.dll => No File
CustomCLSID: HKU\S-1-5-21-1476933524-1311964847-3179676331-1000_Classes\CLSID\{82CA8DE3-01AD-4CEA-9D75-BE4C51810A9E}\InprocServer32 -> C:\Users\Artur\AppData\Local\Microsoft\OneDrive\17.3.6743.1212\amd64\FileSyncShell64.dll => No File
Task: {02AF4B65-5A54-4973-BAE6-F3104CCFC359} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File <==== ATTENTION
Task: {0B919CF4-DAC7-4133-9AB6-B9451BB74508} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File <==== ATTENTION
Task: {1E0C8200-53CF-40FC-9CB8-CFE1DAD0C0A9} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File <==== ATTENTION
Task: {31AF14C9-87B0-480C-8187-146B70F124FE} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> No File <==== ATTENTION
Task: {33F9735B-6DC9-4355-9BBE-D1EABF83617D} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION
Task: {3640CF77-145E-4D80-A054-0A75024A19DF} - System32\Tasks\Churektokatain Agent => C:\Program Files (x86)\Valoryatusation\xprudom.exe [2017-03-06] (Glarysoft Ltd)
Task: {4FC30831-B25B-495B-8BC5-BFF542E7F5CF} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION
Task: {685A3B21-D8E2-4731-9D40-CB9511417AD3} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File <==== ATTENTION
Task: {71904724-D725-46D8-BAD0-4C9B84A2C95C} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File <==== ATTENTION
Task: {80DDBDA1-B14A-4CDB-860A-A0A8EE845958} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION
Task: {ADBCCE0C-600E-4857-8A2B-01662F289AB7} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File <==== ATTENTION
Task: {ECC55BB5-B36C-4FCC-8856-A76B885084F6} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File <==== ATTENTION
ShellExecuteHooks: No Name - {7F5D6A2C-FFD8-11E6-B984-64006A5CFC23} - C:\Users\Artur\AppData\Roaming\Coezoward\Vitersestekadom.dll -> No File
RemoveDirectory: C:\Program Files (x86)\Valoryatusation
RemoveDirectory: C:\Users\Artur\AppData\Roaming\Coezoward
RemoveDirectory: C:\Users\Artur\AppData\Local\Prermuph
ShortcutWithArgument: C:\Users\Artur\AppData\Local\Prermuph\Program uruchamiający aplikacje Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --show-app-list
HKLM-x32\...\Run: [] => [X]
Toolbar: HKU\S-1-5-21-1476933524-1311964847-3179676331-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File
FF Plugin: @esn/npbattlelog,version=2.5.1 -> C:\Program Files (x86)\Battlelog Web Plugins\2.5.1\npbattlelogx64.dll [No File]
FF Plugin: @esn/npbattlelog,version=2.7.0 -> C:\Program Files (x86)\Battlelog Web Plugins\2.7.0\npbattlelogx64.dll [No File]
FF Plugin-x32: @esn/npbattlelog,version=2.5.1 -> C:\Program Files (x86)\Battlelog Web Plugins\2.5.1\npbattlelog.dll [No File]
FF Plugin-x32: @esn/npbattlelog,version=2.7.0 -> C:\Program Files (x86)\Battlelog Web Plugins\2.7.0\npbattlelog.dll [No File]
CHR StartupUrls: Default -> "chrome://newtabcollection/0","hxxp://www.trotux.com/?z=4bdde999ef0ad6ff6d3ef19g7zbb4bembt4q9bct3w&from=icb&uid=WDCXWD10EZRX-00A8LB0_WD-WCC1U399375193751&type=hp"
HOSTS:
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix (NAPRAW).

CHR StartupUrls: Default -> "chrome://newtabcollection/0","hxxp://www.trotux.com/?z=4bdde999ef0ad6ff6d3ef19g7zbb4bembt4q9bct3w&from=icb&uid=WDCXWD10EZRX-00A8LB0_WD-WCC1U399375193751&type=hp"

Jeśli FRST tego nie usunie, to:
Uruchom Google Chrome
> Naciśnij klawisze: lewy Alt+F i kliknij przycisk Ustawienia >
> Sekcja: Po uruchomieniu > wybierz: Otwórz konkretną stronę lub zestaw stron >
> Kliknij: Wybierz strony >
> Usuń: trotux.com,

======================
Jeśli będzie OK, to będziemy kończyć:
Otwórz Notatnik i wklej w nim:

DeleteQuarantine:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST. Uruchom FRST i kliknij w Fix (NAPRAW).
przez SHIFT+DEL usuń pozostały folder C:\FRST.

W Adw-Cleaner kliknij u góry po lewej na PLIK, potem na ODINSTALUJ.

Autor postu otrzymał pochwałę

**Posty:** 6 · przez **brainscollector** 06 Mar 2017, 17:32

Bardzo dziękuję za pomoc

podrzucam plik który utworzył się po naprawie

Wygląda na to że wszystko jest już w porządku

**Posty:** 4765 · przez **ordynat** 06 Mar 2017, 17:50

OK, wykonane.
.

Autor postu otrzymał pochwałę

Kto jest na forum