regsvr32 nie można załadować modułu

[Knox37]

Witam dzisiaj chciałbym sięgnąć po radę ponieważ nie mam pojęcia co to jest (podejrzewam wirus) wyskakuje po włączeniu komputera : https://scr.hu/11DY31

[picasso]

Owszem, komunikat generuje obiekt infekcji. Proszę dostosuj się do zasad działu i dostarcz raporty z FRST.

[Knox37]

Oto logi

Addition_01-07-2017 00.13.19.txt

FRST_01-07-2017 00.13.19.txt

Shortcut_01-07-2017 00.13.19.txt

[picasso]

Wyraźnie w instrukcji było napisane by nie wyciągać raportów z katalogu C:\FRST\Logs. To jest archiwum. Bieżące logi są zawsze tam skąd uruchamiasz FRST, czyli w tym przypadku d:\D-A-N-E\Downloads, i nie mają dat w nazwach.

 

W systemie rezydują komponenty trojana Miuref. Działania do przeprowadzenia:

 

1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:

 

CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-2774888342-626457473-3219876655-1001\...\Run: [AQTworks] => C:\Users\PIOTREK\AppData\Local\AQTworks\qatuvdz.exe [273920 2017-05-22] ()
HKU\S-1-5-21-2774888342-626457473-3219876655-1001\...\Run: [YhkrPack] => C:\Windows\SysWOW64\regsvr32.exe C:\Users\PIOTREK\AppData\Local\AQTworks\Quickbox.dll 
HKU\S-1-5-21-2774888342-626457473-3219876655-1001\...\Run: [ubbjmedia] => regsvr32.exe C:\Users\PIOTREK\AppData\Local\Ubbjmedia\i18MainSched54.dll 
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run
C:\Users\PIOTREK\AppData\Local\AQTworks
C:\Users\PIOTREK\AppData\Local\Ubbjmedia
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku
CustomCLSID: HKU\S-1-5-21-2774888342-626457473-3219876655-1001_Classes\CLSID\{1BF42E4C-4AF4-4CFD-A1A0-CF2960B8F63E}\InprocServer32 -> C:\Users\PIOTREK\AppData\Local\Microsoft\OneDrive\17.3.6917.0607\amd64\FileSyncShell64.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-2774888342-626457473-3219876655-1001_Classes\CLSID\{7AFDFDDB-F914-11E4-8377-6C3BE50D980C}\InprocServer32 -> C:\Users\PIOTREK\AppData\Local\Microsoft\OneDrive\17.3.6917.0607\amd64\FileSyncShell64.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-2774888342-626457473-3219876655-1001_Classes\CLSID\{82CA8DE3-01AD-4CEA-9D75-BE4C51810A9E}\InprocServer32 -> C:\Users\PIOTREK\AppData\Local\Microsoft\OneDrive\17.3.6917.0607\amd64\FileSyncShell64.dll => Brak pliku
CMD: netsh advfirewall reset
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt.

[Knox37]

Logi z kolejnego skanu

FRST.txt

Addition.txt

Fixlog.txt

[Knox37]

Witam tym razem chciałbym zapytać o proces na moim komputerze, który zabiera ponad 30% procesora i spowalnia komputer. Czytałem trochę o tym, ale na różnych forach wygląda to tak, że połowa internautów mówi, że to zwykły proces windowsa, a druga połowa, że jest to wirus. Dlatego przyszedłem po poradę tutaj i liczę na szybką odpowiedź.

[picasso]

Wszystko zostało poprawnie usunięte.

 

1. Zastosuj DelFix, by usunąć kwarantanny narzędzi. Usuń także pobrany FRST i jego logi.

 

2. Na wszelki wypadek zrób skan za pomocą Hitman Pro i przedstaw log wynikowy (jeśli coś zostanie wykryte).

 

 

Witam tym razem chciałbym zapytać o proces na moim komputerze, który zabiera ponad 30% procesora i spowalnia komputer. Czytałem trochę o tym, ale na różnych forach wygląda to tak, że połowa internautów mówi, że to zwykły proces windowsa, a druga połowa, że jest to wirus. Dlatego przyszedłem po poradę tutaj i liczę na szybką odpowiedź.

Tematy skleiłam i usunęłam zbędne logi (zostały już dostarczone). W Twoim przypadku to nie jest infekcja. Na temat "COM Surrogate": KLIK. Użytkownicy mylą szkodliwe instancje dllhost.exe z poprawnymi.