Po štarte sa spustí IE - vírus ?

[Martin2195]

Zdravím, od včera sa mi automaticky po štarte Windowsu spustí IE a otvorí stránku http://skyhotel.vn/features

Nechápem čo to znamená. Jednoducho sa to spustí a asi po 10 sekundách sa IE sám zavrie a PC sa tvári akoby nič.

Keď som IE vypol sám, tak mi vyhodil Error AutoIT, niečo, že svchost.exe má problém.


V poslednej dobe som nič nové neinštaloval tak neviem čím to môže byť. Nechal som PC prekontrolovať aj Eset-om hĺbkovou kontrolou a nič nenašiel. Inak predvolený prehliadač mám Chrome.

Neviete niekto čo by to mohlo byť ? Poprípade mi poraďte ako zakázať IE aby sa automaticky spúšťal.

[zoom]

Bude to zrejme nejaky skriptik v AutoIt, ktory sa spusti po starte Windowsu (HKLM-Run, HKCU-Run). Zrejme to je len na nahananie navstevnosti pre danu stranku.

Urob log z pocitaca bud SysInspectorom alebo pomocou Autoruns. Nasledne log uloz (XML/ZIP v pripade SysIns, ARN v pripade Autoruns). Ten niekam uploadni a daj link. Archiv mozes aj zaheslovat, ak nechces, aby sa tvoje data povalovali po nete.

Tym, ze IE zavries rucne pocas vykonavania skriptu, vlastne dojde k necakanej situacii pre skript. Preto ta chyba.

[Martin2195]

Tak tu to je:

Kód: Vybrať všetko

http://uloz.to/xWQ4Jkf/subor-rar

heslo k archívu je môj nick (s veľkým "M" na začiatku)

[zoom]

Hmm, zaujimave. Takze zopar postrehov k tvojmu PC:

1) Vyhod z pocitaca Babylon Toolbar! Je to adware ako svina a ma instalnuty aj BHO v IE, takze teoreticky to moze sposobovat aj toto (nemyslim si, ale aj tak je to haved). Tu je pekny navod ako to vyhodit zo systemu, aj z browseru - klik.

2) V HKCU-Run vetve sa ti spusta "avichannel" = "F:\Programy\Evaer\videochannel.exe". Poznas ten program? Vyzera podozrivo. Ak nie, uploadni to EXE-cko na VirusTotal a nechaj ho oscanovat viacerymi AV. In the mean time, spusti Autoruns program z mojho prveho postu a na tabulke Logon najdi tento program a normalne ho deletni, nech sa uz nespusta.

3) V HKLM-Run sa ti spusta "Svchost" = "C:\Windows\svchost.exe". Toto je ten bordel, co ti spusta AutoIt skript pri starte. Zopakuj postup z predosleho bodu a rucne vymaz v Autoruns - Logon jeho spustanie. Potom skus vymazat samotne EXE so systemu. Ak chces urobit dobry skutok, zober to EXE, zabal ho do zasifrovaneho archivu a tiez ho niekam uploadni. Pozriem, ci to detekuje NOD32 (ktory pouzivas) a ked nie, zjednam napravu.

4) Mas instalnuty Smart Security 5.0.95. Najnovsia verzia je 6.0, takze stiahni z webu a updatuj.

5) Tiez si odinstaluj Ask Toolbar z Windowsu (ak ho nepouzivas). Toto je legitimny toolbar, ale nemam ich rad.
6) Taktiez daj prec uTorrentControl2 Toolbar (ak nepouzivas).
7) Tiez vymaz "Search Results Toolbar" - toto je o dost vacsia haved nez body 5 a 6.
8) Aktualizuj si Javu 7 na najnovsi build 10 a rucne odinstaluj strasie verzie, co mas v systeme (J7U2, J7U4, J6U31)
9) Aktualizuj si Firefox na najnovsiu verziu (mas 12, chces 17 ci kolko)
10) Optional: Daemon Tools uz nemame radi. Z prima maleho programceku na virtualne mechaniky sa stal bloatware + instaluje driver do ring0. Dnes mame radi Virtual CloneDrive.
11) Optional: Nemam rad akekolvek vylepsovace, cistice a automaticke enhancery systemu, takze by som vymazal aj Smart PC Cleaner. Ale to je len moj nazor, neviem o tom programe nic.

Body 1, 2, 3 a 7 su top priorita. Body 10, 11 su nepodstatne viacmenej. Zvysok je moje odporucanie.

[Martin2195]

Tak body 1), 2) a 7) som spravil, k ostatným sa ešte dostanem.

Ale problém je s tým svchost.exe, pretože v Autoruns ukazuje jeho umiestnenie v C:\Windows\svchost.exe, ale keď tam idem nič také tam nie je. Vymazal som to z Autoruns a po reštarte sa IE už nespustil. Ale .exe súbor som nenašiel.

Inak k tým toolbarom, to ani nespomínaj To je tak, keď sa ponáhľam a odkliknem pri inštalácií všetko

[zoom]

Bud je ten subor skryty (ci uz systemom, alebo ho maskuje aktivna infiltracia), alebo tam proste nie je (nepravdepodobne). Ako sam o sebe je ten subor neskodny, ono problem bol, ze sa spustal pri starte. Teraz si to odstranil, takze ostal samotny subor na disku. Mohol by si si zapnut zobrazovanie skrytych suborov v systeme a pohladat ho. Pripadne spustit Windows v Safe Mode a najst ho tam.

Taktiez je dobre skontrolovat, ci sa po restarte PC nedostali tie veci nazad, co si vymazal (cize aktivna infiltracia si ich popridava nazad). Co sa tyka odklikavania vsetkeho, ked instalujes somariny, tak sa nevyjadrujem radsej. Vysledok vidis sam. Dnes to bola bola pomerne neskodna blbosticka, ktora sa lahko identifikuje, nabuduce to moze byt nenapadny a skryty odchytavac hesiel.

A az dokoncis cistku, mozes po restarte PC urobit dalsi SysInsp / Autoruns log, nech vidime, ci to naozaj pomizlo a co si porobil.

[Martin2195]

Zobrazovanie skrytých súborov mám zapnuté a aj tak ho tam nevidím. Ešte to skúsim cez Safe Mode.

Zajtra to dočistím a potom sem hodím ďalší log a hodím ho sem.

//Edit: Takže pozrel som svchost.exe aj v Safe Mode a nebol tam - nechápem to, ale IE sa už nespúšťa. Spustených svchost.exe je viac, ale všetky sú umiestnené v c:\windows\system32\svchost.exe

Zbavil som sa aj tej ostatnej hávedi, log je nižšie, heslo k nemu je rovnaké.

Kód: Vybrať všetko

http://www.uloz.to/xkqJwXh/subor-rar

Inak díky za pomoc, IE sa už nespúšťa a o to mi hlavne išlo.

[zoom]

Uz ten log vyzera o dost zdravsie. Este by som odporucil nasledovne veci:

1) Odinstaluj Browser Configuration Utility. Je to legitimna vec od Gigabyte, ale uplna kravina, ktora zase len presmerovava vyhladavanie z IE. NAvyse sa to furt spusta, bezi to neustale v pamati a je to absolutne zbytocne.

2) Este odinstaluj tie stare Javy z Control Panel - Programs. Nie je to nutne, ale je to security risk.

Inak akoze vsetko pekne uz ciste. Hentieto dva body nie su kriticke, je to len take na docistenie a lepsi pocit. Takze to uz ani nemusis hlasit, ani robit dalsi log, lebo system uz je v poriadku.

[Martin2195]

Ďakujem za pomoc