Prosba o sprawdzenie loga
Logfile of HijackThis v1.99.1
Scan saved at 23:28:53, on 2005–11–17
Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Program Files\Lexmark 2200 Series\lxbvbmgr.exe
C:\WINDOWS\PowerS.exe
C:\Program Files\Common Files\InterVideo\SchSvr\SchSvr.exe
C:\instalki\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Lexmark 2200 Series\lxbvbmon.exe
C:\WINDOWS\System32\winsecurity.exe
C:\WINDOWS\System32\ svchost.exe
C:\WINDOWS\System32\ lsass.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Instalki\Skype\Phone\Skype.exe
C:\instalki\Alwil Software\Avast4\aswUpdSv.exe
C:\instalki\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ svchost.exe
C:\WINDOWS\system32\ lsass.exe
C:\Instalki\Gadu–Gadu\gg.exe
C:\WINDOWS\system32\ntvdm.exe
C:\instalki\Alwil Software\Avast4\ashMaiSv.exe
C:\instalki\Alwil Software\Avast4\ashWebSv.exe
C:\Documents and Settings\Tomek\Pulpit\HijackThis.exe
R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.onet.pl/
R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 – HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 – BHO: AcroIEHlprObj Class – {06849E9F–C8D7–4D59–B87D–784B7D6BE0B3} – C:\Instalki\Acrobat\ActiveX\AcroIEHelper.dll
O2 – BHO: (no name) – {53707962–6F74–2D53–2644–206D7942484F} – C:\Instalki\SPYBOT~1\SDHelper.dll
O3 – Toolbar: &Radio – {8E718888–423F–11D2–876E–00A0C9082467} – C:\WINDOWS\System32\msdxm.ocx
O4 – HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 – HKLM\..\Run: [nwiz] nwiz.exe /install
O4 – HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 – HKLM\..\Run: [Lexmark 2200 Series] "C:\Program Files\Lexmark 2200 Series\lxbvbmgr.exe"
O4 – HKLM\..\Run: [PowerS] C:\WINDOWS\PowerS.exe
O4 – HKLM\..\Run: [WinDVR SchSvr] "C:\Program Files\Common Files\InterVideo\SchSvr\SchSvr.exe"
O4 – HKLM\..\Run: [avast!] C:\instalki\ALWILS~1\Avast4\ashDisp.exe
O4 – HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 – HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 – HKLM\..\Run: [MS–patch33] winsecurity.exe
O4 – HKLM\..\Run: [WindowsUpdatesvchost] svchost.exe
O4 – HKLM\..\Run: [WindowsUpdatelsass] lsass.exe
O4 – HKLM\..\RunServices: [MS–patch33] winsecurity.exe
O4 – HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 – HKCU\..\Run: [Skype] "C:\Instalki\Skype\Phone\Skype.exe" /nosplash /minimized
O8 – Extra context menu item: E&ksport do programu Microsoft Excel – res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 – DPF: {6414512B–B978–451D–A0D8–FCFDF33E833C} (WUWebControl Class) – http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1128521732484
O23 – Service: avast! iAVS4 Control Service (aswUpdSv) – Unknown owner – C:\instalki\Alwil Software\Avast4\aswUpdSv.exe
O23 – Service: avast! Antivirus – Unknown owner – C:\instalki\Alwil Software\Avast4\ashServ.exe
O23 – Service: avast! Mail Scanner – Unknown owner – C:\instalki\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 – Service: avast! Web Scanner – Unknown owner – C:\instalki\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 – Service: LexBce Server (LexBceS) – Lexmark International, Inc. – C:\WINDOWS\system32\LEXBCES.EXE
O23 – Service: NVIDIA Display Driver Service (NVSvc) – NVIDIA Corporation – C:\WINDOWS\System32\nvsvc32.exe
O23 – Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) – Analog Devices, Inc. – C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
Dziwne bo wczoraj mialem 36 procesow a dzis mam 40 :/ chociaz nic nie instalowalem...
pozdrawiam
Odpowiedzi: 14
Silent nie skończył produkcji loga, poczekaj jak skończy i dopiero wtedy skopiuj zawartosc pliku.
Skocz tutaj: http://www.f–secure.com/v–descs/wootbot.shtml
Sciągnij zamieszczone tak narzędzia i odpal je np. w awaryjnym.
Masz jakiegoś firewalla (w logu nie widać)?
Ten backdoor pcha się z sieci więc albo zmień grupę roboczą albo mały programik Windows Worms Doors Cleaner moźe się przydać.
Skocz tutaj: http://www.f–secure.com/v–descs/wootbot.shtml
Sciągnij zamieszczone tak narzędzia i odpal je np. w awaryjnym.
Masz jakiegoś firewalla (w logu nie widać)?
Ten backdoor pcha się z sieci więc albo zmień grupę roboczą albo mały programik Windows Worms Doors Cleaner moźe się przydać.
Logfile of HijackThis v1.99.1
Scan saved at 11:43:24, on 2005–11–20
Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Lexmark 2200 Series\lxbvbmgr.exe
C:\WINDOWS\PowerS.exe
C:\Program Files\Common Files\InterVideo\SchSvr\SchSvr.exe
C:\Program Files\Lexmark 2200 Series\lxbvbmon.exe
C:\instalki\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\winsecurity.exe
C:\WINDOWS\System32\ctfmon.exe
C:\instalki\Alwil Software\Avast4\aswUpdSv.exe
C:\instalki\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Instalki\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\instalki\Alwil Software\Avast4\ashWebSv.exe
C:\instalki\Alwil Software\Avast4\ashMaiSv.exe
C:\Instalki\Gadu–Gadu\gg.exe
C:\Instalki\Skype\Phone\Skype.exe
C:\Program Files\Outlook Express\msimn.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Internet Explorer\iexplore.exe
D:\Programy\Programy\Porzadki\hijackthis\HijackThis.exe
R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.onet.pl/
R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 – HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 – BHO: AcroIEHlprObj Class – {06849E9F–C8D7–4D59–B87D–784B7D6BE0B3} – C:\Instalki\Acrobat\ActiveX\AcroIEHelper.dll
O2 – BHO: (no name) – {53707962–6F74–2D53–2644–206D7942484F} – C:\Instalki\SPYBOT~1\SDHelper.dll
O3 – Toolbar: &Radio – {8E718888–423F–11D2–876E–00A0C9082467} – C:\WINDOWS\System32\msdxm.ocx
O4 – HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 – HKLM\..\Run: [nwiz] nwiz.exe /install
O4 – HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 – HKLM\..\Run: [Lexmark 2200 Series] "C:\Program Files\Lexmark 2200 Series\lxbvbmgr.exe"
O4 – HKLM\..\Run: [PowerS] C:\WINDOWS\PowerS.exe
O4 – HKLM\..\Run: [WinDVR SchSvr] "C:\Program Files\Common Files\InterVideo\SchSvr\SchSvr.exe"
O4 – HKLM\..\Run: [avast!] C:\instalki\ALWILS~1\Avast4\ashDisp.exe
O4 – HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 – HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 – HKLM\..\Run: [MS–patch33] winsecurity.exe
O4 – HKLM\..\RunServices: [MS–patch33] winsecurity.exe
O4 – HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 – HKCU\..\Run: [Skype] "C:\Instalki\Skype\Phone\Skype.exe" /nosplash /minimized
O8 – Extra context menu item: E&ksport do programu Microsoft Excel – res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 – DPF: {6414512B–B978–451D–A0D8–FCFDF33E833C} (WUWebControl Class) – http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1128521732484
O23 – Service: avast! iAVS4 Control Service (aswUpdSv) – Unknown owner – C:\instalki\Alwil Software\Avast4\aswUpdSv.exe
O23 – Service: avast! Antivirus – Unknown owner – C:\instalki\Alwil Software\Avast4\ashServ.exe
O23 – Service: avast! Mail Scanner – Unknown owner – C:\instalki\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 – Service: avast! Web Scanner – Unknown owner – C:\instalki\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 – Service: LexBce Server (LexBceS) – Lexmark International, Inc. – C:\WINDOWS\system32\LEXBCES.EXE
O23 – Service: NVIDIA Display Driver Service (NVSvc) – NVIDIA Corporation – C:\WINDOWS\System32\nvsvc32.exe
O23 – Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) – Analog Devices, Inc. – C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 – Service: StarWind iSCSI Service (StarWindService) – Rocket Division Software – C:\Instalki\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
Oto log z HJT
A z Silent Runners pokazuje tak:
"Silent Runners.vbs", revision 41, http://www.silentrunners.org/
Operating System: Windows XP
Output limited to non–default values, except where indicated by "{++}"
czyli cos nie tak... buu
Flaszka:
To po jakims czasie pojawia mi sie ponownie... Za co ten wpis odpowiada?? Bo w pierwszym poscie byl on na waszej liscie do usuniecia...
To znaczy, źe jeszcze badziewie w systemie siedzi. Kolejnego loga HIjacka na Twoim miejscu bym przedstawił + loga z SilentRunners (link to niego w przyklejonym FAQ jest i w googlach na pierwszych miejscach).
OK! Wszystko niby dziala, wszytsko smiga ale mam jeszcze jeden problem... otoz gdy wywale wpis:
To po jakims czasie pojawia mi sie ponownie... Za co ten wpis odpowiada?? Bo w pierwszym poscie byl on na waszej liscie do usuniecia...
pozdrawiam
O4 – HKLM\..\Run: [MS–patch33] winsecurity.exe
O4 – HKLM\..\RunServices: [MS–patch33] winsecurity.exe
To po jakims czasie pojawia mi sie ponownie... Za co ten wpis odpowiada?? Bo w pierwszym poscie byl on na waszej liscie do usuniecia...
pozdrawiam
OK – zwracam honor
Update2: Ten PowerS.exe to od kart Prolinka jest.
Wlasnie chcialem napisac ze ja mam karte prolinka takze musze to zostawic :)
Czy teraz moge juz spac spokojnie??
Za dobrze by Ci było ;)
Za pomocą Menadźera zadań zabij proces
C:\WINDOWS\System32\syssvcc.exe
Plik odnajdź i usuń.
Ta linijka do fixa w Hijacku.
O4 – HKLM\..\Run: [WindowsUpdatesyssvcc] syssvcc.exe
Update:
Peter_l – PowerS.exe jest potrzebny – sam się na niego naciąłem – Bobi pisal co to jest, mobsync.exe – jest Microsoftu.
Update2: Ten PowerS.exe to od kart Prolinka jest.
C:\WINDOWS\PowerS.exe
C:\WINDOWS\System32\syssvcc.exe
R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O4 – HKLM\..\Run: [PowerS] C:\WINDOWS\PowerS.exe
O4 – HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 – HKLM\..\Run: [WindowsUpdatesyssvcc] syssvcc.exe
O23 – Service: avast! Mail Scanner – Unknown owner – C:\instalki\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 – Service: avast! Web Scanner – Unknown owner – C:\instalki\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
Do ubicia w awaryjnym
Oto moj log bo usunieciu tych czterech sciezek HJT:
Teraz mam uruchomionych 35 procesow :) i ikonka Avasta sie juz nie pokazuje :)
Dodam tylko ze w system32 nie widzialem tych dwoch plikow ze spacja w nazwie... Czy teraz moge juz spac spokojnie??
Jezlei tak to dziekuje wam za pomoc
pozdrawiam
Logfile of HijackThis v1.99.1
Scan saved at 17:44:03, on 2005–11–18
Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Program Files\Lexmark 2200 Series\lxbvbmgr.exe
C:\WINDOWS\PowerS.exe
C:\Program Files\Common Files\InterVideo\SchSvr\SchSvr.exe
C:\instalki\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Lexmark 2200 Series\lxbvbmon.exe
C:\WINDOWS\System32\syssvcc.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Instalki\Skype\Phone\Skype.exe
C:\instalki\Alwil Software\Avast4\aswUpdSv.exe
C:\instalki\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\instalki\Alwil Software\Avast4\ashMaiSv.exe
C:\instalki\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Instalki\Gadu–Gadu\gg.exe
D:\Programy\Programy\Porzadki\HijackThis.exe
R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.onet.pl/
R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 – HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 – BHO: AcroIEHlprObj Class – {06849E9F–C8D7–4D59–B87D–784B7D6BE0B3} – C:\Instalki\Acrobat\ActiveX\AcroIEHelper.dll
O2 – BHO: (no name) – {53707962–6F74–2D53–2644–206D7942484F} – C:\Instalki\SPYBOT~1\SDHelper.dll
O3 – Toolbar: &Radio – {8E718888–423F–11D2–876E–00A0C9082467} – C:\WINDOWS\System32\msdxm.ocx
O4 – HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 – HKLM\..\Run: [nwiz] nwiz.exe /install
O4 – HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 – HKLM\..\Run: [Lexmark 2200 Series] "C:\Program Files\Lexmark 2200 Series\lxbvbmgr.exe"
O4 – HKLM\..\Run: [PowerS] C:\WINDOWS\PowerS.exe
O4 – HKLM\..\Run: [WinDVR SchSvr] "C:\Program Files\Common Files\InterVideo\SchSvr\SchSvr.exe"
O4 – HKLM\..\Run: [avast!] C:\instalki\ALWILS~1\Avast4\ashDisp.exe
O4 – HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 – HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 – HKLM\..\Run: [WindowsUpdatesyssvcc] syssvcc.exe
O4 – HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 – HKCU\..\Run: [Skype] "C:\Instalki\Skype\Phone\Skype.exe" /nosplash /minimized
O8 – Extra context menu item: E&ksport do programu Microsoft Excel – res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 – DPF: {6414512B–B978–451D–A0D8–FCFDF33E833C} (WUWebControl Class) – http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1128521732484
O23 – Service: avast! iAVS4 Control Service (aswUpdSv) – Unknown owner – C:\instalki\Alwil Software\Avast4\aswUpdSv.exe
O23 – Service: avast! Antivirus – Unknown owner – C:\instalki\Alwil Software\Avast4\ashServ.exe
O23 – Service: avast! Mail Scanner – Unknown owner – C:\instalki\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 – Service: avast! Web Scanner – Unknown owner – C:\instalki\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 – Service: LexBce Server (LexBceS) – Lexmark International, Inc. – C:\WINDOWS\system32\LEXBCES.EXE
O23 – Service: NVIDIA Display Driver Service (NVSvc) – NVIDIA Corporation – C:\WINDOWS\System32\nvsvc32.exe
O23 – Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) – Analog Devices, Inc. – C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
Teraz mam uruchomionych 35 procesow :) i ikonka Avasta sie juz nie pokazuje :)
Dodam tylko ze w system32 nie widzialem tych dwoch plikow ze spacja w nazwie... Czy teraz moge juz spac spokojnie??
Jezlei tak to dziekuje wam za pomoc
pozdrawiam
A to ci to da, źe nie będzie 40 procesów tylko 36. To są ścieźki urucahmiania wirusa
cd C:\Windows\system32
attrib –r –s –h *svchost.exe
attrib –r –s –h *lsass.exe
Wpisalem.... a co te komendy oznaczaja??
Nie ma tych plikow... w system32... W pierwszym poscie napisales zebym przy pomocy HJT to usunal...
O4 – HKLM\..\Run: [MS–patch33] winsecurity.exe
O4 – HKLM\..\Run: [WindowsUpdatesvchost] svchost.exe
O4 – HKLM\..\Run: [WindowsUpdatelsass] lsass.exe
O4 – HKLM\..\RunServices: [MS–patch33] winsecurity.exe
co mi to da??
Zaznaczyłeś w opcjach folderów pokazywanie ukrytych i systemowych plików?
Otwórz wiersz poleceń, wpisz:
Sciagnij sobie Killboxa, wklej do niego ścieźki:
I sprawdź czy pokaźe czy taki plik istnieje, jeśli tak zaznacz "delete on reboot"
Otwórz wiersz poleceń, wpisz:
cd C:\Windows\system32
attrib –r –s –h *svchost.exe
attrib –r –s –h *lsass.exe
Sciagnij sobie Killboxa, wklej do niego ścieźki:
C:\WINDOWS\system32\ svchost.exe
C:\WINDOWS\system32\ lsass.exe
I sprawdź czy pokaźe czy taki plik istnieje, jeśli tak zaznacz "delete on reboot"
Przejdziesz do system32 i znajdziesz tak podwójne lsass i svchost, te które masz usunąc maja w nazwie na początku spacje, rozpoznasz je takźe po wlaściwościach, prawdziwe są podpisane przez MS, te do usunięcia nie.
W system32 nie ma tych plikow "ze spacja" w nazwie – sa one za to w katalogu: windows\prefetch i nazywaja sie tak:
– SVCHOST.EXE–0BD150B2.pf
– LSASS.EXE–1B5AFD17.pf
W system32 sa po jednej sztuce svchost.exe i lsass.exe !
Wiec co robic??
Dodam jeszcze ze mam antyvira Avasta i co jakis czas pojawia mi sie ikonka (kolo zegarka) sprawdzania poczty i jak najade mysza to wyswietlaja sie dziwne adresy! np. ya.mx.aol.com lub jakies IP... wiec albo to cos mi wysyla jakies meile albo Avast oszalal...
Sam nie instalowałeś, ale pewnie samo się poinstalowało.
Przejdziesz do system32 i znajdziesz tak podwójne lsass i svchost, te które masz usunąc maja w nazwie na początku spacje, rozpoznasz je takźe po wlaściwościach, prawdziwe są podpisane przez MS, te do usunięcia nie.
Ubij je w trybie awaryjnym.
Na końcu zaznacz i usuń w HJT:
Przejdziesz do system32 i znajdziesz tak podwójne lsass i svchost, te które masz usunąc maja w nazwie na początku spacje, rozpoznasz je takźe po wlaściwościach, prawdziwe są podpisane przez MS, te do usunięcia nie.
Ubij je w trybie awaryjnym.
Na końcu zaznacz i usuń w HJT:
O4 – HKLM\..\Run: [MS–patch33] winsecurity.exe
O4 – HKLM\..\Run: [WindowsUpdatesvchost] svchost.exe
O4 – HKLM\..\Run: [WindowsUpdatelsass] lsass.exe
O4 – HKLM\..\RunServices: [MS–patch33] winsecurity.exe
Strona 1 / 1