Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

FRST64 - prosba o sprawdzenie logów

korky 25 Lut 2016 01:00 573 10
  • #1 25 Lut 2016 01:00
    korky
    Poziom 13  

    Witam,
    Bitdefender był nieaktualny przez długo i nie zdołał uchronić komputera przed inwazją kliknięć mej dziewczyny pod moja nieobecność.
    Bit defender juz aktualny , komp przeskanowany, znalazł kilka ale nadal nie do końća.
    Pozatym Malwerebytes usunął też dość sporo.
    Do tego adwcleaner usunął z jakieś 4.
    No i nadal mi coś nie gra w przeglądarce. Po zatwierdzeniu enterem adresu w nowej karcie jest chwila opóźnienia zanim strona zacznie się ładować. Jakieś 4 s about: blank..
    Poza tym karty co jakiś czas w ułamku sekundy się jakby przeładowują na pasku kart.
    Do tego czasem sobie przekierowuje adres na jakąś reklamową stronę.
    Na starcie chromea była jeszce wyszukiwarka AQOVD, jednak jakiś antywir się jej wyzbył, jednak zajrzałem do windows explorera i tam się ostała.

    Po tych wszystkich antywirach zacząłem szukać jakiegoś konkretnego i pewnego rozwiązania, nie chcę mieć trochę zdrowego PC tylko chce być pewien, że wszystko jest perfect. Poczytałem tu trochę jakie tu czarne magie odprawiacie...
    Wiec ściągnąłem tego FRST64 stworzyłem logi i zacząłem czytać instrukcje tego programu. Trochę jednak dużo informacji, ciężko mi to szybko skleić w całość i napisać dobrego fixa, dlatego proszę was o pomoc- o napisanie fixa którym w końcu wyczyszczę komputer. Poza tym analizując stworzonego przez was fixa wraz z instrukcją będzie mi znacznie łatwiej zrozumieć zasadę jego tworzenia na przyszłość.

    0 10
  • Pomocny post
    #2 25 Lut 2016 08:44
    Domino_2
    Pomocny dla użytkowników

    Cytat:

    Task: {96226B8C-471C-4E18-80D7-D98B1983CC30} - System32\Tasks\{1A3CE12A-1B6E-42FA-9348-6BAE2FAB346F} => pcalua.exe -a "C:\Program Files\Chaos Group\Phoenix FD\3ds Max 2014 for x64/uninstall/installer.exe" -c -uninstall="C:\Program Files\Chaos Group\Phoenix FD\3ds Max 2014 for x64/uninstall/install.log" -uninstallApp="Phoenix FD for 3ds Max 2014 for x64"
    HKLM-x32\...\Run: [] => [X]
    HKU\S-1-5-21-2668393699-1895447403-1309272220-1001\...\Run: [AdobeBridge] => [X]
    ShortcutTarget: Network Server.lnk -> C:\Program Files (x86)\WIBUKEY\Server\WkSvMgr.exe (Brak pliku)
    GroupPolicy: Ograniczenia - Chrome <======= UWAGA
    CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA
    URLSearchHook: [S-1-5-21-2668393699-1895447403-1309272220-1008] UWAGA => Brak domyślnego URLSearchHook
    FF Plugin: adobe.com/AdobeAAMDetect -> C:\Program Files (x86)\Common Files\Adobe\OOBE\PDAPP\CCM\Utilities\npAdobeAAMDetect64.dll [Brak pliku]
    CHR HKLM-x32\...\Chrome\Extension: [fabcmochhfpldjekobfaaggijgohadih] - hxxps://clients2.google.com/service/update2/crx
    2016-02-24 23:30 - 2016-02-24 23:31 - 00000000 ____D C:\AdwCleaner
    EmptyTemp:


    Wklej to do notatnika i zapisz pod nazwą fixlist.txt i umieść w folderze gdzie znajduje się plik FRST.exe/FRST64.exe, odpal go i kliknij Fix/Napraw.

    0
  • #3 29 Lut 2016 01:19
    korky
    Poziom 13  

    Domino_2, dzięki za odpowiedź.
    Wgłębiałem się w listę jaką stworzyłeś i mam kilka pytań zanim dokonam operacji.

    Cytat:
    1. Task: {96226B8C-471C-4E18-80D7-D98B1983CC30} - System32\Tasks\{1A3CE12A-1B6E-42FA-9348-6BAE2FAB346F} => pcalua.exe -a "C:\Program Files\Chaos Group\Phoenix FD\3ds Max 2014 for x64/uninstall/installer.exe" -c -uninstall="C:\Program Files\Chaos Group\Phoenix FD\3ds Max 2014 for x64/uninstall/install.log" -uninstallApp="Phoenix FD for 3ds Max 2014 for x64"
    2. HKLM-x32\...\Run: [] => [X]
    3. HKU\S-1-5-21-2668393699-1895447403-1309272220-1001\...\Run: [AdobeBridge] => [X]
    4. ShortcutTarget: Network Server.lnk -> C:\Program Files (x86)\WIBUKEY\Server\WkSvMgr.exe (Brak pliku)
    5. GroupPolicy: Ograniczenia - Chrome <======= UWAGA
    6. CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA
    7. URLSearchHook: [S-1-5-21-2668393699-1895447403-1309272220-1008] UWAGA => Brak domyślnego URLSearchHook
    8. FF Plugin: adobe.com/AdobeAAMDetect -> C:\Program Files (x86)\Common Files\Adobe\OOBE\PDAPP\CCM\Utilities\npAdobeAAMDetect64.dll [Brak pliku]
    9. CHR HKLM-x32\...\Chrome\Extension: [fabcmochhfpldjekobfaaggijgohadih] - hxxps://clients2.google.com/service/update2/crx
    10. 2016-02-24 23:30 - 2016-02-24 23:31 - 00000000 ____D C:\AdwCleaner
    EmptyTemp:


    1. Wpisy zakończone "(brak pliku)" można z góry uznać za śmieć, niekoniecznie trojan, jednak niepotrzebny w rejestrze wpis ? Czy są to faktycznie trojany ? Ponieważ kojarzę nazwę programu Wibutey instalowanego przy silniku renderującym.
    2. Wpisy zakończone [X] można z góry uznać za mocno podejrzane, jako, że nie ma ją jawnej ścieżki dostępu ?
    3. Wpisy zakończone UWAGA również można z góry uznać na silnie podejrzane, szczególnie takie jak linijka 5 i 6, które wskazują na modyfikację "możliwości" użytkownika ?
    4. Co w linijce 7 wskazuje bezpośrednio na trojana ? Poza tym, że wyróżnia się na tle formy zapisu w stosunku do innych wpisów tego działu ?
    5. W 9 linijce podobnie- co wskazuje na to że to trojan ?
    6. Przedostatnia 10 linijka oznacza- usuń wszystko co zostało zainstalowane między xxx a yyy ?

    0
  • Pomocny post
    #4 29 Lut 2016 10:11
    Kolobos
    Spec od komputerów

    Podany fixlist nie usuwa trojanow, tylko zbedne wpisy i inne pozostalosci.

    1. Wpisy bez pliku niczego juz nie uruchamiaja. Dlatego mozna je usunac.
    2. Tak jak wyzej, brak sciezki = brak pliku do uruchomienia.
    3. To uwaga dla osoby sprawdzajacej, na ogol wszystkie wpisy z tym dopiskiem mozna usunac ale nie zawsze.
    4. Nic, to kolejny zbedny wpis.
    5. Rowniez nic, to portfel bitdeffendera, rowniez zbedny.
    6. Nie, usuwa katalog C:\AdwCleaner z dysku.

    @Domino_2 oczywiscie pominal to co najwazniejsze.

    Nowy Fixlist.txt dla FRST:
    ShortcutWithArgument: C:\Users\Stach\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> www.aqovd.com?oem=mbtkplv3&uid=14230C41B6D7_Crucial_CT128MX100SSD1&tm=1449020184
    ShortcutWithArgument: C:\Users\Stach\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> www.aqovd.com?oem=mbtkplv3&uid=14230C41B6D7_Crucial_CT128MX100SSD1&tm=1449020184
    AlternateDataStreams: C:\Users\Stach\Cookies:tXJPGScllv9z5XTkRFW
    AlternateDataStreams: C:\Users\Stach\AppData\Local\Temporary Internet Files:9Z5aBbD5wtXwANuNvMZn7vF
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\AutorunsDisabled
    CHR Extension: (SavePages) - C:\Users\Stach\AppData\Local\Google\Chrome\User Data\Default\Extensions\dfcamfllailmlhibpelbdcpehpegbbjk [2016-02-24]
    CHR Extension: (Easy Search) - C:\Users\Stach\AppData\Local\Google\Chrome\User Data\Default\Extensions\hdnadicfhkbpdafdildanpbjapjlmkab [2016-02-24]

    1
  • #5 29 Lut 2016 14:08
    korky
    Poziom 13  

    Dzięki Kolobos. Wreszcie coś związanego z aqovd.
    Poza tym prosiłbym tylko co oznaczają dane linijki i po czym to stwierdziłeś :

    Cytat:
    AlternateDataStreams: C:\Users\Stach\Cookies:tXJPGScllv9z5XTkRFW
    AlternateDataStreams: C:\Users\Stach\AppData\Local\Temporary Internet Files:9Z5aBbD5wtXwANuNvMZn7vF
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\AutorunsDisabled
    CHR Extension: (SavePages) - C:\Users\Stach\AppData\Local\Google\Chrome\User Data\Default\Extensions\dfcamfllailmlhibpelbdcpehpegbbjk [2016-02-24]
    CHR Extension: (Easy Search) - C:\Users\Stach\AppData\Local\Google\Chrome\User Data\Default\Extensions\hdnadicfhkbpdafdildanpbjapjlmkab [2016-02-24]


    Jeśli temat jest bardziej złożony, to czy polecasz przeczytać coś poza instrukcją FRST ?

    0
  • Pomocny post
    #6 29 Lut 2016 14:11
    Kolobos
    Spec od komputerów

    Dwa strumienie do kasacji.
    Wylaczony wpis z autostartu do kasacji.
    Dwa rozszerzenia z chrome do kasacji.

    Znam sie na tym i widze co jest do usuniecia.

    Nie, to wszystko. O ile oczywiscie aqovd nie otwiera sie jeszcze w jakiejs przegladarce.

    0
  • #7 29 Lut 2016 14:18
    korky
    Poziom 13  

    ok, rozumiem, co to do kasacji, ale dlaczego ? Albo raczej co bym mógł poczytać, by się wgłębić w temat na tyle co ty, by móc stwierdzić samodzielnie i nie zawracać dupy w przyszłości innym ?

    Moderowany przez RADU23:

    Proszę o nie używanie wulgaryzmów na forum
    3.1.13. Dbaj o poprawność językową, zachowuj zasady netykiety. Nie wysyłaj wiadomości, które trudno jest przeczytać i zrozumieć co druga strona miała tak naprawdę na myśli.

    0
  • #8 29 Lut 2016 14:28
    Kolobos
    Spec od komputerów

    Sa tylko dwie przyczyny dlaczego cos nadaje sie do kasacji, albo jest szkodliwe albo zbedne.
    Chyba nie myslisz, ze "wystarczy cos przeczytac" i juz. Obawiam sie, ze bedziesz musial zawracac.

    0
  • #9 29 Lut 2016 16:35
    korky
    Poziom 13  

    Dzięki !
    Wyszukiwarka na starcie usunięta.
    Przekierowania do reklam już nie następują. Przynajmniej na razie.
    ale chyba nie udało się usunąć jednego spy'a "Nie można przywrócić Domyślne URLSearchHook", albo... nie wiem co .
    Poza tym cały czas mam problem z nową kartą w chrome. W nowej karcie wpisując adres i zatwierdzając, karta zawiesza się na jakieś 4-5s "about:blank" po czym zaskakuje na stronie. Internet Explorer teraz działa szybciej- zaskakuje od razu.
    Załączam logi.

    0
  • Pomocny post
    #10 29 Lut 2016 16:44
    Kolobos
    Spec od komputerów

    Odinstaluj Chrome, usun katalog profilu z %LOCALAPPDATA%\Google\Chrome\User Data\ i zainstaluj Chrome ponownie.

    "Brak domyślnego URLSearchHook" nie ma znaczenia.

    0
  • #11 29 Lut 2016 16:56
    korky
    Poziom 13  

    moje uszanowanie specjalisto Kolobos. Dzięki wielkie. Wszystko już działa perfect !
    Głęboki ukłon i pozdrawiam.
    Co tu napisać na zamknięcie tematu. Chyba tylko tyle, że wszystko zakończyło się pomyślnie, dzięki człowiekowi dobrej woli z chęcią pomocy i cierpliwością. Niech mu karma sprzyja.
    Dziękuję. Do widzenia.

    0