Witam, złapałem bardzo chamskiego wirusa jak w temacie. Poprzez tryb awaryjny, skanowania różnymi antywirusami udało mi się go w miarę zneutralizować, ale nie do końca, bo widzę, że jego część nadal jest w procesach i nie da się wyłączyć, przez co reszta plików nie da się usunąć. Dodatkowym...

Otwórz notatnik systemowy i wklej: Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze. Zapisując Fixlist kodowanie ustaw na UTF-8 Uruchom jako administrator FRST i kliknij w Fix/Napraw.

Odinstaluj: Trojan Remover 6.9.3 Obok frst.exe utworz pliki fixlist.txt z zawartoscia: CloseProcesses: Task: {09590F2C-E0F8-4289-8606-87BE786DFB6A} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-37082234-313136031-2243966049-1000Core => C:\Users\Sebastian jestem\AppData\Local\Facebook\Update\FacebookUpdate.exe [2013-02-03] (Facebook Inc.) Task: {3CDAF276-8996-416B-BB0F-BFE205008102} - System32\Tasks\{0146089C-29BE-42ED-833C-45F18180448F} => pcalua.exe -a C:\Users\Sebastian jestem\Downloads\GameRangerSetup (1).exe -d C:\Users\Sebastian jestem\Downloads Task: {433292AF-6C26-4090-B5D3-EF56619FE3A4} - System32\Tasks\Microsoft\Windows\Software\UpdaterSrv => C:\ProgramData\UpdaterSrv\UpdaterSrv.exe Brak pliku pcalua.exe -a C:\Users\Sebastian jestem\Downloads\esetsmartinstaller_plk.exe -d C:\Users\Sebastian jestem\Downloads Task: {6BDDAA12-4C62-4B2A-ADFB-CF28785EC0F7} - System32\Tasks\{4EA59A0C-FF9F-4111-A602-E0AC44C42C75} => pcalua.exe -a C:\Users\Sebastian jestem\Downloads\PDFCombiner-Installation (1).exe -d C:\Users\Sebastian jestem\Downloads Task: {8848E9D5-CC53-4FB1-B593-29A368B998F0} - System32\Tasks\Lorckphsary Reports => C:\Program Files (x86)\Lorckphsary\lrcReportsTask.exe Task: {A2C07C6D-C48D-4FD6-A0B1-0A9EEAF99B2E} - System32\Tasks\{4147F8D9-F75D-4B15-9526-4E78789EB7C7} => pcalua.exe -a C:\Users\Sebastian jestem\Downloads\odp-3.2-bin-windows-en-US (1).exe -d C:\Users\Sebastian jestem\Downloads Task: {BD526FBB-D136-4EE1-AE09-9BB51038D172} - System32\Tasks\{20D69EA6-7AE5-4183-BEC7-2C9F585B8357} => pcalua.exe -a C:\Users\Sebastian jestem\Downloads\PDFCombiner-Installation (1).exe -d C:\Users\Sebastian jestem\Downloads Task: {C5981634-F712-4B62-AC9B-8C1DE5609D42} - System32\Tasks\{303E167F-DB2F-4714-833E-7425B1EF898C} => pcalua.exe -a C:\Users\Sebastian jestem\Downloads\SoftonicDownloader_for_free-pdf-unlocker.exe -d C:\Users\Sebastian jestem\Downloads C:\Program Files\SoftlandovaPDF 8\Driver\UpdateApplication.exe [2014-12-16] () Task: {DE57C84B-52A2-43A2-93E5-46FF90AFD710} - System32\Tasks\{47AB1B44-1DE9-4B66-9468-A325D6681ABD} => pcalua.exe -a C:\Users\Sebastian jestem\Downloads\Autodesk_RSAPRO_2015_Multilingual_Win_64bit_WI_pl-PL_Setup.exe -d C:\Users\Sebastian jestem\Downloads Task: {E7ADAFBA-04EB-4BE4-9AC2-89E318E96056} - \AdobeFlashPlayerUpdate 2 -> Brak pliku C:\Users\Sebastian jestem\AppData\Local\Facebook\Update\FacebookUpdate.exe AlternateDataStreams: C:\Users\Sebastian jestem\Local Settings:init [1359453] HKLM\...\Run: [99] => wscript.exe //B C:\Users\Sebastian jestem\AppData\Roaming\99.vbs HKLM\...\Winlogon: wscript, HKU\S-1-5-21-37082234-313136031-2243966049-1000\...\Run: [99] => wscript.exe //B C:\Users\Sebastian jestem\AppData\Roaming\99.vbs HKU\S-1-5-21-37082234-313136031-2243966049-1000\...\Run: [msiql] => C:\ProgramData\msiql.exe /RUNNING HKU\S-1-5-21-37082234-313136031-2243966049-1000\...\Policies\Explorer: [] HKU\S-1-5-21-37082234-313136031-2243966049-1000\...\MountPoints2: {10332163-1773-11e2-a6df-dc0ea12bbbb3} - H:\LaunchU3.exe -a HKU\S-1-5-21-37082234-313136031-2243966049-1000\...\MountPoints2: {5027c23e-e618-11e1-8325-806e6f6e6963} - F:\DistinguishOS.exe HKU\S-1-5-21-37082234-313136031-2243966049-1000\...\MountPoints2: {609c238f-fe41-11e1-aec8-dc0ea12bbbb3} - G:\setup.exe HKU\S-1-5-21-37082234-313136031-2243966049-1002\...\Run: [Facebook Update] => C:\Users\Sebastian jestem\AppData\Local\Facebook\Update\FacebookUpdate.exe [138096 2013-02-03] (Facebook Inc.) HKU\S-1-5-21-37082234-313136031-2243966049-1002\...\MountPoints2: {5027c23e-e618-11e1-8325-806e6f6e6963} - F:\DistinguishOS.exe Lsa: [Notification Packages] scecli C:\Program Files\WIDCOMM\Bluetooth Software\BtwProximityCP.dll ShellIconOverlayIdentifiers: [.QMDeskTopGCIcon] -> {B7667919-3765-4815-A66D-98A09BE662D6} => Brak pliku SearchScopes: HKU\S-1-5-21-37082234-313136031-2243966049-1000 -> ŰźĆîZ§’2ąŢpv¨IÍá*X(Ž2s(ŰÎŔJşÔÓµť± vË°!×—(äĽ48Đ¸patm6ęo^Mp`Ëő÷_iŁwľ!„Áű†x˘8€ŮjŔ˙ţ ´Ń;áa´[¦†8 ş~ŹRŮxśňÜ8'Ł-)xä URL = FF Extension: heartbleeddactylgooglecodecom - C:\Users\Sebastian jestem\AppData\Roaming\Mozilla\Firefox\Profiles\p4kfvj8t.default\extensions\heartbleed@dactyl.googlecode.com [2015-10-15] FF Extension: autoreloadyzcom - C:\Users\Sebastian jestem\AppData\Roaming\Mozilla\Firefox\Profiles\p4kfvj8t.default\extensions\autoreload@yz.com [2015-10-15] FF Extension: keywordsearchkaplycom - C:\Users\Sebastian jestem\AppData\Roaming\Mozilla\Firefox\Profiles\p4kfvj8t.default\extensions\keywordsearch@kaply.com [2015-10-16] FF HKU\S-1-5-21-37082234-313136031-2243966049-1000\...\Firefox\Extensions: [eran@whoislive.com] - C:\Users\SEBAST~1\AppData\Local\Temp\whoislive.xpi => nie znaleziono FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\browser\defaults\preferences\prefs.js [2015-10-16]

@Sknera wykonaj Fixlist.txt, ktory podalem. Ten podany przez @Acorus 20 jest wybrakowany.

Po uruchomieniu programu FRST i daniu polecenia napraw (po wykonaniu wszystkich wcześniejszych kroków) program się zawiesza tzn. zaczyna naprawiać i się zawiesza. Dzieje się tak przy pierwszym notatniku. Potem musze już zresetować komputer bo da się go wyłączyć ale już się nie wyłączy tylko zatrzymuje się na oknie wyloguj. Gdy włączę go ponownie explorer.exe działa jednak za następnym razem już nie. Czy mimo zawieszenia się działać z drugim notatnikiem?

Niestety nie zobaczyłem, że to dwóch innych autorów i wykonałem obydwa. Po wykonaniu zrobiłem skan (w załączniku). Wizualnie pomogło dziękuję bardzo, za pomoc. Chętnie postawiłbym Wam piwo nie tylko na forum

Nowy Fixlist.txt: FF Plugin-x32: @q-q.com/npAndroidAssistant -> C:\Program Files (x86)\Common Files\Tencent\QQPhoneManager\2.0.201.3192pQQPhoneManagerExt.dll S2 BitTorrent; C:\Program Files\BitTorrent\BitTorrent.exe /s iid=6806855 did=APSnapdoAMRev sid=3 ref=d4cb1a32-a804-f50e-6b6c-4ceaabcf3418-PolicyMac id=ce3f8e4a5ea80dcf55786a99e2a28ee17e0de50fe8d70968997eb5a925e431c9 [X] U3 atoacndz; C:\Windows\System32\Drivers\atoacndz.sys [0 ] (Advanced Micro Devices)

Zrobione. W załączniku raport po skanowaniu.

Usun katalog C:\FRST i to wszystko.

REKLAMA

Adblock/uBlockOrigin/AdGuard mogą powodować znikanie niektórych postów z powodu nowej reguły.

Wirus Tencent PCMgr - explorer.exe nie uruchamia się automatycznie po starcie

Sknera 07 Maj 2016 10:13 969 9

REKLAMA

Zgłoś naruszenie prawa

| Nowy temat

#1 15656083 07 Maj 2016 10:13

Sknera Sknera

Poziom 9

Posty: 34

Ocena: 1
Autor tematu

Post #1
15656083 07 Maj 2016 10:13

Witam, złapałem bardzo chamskiego wirusa jak w temacie. Poprzez tryb awaryjny, skanowania różnymi antywirusami udało mi się go w miarę zneutralizować, ale nie do końca, bo widzę, że jego część nadal jest w procesach i nie da się wyłączyć, przez co reszta plików nie da się usunąć.
Dodatkowym problemem jaki się pojawił jest włączanie komputera. Po uruchomieniu i ekranie powitalnym Zapraszamy mam czarne okno (nie uruchamia się explorer.exe) i muszę go sam uruchomić ręcznie.
W załączniku logi.

Załączniki:

FRST.txt (49.29 KB) Musisz być zalogowany, aby pobrać ten załącznik.

Addition.txt (59.58 KB) Musisz być zalogowany, aby pobrać ten załącznik.

Extras.Txt (108.95 KB) Musisz być zalogowany, aby pobrać ten załącznik.

OTL.Txt (104.32 KB) Musisz być zalogowany, aby pobrać ten załącznik.
REKLAMA
Pomocny post

#2 15656126 07 Maj 2016 10:40

Acorus 20 Acorus 20

Poziom 43

Posty: 10541

Pomógł: 3247

Ocena: 1063
Pomocny post? (+1)

Pomocny post
Post #2
15656126 07 Maj 2016 10:40

Otwórz notatnik systemowy i wklej:
Cytat:
CloseProcesses:
Task: {09590F2C-E0F8-4289-8606-87BE786DFB6A} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-37082234-313136031-2243966049-1000Core => C:\Users\Sebastian jestem\AppData\Local\Facebook\Update\FacebookUpdate.exe [2013-02-03] (Facebook Inc.)
Task: {433292AF-6C26-4090-B5D3-EF56619FE3A4} - System32\Tasks\Microsoft\Windows\Software\UpdaterSrv => C:\ProgramData\UpdaterSrv\UpdaterSrv.exe <==== UWAGA
Task: {549E00AB-442A-46F8-8D7F-6AD192D53592} - \AdobeFlashPlayerUpdate -> Brak pliku <==== UWAGA
Task: {C5981634-F712-4B62-AC9B-8C1DE5609D42} - System32\Tasks\{303E167F-DB2F-4714-833E-7425B1EF898C} => pcalua.exe -a "C:\Users\Sebastian jestem\Downloads\SoftonicDownloader_for_free-pdf-unlocker.exe" -d "C:\Users\Sebastian jestem\Downloads" <==== UWAGA
HKLM\...\Run: [99] => wscript.exe //B "C:\Users\Sebastian jestem\AppData\Roaming\99.vbs"
HKLM\...\Winlogon: [Userinit] wscript,
HKU\S-1-5-21-37082234-313136031-2243966049-1000\...\Run: [99] => wscript.exe //B "C:\Users\Sebastian jestem\AppData\Roaming\99.vbs"
HKU\S-1-5-21-37082234-313136031-2243966049-1000\...\Run: [msiql] => C:\ProgramData\msiql.exe /RUNNING
HKU\S-1-5-21-37082234-313136031-2243966049-1000\...\Policies\Explorer: []
HKU\S-1-5-21-37082234-313136031-2243966049-1000\...\MountPoints2: {10332163-1773-11e2-a6df-dc0ea12bbbb3} - H:\LaunchU3.exe -a
HKU\S-1-5-21-37082234-313136031-2243966049-1000\...\MountPoints2: {5027c23e-e618-11e1-8325-806e6f6e6963} - F:\DistinguishOS.exe
HKU\S-1-5-21-37082234-313136031-2243966049-1000\...\MountPoints2: {609c238f-fe41-11e1-aec8-dc0ea12bbbb3} - G:\setup.exe
HKU\S-1-5-21-37082234-313136031-2243966049-1002\...\Run: [Facebook Update] => C:\Users\Sebastian jestem\AppData\Local\Facebook\Update\FacebookUpdate.exe [138096 2013-02-03] (Facebook Inc.)
HKU\S-1-5-21-37082234-313136031-2243966049-1002\...\MountPoints2: {5027c23e-e618-11e1-8325-806e6f6e6963} - F:\DistinguishOS.exe
SearchScopes: HKU\.DEFAULT -> {483830EE-A4CD-4b71-B0A3-3D82E62A6909} URL =
SearchScopes: HKU\S-1-5-21-37082234-313136031-2243966049-1000 -> ŰźĆîZ§’2ąŢpv¨IÍá*X(Ž2s(ŰÎŔJşÔÓµť± vË°!×—(äĽ48Đ¸patm6ęo^Mp`Ëő÷_iŁwľ!„Áű†x˘8€ŮjŔ˙ţ ´Ń;áa´[¦†8 ş~ŹRŮxśňÜ8'Ł-)xä URL =
FF Homepage: hxxps://www.malwarebytes.org/restorebrowser/
FF Extension: autoreloadyzcom - C:\Users\Sebastian jestem\AppData\Roaming\Mozilla\Firefox\Profiles\p4kfvj8t.default\extensions\autoreload@yz.com [2015-10-15] [Brak podpisu cyfrowego]
FF Extension: keywordsearchkaplycom - C:\Users\Sebastian jestem\AppData\Roaming\Mozilla\Firefox\Profiles\p4kfvj8t.default\extensions\keywordsearch@kaply.com [2015-10-16] [Brak podpisu cyfrowego]
FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\browser\defaults\preferences\prefs.js [2015-10-16] <==== UWAGA (Linkuje do pliku *.cfg)
StartMenuInternet: (HKLM) Opera - C:\Program Files (x86)\Opera\Opera.exe hxxp://www.istartsurf.com/?type=sc&ts=1444646952&z=60cbc2e5182a8b951c75fc5g5zcz3z8qbz7q0m1c2g&from=cor&uid=HitachiXHTS547575A9E384_J2540054JVG5TEJVG5TEX
S2 productliednwnload; C:\Users\Sebastian jestem\AppData\Local\Faseway.exe uudateprod productliednwnload [X]
S2 QQRepair1f13; "C:\Program Files (x86)\Tencent\QQPCMGR\Plugins\QQRepair1f13" [X]
S2 QQRepair270e; "C:\Program Files (x86)\Tencent\QQPCMGR\Plugins\QQRepair270e" [X]
S2 QQRepairc81; "C:\Program Files (x86)\Tencent\QQPCMGR\Plugins\QQRepairc81" [X]
S2 QQRepairFixSVC; C:\Program Files (x86)\Tencent\QQPCMGR\Plugins\QQRepairFixSVC [X]
R1 UCGuard; C:\Windows\System32\DRIVERS\ucguard.sys [80768 2016-04-25] (Huorong Borui (Beijing) Technology Co., Ltd.)
U3 a6p9dujb; C:\Windows\System32\Drivers\a6p9dujb.sys [0 ] (Advanced Micro Devices) <==== UWAGA (zerobajtowy plik/folder)
S3 ALSysIO; \??\C:\Users\SEBAST~1\AppData\Local\Temp\ALSysIO64.sys [X]
R3 gkernel; \??\C:\Users\SEBAST~1\AppData\Local\Temp\gkernel.sys [X]
S1 softaal; \??\C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\softaal64.sys [X]
S1 SRepairDrv; \??\C:\Program Files (x86)\Tencent\QQPCMGR\Plugins\SRepairDrv [X]
S2 tsnethlpx64; \??\C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\TsNetHlpX64.sys [X]
S3 xhunter1; \??\C:\Windows\xhunter1.sys [X]
2016-05-06 21:54 - 2016-05-06 21:54 - 00000000 ____D C:\Users\Public\Thunder Network
2016-05-06 21:54 - 2016-05-06 21:54 - 00000000 ____D C:\ProgramData\Thunder Network
2016-05-06 21:18 - 2016-05-06 21:18 - 00001535 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\UC浏览器.lnk
2016-05-06 21:18 - 2016-05-06 21:18 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\UC浏览器
2016-05-06 21:18 - 2016-04-25 13:29 - 00080768 _____ (Huorong Borui (Beijing) Technology Co., Ltd.) C:\Windows\system32\Drivers\ucguard.sys
2016-05-07 09:35 - 2013-12-27 14:44 - 00000000 ____D C:\AdwCleaner
2015-04-19 14:20 - 2015-04-19 14:20 - 0005872 _____ () C:\Users\Sebastian jestem\AppData\Roaming\21oUr4gFPUS7aS6PmxetKM
2015-04-19 14:20 - 2015-04-19 14:20 - 0005872 _____ () C:\Users\Sebastian jestem\AppData\Roaming\a6C3QXmwMHj1CEU
2016-05-06 20:58 - 2016-05-06 20:58 - 6494208 _____ () C:\Users\Sebastian jestem\AppData\Roaming\agent.dat
2015-04-19 14:20 - 2015-04-19 14:20 - 0005872 _____ () C:\Users\Sebastian jestem\AppData\Roaming\FsbMq5uTWigbxeR
2016-05-06 20:56 - 2016-05-06 20:56 - 0127488 _____ () C:\Users\Sebastian jestem\AppData\Roaming\Installer.dat
2016-05-06 20:58 - 2016-05-06 20:58 - 0018432 _____ () C:\Users\Sebastian jestem\AppData\Roaming\Main.dat
2016-05-06 20:58 - 2016-05-06 20:58 - 1626777 _____ () C:\Users\Sebastian jestem\AppData\Roaming\Opetough.tst
2016-05-06 20:58 - 2016-05-06 20:58 - 0072717 _____ () C:\Users\Sebastian jestem\AppData\Roaming\Scotity.tst
2016-05-06 20:58 - 2016-05-06 20:58 - 1626777 _____ () C:\Users\Sebastian jestem\AppData\Roaming\Stimtip.tst
2016-05-06 20:58 - 2016-05-06 20:58 - 0072717 _____ () C:\Users\Sebastian jestem\AppData\Roaming\Unasolflex.tst
2016-04-23 17:19 - 2014-07-25 04:39 - 0293320 ____N (深圳市迅雷网络技术有限公司) C:\Users\Sebastian jestem\AppData\Roaming\xldl.dll
C:\ProgramData\a.bat
C:\ProgramData\adb.exe
C:\ProgramData\fastboot.exe
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.
Zapisując Fixlist kodowanie ustaw na UTF-8
Uruchom jako administrator FRST i kliknij w Fix/Napraw.
REKLAMA
Pomocny post

#3 15656132 07 Maj 2016 10:43

Kolobos Kolobos

Spec od komputerów

Posty: 85164

Pomógł: 17165

Ocena: 10442
Pomocny post? (+1)

Pomocny post
Post #3
15656132 07 Maj 2016 10:43

Odinstaluj: Trojan Remover 6.9.3

Obok frst.exe utworz pliki fixlist.txt z zawartoscia:
CloseProcesses:
Task: {09590F2C-E0F8-4289-8606-87BE786DFB6A} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-37082234-313136031-2243966049-1000Core => C:\Users\Sebastian jestem\AppData\Local\Facebook\Update\FacebookUpdate.exe [2013-02-03] (Facebook Inc.)
Task: {3CDAF276-8996-416B-BB0F-BFE205008102} - System32\Tasks\{0146089C-29BE-42ED-833C-45F18180448F} => pcalua.exe -a "C:\Users\Sebastian jestem\Downloads\GameRangerSetup (1).exe" -d "C:\Users\Sebastian jestem\Downloads"
Task: {433292AF-6C26-4090-B5D3-EF56619FE3A4} - System32\Tasks\Microsoft\Windows\Software\UpdaterSrv => C:\ProgramData\UpdaterSrv\UpdaterSrv.exe <==== UWAGA
Task: {549E00AB-442A-46F8-8D7F-6AD192D53592} - \AdobeFlashPlayerUpdate -> Brak pliku <==== UWAGA
Task: {57AFD8D1-0E09-42F5-ABB7-E52D41D7ECE5} - System32\Tasks\{F2049168-1393-48EE-8F37-5386ADCA4B4F} => pcalua.exe -a "C:\Users\Sebastian jestem\Downloads\esetsmartinstaller_plk.exe" -d "C:\Users\Sebastian jestem\Downloads"
Task: {6BDDAA12-4C62-4B2A-ADFB-CF28785EC0F7} - System32\Tasks\{4EA59A0C-FF9F-4111-A602-E0AC44C42C75} => pcalua.exe -a "C:\Users\Sebastian jestem\Downloads\PDFCombiner-Installation (1).exe" -d "C:\Users\Sebastian jestem\Downloads"
Task: {8848E9D5-CC53-4FB1-B593-29A368B998F0} - System32\Tasks\Lorckphsary Reports => C:\Program Files (x86)\Lorckphsary\lrcReportsTask.exe
Task: {A2C07C6D-C48D-4FD6-A0B1-0A9EEAF99B2E} - System32\Tasks\{4147F8D9-F75D-4B15-9526-4E78789EB7C7} => pcalua.exe -a "C:\Users\Sebastian jestem\Downloads\odp-3.2-bin-windows-en-US (1).exe" -d "C:\Users\Sebastian jestem\Downloads"
Task: {BD526FBB-D136-4EE1-AE09-9BB51038D172} - System32\Tasks\{20D69EA6-7AE5-4183-BEC7-2C9F585B8357} => pcalua.exe -a "C:\Users\Sebastian jestem\Downloads\PDFCombiner-Installation (1).exe" -d "C:\Users\Sebastian jestem\Downloads"
Task: {C5981634-F712-4B62-AC9B-8C1DE5609D42} - System32\Tasks\{303E167F-DB2F-4714-833E-7425B1EF898C} => pcalua.exe -a "C:\Users\Sebastian jestem\Downloads\SoftonicDownloader_for_free-pdf-unlocker.exe" -d "C:\Users\Sebastian jestem\Downloads" <==== UWAGA
Task: {DAA033FE-AC90-45B3-BFD2-09DAE4B094C9} - System32\Tasks\doPDF Update => C:\Program Files\Softland\novaPDF 8\Driver\UpdateApplication.exe [2014-12-16] ()
Task: {DE57C84B-52A2-43A2-93E5-46FF90AFD710} - System32\Tasks\{47AB1B44-1DE9-4B66-9468-A325D6681ABD} => pcalua.exe -a "C:\Users\Sebastian jestem\Downloads\Autodesk_RSAPRO_2015_Multilingual_Win_64bit_WI_pl-PL_Setup.exe" -d "C:\Users\Sebastian jestem\Downloads"
Task: {E7ADAFBA-04EB-4BE4-9AC2-89E318E96056} - \AdobeFlashPlayerUpdate 2 -> Brak pliku <==== UWAGA
Task: C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-37082234-313136031-2243966049-1000Core.job => C:\Users\Sebastian jestem\AppData\Local\Facebook\Update\FacebookUpdate.exe
AlternateDataStreams: C:\Users\Sebastian jestem\Local Settings:init [1359453]
HKLM\...\Run: [99] => wscript.exe //B "C:\Users\Sebastian jestem\AppData\Roaming\99.vbs"
HKLM\...\Winlogon: [Userinit] wscript,
HKU\S-1-5-21-37082234-313136031-2243966049-1000\...\Run: [99] => wscript.exe //B "C:\Users\Sebastian jestem\AppData\Roaming\99.vbs"
HKU\S-1-5-21-37082234-313136031-2243966049-1000\...\Run: [msiql] => C:\ProgramData\msiql.exe /RUNNING
HKU\S-1-5-21-37082234-313136031-2243966049-1000\...\Policies\Explorer: []
HKU\S-1-5-21-37082234-313136031-2243966049-1000\...\MountPoints2: {10332163-1773-11e2-a6df-dc0ea12bbbb3} - H:\LaunchU3.exe -a
HKU\S-1-5-21-37082234-313136031-2243966049-1000\...\MountPoints2: {5027c23e-e618-11e1-8325-806e6f6e6963} - F:\DistinguishOS.exe
HKU\S-1-5-21-37082234-313136031-2243966049-1000\...\MountPoints2: {609c238f-fe41-11e1-aec8-dc0ea12bbbb3} - G:\setup.exe
HKU\S-1-5-21-37082234-313136031-2243966049-1002\...\Run: [Facebook Update] => C:\Users\Sebastian jestem\AppData\Local\Facebook\Update\FacebookUpdate.exe [138096 2013-02-03] (Facebook Inc.)
HKU\S-1-5-21-37082234-313136031-2243966049-1002\...\MountPoints2: {5027c23e-e618-11e1-8325-806e6f6e6963} - F:\DistinguishOS.exe
Lsa: [Notification Packages] scecli C:\Program Files\WIDCOMM\Bluetooth Software\BtwProximityCP.dll
ShellIconOverlayIdentifiers: [.QMDeskTopGCIcon] -> {B7667919-3765-4815-A66D-98A09BE662D6} => Brak pliku
SearchScopes: HKU\S-1-5-21-37082234-313136031-2243966049-1000 -> ŰźĆîZ§’2ąŢpv¨IÍá*X(Ž2s(ŰÎŔJşÔÓµť± vË°!×—(äĽ48Đ¸patm6ęo^Mp`Ëő÷_iŁwľ!„Áű†x˘8€ŮjŔ˙ţ ´Ń;áa´[¦†8 ş~ŹRŮxśňÜ8'Ł-)xä URL =
FF Extension: heartbleeddactylgooglecodecom - C:\Users\Sebastian jestem\AppData\Roaming\Mozilla\Firefox\Profiles\p4kfvj8t.default\extensions\heartbleed@dactyl.googlecode.com [2015-10-15] [Brak podpisu cyfrowego]
FF Extension: autoreloadyzcom - C:\Users\Sebastian jestem\AppData\Roaming\Mozilla\Firefox\Profiles\p4kfvj8t.default\extensions\autoreload@yz.com [2015-10-15] [Brak podpisu cyfrowego]
FF Extension: keywordsearchkaplycom - C:\Users\Sebastian jestem\AppData\Roaming\Mozilla\Firefox\Profiles\p4kfvj8t.default\extensions\keywordsearch@kaply.com [2015-10-16] [Brak podpisu cyfrowego]
FF HKU\S-1-5-21-37082234-313136031-2243966049-1000\...\Firefox\Extensions: [eran@whoislive.com] - C:\Users\SEBAST~1\AppData\Local\Temp\whoislive.xpi => nie znaleziono
FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\browser\defaults\preferences\prefs.js [2015-10-16] <==== UWAGA (Linkuje do pliku *.cfg)
CHR HKLM-x32\...\Chrome\Extension: [cfdkkghemjaackpnodiacedfadojaboh] - C:\Users\SEBAST~1\AppData\Local\Temp\whoislive.crx <nie znaleziono>
StartMenuInternet: (HKLM) Opera - C:\Program Files (x86)\Opera\Opera.exe hxxp://www.istartsurf.com/?type=sc&ts=1444646952&z=60cbc2e5182a8b951c75fc5g5zcz3z8qbz7q0m1c2g&from=cor&uid=HitachiXHTS547575A9E384_J2540054JVG5TEJVG5TEX
S2 productliednwnload; C:\Users\Sebastian jestem\AppData\Local\Faseway.exe uudateprod productliednwnload [X]
S2 QQRepair1f13; "C:\Program Files (x86)\Tencent\QQPCMGR\Plugins\QQRepair1f13" [X]
S2 QQRepair270e; "C:\Program Files (x86)\Tencent\QQPCMGR\Plugins\QQRepair270e" [X]
S2 QQRepairc81; "C:\Program Files (x86)\Tencent\QQPCMGR\Plugins\QQRepairc81" [X]
S2 QQRepairFixSVC; C:\Program Files (x86)\Tencent\QQPCMGR\Plugins\QQRepairFixSVC [X]
R1 UCGuard; C:\Windows\System32\DRIVERS\ucguard.sys [80768 2016-04-25] (Huorong Borui (Beijing) Technology Co., Ltd.)
U3 a6p9dujb; C:\Windows\System32\Drivers\a6p9dujb.sys [0 ] (Advanced Micro Devices) <==== UWAGA (zerobajtowy plik/folder)
S3 ALSysIO; \??\C:\Users\SEBAST~1\AppData\Local\Temp\ALSysIO64.sys [X]
R3 gkernel; \??\C:\Users\SEBAST~1\AppData\Local\Temp\gkernel.sys [X]
S1 softaal; \??\C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\softaal64.sys [X]
S1 SRepairDrv; \??\C:\Program Files (x86)\Tencent\QQPCMGR\Plugins\SRepairDrv [X]
S2 tsnethlpx64; \??\C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\TsNetHlpX64.sys [X]
S3 xhunter1; \??\C:\Windows\xhunter1.sys [X]
2016-05-07 10:13 - 2016-05-07 10:13 - 00111560 _____ C:\Users\Sebastian jestem\Desktop\Extras.Txt
2016-05-07 10:12 - 2016-05-07 10:12 - 00111560 _____ C:\Users\Sebastian jestem\Downloads\Extras.Txt
2016-05-07 10:12 - 2016-05-07 10:12 - 00106820 _____ C:\Users\Sebastian jestem\Desktop\OTL.Txt
2016-05-07 10:07 - 2016-05-07 10:07 - 00106820 _____ C:\Users\Sebastian jestem\Downloads\OTL.Txt
2016-05-06 21:54 - 2016-05-06 21:54 - 00000000 ____D C:\Users\Public\Thunder Network
2016-05-06 21:54 - 2016-05-06 21:54 - 00000000 ____D C:\ProgramData\Thunder Network
2016-05-06 21:18 - 2016-05-06 21:18 - 00001535 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\UC浏览器.lnk
2016-05-06 21:18 - 2016-05-06 21:18 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\UC浏览器
2016-05-06 21:18 - 2016-04-25 13:29 - 00080768 _____ (Huorong Borui (Beijing) Technology Co., Ltd.) C:\Windows\system32\Drivers\ucguard.sys
2016-05-06 21:09 - 2016-05-07 08:48 - 00001075 _____ C:\Users\Public\Desktop\Trojan Remover.lnk
2016-05-06 21:09 - 2016-05-06 21:09 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Trojan Remover
2016-05-06 21:08 - 2016-05-06 21:09 - 00000000 ____D C:\Program Files (x86)\Trojan Remover
2016-05-06 21:07 - 2016-05-06 21:08 - 37303624 _____ (Simply Super Software ) C:\Users\Sebastian jestem\Downloads\trjsetup694.exe
2016-05-06 20:58 - 2016-05-06 20:58 - 06494208 _____ C:\Users\Sebastian jestem\AppData\Roaming\agent.dat
2016-05-06 20:58 - 2016-05-06 20:58 - 01626777 _____ C:\Users\Sebastian jestem\AppData\Roaming\Stimtip.tst
2016-05-06 20:58 - 2016-05-06 20:58 - 01626777 _____ C:\Users\Sebastian jestem\AppData\Roaming\Opetough.tst
2016-05-06 20:58 - 2016-05-06 20:58 - 00072717 _____ C:\Users\Sebastian jestem\AppData\Roaming\Unasolflex.tst
2016-05-06 20:58 - 2016-05-06 20:58 - 00072717 _____ C:\Users\Sebastian jestem\AppData\Roaming\Scotity.tst
2016-05-06 20:58 - 2016-05-06 20:58 - 00018432 _____ C:\Users\Sebastian jestem\AppData\Roaming\Main.dat
2016-05-06 20:57 - 2016-05-06 20:57 - 00413439 _____ C:\ProgramData\xdo.zip
2016-05-06 20:56 - 2016-05-07 02:15 - 00000000 ____D C:\ProgramData\Windows Update
2016-05-06 20:56 - 2016-05-06 20:56 - 00127488 _____ C:\Users\Sebastian jestem\AppData\Roaming\Installer.dat
2016-05-06 20:55 - 2016-05-06 21:52 - 00002303 _____ C:\ProgramData\webad.xml
2016-05-06 20:54 - 2016-05-07 02:15 - 00000000 ____D C:\Program Files (x86)\badu
2016-05-06 20:45 - 2016-05-06 20:45 - 00008954 _____ C:\Windows\System32\Tasks\Lorckphsary Reports
2016-05-06 20:43 - 2016-05-07 08:06 - 00000000 ____D C:\Program Files (x86)\Lorckphsary
2016-05-06 20:43 - 2016-05-06 20:45 - 00000000 ____D C:\Users\Public\Documents\dmp
2016-05-06 20:41 - 2016-05-07 07:42 - 00000000 ____D C:\Users\Sebastian jestem\AppData\Local\PingTool
2016-04-26 14:24 - 2016-04-26 14:24 - 00000009 ____N C:\ProgramData\a.bat
2016-04-23 17:19 - 2014-07-25 04:39 - 00293320 ____N (深圳市迅雷网络技术有限公司) C:\Users\Sebastian jestem\AppData\Roaming\xldl.dll
2016-05-07 09:35 - 2013-12-27 14:44 - 00000000 ____D C:\AdwCleaner
2016-05-07 02:15 - 2015-10-11 20:59 - 00000000 ____D C:\Program Files (x86)\a195f908-f4ba-49a5-a323-bd2102fb8a3a
2016-05-07 02:15 - 2015-10-11 20:38 - 00000000 ____D C:\Program Files (x86)\73d6db96-3b33-44f1-9af4-1de2828808d9
2016-05-07 02:15 - 2015-10-11 20:26 - 00000000 ____D C:\Program Files (x86)\a31bee16-fe40-4673-9aef-f135497af38c
2015-04-19 14:20 - 2015-04-19 14:20 - 0005872 _____ () C:\Users\Sebastian jestem\AppData\Roaming\21oUr4gFPUS7aS6PmxetKM
2015-04-19 14:20 - 2015-04-19 14:20 - 0005872 _____ () C:\Users\Sebastian jestem\AppData\Roaming\a6C3QXmwMHj1CEU
2016-05-06 20:58 - 2016-05-06 20:58 - 6494208 _____ () C:\Users\Sebastian jestem\AppData\Roaming\agent.dat
2015-04-19 14:20 - 2015-04-19 14:20 - 0005872 _____ () C:\Users\Sebastian jestem\AppData\Roaming\FsbMq5uTWigbxeR
2016-05-06 20:56 - 2016-05-06 20:56 - 0127488 _____ () C:\Users\Sebastian jestem\AppData\Roaming\Installer.dat
2016-05-06 20:58 - 2016-05-06 20:58 - 0018432 _____ () C:\Users\Sebastian jestem\AppData\Roaming\Main.dat
2016-05-06 20:58 - 2016-05-06 20:58 - 1626777 _____ () C:\Users\Sebastian jestem\AppData\Roaming\Opetough.tst
2016-05-06 20:58 - 2016-05-06 20:58 - 0072717 _____ () C:\Users\Sebastian jestem\AppData\Roaming\Scotity.tst
2016-05-06 20:58 - 2016-05-06 20:58 - 1626777 _____ () C:\Users\Sebastian jestem\AppData\Roaming\Stimtip.tst
2016-05-06 20:58 - 2016-05-06 20:58 - 0072717 _____ () C:\Users\Sebastian jestem\AppData\Roaming\Unasolflex.tst
2016-04-23 17:19 - 2014-07-25 04:39 - 0293320 ____N (深圳市迅雷网络技术有限公司) C:\Users\Sebastian jestem\AppData\Roaming\xldl.dll
2012-08-14 19:14 - 2012-08-14 19:14 - 0002070 _____ () C:\Users\Sebastian jestem\AppData\Local\FastClean.20120814.191443.txt
2012-08-14 19:17 - 2012-08-14 19:17 - 0001699 _____ () C:\Users\Sebastian jestem\AppData\Local\FastClean.20120814.191702.txt
2016-04-26 14:24 - 2016-04-26 14:24 - 0000009 ____N () C:\ProgramData\a.bat
2010-08-28 22:43 - 2010-08-28 22:43 - 0577335 ____N () C:\ProgramData\adb.exe
2010-08-28 22:43 - 2010-08-28 22:43 - 0356009 ____N () C:\ProgramData\fastboot.exe
2016-05-06 20:55 - 2016-05-06 21:52 - 0002303 _____ () C:\ProgramData\webad.xml
2016-05-06 20:57 - 2016-05-06 20:57 - 0413439 _____ () C:\ProgramData\xdo.zip
EemptyTemp:

W FRST wybierz Napraw.

Zamiesc nowe logi z FRST, ze skanowania.
REKLAMA
#4 15656693 07 Maj 2016 16:30

Sknera Sknera

Poziom 9

Posty: 34

Ocena: 1
Autor tematu Pomocny post? (0)

Post #4
15656693 07 Maj 2016 16:30

Po uruchomieniu programu FRST i daniu polecenia napraw (po wykonaniu wszystkich wcześniejszych kroków) program się zawiesza tzn. zaczyna naprawiać i się zawiesza. Dzieje się tak przy pierwszym notatniku. Potem musze już zresetować komputer bo da się go wyłączyć ale już się nie wyłączy tylko zatrzymuje się na oknie wyloguj. Gdy włączę go ponownie explorer.exe działa jednak za następnym razem już nie.
Czy mimo zawieszenia się działać z drugim notatnikiem?
Pomocny post

#5 15656747 07 Maj 2016 16:59

Acorus 20 Acorus 20

Poziom 43

Posty: 10541

Pomógł: 3247

Ocena: 1063
Pomocny post? (+1)

Pomocny post
Post #5
15656747 07 Maj 2016 16:59

Wykonaj w trybie awaryjnym.
REKLAMA
Pomocny post

#6 15656915 07 Maj 2016 18:43

Kolobos Kolobos

Spec od komputerów

Posty: 85164

Pomógł: 17165

Ocena: 10442
Pomocny post? (+1)

Pomocny post
Post #6
15656915 07 Maj 2016 18:43

@Sknera wykonaj Fixlist.txt, ktory podalem. Ten podany przez @Acorus 20 jest wybrakowany.
#7 15656974 07 Maj 2016 19:24

Sknera Sknera

Poziom 9

Posty: 34

Ocena: 1
Autor tematu Pomocny post? (0)

Post #7
15656974 07 Maj 2016 19:24

Niestety nie zobaczyłem, że to dwóch innych autorów i wykonałem obydwa. Po wykonaniu zrobiłem skan (w załączniku). Wizualnie pomogło dziękuję bardzo, za pomoc. Chętnie postawiłbym Wam piwo nie tylko na forum

Załączniki:

FRST.txt (38.07 KB) Musisz być zalogowany, aby pobrać ten załącznik.
#8 15656987 07 Maj 2016 19:32

Kolobos Kolobos

Spec od komputerów

Posty: 85164

Pomógł: 17165

Ocena: 10442
Pomocny post? (+1)

Post #8
15656987 07 Maj 2016 19:32

Nowy Fixlist.txt:
FF Plugin-x32: @q-q.com/npAndroidAssistant -> C:\Program Files (x86)\Common Files\Tencent\QQPhoneManager\2.0.201.3192\npQQPhoneManagerExt.dll [Brak pliku]
S2 BitTorrent; "C:\Program Files\BitTorrent\BitTorrent.exe" /s iid=6806855 did=APSnapdoAMRev sid=3 ref=d4cb1a32-a804-f50e-6b6c-4ceaabcf3418-PolicyMac id=ce3f8e4a5ea80dcf55786a99e2a28ee17e0de50fe8d70968997eb5a925e431c9 [X]
U3 atoacndz; C:\Windows\System32\Drivers\atoacndz.sys [0 ] (Advanced Micro Devices) <==== UWAGA (zerobajtowy plik/folder)
R3 gkernel; \??\C:\Users\SEBAST~1\AppData\Local\Temp\gkernel.sys [X]
#9 15657619 08 Maj 2016 00:40

Sknera Sknera

Poziom 9

Posty: 34

Ocena: 1
Autor tematu Pomocny post? (0)

Post #9
15657619 08 Maj 2016 00:40

Zrobione. W załączniku raport po skanowaniu.

Załączniki:

FRST.txt (37.41 KB) Musisz być zalogowany, aby pobrać ten załącznik.
#10 15657716 08 Maj 2016 07:32

Kolobos Kolobos

Spec od komputerów

Posty: 85164

Pomógł: 17165

Ocena: 10442
Pomocny post? (+1)

Post #10
15657716 08 Maj 2016 07:32

Usun katalog C:\FRST i to wszystko.
Zarejestruj konto, Zaloguj się i bądź aktywny na forum, a wtedy reklamy nie będą się pojawiać. Otrzymaj punkty za rejestrację oraz odpowiedzi.

Zainstaluj aplikację Elektroda

| Nowy temat

Zgłoś naruszenie prawa

Podsumowanie tematu

✨ Użytkownik zgłosił problem z wirusem, który uniemożliwia automatyczne uruchamianie explorer.exe po starcie systemu. Po przeprowadzeniu skanowania w trybie awaryjnym i użyciu różnych programów antywirusowych, część wirusa pozostała aktywna w procesach, co uniemożliwia usunięcie pozostałych plików. Użytkownik otrzymał porady dotyczące utworzenia pliku fixlist.txt oraz użycia narzędzia FRST do naprawy systemu. Po kilku próbach i zawieszeniach programu, użytkownik wykonał zalecane kroki, co przyniosło poprawę. Ostatecznie zasugerowano usunięcie katalogu C:FRST jako ostatni krok.
Wygenerowane przez model językowy.

explorer.exe nie uruchamia się podczas startu - win7
28 Kwi 2016 20:09 (4)
Po zainfekowaniu systemu wirusem Tencent, użytkownik napotkał problem z uruchamianiem explorer.exe, co skutkowało czarnym ekranem po zalogowaniu. Aby przywrócić normalne funkcje systemu, użytkownik musiał ręcznie uruchamiać explorer.exe z menedżera z... [Czytaj dalej]
Jak uruchomić explorer.exe przy starcie systemu? Skany FRST załączone
11 Gru 2019 03:42 (3)
Użytkownik zgłosił problem z automatycznym uruchamianiem explorer.exe przy starcie systemu, który można uruchomić ręcznie za pomocą kombinacji klawiszy ctrl+alt+del. Po przeprowadzeniu skanów antywirusowych komputer okazał się czysty. W odpowiedzi za... [Czytaj dalej]
Jak usunąć wirusa TOK-CIRHATUS-1893? Explorer.exe nie uruchamia się automatycznie
23 Mar 2015 12:38 (4)
Użytkownik zgłosił problem z wirusem TOK-CIRHATUS-1893, który uniemożliwia automatyczne uruchamianie explorer.exe, co wymusza ręczne uruchamianie tego procesu w menedżerze zadań. Po kilku nieudanych próbach usunięcia wirusa za pomocą programów COMBOF... [Czytaj dalej]
Wirus prawdopodobnie z facebooka blokuje wszystkie programy.
06 Lip 2012 00:59 (6)
Użytkownik zgłasza problem z wirusem, który aktywował się po kliknięciu w złośliwy link na Facebooku. Wirus blokuje dostęp do systemowych plików, generując błąd związany z procesem explorer.exe. Użytkownik nie może uruchomić instalatorów ani narzędzi... [Czytaj dalej]
Jakie są rodzaje serwerów dla firm i który wybrać?
magic9 16 Cze 2026 12:40 (0) Sponsorowany
Firmowa strona, sklep lub aplikacja potrzebują zaplecza, które obsłuży ruch, dane i codzienną pracę użytkowników. Przedsiębiorcy często spotykają się z pojęciami takimi jak hosting, VPS czy serwer dedykowany. Bez odpowiedniej... [Czytaj dalej]
Nieuruchamiający się po starcie systemu explorer.exe - skutki infekcji wirusem?
05 Gru 2020 10:13 (16)
Użytkownik zgłosił problem z uruchamianiem procesu explorer.exe po starcie systemu Windows, który wymaga ręcznego uruchomienia z menedżera zadań. Po wykryciu wirusa przez oprogramowanie antywirusowe, użytkownik przeprowadził skanowanie przy użyciu ró... [Czytaj dalej]
Upierdliwy chinski wirus (Windows Ekslorator Przestał działać)
03 Sie 2015 22:29 (4)
Użytkownik zgłasza problem z wirusem, który zainfekował folder Tencent, a także z błędem "Windows Eksplorator Przestał działać". Po użyciu ADWCleaner, część złośliwego oprogramowania została usunięta, ale problem nadal występuje. Użytkownik prosi o p... [Czytaj dalej]

REKLAMA