Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Prośba o sprawdzenie logów FRST

kazo.m 26 Maj 2016 18:09 516 10
  • #1 26 Maj 2016 18:09
    kazo.m
    Poziom 15  

    Ostatni przestał mi działać Chrome - nie uruchamiał się.
    Skanowanie Malwarebytes Anti-Malware znalazło zagrożenia, jakieś rozszerzenia do przeglądarek.
    Usunąłem je i po ponownym uruchomieniu komputera jeszcze raz puściłem skanowanie Malwarebytes Anti-Malware, ale nic nie wykrył.
    Dla pewności proszę o sprawdzenie logów FRST

    0 10
  • #2 26 Maj 2016 18:17
    Acorus 20
    Spec od komputerów

    A gdzie te logi?

    0
  • #3 26 Maj 2016 18:27
    kazo.m
    Poziom 15  

    http://hostuje.net/file.php?id=a98689b2e36e5f81cd534950fbefd129
    http://hostuje.net/file.php?id=fd261cec5d2d9481f74368d21ad606ad
    http://hostuje.net/file.php?id=18b84622022a4ab8a0f5a87073978475
    Przepraszam, ale przez jakiś błąd nie mogę dodać załączników do postu, więc wgrałem pliki na serwer FTP.

    Moderowany przez swiercm:

    Pliki dołączyłem do postu.
    Zawsze możesz logi wprowadzić korzystając z tych zasad:
    https://www.elektroda.pl/rtvforum/topic1159685.html

    0
  • Pomocny post
    #4 26 Maj 2016 18:41
    Acorus 20
    Spec od komputerów

    Otwórz notatnik systemowy i wklej:

    Cytat:
    HKLM-x32\...\Run: [ISUSScheduler] => C:\Program Files (x86)\Common Files\InstallShield\UpdateService\issch.exe [81920 2005-08-11] (Macrovision Corporation)
    HKLM-x32\...\Run: [] => 0
    HKU\S-1-5-21-1549175157-624555591-3790381870-1000\...\Run: [] => 0
    HKU\S-1-5-21-1549175157-624555591-3790381870-1000\...\Run: [CCleaner
    HKU\S-1-5-21-1549175157-624555591-3790381870-1000\...\MountPoints2: {0278a730-2bfa-11e5-8813-d43d7e4e76d2} - L:\Launcher.exe
    HKU\S-1-5-21-1549175157-624555591-3790381870-1000\...\MountPoints2: {e077279b-475d-11e5-a020-d43d7e4e76d2} - M:\LGAutoRun.exe
    HKU\S-1-5-21-1549175157-624555591-3790381870-1000\...\MountPoints2: {ec2ae0e6-71e3-11e5-8e6a-d43d7e4e76d2} - E:\LGAutoRun.exe
    HKU\S-1-5-18\...\Run: [] => 0
    ShellExecuteHooks: - {AEB6717E-7E19-11d0-97EE-00C04FD91972} - Brak pliku [ ]
    HKU\S-1-5-21-1549175157-624555591-3790381870-1000\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
    SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
    SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
    SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
    S2 Microsoft DirectX Configuration Service; C:\Windows\system32\dxconfig.exe [X]
    S3 ose; "C:\Program Files (x86)\Common Files\Microsoft Shared\Source Engine\OSE.EXE" [X]
    U3 a04ejetg; C:\Windows\System32\Drivers\a04ejetg.sys [0 ] (Microsoft Corporation) <==== UWAGA (zerobajtowy plik/folder)
    S3 MSI_MSIBIOS_010507; \??\C:\Program Files (x86)\MSI\Live Update 5\msibios64_100507.sys [X]
    S3 NTIOLib_1_0_C; \??\D:\NTIOLib_X64.sys [X]
    S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X]
    S3 tsusbhub; system32\drivers\tsusbhub.sys [X]
    S3 VGPU; System32\drivers\rdvgkmd.sys [X]
    EmptyTemp:


    Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.
    Uruchom jako administrator FRST i kliknij w Fix/Napraw.

    0
  • #5 26 Maj 2016 18:57
    kazo.m
    Poziom 15  

    Ok, zrobione.
    Dziękuję bardzo za pomoc.
    Czy skanować teraz komputer FRST i Malwarebytes Anti-Malware ?

    0
  • #8 16 Paź 2016 14:49
    Kolobos
    Spec od komputerów

    Nie uzywaj Combofix!

    Odinstaluj: Trojan Remover 6.9.3.2939

    Usun te katalogi recznie o ile Frst tego nie zrobi:
    C:\Users\kazo\AppData\Local\Вoйти в Интeрнет
    C:\Users\kazo\AppData\Local\Поиcк в Интeрнете

    Wykonaj Fixlist.txt dla FRST:
    ShortcutWithArgument: C:\Users\kazo\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk -> C:\Windows\explorer.exe (Microsoft Corporation) -> "hxxp://rigneda.ru/?utm_source=startlink03&utm_content=adbf052057e305ed7ecce74202676864&utm_term=76F9B78C2545BD56AA00589451F626C1&utm_d=20161016"
    ShortcutWithArgument: C:\Users\kazo\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk -> C:\Windows\System32\rundll32.exe (Microsoft Corporation) -> url,FileProtocolHandler "hxxp://www.mail.ru/cnt/20775012?gp=811008"
    HKLM-x32\...\Run: [TrojanScanner] => C:\Program Files (x86)\Trojan Remover\Trjscan.exe [3561016 2016-10-16] (Simply Super Software)
    HKU\S-1-5-21-1549175157-624555591-3790381870-1000\...\Run: [Power2GoExpress8] => NA
    HKU\S-1-5-21-1549175157-624555591-3790381870-1000\...\MountPoints2: {7b2e0f2d-2be7-11e5-ba7d-806e6f6e6963} - D:\BlueBirds.exe
    HKU\S-1-5-21-1549175157-624555591-3790381870-1000\...\MountPoints2: {a954b6fc-7b78-11e6-bb6b-d43d7e4e76d2} - E:\autorun.exe
    HKU\S-1-5-21-1549175157-624555591-3790381870-1000\...\MountPoints2: {ec2ae0e6-71e3-11e5-8e6a-d43d7e4e76d2} - E:\LGAutoRun.exe
    HKU\S-1-5-18\...\RunOnce: [SPReview] => C:\Windows\System32\SPReview\SPReview.exe [301568 2015-08-18] (Microsoft Corporation)
    GroupPolicy: Ograniczenia <======= UWAGA
    GroupPolicy\User: Ograniczenia <======= UWAGA
    HKU\S-1-5-21-1549175157-624555591-3790381870-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://rigneda.ru/?utm_source=startpage03&...8C2545BD56AA00589451F626C1&utm_d=20161016
    SearchScopes: HKU\S-1-5-21-1549175157-624555591-3790381870-1000 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7B45110A61-3D71-488A-BF3A-23B6FE048AB7%7D&gp=811014
    SearchScopes: HKU\S-1-5-21-1549175157-624555591-3790381870-1000 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7B45110A61-3D71-488A-BF3A-23B6FE048AB7%7D&gp=811014




    BHO-x32: Ďîčńę@Mail.Ru -> {8E8F97CD-60B5-456F-A201-73065652D099} -> C:\Users\kazo\AppData\Local\Mail.Ru\Sputnik\IESearchPlugin.dll [2016-10-16] (Mail.Ru)
    CHR HomePage: Default -> mail.ru/cnt/11956636?rciguc__PARAM__
    CHR HKLM-x32\...\Chrome\Extension: [ccfifbojenkenpkmnbnndeadpfdiffof] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [lhmiofmipcpmhgihiecmpiekcacigpgb] - C:\ProgramData\Anvisoft\Anvi Smart Defender 2\extensions\chrome.crx <nie znaleziono>
    CHR HKLM-x32\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [ojlcebdkbpjdpiligkdbbkdkfjmchbfd] - hxxps://clients2.google.com/service/update2/crx
    R2 themctrl; C:\Windows\SysWOW64\themctrl.dll [362496 2015-07-15] () [Brak podpisu cyfrowego]
    R2 wbiosrvp; C:\Windows\SysWOW64\wbiosrvp.dll [290304 2015-07-15] () [Brak podpisu cyfrowego]
    U3 admbmcxl; C:\Windows\System32\Drivers\admbmcxl.sys [0 ] (Microsoft Corporation) <==== UWAGA (zerobajtowy plik/folder)
    2016-10-16 13:34 - 2016-10-16 13:34 - 00000000 ___SD C:\32788R22FWJFW
    2016-10-16 13:31 - 2016-10-16 13:32 - 00000000 ____D C:\Qoobox
    2016-10-16 12:35 - 2016-10-16 12:35 - 00000000 ____D C:\Users\kazo\AppData\Local\Вoйти в Интeрнет
    2016-10-16 12:32 - 2016-10-16 12:32 - 00000000 ____D C:\Users\kazo\AppData\Local\Поиcк в Интeрнете
    2016-10-16 12:30 - 2016-10-16 12:31 - 00000000 ____D C:\Users\kazo\AppData\Local\Mail.Ru
    2016-10-16 12:30 - 2016-10-16 12:30 - 00000000 ____D C:\ProgramData\Mail.Ru
    C:\Windows\SysWOW64\themctrl.dll
    C:\Windows\SysWOW64\wbiosrvp.dll
    EmptyTemp:

    W FRST wybierz Napraw.

    Usun katalog C:\FRST.

    0
  • Pomocny post
    #10 16 Paź 2016 15:33
    Kolobos
    Spec od komputerów

    Zrob kopie zakladek z Chrome o ile sa Ci potrzebne.
    Odinstaluj Chrome, usun katalog profilu przegladarki z C:\Users\kazo\AppData\Local\Google\Chrome\User Data\Default zainstaluj Chrome ponownie.

    Czy synchronizujesz ustawienia Chrome z konta google? Jezeli tak to usun rowniez dane synchronizacji: https://support.google.com/chrome/answer/6386691?hl=pl

    Usun tez recznie skrot do IE z menu start:
    C:\Users\kazo\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk

    0
  • #11 16 Paź 2016 16:26
    kazo.m
    Poziom 15  

    Dzięki za pomoc. Teraz wszystko działa jak należy.
    Prośba o sprawdzenie logów FRST

    0