Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Prośba o sprawdzenie logów FRST

Morgoth143 04 Sie 2016 12:07 513 9
  • #1 04 Sie 2016 12:07
    Morgoth143
    Poziom 14  

    Witam!
    Proszę o sprawdzenie logów z FRST. Wirus podmienił mi stronę startową w Firefoxie. Skanowałem adwcleanerem i folder Rapzor mimo usunięcia po każdym skanie się przywraca.

    0 9
  • #2 04 Sie 2016 13:16
    djarta
    Poziom 9  

    1. Otwórz notatnik i wklej:

    Cytat:

    CloseProcesses:
    S3 cpuz136; \??\C:\Windows\TEMP\cpuz136\cpuz136_x64.sys [X]
    S3 GPUZ; \??\C:\Windows\TEMP\GPUZ.sys [X]
    S4 nvlddmkm; system32\DRIVERS\nvlddmkm.sys [X]
    S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X]
    S3 tsusbhub; system32\drivers\tsusbhub.sys [X]
    S3 VGPU; System32\drivers\rdvgkmd.sys [X]
    R2 uroduce; C:\Windows\system32\config\systemprofile\AppData\Local\Mattanix.exe [28160 2016-08-04] () [File not signed]
    C:\Windows\system32\config\systemprofile\AppData\Local
    CHR HKLM\...\Chrome\Extension: [ngpampappnmepgilojfohadhhmbhlaek] - C:\Program Files (x86)\Internet Download Manager\IDMGCExt.crx <not found>
    CHR HKLM-x32\...\Chrome\Extension: [ngpampappnmepgilojfohadhhmbhlaek] - C:\Program Files (x86)\Internet Download Manager\IDMGCExt.crx <not found>
    StartMenuInternet: FIREFOX.EXE - S:\Program Files (x86)\Mozilla Firefox\firefox.exe
    FF NewTab: C:\\ProgramData\\Ronzaps\\ff.NT
    FF Homepage: C:\\ProgramData\\Ronzaps\\ff.HP
    FF NetworkProxy: "http", "bypassing.kicks-ass.net"
    FF NetworkProxy: "http_port", 3128
    FF NetworkProxy: "proxy_over_tls", false
    FF NetworkProxy: "type", 0
    HKU\S-1-5-21-1288074817-643702963-434598722-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61...oDEB07llNteV3NJSxWOthsG1pf1QFsIzYFKMvb&q={searchTerms}
    HKU\S-1-5-21-1288074817-643702963-434598722-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F...FCyYfpN5iVwN_fKib6gjGYip4rf8MY81DwpBZmFyV5UYp
    HKU\S-1-5-21-1288074817-643702963-434598722-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61...oDEB07llNteV3NJSxWOthsG1pf1QFsIzYFKMvb&q={searchTerms}
    HKU\S-1-5-21-1288074817-643702963-434598722-1000\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61...oDEB07llNteV3NJSxWOthsG1pf1QFsIzYFKMvb&q={searchTerms}




    SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL =
    SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
    SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
    SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
    SearchScopes: HKU\S-1-5-21-1288074817-643702963-434598722-1000 -> DefaultScope {ielnksrch} URL =
    SearchScopes: HKU\S-1-5-21-1288074817-643702963-434598722-1000 -> {DC91801F-08E4-4b26-A7E1-DED8DBB90799} URL = hxxp://www.google.com/custom?client=pub-37942...%3BGIMP%3A0000FF%3BFORID%3A1&hl=pl&q={searchTerms}
    HKU\S-1-5-21-1288074817-643702963-434598722-1000\...\Run: [UVmedia] => C:\Users\Młody\AppData\Local\UVmedia\rdpclip.exe [84992 2016-08-04] (Bisect Ycleping)
    HKU\S-1-5-21-1288074817-643702963-434598722-1000\...\Run: [Otics] => regsvr32.exe C:\Users\Młody\AppData\Local\Otics\sxpqehdm.dll <===== ATTENTION
    HKU\S-1-5-21-1288074817-643702963-434598722-1000\...\Run: [Okics] => C:\Windows\SysWOW64\regsvr32.exe C:\Users\Młody\AppData\Local\UVmedia\qzfzucdh.dll
    HKU\S-1-5-21-1288074817-643702963-434598722-1000\...\MountPoints2: E - E:\setup.exe
    HKU\S-1-5-21-1288074817-643702963-434598722-1000\...\MountPoints2: {01b217bf-aafa-11e4-b4b4-bc5ff478198e} - E:\LG_PC_Programs.exe
    HKU\S-1-5-21-1288074817-643702963-434598722-1000\...\MountPoints2: {6903a0d2-4512-11e6-8ad7-bc5ff478198e} - F:\autorun.exe
    HKU\S-1-5-21-1288074817-643702963-434598722-1000\...\MountPoints2: {6903a0d5-4512-11e6-8ad7-bc5ff478198e} - G:\autorun.exe
    HKU\S-1-5-21-1288074817-643702963-434598722-1000\...\MountPoints2: {6903a0d8-4512-11e6-8ad7-bc5ff478198e} - H:\autorun.exe
    HKU\S-1-5-21-1288074817-643702963-434598722-1000\...\MountPoints2: {8cea661d-1d8c-11e4-a16f-806e6f6e6963} - D:\autorun.exe
    HKU\S-1-5-21-1288074817-643702963-434598722-1000\...\MountPoints2: {e7e3752f-dd91-11e5-afa6-bc5ff478198e} - E:\setup.exe
    C:\Users\Młody\AppData\Local\UVmedia
    C:\Users\Młody\AppData\Local\Otics
    HKLM-x32\...\Run: [NetworkInformer] => C:\Windows\TEMP\rdpclip2.exe <===== ATTENTION
    C:\Windows\TEMP\*.exe
    C:\Users\Młody\AppData\Local\CrashDumps
    R3 WPRO_41_2001; C:\Windows\System32\drivers\WPRO_41_2001.sys [34752 2016-08-04] ()
    C:\Windows\System32\drivers\WPRO_41_2001.sys
    Task: {76396310-11A9-4525-BA02-1D77FC6EB140} - System32\Tasks\GetNetworkInfo => C:\Users\MODY~1\AppData\Local\Temp\setdebug.exe [2015-03-13] () <==== ATTENTION
    ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> S:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> %SNF%
    CMD: netsh firewall reset
    EmptyTemp:

    Plik fixlist.txt umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

    2. Użyj >Adw-cleaner
    najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.
    Pokaż raport z niego C:\AdwCleaner\AdwCleaner[S].txt

    3. Uruchom JRT. Wciśnij dowolny klawisz i czekaj, aż skończy się operacja. (UWAGA: podczas pobierania, programy mogą wskazywać, że to jest zagrożenie, proszę to zignorować). Pokaż raport.

    4. Po tych wszystkich operacjach nowy komplet logów z FRST do kontroli. Podczas uruchamiania FRST ustaw żeby ponownie wykonały się Addition.txt oraz Shourtcupy.

    0
  • #4 04 Sie 2016 13:51
    Domino_2
    Pomocny dla użytkowników

    @djarta Komenda EmptyTemp: czyści wszystkie foldery tymczasowe, także nie musisz załączać C:\Windows\TEMP\*.exe.

    Cytat:

    Task: {3A2803C6-3BE6-493B-8902-CBBA16294C78} - System32\Tasks\{B47B0A94-AB78-4B19-B3F0-39C6777BA5D9} => pcalua.exe -a "C:\Users\Młody\AppData\Local\Temp\Temp1_GTA_3_-_spolszczenie[www.instalki.pl].zip\polish gta3.exe"
    Task: {F3456657-6B2B-4BFB-97B5-D0763790E06A} - System32\Tasks\{C343CCD7-613F-45EF-9CC2-5DF17ADDE5DC} => pcalua.exe -a "S:\Mass Effect 2\Mass Effect 2\GAME\Autorun.exe" -d "S:\Mass Effect 2\Mass Effect 2\GAME"
    Task: {FA58A925-12F6-41A2-BC4D-1226AFF55117} - System32\Tasks\{D170B796-AB8B-466D-8C72-3C229373CE19} => pcalua.exe -a S:\Pobrane\gothic1_playerkit-1.08k.exe -d S:\Pobrane
    FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
    FF Plugin-x32: @intel-webapi.intel.com/Intel WebAPI ipt;version=2.0.59 -> C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\IPT\npIntelWebAPIIPT.dll [No File]
    FF Plugin-x32: @intel-webapi.intel.com/Intel WebAPI updater -> C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\IPT\npIntelWebAPIUpdater.dll [No File]
    FF Plugin-x32: @microsoft.com/GENUINE -> disabled [No File]
    FF Plugin-x32: @pandonetworks.com/PandoWebPlugin -> C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll [No File]
    EmptyTemp:


    Wklej to do notatnika i zapisz pod nazwą fixlist.txt i umieść w folderze gdzie znajduje się plik FRST.exe/FRST64.exe, uruchom go i kliknij Fix/Napraw.

    0
  • Pomocny post
    #5 04 Sie 2016 13:55
    djarta
    Poziom 9  

    w logach nie widzę już niczego szkodliwego.
    Czy coś się poprawiło ?

    0
  • #6 04 Sie 2016 20:53
    Morgoth143
    Poziom 14  

    Dziękuję wam bardzo za pomoc. W załączniku jeszcze ostatni fixlog.
    Dziękuje jeszcze raz i życzę miłego piątku.

    0
  • Pomocny post
    #7 04 Sie 2016 20:54
    Domino_2
    Pomocny dla użytkowników

    Możesz skasować folder C:\FRST.

    0
  • #8 04 Sie 2016 21:01
    Morgoth143
    Poziom 14  

    Nie wiem dlaczego ale wyświetla mi się okienko, że potrzebuję uprawnień administratora choć nim jestem i nie mogę tego folderu usunąć.

    0
  • #9 04 Sie 2016 22:23
    Kolobos
    Spec od komputerów

    Wykonaj taki Fixlist.txt:
    DeleteQuarantine:

    To wszystko.

    0
  • #10 04 Sie 2016 22:34
    Morgoth143
    Poziom 14  

    Dziękuję wszystkim za pomoc.
    Prośba o sprawdzenie logów FRST

    0