Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

FRST - Prośba o analizę logów FRST.

magdaivan 22 Lis 2016 15:39 549 9
  • Pomocny post
    #2 22 Lis 2016 15:47
    Kolobos
    Spec od komputerów

    Odinstaluj:
    qksee
    Uncheckit
    WinZip
    YAC

    Obok frst.exe utworz plik Fixlist.txt z zawartoscia:
    CloseProcesses:
    Task: {72445913-29FD-465B-ADE2-A054A965953E} - System32\Tasks\ChelfNotify Task => C:\ProgramData\ChelfNotify\BrowserUpdate.exe [2016-06-30] (Tencent) <==== UWAGA
    Task: {72CF8B79-A749-464B-9620-C57BF27D2B59} - System32\Tasks\UncheckitUpdateTaskDB => C:\Program Files (x86)\Uncheckit\UncheckitUpdate.exe <==== UWAGA
    Task: {BD4D17CC-0131-4587-91C0-F5477123093E} - System32\Tasks\UncheckitTaskMN => C:\Program Files (x86)\Uncheckit\cktSvc.exe <==== UWAGA
    Task: {D3566C03-8971-48CC-A140-315026066586} - System32\Tasks\UncheckitUpdateTaskC => C:\Program Files (x86)\Uncheckit\UncheckitUpdate.exe <==== UWAGA
    Task: {D3FDDC2E-4950-4BF6-AF3B-49E0584B97C5} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> Brak pliku <==== UWAGA
    2016-11-21 20:59 - 2016-11-15 16:13 - 00393216 _____ () C:\Users\Madzia\AppData\Roaming\adhad\UvConverter.exe
    2016-11-21 21:04 - 2016-05-23 03:37 - 00065696 ____N () C:\Program Files (x86)\Elex-tech\YAC\zlib1.dll
    2016-11-21 20:59 - 2016-11-21 03:47 - 00188928 _____ () c:\programdata\winsapsvc\winsap.dll
    (Elex do Brasil Participações Ltda) C:\Program Files (x86)\Elex-tech\YAC\iSafeSvc.exe
    (Elex do Brasil Participações Ltda) C:\Program Files (x86)\Elex-tech\YAC\iSafeSvc2.exe
    (evangel technology (hk) limited) C:\Program Files (x86)\Uncheckit\UncheckitSvc.exe
    () C:\Users\Madzia\AppData\Roaming\adhad\UvConverter.exe
    FF user.js: detected! => C:\Users\Madzia\AppData\Roaming\Mozilla\Firefox\Profiles\606utv62.default\user.js [2016-11-21]
    FF Homepage: Mozilla\Firefox\Profiles\606utv62.default -> hxxp://www.luckysearch123.com?type=hp&ts=...;z=532006269492b7db77684c1gaz1m4tfm1wcbbt6o0g
    FF NewTab: Mozilla\Firefox\Profiles\606utv62.default -> hxxp://www.luckysearch123.com?type=hp&ts=...;z=532006269492b7db77684c1gaz1m4tfm1wcbbt6o0g
    FF Extension: (xRocket Toolbar) - C:\Users\Madzia\AppData\Roaming\Mozilla\Firefox\Profiles\606utv62.default\Extensions\arthurj8283@gmail.com [2016-11-21] [Brak podpisu cyfrowego]
    FF SearchPlugin: C:\Users\Madzia\AppData\Roaming\Mozilla\Firefox\Profiles\606utv62.default\searchplugins\luck.xml [2016-11-21
    FF Extension: (SimilarWeb) - C:\Users\Madzia\AppData\Roaming\Firefox\Firefox\Profiles\606utv62.default\Extensions\@DA3566E2-F709-11E5-8E87-A604BC8E7F8B.xpi [2016-11-21] [Brak podpisu cyfrowego]




    FF Extension: (FF Adr) - C:\Users\Madzia\AppData\Roaming\Firefox\Firefox\Profiles\606utv62.default\Extensions\@H99KV4DO-UCCF-9PFO-9ZLK-8RRP4FVOKD9O.xpi [2016-11-21] [Brak podpisu cyfrowego]
    FF SearchPlugin: C:\Users\Madzia\AppData\Roaming\Firefox\Firefox\Profiles\606utv62.default\searchplugins\searchinme.xml [2016-11-21]
    FF HKLM-x32\...\Firefox\Extensions: [arthurj8283@gmail.com] - C:\Users\Madzia\AppData\Roaming\Mozilla\Firefox\Profiles\606utv62.default\extensions\arthurj8283@gmail.com
    R2 Archer; C:\Program Files (x86)\WinArcher\Archer.dll [347136 2016-11-21] (QingYeKeJi) [Brak podpisu cyfrowego]
    R2 FirefoxU; C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe [116912 2016-11-17] ()
    R2 iSafeService; C:\Program Files (x86)\Elex-tech\YAC\iSafeSvc.exe [131024 2016-08-19] (Elex do Brasil Participações Ltda)
    R3 iThemes5; C:\Program Files (x86)\Common Files\Services\iThemes.dll [626688 2016-11-21] () [Brak podpisu cyfrowego]
    R2 UncheckitSvc; C:\Program Files (x86)\Uncheckit\UncheckitSvc.exe [241664 2016-07-05] (evangel technology (hk) limited) [Brak podpisu cyfrowego]
    R2 UvConv; C:\Users\Madzia\AppData\Roaming\adhad\UvConverter.exe [393216 2016-11-15] () [Brak podpisu cyfrowego]
    R2 WinSAPSvc; C:\ProgramData\WinSAPSvc\WinSap.dll [188928 2016-11-21] () [Brak podpisu cyfrowego]
    S2 cktSvc; "C:\Program Files (x86)\Uncheckit\cktSvc.exe" {92E162D7-70FD-48F7-A779-91154F8FD518} [X]
    S2 ed2kidle; "C:\Program Files (x86)\amuleC1\ed2k.exe" -downloadwhenidle [X]
    R1 iSafeKrnl; C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnl.sys [262344 2016-05-23] (Elex do Brasil Participações Ltda)
    S3 iSafeKrnlBoot; C:\WINDOWS\System32\DRIVERS\iSafeKrnlBoot.sys [55056 2016-05-23] (Elex do Brasil Participações Ltda)
    S1 iSafeKrnlKit; C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlKit.sys [110112 2016-05-23] (Elex do Brasil Participações Ltda)
    R1 iSafeKrnlMon; C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlMon.sys [52440 2016-05-23] (Elex do Brasil Participações Ltda)
    R1 iSafeKrnlR3; C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlR3.sys [103904 2016-05-23] (Elex do Brasil Participações Ltda)
    R1 iSafeNetFilter; C:\WINDOWS\System32\DRIVERS\iSafeNetFilter.sys [52392 2016-05-19] (Elex do Brasil Participações Ltda)
    2016-11-22 15:32 - 2016-11-22 15:32 - 00000000 ____D C:\Users\Madzia\Desktop\FRST-OlderVersion
    2016-11-22 15:26 - 2016-11-22 15:28 - 00000000 ____D C:\AdwCleaner
    2016-11-21 21:04 - 2016-11-21 21:04 - 00000000 ____D C:\Users\Madzia\AppData\Roaming\Elex-tech
    2016-11-21 21:04 - 2016-11-21 21:04 - 00000000 ____D C:\Program Files (x86)\Elex-tech
    2016-11-21 21:04 - 2016-05-23 03:41 - 00055056 _____ (Elex do Brasil Participações Ltda) C:\WINDOWS\system32\Drivers\iSafeKrnlBoot.sys
    2016-11-21 21:04 - 2016-05-19 07:42 - 00052392 _____ (Elex do Brasil Participações Ltda) C:\WINDOWS\system32\Drivers\iSafeNetFilter.sys
    2016-11-21 20:59 - 2016-11-22 15:19 - 00000000 _____ C:\Users\Public\Documents\report.dat
    2016-11-21 20:59 - 2016-11-21 21:04 - 00000003 _____ C:\WINDOWS\SysWOW64\hoewmds
    2016-11-21 20:59 - 2016-11-21 21:00 - 00000000 ____D C:\ProgramData\ucky
    2016-11-21 20:59 - 2016-11-21 21:00 - 00000000 ____D C:\Program Files (x86)\UvConverter
    2016-11-21 20:59 - 2016-11-21 20:59 - 00003528 _____ C:\WINDOWS\System32\Tasks\ChelfNotify Task
    2016-11-21 20:59 - 2016-11-21 20:59 - 00000000 ____D C:\Users\Madzia\AppData\Roaming\adhad
    2016-11-21 20:59 - 2016-11-21 20:59 - 00000000 ____D C:\ProgramData\WinSAPSvc
    2016-11-21 20:59 - 2016-11-21 20:59 - 00000000 ____D C:\ProgramData\ChelfNotify
    2016-11-21 20:59 - 2016-11-21 20:59 - 00000000 ____D C:\Program Files (x86)\WinArcher
    2016-11-21 20:59 - 2016-11-21 20:59 - 00000000 _____ C:\Users\Public\Documents\temp.dat
    2016-11-19 12:03 - 2016-11-19 12:03 - 00919040 _____ (Farbar) C:\WINDOWS\mod_frst.exe
    EmptyTemp:

    W FRST wybierz Napraw.

    Zrob pelny skan przy pomocy Mbam i usun to co wykryje:
    http://www.bleepingcomputer.com/download/malwarebytes-anti-malware/
    oraz http://ftp.drweb.com/pub/drweb/cureit/launch.exe

    Po wykonaniu zamiesc nowe logi z FRST, ze skanowania.

    1
  • Pomocny post
    #3 22 Lis 2016 15:51
    Acorus 20
    Spec od komputerów

    Odinstaluj qksee, Uncheckit, WinZip, YAC(Yet Another Cleaner!). Otwórz notatnik systemowy i wklej:

    Cytat:
    CloseProcesses:
    Task: {72445913-29FD-465B-ADE2-A054A965953E} - System32\Tasks\ChelfNotify Task => C:\ProgramData\ChelfNotify\BrowserUpdate.exe [2016-06-30] (Tencent) <==== UWAGA
    Task: {72CF8B79-A749-464B-9620-C57BF27D2B59} - System32\Tasks\UncheckitUpdateTaskDB => C:\Program Files (x86)\Uncheckit\UncheckitUpdate.exe <==== UWAGA
    Task: {BD4D17CC-0131-4587-91C0-F5477123093E} - System32\Tasks\UncheckitTaskMN => C:\Program Files (x86)\Uncheckit\cktSvc.exe <==== UWAGA
    Task: {D3566C03-8971-48CC-A140-315026066586} - System32\Tasks\UncheckitUpdateTaskC => C:\Program Files (x86)\Uncheckit\UncheckitUpdate.exe <==== UWAGA
    Task: {D3FDDC2E-4950-4BF6-AF3B-49E0584B97C5} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> Brak pliku <==== UWAGA
    Hosts:
    FF Homepage: Mozilla\Firefox\Profiles\606utv62.default -> hxxp://www.luckysearch123.com?type=hp&ts=...;z=532006269492b7db77684c1gaz1m4tfm1wcbbt6o0g
    FF NewTab: Mozilla\Firefox\Profiles\606utv62.default -> hxxp://www.luckysearch123.com?type=hp&ts=...;z=532006269492b7db77684c1gaz1m4tfm1wcbbt6o0g
    FF Extension: (xRocket Toolbar) - C:\Users\Madzia\AppData\Roaming\Mozilla\Firefox\Profiles\606utv62.default\Extensions\arthurj8283@gmail.com [2016-11-21] [Brak podpisu cyfrowego]
    FF SearchPlugin: C:\Users\Madzia\AppData\Roaming\Mozilla\Firefox\Profiles\606utv62.default\searchplugins\luck.xml [2016-11-21]
    R2 iSafeService; C:\Program Files (x86)\Elex-tech\YAC\iSafeSvc.exe [131024 2016-08-19] (Elex do Brasil Participações Ltda)
    R2 UncheckitSvc; C:\Program Files (x86)\Uncheckit\UncheckitSvc.exe [241664 2016-07-05] (evangel technology (hk) limited) [Brak podpisu cyfrowego]
    R2 UvConv; C:\Users\Madzia\AppData\Roaming\adhad\UvConverter.exe [393216 2016-11-15] () [Brak podpisu cyfrowego]
    S2 cktSvc; "C:\Program Files (x86)\Uncheckit\cktSvc.exe" {92E162D7-70FD-48F7-A779-91154F8FD518} [X]
    S2 ed2kidle; "C:\Program Files (x86)\amuleC1\ed2k.exe" -downloadwhenidle [X]
    R1 iSafeKrnl; C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnl.sys [262344 2016-05-23] (Elex do Brasil Participações Ltda)
    S3 iSafeKrnlBoot; C:\WINDOWS\System32\DRIVERS\iSafeKrnlBoot.sys [55056 2016-05-23] (Elex do Brasil Participações Ltda)
    S1 iSafeKrnlKit; C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlKit.sys [110112 2016-05-23] (Elex do Brasil Participações Ltda)
    R1 iSafeKrnlMon; C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlMon.sys [52440 2016-05-23] (Elex do Brasil Participações Ltda)
    R1 iSafeKrnlR3; C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlR3.sys [103904 2016-05-23] (Elex do Brasil Participações Ltda)
    R1 iSafeNetFilter; C:\WINDOWS\System32\DRIVERS\iSafeNetFilter.sys [52392 2016-05-19] (Elex do Brasil Participações Ltda)
    2016-11-22 15:26 - 2016-11-22 15:28 - 00000000 ____D C:\AdwCleaner
    2016-11-21 21:04 - 2016-11-21 21:04 - 00000000 ____D C:\Users\Madzia\AppData\Roaming\Elex-tech
    2016-11-21 21:04 - 2016-11-21 21:04 - 00000000 ____D C:\Program Files (x86)\Elex-tech
    2016-11-21 21:04 - 2016-05-23 03:41 - 00055056 _____ (Elex do Brasil Participações Ltda) C:\WINDOWS\system32\Drivers\iSafeKrnlBoot.sys
    2016-11-21 21:04 - 2016-05-19 07:42 - 00052392 _____ (Elex do Brasil Participações Ltda) C:\WINDOWS\system32\Drivers\iSafeNetFilter.sys
    2016-11-21 20:59 - 2016-11-21 21:00 - 00000000 ____D C:\ProgramData\ucky
    2016-11-21 20:59 - 2016-11-21 21:00 - 00000000 ____D C:\Program Files (x86)\UvConverter
    2016-11-21 20:59 - 2016-11-21 20:59 - 00003528 _____ C:\WINDOWS\System32\Tasks\ChelfNotify Task
    2016-11-21 20:59 - 2016-11-21 20:59 - 00000000 ____D C:\Users\Madzia\AppData\Roaming\adhad
    2016-11-21 20:59 - 2016-11-21 20:59 - 00000000 ____D C:\ProgramData\WinSAPSvc
    2016-11-21 20:59 - 2016-11-21 20:59 - 00000000 ____D C:\ProgramData\ChelfNotify
    2016-11-21 20:59 - 2016-11-21 20:59 - 00000000 ____D C:\Program Files (x86)\WinArcher
    2016-11-21 20:59 - 2016-11-21 20:59 - 00000000 _____ C:\Users\Public\Documents\temp.dat
    2016-11-15 11:55 - 2016-11-15 11:55 - 00001927 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Uncheckit.lnk
    2016-11-15 11:55 - 2016-11-15 11:55 - 00001921 _____ C:\Users\Public\Desktop\Uncheckit.lnk
    2016-11-15 11:55 - 2016-11-15 11:55 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Uncheckit
    EmptyTemp:

    Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.
    Uruchom jako administrator FRST i kliknij w Fix/Napraw.

    0
  • Pomocny post
    #5 22 Lis 2016 16:12
    Kolobos
    Spec od komputerów

    Wykonaj WSZYSTKO co podalem, a nie tylko Fixlist!

    0
  • Pomocny post
    #7 22 Lis 2016 17:42
    Acorus 20
    Spec od komputerów

    I gdzie masz tego wirusa?

    0
  • #8 22 Lis 2016 17:45
    magdaivan
    Poziom 4  

    Nadal jest jakieś searchinme w przeglądarce. Wiem, że mogę sobie zmienić stronę startową, ale chciałabym się tego całkiem pozbyć.

    0
  • Pomocny post
    #9 22 Lis 2016 17:47
    Kolobos
    Spec od komputerów

    Mozliwe, ze w FF, infekcja utworzyla/zmodyfikowala katalogi FF:
    2016-11-21 21:01 - 2016-11-21 21:01 - 00000000 ____D C:\Users\Madzia\AppData\Local\Firefox
    2016-11-21 21:00 - 2016-11-21 21:00 - 00000000 ____D C:\Users\Madzia\AppData\Roaming\Firefox
    2016-11-21 21:00 - 2016-11-21 21:00 - 00000000 ____D C:\Program Files (x86)\Firefox
    2016-11-21 19:10 - 2016-11-21 21:08 - 00000000 ____D C:\Users\Madzia\AppData\LocalLow\Mozilla
    2016-11-20 23:12 - 2016-11-21 22:31 - 00000000 ____D C:\Program Files (x86)\Mozilla Firefox

    Warto odinstalowac FF i zainstalowac ponownie, najlepiej z utworzeniem nowego profilu.

    0
  • #10 22 Lis 2016 17:48
    magdaivan
    Poziom 4  

    A właściwie to faktycznie laptop już nie muli, więc chyba jest wszystko ok. Dziękuję za pomoc ;)

    Dodano po 56 [sekundy]:

    Kolobos napisał:
    Mozliwe, ze w FF, infekcja utworzyla/zmodyfikowala katalogi FF:
    2016-11-21 21:01 - 2016-11-21 21:01 - 00000000 ____D C:\Users\Madzia\AppData\Local\Firefox
    2016-11-21 21:00 - 2016-11-21 21:00 - 00000000 ____D C:\Users\Madzia\AppData\Roaming\Firefox
    2016-11-21 21:00 - 2016-11-21 21:00 - 00000000 ____D C:\Program Files (x86)\Firefox
    2016-11-21 19:10 - 2016-11-21 21:08 - 00000000 ____D C:\Users\Madzia\AppData\LocalLow\Mozilla
    2016-11-20 23:12 - 2016-11-21 22:31 - 00000000 ____D C:\Program Files (x86)\Mozilla Firefox

    Warto odinstalowac FF i zainstalowac ponownie, najlepiej z utworzeniem nowego profilu.


    Tak zrobię, dzięki :)

    0