Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Przeanalizowanie logów FRST.

lol2plxd 24 Kwi 2017 21:11 276 2
  • #1 24 Kwi 2017 21:11
    lol2plxd
    Poziom 3  

    Witam, bardzo proszę o przeanalizowanie logów z frst. W przeglądarce same włączają się reklamy w nowych kartach. Od jakiegoś czasu laptop też zdecydowanie zwolnił. Avast i MBAM nie wykryly wiekszych problemów a to co wykryły pousuwałem jakiś czas temu (tydzien, moze dwa)

    FRST.txt
    http://wklej.org/id/3095873/

    Addition.txt
    http://wklej.org/id/3095875/

    0 2
  • #2 24 Kwi 2017 21:19
    Kolobos
    Spec od komputerów

    Zainfekowales system prawie rok temu i dopiero teraz piszesz?

    Wykonaj Fixlist.txt dla FRST:
    CloseProcesses:
    Task: {0E5A25A4-B349-4DBB-9C4B-B912DCF36AA3} - System32\Tasks\Ziwecultkorus Host => C:\Program Files (x86)\Ziwecultkorus\ZwcHsttsk.exe <==== UWAGA
    Task: {55D7E868-2F0C-49C6-BBC5-278944677CE5} - System32\Tasks\Atusogh Update => C:\Program Files (x86)\Atusogh\AtsUpdTsk.exe <==== UWAGA
    C:\Program Files (x86)\Atusogh\
    C:\Program Files (x86)\Ziwecultkorus\
    Task: {60D8E1C6-6C37-4D86-89B7-FE6959200614} - System32\Tasks\{91C4C5E6-A614-4A1C-B883-87FA2D34E021} => pcalua.exe -a "C:\Program Files\SpaceSoundPro\uninstaller.exe"
    Task: {8C906122-239E-4FF1-A0DE-30A486B830C8} - System32\Tasks\{1357F8FA-B962-4111-9170-32268EB1C335} => pcalua.exe -a "C:\Program Files (x86)\Hostify\uninstaller.exe"
    Task: {A3DED555-222A-422B-BB1D-352D3649FABD} - System32\Tasks\Opera scheduled Autoupdate 1462074423 => C:\Program Files (x86)\Opera\launcher.exe [2017-02-27] (Opera Software)
    ShortcutWithArgument: C:\Users\Dawid\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> "hxxp://safebrowsing.biz/?ssid=1465498788&a=1004173&src=sh&uuid=e3186266-e6af-4eb1-913a-f67a2383578a"
    ShortcutWithArgument: C:\Users\Dawid\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Opera.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> "hxxp://safebrowsing.biz/?ssid=1465498788&a=1004173&src=sh&uuid=e3186266-e6af-4eb1-913a-f67a2383578a"
    ShortcutWithArgument: C:\Users\Public\Desktop\Opera.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> "hxxp://safebrowsing.biz/?ssid=1465498788&a=1004173&src=sh&uuid=e3186266-e6af-4eb1-913a-f67a2383578a"
    Hosts:
    HKLM-x32\...\Run: [sun21] => [X]
    GroupPolicy: Ograniczenia <======= UWAGA
    ProxyEnable: [S-1-5-21-2738409378-715790414-1413172795-1002] => Proxy [funkcja włączona]
    ProxyServer: [S-1-5-21-2738409378-715790414-1413172795-1002] => http=127.0.0.1:8888;
    AutoConfigURL: [S-1-5-21-2738409378-715790414-1413172795-1002] => hxxp://un-stop.info/wpad.dat?f9bfd77fd7b066e8c6ef827db3c1db3811242739
    ManualProxies: 0hxxp://un-stop.info/wpad.dat?f9bfd77fd7b066e8c6ef827db3c1db3811242739
    RemoveProxy:
    HKU\S-1-5-21-2738409378-715790414-1413172795-1002\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61...DxiPptzB538GsTUsGDtTv6xXAtYKspHPRhaw,,&q={searchTerms}




    SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL =
    SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61...DxiPptzB538GsTUsGDtTv6xXAtYKspHPRhaw,,&q={searchTerms}
    SearchScopes: HKU\S-1-5-21-2738409378-715790414-1413172795-1002 -> DefaultScope 0633EE93-D776-472f-A0FF-E1416B8B2E3A URL =
    SearchScopes: HKU\S-1-5-21-2738409378-715790414-1413172795-1002 -> {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61...DxiPptzB538GsTUsGDtTv6xXAtYKspHPRhaw,,&q={searchTerms}
    CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] - hxxps://clients2.google.com/service/update2/crx
    S4 backlh; C:\ProgramData\Logic Handler\set.exe [2089472 2016-09-11] () [Brak podpisu cyfrowego]
    C:\ProgramData\Logic Handler\
    2017-04-08 21:26 - 2016-06-09 21:01 - 00000000 ____D C:\ProgramData\Holdtam
    2016-06-09 21:01 - 2016-06-09 21:01 - 6867968 _____ () C:\Users\Dawid\AppData\Roaming\agent.dat
    2016-06-09 21:01 - 2016-06-09 21:01 - 0054272 _____ () C:\Users\Dawid\AppData\Roaming\ApplicationHosting.dat
    2016-06-09 21:01 - 2016-06-09 21:01 - 0069072 _____ () C:\Users\Dawid\AppData\Roaming\Config.xml
    2016-06-09 21:01 - 2016-06-09 21:01 - 0072704 _____ () C:\Users\Dawid\AppData\Roaming\DamDanlab.tst
    2016-06-09 21:00 - 2016-06-09 21:00 - 0848437 _____ () C:\Users\Dawid\AppData\Roaming\Duoing.bin
    2016-06-09 21:00 - 2016-06-09 21:00 - 0018432 _____ () C:\Users\Dawid\AppData\Roaming\InstallationConfiguration.xml
    2016-06-09 21:00 - 2016-06-09 21:00 - 0128512 _____ () C:\Users\Dawid\AppData\Roaming\Installer.dat
    2016-06-09 21:01 - 2016-06-09 21:01 - 1760384 _____ () C:\Users\Dawid\AppData\Roaming\Lightwarm.tst
    2016-06-09 21:01 - 2016-06-09 21:01 - 0126464 _____ () C:\Users\Dawid\AppData\Roaming\lobby.dat
    2016-06-09 21:01 - 2016-06-09 21:01 - 0018432 _____ () C:\Users\Dawid\AppData\Roaming\Main.dat
    2016-06-09 21:01 - 2016-06-09 21:01 - 0005568 _____ () C:\Users\Dawid\AppData\Roaming\md.xml
    2016-06-09 21:01 - 2016-06-09 21:01 - 0126464 _____ () C:\Users\Dawid\AppData\Roaming\noah.dat
    2016-06-09 21:01 - 2016-06-09 21:01 - 0032038 _____ () C:\Users\Dawid\AppData\Roaming\uninstall_temp.ico
    EmptyTemp:

    W FRST wybierz Napraw.

    0
  • #3 25 Kwi 2017 17:17
    lol2plxd
    Poziom 3  

    Dzięki wielkie. Pomogło jak na razie.

    0