Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Prośba o sprawdzenie logów FRST

Mateusz9123 14 Maj 2017 00:14 519 6
  • #1 14 Maj 2017 00:14
    Mateusz9123
    Poziom 2  

    Witam, jakiś czas temu do mojego systemu wdarło się pare wirusów głównie jakieś trojany który przeczyściłem MBAM, Adwcleanerem i Dr webem. Niestety nie wszystkie wirusy się usuneły, zostały jakieś które tworzą pliki tmp.exe w local/temp i otwierają się jako G[3 losowe cyfry].tmp.exe.
    Dodam też, że wirus blokuje mi niektóre programy typu MBAM i działają one tylko po odblokowaniu w trybie awaryjnym.

    0 6
  • #2 14 Maj 2017 00:28
    Kolobos
    Spec od komputerów

    Zamiesc jeszcze raz addition.txt, tym razem caly.

    0
  • Pomocny post
    #4 15 Maj 2017 07:54
    Kolobos
    Spec od komputerów

    Wykonaj Fixlist.txt dla FRST:
    CloseProcesses:
    Task: {1D6B22FA-7881-4EDA-A945-3DD77563542D} - System32\Tasks\SmileGour => Rundll32.exe "C:\Program Files\SmileGour\SmileGour.dll",IJwaOI
    Task: {FB663A2E-1B4D-4324-86C0-95A9A4378C71} - System32\Tasks\{CA79E7B2-EE55-4859-A462-92D3DFD35DAD} => pcalua.exe -a "C:\Program Files (x86)\YeaDesktop\unins000.exe"
    2017-05-08 01:18 - 2015-06-01 15:10 - 02899968 _____ () C:\Program Files\HT Photo Cool Booster\HT Photo Cool Booster.dll
    HKU\S-1-5-21-254026629-2061309650-192540228-1000\...\Run: [SteamServerBrowser] => C:\Program Files (x86)\SteamServerBrowser\SteamServerBrowser.exe [228352 2017-02-26] ()
    HKU\S-1-5-21-254026629-2061309650-192540228-1000\...\MountPoints2: {3ec78ac5-0c3b-11e7-9716-1c1b0d6b9ef3} - "E:\autorun.exe"
    HKU\S-1-5-21-254026629-2061309650-192540228-1000\...\MountPoints2: {449f7dd2-0c98-11e7-9717-1c1b0d6b9ef3} - "F:\setup.exe"
    IFEO\GoogleUpdate.exe: [Debugger] 324095823984.exe
    IFEO\GoogleUpdaterService.exe: [Debugger] 8736459873644.exe
    ShellExecuteHooks: Brak nazwy - {7EDBF2B6-3080-11E7-9A3E-64006A5CFC23} - C:\Users\tata\AppData\Roaming\Plalataindrajupy\Nomaly.dll [148992 2017-05-08] ()
    Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\McAfee Security Scan Plus.lnk [2017-04-25]
    ShortcutTarget: McAfee Security Scan Plus.lnk -> C:\Program Files (x86)\McAfee Security Scan\3.11.500\SSScheduler.exe (Brak pliku)
    Startup: C:\Users\tata\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Startup name.vbs [2017-04-30] ()
    FF Extension: (Menu Wizard) - C:\Users\tata\AppData\Roaming\Mozilla\Firefox\Profiles\g7f06kzt.default\Extensions\s3menu@wizard.xpi [2017-05-13]
    R1 cryptfd; C:\WINDOWS\System32\drivers\cryptfd.sys [193448 2017-04-18] ()
    2017-05-12 15:22 - 2017-05-12 15:22 - 00602112 _____ (OldTimer Tools) C:\Users\tata\Downloads\OTL.exe
    2017-05-12 14:56 - 2017-05-12 14:56 - 00000000 ____D C:\Users\Public\Documents\Google
    2017-05-12 14:56 - 2017-05-12 14:56 - 00000000 ____D C:\Program Files (x86)\5915B0F2_jumpeasy
    2017-05-12 14:56 - 2017-05-12 14:56 - 00000000 _____ C:\WINDOWS\SysWOW64\1111
    2017-05-09 18:19 - 2017-05-12 20:56 - 00000000 ____D C:\AdwCleaner
    2017-05-09 16:54 - 2017-05-09 16:54 - 00000000 ____D C:\Reaqapytegupy
    2017-05-09 00:06 - 2017-05-09 00:06 - 00000000 ____D C:\Program Files (x86)\MIO
    2017-05-09 00:06 - 2017-05-09 00:06 - 00000000 ____D C:\Program Files (x86)\elqatapy
    2017-05-08 01:18 - 2017-05-08 01:18 - 00016864 _____ C:\WINDOWS\System32\Tasks\HT Photo Cool Booster
    2017-05-08 01:18 - 2017-05-08 01:18 - 00000000 ____D C:\Program Files\HT Photo Cool Booster
    2017-05-08 00:14 - 2017-05-08 00:14 - 00003250 _____ C:\WINDOWS\System32\Tasks\{CA79E7B2-EE55-4859-A462-92D3DFD35DAD}
    2017-05-08 00:09 - 2017-05-08 00:09 - 00000000 __SHD C:\Users\tata\AppData\Local\kemgadeojglibflomicgnfeopkdfflnw
    2017-05-08 00:09 - 2017-05-08 00:09 - 00000000 ____D C:\Users\Public\Documents\XMUpdate
    2017-05-08 00:08 - 2017-05-08 00:08 - 00016784 _____ C:\WINDOWS\System32\Tasks\SmileGour
    2017-05-08 00:08 - 2017-05-08 00:08 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\极速压缩
    2017-05-08 00:08 - 2016-12-27 04:34 - 00025432 _____ C:\WINDOWS\system32\Drivers\vcdrom.sys
    R1 WiserIso; C:\WINDOWS\System32\Drivers\vcdrom.sys [25432 2016-12-27] ()
    2017-05-08 00:06 - 2017-05-12 00:18 - 00000000 ____D C:\Program Files (x86)\Reojuch
    2017-05-08 00:06 - 2017-05-08 00:07 - 00000000 ____D C:\Users\tata\AppData\Local\Dijsekergition
    2017-05-08 00:06 - 2017-05-08 00:06 - 00006078 _____ C:\WINDOWS\System32\Tasks\Vebespanolasy Reports
    2017-05-08 00:06 - 2017-05-08 00:06 - 00000000 ____D C:\Users\tata\AppData\Roaming\Plalataindrajupy
    2017-04-25 08:33 - 2017-04-27 01:47 - 00000000 ____D C:\Program Files\Common Files\McAfee
    2017-04-25 08:25 - 2017-04-25 08:25 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\McAfee Security Scan Plus
    2017-04-25 08:25 - 2017-04-25 08:25 - 00000000 ____D C:\ProgramData\McAfee Security Scan
    2017-04-18 09:12 - 2017-04-18 09:12 - 00193448 _____ C:\WINDOWS\system32\Drivers\cryptfd.sys
    2017-04-15 17:28 - 2017-04-15 17:28 - 00001062 _____ C:\Users\tata\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\YaTQA.lnk
    2017-04-15 17:28 - 2017-04-15 17:28 - 00000000 ____D C:\Users\tata\AppData\Roaming\YaTQA
    2017-04-15 17:28 - 2017-04-15 17:28 - 00000000 ____D C:\Program Files (x86)\YaTQA
    2017-05-08 01:18 - 2016-07-16 08:04 - 00000000 ____D C:\Program Files\SmileGour
    2017-04-26 10:30 - 2017-03-17 18:47 - 00000000 ____D C:\ProgramData\McAfee
    EmptyTemp:

    Po wykonaniu zamiesc nowe logi z FRST, ze skanowania.

    0
  • Pomocny post
    #6 16 Maj 2017 12:06
    Kolobos
    Spec od komputerów

    Wykonaj Fixlist.txt:
    Task: {97DA6D97-8D36-4762-978B-232725A333FA} - \HT Photo Cool Booster -> Brak pliku <==== UWAGA
    Task: {C479B016-1538-471E-ABE7-0D4ACFDD179A} - \Vebespanolasy Reports -> Brak pliku <==== UWAGA

    Po wykonaniu usun katalog C:\FRST i to wszystko.

    0
  • #7 16 Maj 2017 14:21
    Mateusz9123
    Poziom 2  

    Wszystko działa jak należy, dziękuje za pomoc.

    0