Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Logi FRST, prośba o sprawdzenie

marcin55246 20 Gru 2017 20:29 225 9
  • Pomocny post
    #2 20 Gru 2017 21:24
    krzychupar
    Poziom 40  

    Jaki problem masz?
    Otwórz notatnik systemowy i wklej:
    HKU\S-1-5-20\...\Run: [Sidebar] => %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun
    HKU\S-1-5-21-175205157-4074760800-253673229-1000\...\MountPoints2: {057f4d88-d9d1-11e6-b2e9-fcaa140d9fb4} - I:\AutoRun.exe
    HKU\S-1-5-21-175205157-4074760800-253673229-1000\...\MountPoints2: {15eb4bb7-6639-11e7-8f49-fcaa140d9fb4} - G:\AutoRun.exe
    HKU\S-1-5-21-175205157-4074760800-253673229-1000\...\MountPoints2: {5b449183-ff52-11e6-ba48-fcaa140d9fb4} - I:\AutoRun.exe
    HKU\S-1-5-21-175205157-4074760800-253673229-1000\...\MountPoints2: {c996b8f7-d9cd-11e6-a022-bf17aa87d643} - K:\AutoRun.exe
    HKU\S-1-5-21-175205157-4074760800-253673229-1000\...\MountPoints2: {c996b903-d9cd-11e6-a022-bf17aa87d643} - K:\AutoRun.exe
    HKU\S-1-5-21-175205157-4074760800-253673229-1000\...\MountPoints2: {c9fcfe0a-a772-11e7-9f34-97a76d144334} - I:\AutoRun.exe
    HKU\S-1-5-21-175205157-4074760800-253673229-1000\...\MountPoints2: {c9fcfe0e-a772-11e7-9f34-97a76d144334} - I:\AutoRun.exe
    GroupPolicy: Ograniczenia - Windows Defender <==== UWAGA
    Hosts: 127.0.0.1 validation.sls.microsoft.com
    SearchScopes: HKLM-x32 -> DefaultScope - brak wartości
    FF Homepage: Mozilla\Firefox\Profiles\6q0fpb1c.default -> hxxps://encrypted.google.com
    CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx
    "ourtjcwh" => serwis został odblokowany. <==== UWAGA
    S3 gdrv; \??\C:\Windows\gdrv.sys [X]
    S3 RivaTuner64; \??\D:\Program Files (x86)\RivaTuner v2.24 MSI Master Overclocking Arena 2009 edition\RivaTuner64.sys [X]
    2017-12-06 23:14 - 2017-12-15 18:31 - 000000000 ____D C:\AdwCleaner
    2017-12-06 22:45 - 2017-12-06 22:45 - 000278506 _____ () C:\Users\Marcin\AppData\Local\Airstring.bin
    2017-12-06 22:44 - 2017-12-06 22:44 - 000140800 _____ () C:\Users\Marcin\AppData\Local\installer.dat
    2017-12-06 22:46 - 2017-12-06 22:46 - 001895382 _____ () C:\Users\Marcin\AppData\Local\La-Fresh.bin
    2017-05-04 01:24 - 2017-05-04 01:24 - 000000001 _____ () C:\Users\Marcin\AppData\Local\llftool.4.40.agreement

    EmptyTemp:

    Plik zapisz pod nazwą fixlist.txt i umieść w folderze, gdzie masz FRST.exe.
    Uruchom FRST i kliknij w Fix/Napraw.

    0
  • #3 20 Gru 2017 22:47
    marcin55246
    Poziom 25  

    Jakieś Trojan.BitCoinerMiner- WEBSERWICE.exe ściąga jakiś syf i instaluje bez mojej wiedzy, MBAM ciągle to wykrywa, usunie, ale ciągle to jest, za każdym skanowaniem pojawia się ten sam plik.

    Coś ciągle wysyła plik svchost i próbuje się połączyć z dsgdsga.ch
    Nazwa:backdor.tofsee - blfyryhf.exe próbuje się uruchamć. MBAM blokuje to cały czas. Trojan.BitCoinerMiner

    AdwCleaner nie widzi niczego.

    0
  • Pomocny post
    #5 20 Gru 2017 23:22
    Kolobos
    Spec od komputerów

    Wykonaj Fixlist.txt:
    HKLM-x32\...\Run: [] => [X]
    SearchScopes: HKLM-x32 -> DefaultScope - brak wartości
    FF user.js: detected! => C:\Users\Marcin\AppData\Roaming\Mozilla\Firefox\Profiles\6q0fpb1c.default\user.js [2017-07-12]
    2017-12-06 23:14 - 2017-12-15 18:31 - 000000000 ____D C:\AdwCleaner
    2017-12-06 23:06 - 2017-12-06 23:06 - 000000266 __RSH C:\Users\Marcin\ntuser.pol
    2017-12-06 22:47 - 2017-12-14 02:00 - 000000000 ____D C:\Windows\SysWOW64\ourtjcwh
    2017-12-06 22:46 - 2017-12-06 22:46 - 001895382 _____ C:\Users\Marcin\AppData\Local\La-Fresh.bin
    2017-12-06 22:45 - 2017-12-06 23:40 - 000000000 ____D C:\Program Files\B03KIBSO01
    2017-12-06 22:45 - 2017-12-06 23:40 - 000000000 ____D C:\Program Files\2A18XPY3KK
    2017-12-06 22:45 - 2017-12-06 22:45 - 000278506 _____ C:\Users\Marcin\AppData\Local\Airstring.bin
    2017-12-06 22:44 - 2017-12-06 22:44 - 000140800 _____ C:\Users\Marcin\AppData\Local\installer.dat
    2017-12-06 22:43 - 2017-12-06 23:40 - 000000000 ____D C:\Program Files\20CPKXJHR3
    2017-12-06 22:40 - 2017-12-06 23:39 - 000000000 ____D C:\Applications
    2017-12-06 22:40 - 2017-12-06 23:36 - 000000000 ____D C:\WinSys
    2017-12-06 22:35 - 2017-12-06 23:36 - 000000000 ____D C:\Windows\System32\Tasks\Windows
    2017-12-06 22:33 - 2017-12-06 22:33 - 000000000 ____D C:\ProgramData\Nitro
    2017-12-06 22:33 - 2017-12-06 22:33 - 000000000 ____D C:\Program Files\Common Files\Nitro
    2017-12-06 22:33 - 2017-12-06 22:33 - 000000000 ____D C:\Program Files (x86)\Nitro
    2017-12-06 22:33 - 2016-09-08 13:41 - 000031936 _____ (Nitro Software, Inc.) C:\Windows\system32\nitrolocalmon11.dll
    2017-12-06 22:33 - 2016-09-08 13:41 - 000020160 _____ (Nitro Software, Inc.) C:\Windows\system32\nitrolocalui11.dll
    2017-12-06 22:26 - 2017-12-14 02:19 - 000000000 ____D C:\Disk
    2017-12-06 22:26 - 2017-12-06 22:26 - 000000000 ____D C:\Windat
    2017-12-06 22:45 - 2017-12-06 22:45 - 000278506 _____ () C:\Users\Marcin\AppData\Local\Airstring.bin
    2017-12-06 22:44 - 2017-12-06 22:44 - 000140800 _____ () C:\Users\Marcin\AppData\Local\installer.dat
    2017-12-06 22:46 - 2017-12-06 22:46 - 001895382 _____ () C:\Users\Marcin\AppData\Local\La-Fresh.bin
    AlternateDataStreams: C:\ProgramData:482EE99B1E21CE8C [217]
    AlternateDataStreams: C:\Users\All Users:482EE99B1E21CE8C [217]
    AlternateDataStreams: C:\ProgramData\Application Data:482EE99B1E21CE8C [217]
    AlternateDataStreams: C:\ProgramData\Dane aplikacji:482EE99B1E21CE8C [217]
    AlternateDataStreams: C:\ProgramData\Reprise:wupeogjxlctlfudivq`qsp`28hfm [0]

    Po wykonaniu zamiesc nowe logi z FRST, ze skanowania.

    Zrob pelny skan przy pomocy Mbam i usun to co wykryje:
    http://www.bleepingcomputer.com/download/malwarebytes-anti-malware/

    0
  • #6 21 Gru 2017 16:06
    marcin55246
    Poziom 25  

    Oto log. Mbam w końcu nic nie znalazł. Ten problem nie występuje na firefoxie, nawet bez włączonej przeglądarki się uruchamiało.

    0
  • Pomocny post
    #7 21 Gru 2017 17:48
    Kolobos
    Spec od komputerów

    > Po wykonaniu zamiesc nowe logi z FRST, ze skanowania.

    0
  • Pomocny post
    #9 21 Gru 2017 21:44
    Kolobos
    Spec od komputerów

    Nowy Fixlist.txt:
    S2 Bonjour Service; "C:\Program Files\Bonjour\mDNSResponder.exe" [X]
    S2 ourtjcwh; C:\Windows\SysWOW64\ourtjcwh\msizqgyi.exe [X]

    Po wykonaniu usuń katalog C:\FRST i to wszystko.

    0