Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

[Rozwiązano] Prośba o analizę OTL coś siedzi w systemie Win10

Pitek_n 27 Cze 2018 13:18 234 15
  • #1 27 Cze 2018 13:18
    Pitek_n
    Poziom 9  

    Witam
    Proszę o analizę załączonego loga. Znajomy otworzył załącznik z maila :)
    W komputerze na 100% coś zostało. Antywirus nic nie znajdue.
    Prosze o pomoc. Może uda sie bez reinstalacji systemu.
    OTL.Txt Download (374.68 kB)
    Dzieki.
    Piotr

    0 15
  • #4 27 Cze 2018 14:00
    krzychupar
    Poziom 41  

    Otwórz notatnik systemowy i wklej:

    Task: {9FA5CF52-09B9-4415-A2DD-20116059801C} - \Microsoft\Windows\UNP\RunCampaignManager -> Brak pliku <==== UWAGA
    HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank
    CHR HKLM\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho] - hxxp://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho] - hxxp://clients2.google.com/service/update2/crx
    U3 mfeavfk01; Brak ImagePath
    U3 mfeavfk02; Brak ImagePath
    C:\Windows\erunt.exe
    EmptyTemp:

    Plik zapisz pod nazwą fixlist.txt i umieść w folderze, gdzie masz FRST.exe.
    Uruchom FRST i kliknij w Fix/Napraw.

    0
  • #5 27 Cze 2018 14:42
    Pitek_n
    Poziom 9  

    Dziękuję za fix.
    Niestety dalej jest cos nie tak. Proxy ustawia sie na 127.0.0.1. Dodarkowo pojawia sie komunikar, ze plik dll sie nie uruchamia. Malwarebytes blokuje strone.
    W załączeniu logi oraz zdjecia komunikatów.
    FRST.txt Download (86.74 kB) Fixlog.txt Download (2.86 kB) Additi..txt Download (70.64 kB) Prośba o analizę OTL coś siedzi w systemie Win1020180625_1..025.jpg Download (5.27 MB) Prośba o analizę OTL coś siedzi w systemie Win1020180625_1..554.jpg Download (4.2 MB)
    Pozdrawiam
    Piotr

    0
  • #6 27 Cze 2018 15:00
    krzychupar
    Poziom 41  

    Wykonaj jeszcze to:
    Otwórz notatnik systemowy i wklej:

    HKU\S-1-5-21-2875281960-3921737133-1493399572-1001\Software\Classes\exefile: <==== UWAGA
    ProxyEnable: [.DEFAULT] => Proxy [funkcja włączona]
    ProxyServer: [.DEFAULT] => 127.0.0.1:1080
    ProxyEnable: [S-1-5-21-2875281960-3921737133-1493399572-1001] => Proxy [funkcja włączona]
    ProxyServer: [S-1-5-21-2875281960-3921737133-1493399572-1001] => 127.0.0.1:1080

    Plik zapisz pod nazwą fixlist.txt i umieść w folderze, gdzie masz FRST.exe.
    Uruchom FRST i kliknij w Fix/Napraw.

    0
  • #7 27 Cze 2018 15:06
    Kolobos
    Spec od komputerów

    Nic nowego, krzychupar nie potrafi usunac tej infekcji, zwracalem juz na to uwage w poprzednim watku jak widac bez efektu.


    Odinstaluj McAfee WebAdvisor

    Wykonaj Fixlist.txt dla FRST:
    CloseProcesses:
    Task: {88A265CC-B7C5-4BA9-B15F-7B93A06F706E} - System32\Tasks\Opera scheduled Autoupdate 1459418127 => C:\Program Files (x86)\Opera\launcher.exe [2018-06-26] (Opera Software)
    Task: {911D83E0-E091-49C2-BA24-90B88E0AD11F} - System32\Tasks\Norton Security Scan for User => C:\Program Files (x86)\Norton Security Scan\Engine\4.6.1.150\Nss.exe [2018-01-10] (Symantec Corporation)
    Task: {9FA5CF52-09B9-4415-A2DD-20116059801C} - \Microsoft\Windows\UNP\RunCampaignManager -> Brak pliku <==== UWAGA
    HKU\S-1-5-21-2875281960-3921737133-1493399572-1001\Software\Classes\exefile: <==== UWAGA
    BootExecute: autocheck autochk *
    CHR HKLM\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho] - hxxp://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho] - hxxp://clients2.google.com/service/update2/crx
    R2 44A26D3B; C:\ProgramData\44A26D3B\44A26D64.dll [2698768 2018-06-16] () [Brak podpisu cyfrowego]
    2018-06-25 17:04 - 2018-06-25 17:04 - 000004344 _____ C:\WINDOWS\System32\Tasks\Norton Security Scan for User
    2018-06-25 17:04 - 2018-06-25 17:04 - 000001541 _____ C:\Users\Public\Desktop\Norton Security Scan.LNK
    2018-06-25 17:04 - 2018-06-25 17:04 - 000000000 ____D C:\WINDOWS\system32\Drivers\NSSx64
    2018-06-25 17:04 - 2018-06-25 17:04 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Norton Security Scan
    2018-06-25 17:04 - 2018-06-25 17:04 - 000000000 ____D C:\Program Files (x86)\NortonInstaller
    2018-06-25 17:04 - 2018-06-25 17:04 - 000000000 ____D C:\Program Files (x86)\Norton Security Scan
    2018-06-25 17:02 - 2018-06-25 17:02 - 000388608 _____ (Trend Micro Inc.) C:\Users\User\Downloads\HijackThis.exe
    2018-06-22 16:33 - 2018-06-22 16:33 - 007256272 _____ (Malwarebytes) C:\Users\User\Downloads\AdwCleaner 7100.exe
    2018-06-16 12:26 - 2018-06-27 07:58 - 000000000 ____D C:\ProgramData\44A26D3B
    ProxyEnable: [.DEFAULT] => Proxy [funkcja włączona]
    ProxyServer: [.DEFAULT] => 127.0.0.1:1080
    ProxyEnable: [S-1-5-21-2875281960-3921737133-1493399572-1001] => Proxy [funkcja włączona]
    ProxyServer: [S-1-5-21-2875281960-3921737133-1493399572-1001] => 127.0.0.1:1080
    RemoveProxy:

    Po wykonaniu usun katalog C:\FRST i to wszystko.

    0
  • #9 28 Cze 2018 17:44
    Kolobos
    Spec od komputerów

    > Po wykonaniu usun katalog C:\FRST i to wszystko.

    0
  • Pomocny post
    #11 30 Cze 2018 13:45
    Kolobos
    Spec od komputerów

    Ta sama infekcja co na pierwszym.

    Fixlist.txt:
    CloseProcesses:
    2018-06-16 12:32 - 2018-06-16 12:32 - 002713616 ___RH () c:\ProgramData\115CD3F8\115CD364.dll
    HKU\S-1-5-21-921544747-657896129-753576577-1001\Software\Classes\exefile: <==== UWAGA
    Startup: C:\Users\DELL\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\iexplorer.lnk [2018-06-16]
    ShortcutTarget: iexplorer.lnk -> C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe (Microsoft Corporation)
    ProxyEnable: [.DEFAULT] => Proxy [funkcja włączona]
    ProxyServer: [.DEFAULT] => 127.0.0.1:1080
    ProxyServer: [S-1-5-21-921544747-657896129-753576577-1001] => 127.0.0.1:1080
    ManualProxies: 1127.0.0.1:1080
    R2 115CD3F8; C:\ProgramData\115CD3F8\115CD364.dll [2713616 2018-06-16] () [Brak podpisu cyfrowego]
    2018-06-16 12:31 - 2018-06-29 08:02 - 000000000 __RHD C:\ProgramData\115CD3F8
    RemoveProxy:

    Po wykonaniu usun katalog C:\FRST.

    0
  • #12 30 Cze 2018 14:20
    Pitek_n
    Poziom 9  

    Serdeczne dziękuję.
    Tak przypuszczałem.
    W poniedziałek po wyczyszczeniu sie odezwę.
    Pozdrawiam
    Piotr.

    0
  • Pomocny post
    #14 02 Lip 2018 14:54
    Kolobos
    Spec od komputerów

    Logi sa zbedne, usun katalog C:\FRST i to wszystko.

    Antywirus mozesz zainstalowac dowolny, jednak zwracaj wieksza uwage na to co uruchamiasz (szczegolnie na falszywe faktury otrzymane mailem).

    0
  • #15 02 Lip 2018 20:10
    Pitek_n
    Poziom 9  

    Serdecznie dziękuję.
    Piotr

    0
  • #16 02 Lip 2018 20:16
    Pitek_n
    Poziom 9  

    Serdecznie dziękuję.
    Piotr

    Dodano po 6 [minuty]:

    Rozwiazanie problemu podał na tacy Kolobos :)

    0