Prośba o sprawdzenie logów FRST.

Wszystko co dotyczy bezpieczeństwa systemów oraz walki z malware, w szczególności analiza logów
Exbitz

Użytkownik
Posty: 94
Rejestracja: 16 lis 2014, 19:55

Prośba o sprawdzenie logów FRST.

Post14 cze 2018, 09:30

Kolega poprosił mnie o pomoc. Ciągle wyłącza i włącza mu się proces explorer.exe, więc w jego imieniu bardzo proszę o sprawdzenie logów i doradzenie co może być przyczyną problemu.

Logi znajdują się tutaj -> Dostępne tylko dla zarejestrowanych użytkowników

electrolux

Ekspert
Posty: 319
Rejestracja: 06 lut 2017, 00:26

Prośba o sprawdzenie logów FRST.

Post14 cze 2018, 16:37

Co do logów:
1) Odinstaluj te szkodliwe programy:
BitGuard (HKLM-x32\...\{15D2D75C-9CB2-4efd-BAD7-B9B4CB4BC693}) (Version: - MediaTechSoft Inc.) <==== UWAGA
Delta toolbar (HKLM-x32\...\delta) (Version: 1.8.24.6 - Delta) <==== UWAGA
istartsurf uninstall (HKLM-x32\...\istartsurf uninstall) (Version: - istartsurf) <==== UWAGA

2) SpyHunter nie jest zaufanym programem.
Spróbuj odinstalować w ten sposób:
kliknij na tę ikonkę C:\Users\nazwa Użytkownika\Start Menu\Programs\SpyHunter\Uninstall.lnk (czyli >>START >>Programy>>SpyHunter>>Uninstall)
wyskoczy okienko, ale zamiast klikać wielki zielony guzik "continue" kliknij "no, thanks". To drugie odinstalowuje.

3) Uruchom FRST. NA klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego:
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku
ContextMenuHandlers3: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku
Task: {0BC7A0F8-ABDD-4D61-8F7D-4497134A1E38} - System32\Tasks\bdraw Updater => wscript.exe //B "C:\Users\Marian\AppData\Local\bdraw\bdraw\1.3.26.12\..\updt.js"
RemoveDirectory: C:\Users\Marian\AppData\Local\bdraw
Task: {5E10A1FD-8A3D-46ED-A61E-8CA5EF94691F} - System32\Tasks\{8D87C37B-71F3-48F4-A6F1-D9976CB23691} => C:\Windows\system32\pcalua.exe -a E:\CHROME\flashget3.7.0.1220en.exe -d E:\CHROME
Task: {8DE5AD91-F351-4E00-9212-DD8B85B0E2D8} - System32\Tasks\EPUpdater => C:\Users\Marian\AppData\Roaming\BABSOL~1\Shared\BabMaint.exe <==== UWAGA
Task: {A1109FE2-F437-41E5-988A-B6920A6E6DC2} - System32\Tasks\Desk 365 RunAsStdUser => C:\Program Files (x86)\Desk 365\desk365.exe <==== UWAGA
RemoveDirectory: C:\Program Files (x86)\Desk 365
RemoveDirectory: C:\Users\Marian\AppData\Roaming\BABSOL~1
ShortcutWithArgument: C:\Users\Marian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.delta-homes.com/?utm_source= ... 1380363636
ShortcutWithArgument: C:\Users\Marian\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\a06339e9776d4569\Instagram for Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) ->
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) ->
HKLM-x32\...\Run: [mobilegeni daemon] => C:\Program Files (x86)\Mobogenie\DaemonProcess.exe
AppInit_DLLs: c:\progra~3\bitguard\271769~1.27\{c16c1~1\loader.dll => Brak pliku
RemoveDirectory: C:\Program Files (x86)\Mobogenie
GroupPolicy: Ograniczenia - Chrome <==== UWAGA
GroupPolicy\User: Ograniczenia ? <==== UWAGA
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <==== UWAGA
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.qvo6.com/?utm_source=b&utm_m ... 1378323076
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.qvo6.com/?utm_source=b&utm_m ... 1378323076
HKU\S-1-5-21-3372096601-3773371870-3985475828-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.qvo6.com/?utm_source=b&utm_m ... 1378323076
HKU\S-1-5-21-3372096601-3773371870-3985475828-1000\Software\Microsoft\Internet Explorer\Main,bProtector Start Page = hxxps://www.google.pl/
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://search.qvo6.com/web/?utm_source= ... 1378323076
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://search.qvo6.com/web/?utm_source= ... 1378323076
SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://search.qvo6.com/web/?utm_source= ... 1378323076
SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://search.qvo6.com/web/?utm_source= ... 1378323076
SearchScopes: HKU\.DEFAULT -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL =
SearchScopes: HKU\S-1-5-21-3372096601-3773371870-3985475828-1000 -> DefaultScope {6243122D-41EA-411B-A5DE-DF4B572D27FA} URL = hxxp://rts.dsrlte.com/?affID=na&q={searchTerms}&r=873
SearchScopes: HKU\S-1-5-21-3372096601-3773371870-3985475828-1000 -> bProtectorDefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}
SearchScopes: HKU\S-1-5-21-3372096601-3773371870-3985475828-1000 -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = hxxp://www.enhanced-search.com/?q={searchTerms}&babsrc=SP_ss_mib2&mntrId=C252A41731189D57&affID=121565&tsp=5020
SearchScopes: HKU\S-1-5-21-3372096601-3773371870-3985475828-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://search.qvo6.com/web/?utm_source= ... 1378323076
SearchScopes: HKU\S-1-5-21-3372096601-3773371870-3985475828-1000 -> {6243122D-41EA-411B-A5DE-DF4B572D27FA} URL = hxxp://rts.dsrlte.com/?affID=na&q={searchTerms}&r=873
CHR HKU\S-1-5-21-3372096601-3773371870-3985475828-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [nikpibnbobmbdbheedjfogjlikpgpnhp] - C:\Program Files (x86)\Common Files\DVDVideoSoft\plugins\DVDVideoSoftBrowserExtension.crx <nie znaleziono>
CHR HKLM-x32\...\Chrome\Extension: [ajjpgnlpolfpnebjjaciccmmjnmjfjkl] - C:\Program Files (x86)\RightSurf\ajjpgnlpolfpnebjjaciccmmjnmjfjkl.crx <nie znaleziono>
CHR HKLM-x32\...\Chrome\Extension: [ifohbjbgfchkkfhphahclmkpgejiplfo] - C:\Users\Marian\AppData\Local\Google\Chrome\User Data\Default\Extensions\newtab.crx <nie znaleziono>
OPR Extension: (Lucky Bright) - C:\Users\Marian\AppData\Roaming\Opera Software\Opera Stable\Extensions\pogiioopimdkbinddahohmgcinolabkn [2018-06-12]
S2 WiMAXAppSrv; "C:\Program Files\Intel\WiMAX\Bin\AppSrv.exe" [X]
S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X]
S3 IntcAzAudAddService; system32\drivers\RTKVHD64.sys [X]
S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X]
S3 tsusbhub; system32\drivers\tsusbhub.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
S1 wfdrvr_vt_1_10_0_28; system32\drivers\wfdrvr_vt_1_10_0_28.sys [X]
S1 {3bcf4f2c-0bbb-4d4c-bf1f-11bbe6d501ea}w64; system32\drivers\{3bcf4f2c-0bbb-4d4c-bf1f-11bbe6d501ea}w64.sys [X]
S1 {8d9208df-94f9-4c96-a224-97b37b0df94e}w64; system32\drivers\{8d9208df-94f9-4c96-a224-97b37b0df94e}w64.sys [X]
S1 {96728e9b-774e-43fa-bf44-9e57cbc02dd6}w64; system32\drivers\{96728e9b-774e-43fa-bf44-9e57cbc02dd6}w64.sys [X]
S1 {b9a19c25-a741-47e5-91a2-0b62bef307ff}w64; system32\drivers\{b9a19c25-a741-47e5-91a2-0b62bef307ff}w64.sys [X]
C:\Users\Marian\AppData\Roaming\OpenCandy
C:\Users\Marian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\BitGuard
EmptyTemp:

Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).

4) Masz już Adw-Cleaner:
najpierw kliknij na SKANUJ (SCAN), a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk OCZYŚĆ (CLEANING), to kliknij na niego.
Pokaż raport z niego "C"

5) Znasz te:
2018-06-12 21:31 - 2013-09-04 23:00 - 000000000 ____D C:\Program Files (x86)\MyPC Backup
2018-06-12 21:31 - 2013-09-04 21:30 - 000000000 ____D C:\Users\Marian\AppData\Roaming\eDownload
2018-06-12 21:31 - 2015-04-26 17:07 - 000000000 ____D C:\Users\Marian\AppData\Local\ShdUpdate
2018-06-12 21:31 - 2015-03-10 12:18 - 000000000 ____D C:\Users\Marian\AppData\Roaming\RHEng
OPR Extension: (Triangle Trail) - C:\Users\Marian\AppData\Roaming\Opera Software\Opera Stable\Extensions\ihmepajjmfaoilcfclehldijleohlggn [2018-06-12]


6) Zrób nowe logi FRST.
przed skanem zaznacz: Additional.txt Shortcut.txt,
.

Exbitz

Użytkownik
Posty: 94
Rejestracja: 16 lis 2014, 19:55

Prośba o sprawdzenie logów FRST.

Post19 cze 2018, 22:15

Wrzucam logi po zaleconych krokach. Problem niestety nadal występuje.
Logi -> Dostępne tylko dla zarejestrowanych użytkowników

electrolux

Ekspert
Posty: 319
Rejestracja: 06 lut 2017, 00:26

Prośba o sprawdzenie logów FRST.

Post20 cze 2018, 08:26

Uruchom FRST. NA klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego:
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL =
OPR Extension: (Triangle Trail) - C:\Users\Marian\AppData\Roaming\Opera Software\Opera Stable\Extensions\ihmepajjmfaoilcfclehldijleohlggn [2018-06-12]
RemoveDirectory: C:\Program Files (x86)\Delta
EmptyTemp:

Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).

Problem niestety nadal występuje.

Załóż temat w dziale problemy/
Raczej trudno będzie znaleźć przyczynę.
Podobne objawy były w tym temacie: Dostępne tylko dla zarejestrowanych użytkowników
Tam akurat udało się problem rozwiązać, ale najczęściej nie udaje się znaleźć przyczyny.
.
Ostatnio zmieniony 15 lip 2018, 13:34 przez LupeR, łącznie zmieniany 1 raz.
Powód: zamykam



  • Reklama

Wróć do „Bezpieczeństwo”



Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 12 gości