Grzel utworzono 17 grudnia 2016 utworzono 17 grudnia 2016 (edytowane) Witam, Padłem ofiarą dość sporej infekcji. Z częścią poradziłem sobie sam, ale nadal komputer nie działa jak należy. Bardzo proszę o pomoc. Poniżej zamieszczam logi FRST. Z góry dziękuje za wszelką pomoc. Pozdrawiam! FRST.txt Addition.txt
Twój_Anioł_Stróż komentarz 17 grudnia 2016 komentarz 17 grudnia 2016 (edytowane) 1) Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\Program Files (x86)\Alcohol Soft RemoveDirectory: C:\Program Files (x86)\UCBrowser RemoveDirectory: C:\Program Files (x86)\LuDaShi RemoveDirectory: C:\Program Files\żěŃą Task: {01E2BC56-FAEA-4DFB-B110-8A07E34D1C4B} - \AutoPico Daily Restart -> Brak pliku <==== UWAGA Task: {61E6FE2B-E294-49DB-B8B4-D066E080C6B3} - System32\Tasks\b5c531f482853000953a0de18a37afc3 => Rundll32.exe "C:\Program Files (x86)\Alcohol Soft\czxkd9.dll",e62dc6c6547f46bda862da2d05af6862 <==== UWAGA WMI_ActiveScriptEventConsumer_ASEC: <===== UWAGA ShortcutWithArgument: C:\Users\Grzegorz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://yeabd66.cc/ ShortcutWithArgument: C:\Users\Grzegorz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://yeabd66.cc/ ShortcutWithArgument: C:\Users\Grzegorz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://yeabd66.cc/ ShortcutWithArgument: C:\Users\Grzegorz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://yeabd66.cc/ AlternateDataStreams: C:\Windows\system32\drivers:ucdrv-x64.sys [80850] AlternateDataStreams: C:\Windows\system32\drivers:x64 [360536] AlternateDataStreams: C:\Windows\system32\drivers:x86 [1156450] FirewallRules: [{C9611514-9DBB-44C9-89E5-0F769890AB40}] => C:\Users\Grzegorz\AppData\Local\Temp\00011020\inst_buychannel_07.exe FirewallRules: [{E1863C97-CBC4-446C-A0DD-4A03CDC1B234}] => C:\Users\Grzegorz\AppData\Local\Temp\00011020\inst_buychannel_07.exe FirewallRules: [{5978469C-E701-474F-A8F1-18BFAD0F3A76}] => C:\Program Files (x86)\LuDaShi\ComputerZTray.exe FirewallRules: [{63A95E6B-D24C-4885-9E61-B6CDED662B60}] => C:\Program Files (x86)\LuDaShi\ComputerZTray.exe FirewallRules: [{77B7C497-5DFA-4EB0-93FC-B1B4AF0BD65C}] => C:\Program Files (x86)\UCBrowser\Application\UCBrowser.exe FirewallRules: [{4EBCD768-9809-46A8-86BA-764518BBCF30}] => C:\Program Files (x86)\UCBrowser\Application\UCBrowser.exe HKLM-x32\...\Winlogon: [Userinit] C:\Windows\system32\userinit.exe, [X] HKU\S-1-5-18\...\Run: [] => 0 ShellExecuteHooks: - {7188CE06-A5CA-11E6-B4B7-64006A5CFC23} - Brak pliku [ ] ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} => C:\Program Files\żěŃą\X64\KZipShell.dll Brak pliku HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA FF SearchPlugin: C:\Users\Grzegorz\AppData\Roaming\Mozilla\Firefox\Profiles\8fas8w99.default\searchplugins\bbj0vu03.xml [2016-11-13] FF Plugin-x32: @adobe.com/FlashPlayer -> C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_19_0_0_185.dll [Brak pliku] S3 PerfHost; %SystemRoot%\SysWow64\perfhost.exe [X] S1 HWiNFO32; \??\C:\Windows\SysWOW64\drivers\HWiNFO64A.SYS [X] HOSTS: EmptyTemp: 2) Cytuj C:\Windows\SysWOW64\explorer.exe BRAK <==== UWAGA C:\Windows\SysWOW64\svchost.exe BRAK <==== UWAGA C:\Windows\SysWOW64\userinit.exe BRAK <==== UWAGA Uruchom FRST. W polu SEARCH (SZUKAJ) wklej: explorer.exe; svchost.exe; userinit.exe; kliknij na przycisk "Search Files (Szukaj Plików)". Raport z tego będzie tam, gdzie jest FRST. 3) Zrób nowe logi FRST. przed skanem zaznacz: Additional.txt Shortcut.txt, . 1
Grzel komentarz 17 grudnia 2016 Autor komentarz 17 grudnia 2016 Poniżej logi Addition.txt Fixlog.txt FRST.txt Search.txt Shortcut.txt
Twój_Anioł_Stróż komentarz 18 grudnia 2016 komentarz 18 grudnia 2016 Cytuj C:\Windows\WinSxS\wow64_microsoft-windows-explorer_31bf3856ad364e35_6.3.9600.18460_none_4cd924758207ca59\explorer.exe [2016-10-12 19:13][2016-08-27 19:26] 2411048 ____A (Microsoft Corporation) 042216FBB8B0CCC7402C3C77E58E1BC9 [Plik podpisany cyfrowo] Masz zapasowy plik "explorer.exe", więc go skopiujemy do C:\Windows\SysWOW64\ Ale nie masz żadnej kopii plików "userinit.exe" (64bit" oraz "svchost.exe" (64bit) - więc z konieczności zostawimy to tak, jak jest (ja nie ma Systemu 64 bit, więc nie podeślę Ci tych plików). Otwórz Notatnik i wklej w nim: S3 AxAutoMntSrv; C:\Program Files (x86)\Alcohol Soft\Alcohol 120\AxAutoMntSrv.exe [X] S3 StarWindServiceAE; C:\Program Files (x86)\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe [X] NETSVCx32: HpSvc -> Brak ścieżki do pliku. C:\ProgramData\Microsoft\Windows\Start Menu\Programs\鲁大师\卸载鲁大师.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\鲁大师 RemoveDirectory: C:\Program Files (x86)\wanttoxiamen RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\wanttoxiamen C:\ProgramData\Microsoft\Windows\Start Menu\Programs\K-Lite Codec Pack\Configuration\ffdshow audio decoder.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\K-Lite Codec Pack\Configuration\ffdshow video decoder.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Alcohol 120%\A.C.I.D. Wizard.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Alcohol 120%\Alcohol 120%.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Alcohol 120%\Alcohol Command Launcher.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Alcohol 120%\Data-Type Analyzer.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Alcohol 120%\Uninstall Alcohol 120%.lnk C:\Users\Grzegorz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器.lnk C:\Users\Grzegorz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器\卸载UC浏览器.lnk C:\Users\Grzegorz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器 C:\Users\Grzegorz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\UC浏览器.lnk C:\Users\Grzegorz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\UC浏览器.lnk C:\Users\Grzegorz\AppData\Local\svchost\svchost.exe C:\Users\Grzegorz\AppData\Local\svchost CMD: copy /y C:\Windows\WinSxS\wow64_microsoft-windows-explorer_31bf3856ad364e35_6.3.9600.18460_none_4cd924758207ca59\explorer.exe C:\Windows\SysWOW64\ EmptyTemp: >>Menu Notatnika >> Plik >> >>Zapisz jako >> Nazwa pliku: fixlist Zapisz jako typ: Dokumenty tekstowe Kodowanie: UTF -8 >>Zapisz Plik umieść w folderze C:\Users\Grzegorz\Downloads Uruchom FRST i kliknij przycisk Fix (NAPRAW). Zrób nowe logi FRST. przed skanem zaznacz: Additional.txt Shortcut.txt, Cytuj "C:\Program Files (x86)\Alcohol Soft" => pomyślnie usunięto Ten folder dałem do usuwania, bo miał tę samą datę, co infekcja, a na dodatek nie było go na liście Twoich programów.. Teraz możesz od nowa zainstalować ten program, o ile go potrzebujesz. . 1
Grzel komentarz 18 grudnia 2016 Autor komentarz 18 grudnia 2016 Dziękuje za pomoc i zaangażowanie. Program przeinstaluje, więc to nie problem. Po tych operacjach podczas uruchamiania systemu pojawiają się dwa komunikaty o braku możliwości uruchomienia dwóch programów. Można to jakoś naprawić? Poniżej logi: Addition.txt FRST.txt Shortcut.txt
Twój_Anioł_Stróż komentarz 18 grudnia 2016 komentarz 18 grudnia 2016 W nowych logach nie ma niczego podejrzanego. Cytuj podczas uruchamiania systemu pojawiają się dwa komunikaty o braku możliwości uruchomienia dwóch programów. Których?
Wciąż szukasz rozwiązania problemu? Napisz teraz na forum!
Możesz zadać pytanie bez konieczności rejestracji - wystarczy, że wypełnisz formularz.