dexter74 utworzono 14 maja 2020 utworzono 14 maja 2020 (edytowane) Jak innym, uruchamiam CMD, pokazuje się na ułamek sekundy i to tyle. Załączam log z FRST FRST1.txt Addition1.txt
UnnamedPlayer komentarz 14 maja 2020 komentarz 14 maja 2020 Jest infekcja, ale brakuje pliku Addition.txt.
UnnamedPlayer komentarz 14 maja 2020 komentarz 14 maja 2020 1. Uruchom FRST, naciśnij jednocześnie CTRL+Y, otworzy się notatnik - wklej do niego: Cytuj HKLM\...\Winlogon: [Userinit] C:\WINDOWS\SysWOW64\userinit.exe, <==== UWAGA HKU\S-1-5-21-1798200345-1793294229-288090223-1255\...\Policies\Explorer: [] HKU\S-1-5-21-1798200345-1793294229-288090223-1255\...\Winlogon: [Shell] C:\Windows\explorer.exe [4622280 2020-03-12] (Microsoft Windows -> Microsoft Corporation) <==== UWAGA RemoveDirectory: C:\Users\dexter74\AppData\Roaming\Microsoft\SoundModule HKU\S-1-5-21-1798200345-1793294229-288090223-1255\...\Command Processor: @mode 20,5 & tasklist /FI "IMAGENAME eq SoundModule.exe" 2>NUL | find /I /N "SoundModule.exe">NUL && exit & if exist "C:\Users\dexter74\AppData\Roaming\Microsoft\SoundModule\SoundModule.exe" ( start /MIN "" "C:\Users\dexter74\AppData\Roaming\Microsoft\SoundModule\SoundModule.exe" & tasklist /FI "IMAGENAME eq explorer.exe" 2>NUL | find /I /N "explorer.exe">NUL && exit & explorer.exe & exit ) else ( tasklist /FI "IMAGENAME eq explorer.exe" 2>NUL | find /I /N "explorer.exe">NUL && exit & explorer.exe & exit ) <==== UWAGA HKU\S-1-5-21-3605584917-3345378641-2028781463-1001\...\Policies\Explorer: [] GroupPolicy: Ograniczenia ? <==== UWAGA Task: {321C9489-7765-4ED3-8846-A288B088976A} - Brak ścieżki do pliku Task: {6E4AB397-1228-494F-89A1-8723319B1866} - Brak ścieżki do pliku Task: {7C7AA305-77C5-4B4F-ADC8-323C6589658D} - Brak ścieżki do pliku Task: {C21966BF-5807-4DDA-8D74-0F4CDA9BCA0A} - Brak ścieżki do pliku Task: {E1D18666-8E4A-469D-A341-C086A8FCFF11} - Brak ścieżki do pliku Task: {EDF7014E-E119-4699-A982-CC7D52150ACB} - Brak ścieżki do pliku HKU\S-1-5-21-1798200345-1793294229-288090223-1255\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <==== UWAGA HKU\S-1-5-21-1798200345-1793294229-288090223-1255\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.bing.com/?pc=COS2&ptag=D051319-N0690AD26CBEB7DD&form=CONMHP&conlogo=CT3335811 HKU\S-1-5-21-1798200345-1793294229-288090223-1255\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://dell17win10.msn.com/?pc=DCTE HKU\S-1-5-21-3605584917-3345378641-2028781463-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://dell17win10.msn.com/?pc=DCTE HKU\S-1-5-21-3605584917-3345378641-2028781463-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://dell17win10.msn.com/?pc=DCTE SearchScopes: HKU\S-1-5-21-1798200345-1793294229-288090223-1255 -> DefaultScope {581C9F11-5C56-424F-A9CC-B7B8C77B09D6} URL = SearchScopes: HKU\S-1-5-21-1798200345-1793294229-288090223-1255 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.bing.com/search?pc=COS2&ptag=D051319-N0700AD26CBEB7DD&form=CONBDF&conlogo=CT3335811&q={searchTerms} SearchScopes: HKU\S-1-5-21-1798200345-1793294229-288090223-1255 -> {581C9F11-5C56-424F-A9CC-B7B8C77B09D6} URL = SearchScopes: HKU\S-1-5-21-3605584917-3345378641-2028781463-1001 -> DefaultScope {581C9F11-5C56-424F-A9CC-B7B8C77B09D6} URL = SearchScopes: HKU\S-1-5-21-3605584917-3345378641-2028781463-1001 -> {581C9F11-5C56-424F-A9CC-B7B8C77B09D6} URL = HKU\S-1-5-21-1798200345-1793294229-288090223-1255\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <==== UWAGA HKU\S-1-5-21-1798200345-1793294229-288090223-1255\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.bing.com/?pc=COS2&ptag=D051319-N0690AD26CBEB7DD&form=CONMHP&conlogo=CT3335811 HKU\S-1-5-21-1798200345-1793294229-288090223-1255\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://dell17win10.msn.com/?pc=DCTE HKU\S-1-5-21-3605584917-3345378641-2028781463-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://dell17win10.msn.com/?pc=DCTE HKU\S-1-5-21-3605584917-3345378641-2028781463-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://dell17win10.msn.com/?pc=DCTE SearchScopes: HKU\S-1-5-21-1798200345-1793294229-288090223-1255 -> DefaultScope {581C9F11-5C56-424F-A9CC-B7B8C77B09D6} URL = SearchScopes: HKU\S-1-5-21-1798200345-1793294229-288090223-1255 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.bing.com/search?pc=COS2&ptag=D051319-N0700AD26CBEB7DD&form=CONBDF&conlogo=CT3335811&q={searchTerms} SearchScopes: HKU\S-1-5-21-1798200345-1793294229-288090223-1255 -> {581C9F11-5C56-424F-A9CC-B7B8C77B09D6} URL = SearchScopes: HKU\S-1-5-21-3605584917-3345378641-2028781463-1001 -> DefaultScope {581C9F11-5C56-424F-A9CC-B7B8C77B09D6} URL = SearchScopes: HKU\S-1-5-21-3605584917-3345378641-2028781463-1001 -> {581C9F11-5C56-424F-A9CC-B7B8C77B09D6} URL = S2 AdAppMgrSvc; "C:\Program Files (x86)\Autodesk\Autodesk Desktop App\AdAppMgrSvc.exe" [X] AlternateDataStreams: C:\Users\dexter74\Desktop\Untitled.e3s: DocumentSummaryInformation [57] AlternateDataStreams: C:\Users\dexter74\Desktop\Untitled.e3s: SebiesnrMkudrfcoIaamtykdDa [65] AlternateDataStreams: C:\Users\dexter74\Desktop\Untitled.e3s: SummaryInformation [127] CustomCLSID: HKU\S-1-5-21-1798200345-1793294229-288090223-1255_Classes\CLSID\{1BF42E4C-4AF4-4CFD-A1A0-CF2960B8F63E}\InprocServer32 -> C:\Users\dexter74\AppData\Local\Microsoft\OneDrive\19.232.1124.0012\amd64\FileSyncShell64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1798200345-1793294229-288090223-1255_Classes\CLSID\{7AFDFDDB-F914-11E4-8377-6C3BE50D980C}\InprocServer32 -> C:\Users\dexter74\AppData\Local\Microsoft\OneDrive\19.232.1124.0012\amd64\FileSyncShell64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1798200345-1793294229-288090223-1255_Classes\CLSID\{82CA8DE3-01AD-4CEA-9D75-BE4C51810A9E}\InprocServer32 -> C:\Users\dexter74\AppData\Local\Microsoft\OneDrive\19.232.1124.0012\amd64\FileSyncShell64.dll => Brak pliku ContextMenuHandlers1: [UAContextMenu] -> {A9B8E64D-3F7E-4D32-8FC9-E391DEE67D75} => -> Brak pliku ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Brak pliku ContextMenuHandlers5: [UAContextMenu] -> {A9B8E64D-3F7E-4D32-8FC9-E391DEE67D75} => -> Brak pliku ContextMenuHandlers6: [UAContextMenu] -> {A9B8E64D-3F7E-4D32-8FC9-E391DEE67D75} => -> Brak pliku FirewallRules: [{62460C35-9C50-4628-976F-C3DB150B41BF}] => (Allow) C:\Program Files\SOLIDWORKS Corp\SOLIDWORKS Visualize (2)\SWVisualize.Queue.Server.exe => Brak pliku FirewallRules: [{FD18C791-BF28-4C02-90F3-FBD305E9B956}] => (Allow) C:\Program Files\SOLIDWORKS Corp\SOLIDWORKS Visualize (2)\SWVisualize.Queue.Server.exe => Brak pliku FirewallRules: [{62460C35-9C50-4628-976F-C3DB150B41BF}] => (Allow) C:\Program Files\SOLIDWORKS Corp\SOLIDWORKS Visualize (2)\SWVisualize.Queue.Server.exe => Brak pliku FirewallRules: [{FD18C791-BF28-4C02-90F3-FBD305E9B956}] => (Allow) C:\Program Files\SOLIDWORKS Corp\SOLIDWORKS Visualize (2)\SWVisualize.Queue.Server.exe => Brak pliku FirewallRules: [{9416043E-32B7-4A04-9AAE-A7278DCC1DFF}] => (Allow) D:\00_RÓŻNE\Apps\Portable\Total_commander_tc852aPortable\tc852aPortable\App\TotalCommander\TOTALCMD64.EXE => Brak pliku FirewallRules: [{C9D0E78A-E00E-4674-AF3A-22964823EC22}] => (Allow) D:\00_RÓŻNE\Apps\Portable\Total_commander_tc852aPortable\tc852aPortable\App\TotalCommander\TOTALCMD64.EXE => Brak pliku Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: 2. Naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW)
dexter74 komentarz 14 maja 2020 Autor komentarz 14 maja 2020 Super, wygląda, że zadziałało, choć mam wrażenie, że teraz system działa dużo wolniej... Zobaczymy, dzięki. To robi jakiś automat, tę analizę i to co trzeba wkleić do notatnika?
Twój_Anioł_Stróż komentarz 15 maja 2020 komentarz 15 maja 2020 Cytuj To robi jakiś automat, tę analizę i to co trzeba wkleić do notatnika? Nie, to wszystko musi zrobić żywy człowiek. 1
Wciąż szukasz rozwiązania problemu? Napisz teraz na forum!
Możesz zadać pytanie bez konieczności rejestracji - wystarczy, że wypełnisz formularz.