poiuyt Opublikowano 7 Grudnia 2015 Zgłoś Udostępnij Opublikowano 7 Grudnia 2015 Witam, drugi komputer, drugi problem. Sam się uruchamia ponownie w różnych momentach nie zależne od niczego. Chrome wolno chodzi... Widać coś? FRST.txt Addition.txt Shortcut.txt Gmer.txt Odnośnik do komentarza
picasso Opublikowano 7 Grudnia 2015 Zgłoś Udostępnij Opublikowano 7 Grudnia 2015 Samoczynne uruchamianie komputera to raczej sprawa spoza infekcji: - Jeśli to jest samoczynne włączanie wyłączonego uprzednio komputera, to powinna być kwestia ustawień w BIOS typu "Wakeup on..." lub ewentualnie problem z zasilaczem. - Jeśli masz na myśli zaś automatyczny restart, to już inna sprawa. Natomiast system jest poważnie zainfekowany - grasuje robak Brontok. Poza tym, są drobne odpadki po instalacjach adware. Pod kątem usuwania infekcji i wpisów pustych: 1.Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S1 {72502b1b-b916-4994-814e-c516f9f681b2}Gw64; system32\drivers\{72502b1b-b916-4994-814e-c516f9f681b2}Gw64.sys [X] S1 {8f5b8fd1-2f96-4fbf-974b-7f28fa0f93d7}Gw64; system32\drivers\{8f5b8fd1-2f96-4fbf-974b-7f28fa0f93d7}Gw64.sys [X] S1 {97a224e4-fe41-4078-b1ef-069fe8cd6d9f}Gw64; system32\drivers\{97a224e4-fe41-4078-b1ef-069fe8cd6d9f}Gw64.sys [X] S1 {c9a465a5-420c-4acc-b1be-3ac71ae80fda}Gw64; system32\drivers\{c9a465a5-420c-4acc-b1be-3ac71ae80fda}Gw64.sys [X] Startup: C:\Users\Beata\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Empty.pif [2009-11-04] () AlternateShell: cmd-brontok.exe HKLM-x32\...\Run: [systemExplorerAutoStart] => "C:\Program Files (x86)\System Explorer\SystemExplorer.exe" /TRAY HKLM-x32\...\Run: [bron-Spizaetus] => "C:\Windows\ShellNew\RakyatKelaparan.exe" HKLM-x32\...\Winlogon: [shell] Explorer.exe "C:\Windows\KesenjanganSosial.exe" [ ] () HKU\S-1-5-21-4157021316-3100553387-2668696667-1000\...\Run: [Tok-Cirrhatus-2256] => C:\Users\Beata\AppData\Local\br5535on.exe [44420 2009-11-04] () HKU\S-1-5-21-4157021316-3100553387-2668696667-1000\...\Run: [Tok-Cirrhatus] => 0 HKU\S-1-5-21-4157021316-3100553387-2668696667-1000\...\Policies\system: [DisableCMD] 0 HKU\S-1-5-21-4157021316-3100553387-2668696667-1000\...\Policies\Explorer: [NoFolderOptions] 1 HKU\S-1-5-21-4157021316-3100553387-2668696667-1000\...\MountPoints2: {f0e57908-f3da-11e4-b235-002622e70366} - F:\LGAutoRun.exe Task: {0045589B-13E3-4574-99FB-0EC29B1FD46C} - System32\Tasks\{7CD522BC-2897-48F8-A9C7-12F8FFF121A2} => pcalua.exe -a "H:\Data MAŁGORZATA.exe" -d H:\ Task: {2729DB03-AE6F-4DD3-B3B1-A85353914AAD} - System32\Tasks\{0C8C9B50-59B8-461F-A8ED-26AF0FDA5B07} => pcalua.exe -a "C:\Program Files (x86)\Crypto1Tech\CryptoCard\InstallCACerts.exe" -d "C:\Program Files (x86)\Crypto1Tech\CryptoCard" Task: {B698B6DC-669A-4B4F-BE3E-B89CBC22049E} - System32\Tasks\{D64AD22E-1A7A-4513-ABDF-8DBD13B34F2E} => pcalua.exe -a C:\Users\Beata\Documents\Zdjęcia\POLONUS\zdj¦Öcia\FW__[Fwd__]\FW__[Fwd__].exe -d C:\Users\Beata\Documents\Zdjęcia\POLONUS\zdj¦Öcia\FW__[Fwd__] Winlogon\Notify\ScCertProp: wlnotify.dll [X] ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com SearchScopes: HKU\S-1-5-21-4157021316-3100553387-2668696667-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mała Księgowość Rzeczpospolitej\Struktury danych osobowych.lnk C:\Users\Beata\AppData\Local\br5535on.exe C:\Users\Beata\AppData\Local\Bron.tok.A16.em.bin C:\Users\Beata\AppData\Local\csrss.exe C:\Users\Beata\AppData\Local\inetinfo.exe C:\Users\Beata\AppData\Local\Kosong.Bron.Tok.txt C:\Users\Beata\AppData\Local\lsass.exe C:\Users\Beata\AppData\Local\services.exe C:\Users\Beata\AppData\Local\smss.exe C:\Users\Beata\AppData\Local\winlogon.exe C:\Users\Beata\AppData\Local\Microsoft\Windows\GameExplorer\{77B86D48-539C-4972-A0F0-86F193C9107B} C:\Users\Beata\AppData\Roaming\Nico Mak Computing C:\Users\Beata\Desktop\Podręcznik Użytkownika.lnk C:\Users\Beata\Downloads\Microsoft Product Key Finder 1.exe C:\Users\Beata\Downloads\SpyHunter-Installer.exe C:\Windows\KesenjanganSosial.exe C:\Windows\ShellNew\RakyatKelaparan.exe CMD: for /d %f in (C:\Users\Beata\AppData\Local\*bron*) do rd /s /q "%f" Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Gdy Fix ukończy pracę, nastąpi restart. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Odinstaluj stare wersje: EPUAP SignPlugin for Chrome, Java 8 Update 45. Google Chrome nie powinno akceptować tej instalacji EPUAP. Obecnie jest możliwa instalacja tylko tych rozszerzeń, które są hostowane w Chrome Web Store. 3. Uruchom narzędzie Fix-it likwidujące drobny błąd WMI: KLIK. 4. Wyczyść Dzienniki zdarzeń: Start > w polu szukania wklep eventvwr.msc > rozwiń Dzienniki systemu Windows i z prawokliku wyczyść gałęzie Aplikacja i System. Po akcji zresetuj system. 5. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale bez Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
poiuyt Opublikowano 7 Grudnia 2015 Autor Zgłoś Udostępnij Opublikowano 7 Grudnia 2015 Wszystko ok? Addition.txt Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 7 Grudnia 2015 Zgłoś Udostępnij Opublikowano 7 Grudnia 2015 Wszystko wykonane. Kolejna porcja czynności: 1. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files (x86)\Opera RemoveDirectory: C:\Users\Beata\AppData\Local\Opera Software RemoveDirectory: C:\Users\Beata\AppData\Roaming\Opera Software Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart. Przedstaw wynikowy fixlog.txt. 2. Logi FRST są zbyt ograniczone pod kątem tej infekcji. Robak Brontok tworzy w mnóstwie katalogów fałszywki - pliki infekcji o nazwie folderu w którym się znajdują - a przypadkowe uruchomienie takiego pliku przywróci infekcję. Zainstalowałeś co dopiero Avast, toteż przeprowadź za jego pomocą pełne skanowanie obu dysków. Odnośnik do komentarza
poiuyt Opublikowano 7 Grudnia 2015 Autor Zgłoś Udostępnij Opublikowano 7 Grudnia 2015 Dobrze, dziękuję Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 7 Grudnia 2015 Zgłoś Udostępnij Opublikowano 7 Grudnia 2015 Fix wykonany. Usuń E:\frst, następnie zastosuj DelFix. I czekam na rezultaty skanu Avast. Odnośnik do komentarza
Rekomendowane odpowiedzi