wfwawa Opublikowano 16 Sierpnia 2016 Zgłoś Udostępnij Opublikowano 16 Sierpnia 2016 Witam, i mnie dopadło to truchło...w załączeniu logi frst - będę zobowiązany za pomoc w usunięciu. Mam jednak podejrzenia, że coś jeszcze siedzi innego - obciążenie cpu 30% - zwykle 1-2 %, po ubiciu procesu svchost - wraca do normy do następnego uruchomienia. FRST.txt Addition.txt Odnośnik do komentarza
picasso Opublikowano 17 Sierpnia 2016 Zgłoś Udostępnij Opublikowano 17 Sierpnia 2016 Działania do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {089AD0BE-1190-4059-B584-4F3D4A062577} - System32\Tasks\{AC919971-A2DB-4E97-9C5F-5211BBEA5303} => pcalua.exe -a C:\Users\Wojtek\AppData\Roaming\istartsurf\UninstallManager.exe -c -ptid=obw Task: {596ED08F-B464-478F-870E-41618E75D4D8} - System32\Tasks\AVAST Software\Avast settings backup => C:\Program Files\Common Files\AV\avast! Antivirus\backup.exe [2016-06-07] (AVAST Software) Task: {A5A23C51-8A27-4B40-A28E-B4D5A310572F} - System32\Tasks\Wojtek => /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v Wojtek /t REG_SZ /d "explorer.exe hxxp://kb-ribaki.org" <==== UWAGA HKU\S-1-5-21-735583447-693508571-541323270-1001\...\Policies\Explorer: [] ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA HKU\S-1-5-21-735583447-693508571-541323270-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKU\S-1-5-21-735583447-693508571-541323270-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch FF Plugin-x32: @microsoft.com/Lync,version=15.0 -> C:\Program Files (x86)\Mozilla Firefox\plugins\npmeetingjoinpluginoc.dll [2012-10-01] (Microsoft Corporation) S3 catchme; \??\C:\ComboFix\catchme.sys [X] S3 cpuz137; \??\C:\Windows\TEMP\cpuz137\cpuz137_x64.sys [X] DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\AVAST Software DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes C:\Program Files\Common Files\AV\avast! Antivirus C:\Program Files (x86)\Mozilla Firefox\plugins C:\ProgramData\.rdata C:\ProgramData\AVAST Software C:\Users\Wojtek\AppData\Local\file__0.localstorage C:\Users\Wojtek\AppData\Roaming\OEKJKLU C:\Windows\system32\FxsTmp C:\Windows\System32\Tasks\AVAST Software C:\Windows\System32\Tasks\SidebarExecute EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan), z zaznaczonymi polami Addition i Shortcut. GMER możemy sobie darować. Dołącz też plik fixlog.txt. Odnośnik do komentarza
wfwawa Opublikowano 17 Sierpnia 2016 Autor Zgłoś Udostępnij Opublikowano 17 Sierpnia 2016 Niestety po naprawie dalej siedzi w firefox i przy starcie systemu odpala tę stronę zodiac. Zrobiłem 2 przebiegi fixlist w normalnym trybie windows. Wobec powyższego wklejam nowe logi w/g wytycznych. I oczywiście dziękuję za szybką pomoc i pozdrawiam. FRST.txt Addition.txt Shortcut.txt Fixlog.txt Fixlog_2przebieg.txt Odnośnik do komentarza
picasso Opublikowano 13 Września 2016 Zgłoś Udostępnij Opublikowano 13 Września 2016 (edytowane) Problem nadal występuje, gdyż pomiędzy pierwszymi logami a Fix FRST nastąpiła odbudowa adware i pojawił się drugi wpis (nie był widoczny w pierwszych logach). Czyli poprawka: 1. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-735583447-693508571-541323270-1001\...\Run: [Wojtek] => explorer.exe hxxp://kb-ribaki.org <===== UWAGA Task: {CB756BC8-45A8-4AC1-BE16-4D104B46A707} - \SidebarExecute -> Brak pliku <==== UWAGA Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. 2. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Wojtek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff Edytowane 16 Sierpnia 2018 przez picasso Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi