peroxicz Opublikowano 13 Września 2019 Zgłoś Udostępnij Opublikowano 13 Września 2019 Witam, otóż dzisiaj po włączeniu komputera zastał mnie następujący widok : Brak pulpitu, odpalony "czarnuch" i ścieżka do system32. Kombinacją klawiszy wszedłem w menadżera zadań, po czym odpaliłem explorer.exe, bo nie było go w procesach. Pulpit wrócił, jednak po restarcie znów to samo. Klucze w rejestrze pobieżnie sprawdziłem, bo shell mógł być ustawiony jako cmd, jednak po sprawdzeniu było explorer.exe. Ściągnąłem FRST i zrobiłem logi, które wrzucam. Nigdy ich nie analizowałem, proszę o pokierowanie co zrobić Proszę o pomoc. W załączniku wrzucam logi. Pozdrawiam! Addition_13-09-2019 15.41.06.txt FRST_13-09-2019 15.41.06.txt Odnośnik do komentarza
jessica Opublikowano 13 Września 2019 Zgłoś Udostępnij Opublikowano 13 Września 2019 Jest infekcja SOUNDMIXER, i to na pewno ona jest przyczyną problemu. .niestety, muszę na razie odejść od komputera ... Odnośnik do komentarza
peroxicz Opublikowano 13 Września 2019 Autor Zgłoś Udostępnij Opublikowano 13 Września 2019 Właśnie widzę, że jest napisany skrypt zamykający explorer.exe pod tym soundmixer.exe... Odnośnik do komentarza
jessica Opublikowano 13 Września 2019 Zgłoś Udostępnij Opublikowano 13 Września 2019 Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y. Otworzy się Notatnik - wklej do niego: Spoiler HKU\S-1-5-21-4006011181-2177789390-944092173-1001\...\Winlogon: [Shell] %comspec% <==== UWAGA HKU\S-1-5-21-4006011181-2177789390-944092173-1001\...\Command Processor: @mode 20,5 & tasklist /FI "IMAGENAME eq SoundMixer.exe" 2>NUL | find /I /N "SoundMixer.exe">NUL && exit & if exist ( start /MIN "" & tasklist /FI "IMAGENAME eq explorer.exe" 2>NUL | find /I /N "explorer.exe">NUL && exit & explorer.exe & exit ) else ( tasklist /FI "IMAGENAME eq explorer.exe" 2>NUL | find /I /N "explorer.exe">NUL && exit & explorer.exe & exit ) <==== UWAGA HKLM\...\Policies\Explorer: [9327df251774aea3] rkGQ+y55kzlde6mygCEywYrxzXOyz5w3VTC1Avx0GtzxxlMOcBQrQYL5qJJdPVkT GroupPolicy: Ograniczenia ? <==== UWAGA FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ograniczenia <==== UWAGA Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} Task: {357D94E8-362F-4FA7-A55B-174E8D5E6688} - System32\Tasks\svchostc => C:\Users\wwfco\AppData\Local\svchostc\svchostc.exe [20261255 2018-06-25] () [Brak podpisu cyfrowego] <==== UWAGA C:\Users\wwfco\AppData\Local\svchostc BHO-x32: Brak nazwy -> {D0498E0A-45B7-42AE-A9AA-ABA463DBD3BF} -> Brak pliku CHR DefaultSearchKeyword: Default -> r EmptyTemp: Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW). jessi Odnośnik do komentarza
peroxicz Opublikowano 13 Września 2019 Autor Zgłoś Udostępnij Opublikowano 13 Września 2019 Działa, polecasz jeszcze coś skanować/sprawdzić? Jeśli nie, to temat do zamknięcia. Dziękuję bardzo! Odnośnik do komentarza
jessica Opublikowano 13 Września 2019 Zgłoś Udostępnij Opublikowano 13 Września 2019 Powinno już być OK. jessi Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się