dawid95 Opublikowano 12 Listopada 2019 Zgłoś Udostępnij Opublikowano 12 Listopada 2019 Szanowni Państwo, W ostatnim czasie zauważyłem że komputer kilkukrotnie przywiesił się na podstawowych czynnościach, takich jak np. kopiowanie plików bądź zmienianie nazwy pliku. Dodatkowo nie jestem w stanie włączyć cmd - od razu po otwarciu się zamyka (pojawia się na chwilę i od razu wyłącza) zarówno włączona w trybie administratora jak i normalnie. Zrobiłem skanowanie komputera Nortonem - ale nic nie wykazało. W załączeniu przesyłam logi z FRSTa. Będę wdzięczny za pomoc Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
jessica Opublikowano 12 Listopada 2019 Zgłoś Udostępnij Opublikowano 12 Listopada 2019 Jest infekcja SoundMixer Wyłączam też Daemon Tools z Autostartu - na pewno nie jest Ci potrzebny od razu po starcie Systemu. Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y. Otworzy się Notatnik - wklej do niego: Spoiler HKU\S-1-5-21-1072038117-1971277354-2335355041-1001\...\Winlogon: [Shell] %comspec% <==== UWAGA HKU\S-1-5-21-1072038117-1971277354-2335355041-1001\...\Command Processor: @mode 20,5 & tasklist /FI "IMAGENAME eq SoundMixer.exe" 2>NUL | find /I /N "SoundMixer.exe">NUL && exit & if exist "C:\Users\Dawid\AppData\Roaming\Microsoft\SoundMixer\SoundMixer.exe" ( start /MIN "" "C:\Users\Dawid\AppData\Roaming\Microsoft\SoundMixer\SoundMixer.exe" & tasklist /FI "IMAGENAME eq explorer.exe" 2>NUL | find /I /N "explorer.exe">NUL && exit & explorer.exe & exit ) else ( tasklist /FI "IMAGENAME eq explorer.exe" 2>NUL | find /I /N "explorer.exe">NUL && exit & explorer.exe & exit ) <==== UWAGA RemoveDirectory: C:\Users\Dawid\AppData\Roaming\Microsoft\SoundMixer CHR HomePage: Default -> hxxp://isearch.omiga-plus.com/?type=hp&ts=1404338533&from=smt&uid=WDCXWD10EFRX-68PJCN0_WD-WCC4J197096970969 CHR StartupUrls: Default -> "hxxp://google.pl/","hxxp://www.google.com/","hxxp://www.mysites123.com/?type=hp&ts=1456142598&z=f64e54ef8d5ff916b715c77gez0w3q6g0z6oaw7tfb&from=amt&uid=wdcxwd10efrx-68pjcn0_wd-wcc4j197096970969" CHR Session Restore: Default -> [funkcja włączona] HKU\S-1-5-21-1072038117-1971277354-2335355041-1001\...\Run: [DAEMON Tools Lite Automount] => C:\Program Files\DAEMON Tools Lite\DTAgent.exe [731240 2018-12-17] (AVB Disc Soft, SIA -> Disc Soft Ltd) CHR HKLM\...\Chrome\Extension: [iikflkcanblccfahdhdonehdalibjnif] CHR HKLM-x32\...\Chrome\Extension: [iikflkcanblccfahdhdonehdalibjnif] S3 AndnetBus; \SystemRoot\System32\drivers\lgandnetbus64.sys [X] S3 AndNetDiag; \SystemRoot\system32\DRIVERS\lgandnetdiag64.sys [X] S3 ANDNetModem; \SystemRoot\system32\DRIVERS\lgandnetmodem64.sys [X] FirewallRules: [{F1DEC3F7-7887-486C-8061-2A9C35F8D3DF}] => (Allow) d:\Program Files\Echobit\Evolve\EvoSvc.exe Brak pliku FirewallRules: [{32B6C20C-4E70-4C1A-BFE5-05B01118F2AB}] => (Allow) d:\Program Files\Echobit\Evolve\EvolveClient.exe Brak pliku Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} FirewallRules: [{05730DA5-3F10-4F45-A17A-D330AA0E72D6}] => (Allow) D:\Program Files\Rockstar Games\Grand Theft Auto V\GTA5.exe Brak pliku FirewallRules: [{B5469770-D732-4BF4-850C-D72295DCE804}] => (Allow) D:\Program Files\Rockstar Games\Grand Theft Auto V\GTA5.exe Brak pliku FirewallRules: [{F6DBF992-E9AD-4720-AC35-8002F8C5FA1A}] => (Allow) D:\Steam\steamapps\common\Warframe\Tools\Launcher.exe Brak pliku FirewallRules: [{402A06C2-92D1-4E42-AB2F-B8B1482F0892}] => (Allow) D:\Steam\steamapps\common\Warframe\Tools\Launcher.exe Brak pliku FirewallRules: [{34926CEF-99B3-47F2-AE69-FB92CBA55120}] => (Allow) D:\Assassin's Creed Unity\ACU.exe Brak pliku FirewallRules: [{A7CB94A6-6320-4F3F-B88D-72EF50AF15C8}] => (Allow) D:\Assassin's Creed Unity\ACU.exe Brak pliku FirewallRules: [{2441F2EE-D487-4F76-B00F-2FAADDDBF63B}] => (Allow) C:\Program Files\SoftEther VPN Client\vpncmgr.exe Brak pliku FirewallRules: [{E00A07AB-20AB-4582-9D67-EC2CFA0AC753}] => (Allow) C:\Program Files\SoftEther VPN Client\vpncmgr_x64.exe Brak pliku FirewallRules: [{14D7860B-AE53-40D2-AFEC-37C1F08E07EA}] => (Allow) C:\Program Files\SoftEther VPN Client\vpnclient_x64.exe Brak pliku FirewallRules: [{DF952562-534F-4D24-BFC4-9B7B90BA6C62}] => (Allow) C:\Program Files\SoftEther VPN Client\vpncmd.exe Brak pliku FirewallRules: [{A2812333-58B3-4D95-8CCF-2EE4FBDF9E8D}] => (Allow) C:\Program Files\SoftEther VPN Client\vpncmd_x64.exe Brak pliku FirewallRules: [{B8A46682-C103-4A83-95B7-7E0F08375847}] => (Allow) C:\Program Files\SoftEther VPN Client\vpnclient.exe Brak pliku FirewallRules: [{FB0E22D8-A426-43A3-A5DD-754CA3DD3D6C}] => (Allow) D:\Program Files (x86)\Tom Clancy's Rainbow Six Siege\RainbowSix_BE.exe Brak pliku FirewallRules: [{EC39C457-E38A-4708-A7A0-2C8A6013C3DE}] => (Allow) D:\Program Files (x86)\Tom Clancy's Rainbow Six Siege\RainbowSix_BE.exe Brak pliku FirewallRules: [{588379A2-FD7E-4B85-9A65-5FC5A2B7F3A2}] => (Allow) D:\Program Files (x86)\Tom Clancy's Rainbow Six Siege\RainbowSix.exe Brak pliku FirewallRules: [{075F1BAE-26D1-4B7E-B2CF-8CC5B508244F}] => (Allow) D:\Program Files (x86)\Tom Clancy's Rainbow Six Siege\RainbowSix.exe Brak pliku EmptyTemp: Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW). Napisz, jak oceniasz sytuację po tym usuwaniu? jessi Odnośnik do komentarza
dawid95 Opublikowano 12 Listopada 2019 Autor Zgłoś Udostępnij Opublikowano 12 Listopada 2019 Po zastosowaniu ww. metody działanie wróciło do normy - cmd się odpala a komputer się nie przycina. Serdecznie dziękuję jessica Mam jednak pytanie: płacę abonament za Nortona i dotychczas myślałem że jak wykupuję antywirusa znanej marki to mogę czuć się bezpieczny. Norton nic jednak nie znalazł mimo dwukrotnego pełnego skanowania systemu. Czy jest jakiś antywirus który polecacie - nawet jeśli jest drogi - ale który potrafiłby ogarniać takie sytuacje lub w ogóle do nich nie dopuszczać? Odnośnik do komentarza
jessica Opublikowano 12 Listopada 2019 Zgłoś Udostępnij Opublikowano 12 Listopada 2019 Z moich obserwacji jasno wynika, że żaden antywirus, nawet płatny, nie jest w stanie wykryć nowych infekcji. Tak więc nie widzę powodu, by zmieniać antywirusa. jessi Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się