Omen69x Opublikowano 14 Listopada 2019 Zgłoś Udostępnij Opublikowano 14 Listopada 2019 Hej cześć i czołem, Od pewnego czasu przy starcie systemu przestał się włączać explorer.exe, działa tylko ręczne uruchomienie przez menadżera zadań. Oczywiście z miejsca przeskanowałem wszystko Antywirem i AntyMarwel. O ile wirusów jako takich nie wykryło tak AntiMarwel łapał kolejne pozycje jak szalony, końca nie było. Niby już wszystko ok, skany nic nie wykazują ale problem nie zniknął. Ciężko mi też wskazać jakąś konkretną przyczynę bo to PC typowo domowy, czyli korzysta z niego multum domowników. Dzieciakom zdarza się kliknąć w reklamę gry, żona szuka seriali gdzie tylko się da bo nowy sezon już, nie ważne czy to jakaś ruska strony z serwerami w Mongolii. FRST poszedł w ruch ale dla mnie te logi to czysta czarna magia, mogło by być nawet po egipsku, tyle samo bym zrozumiał. FRST.txt Addition.txt Odnośnik do komentarza
jessica Opublikowano 14 Listopada 2019 Zgłoś Udostępnij Opublikowano 14 Listopada 2019 Jest infekcja SOUNDMIXER Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y. Otworzy się Notatnik - wklej do niego: Spoiler HKU\S-1-5-21-298913981-1024801001-3169498018-1001\...\Winlogon: [Shell] %comspec% <==== ACHTUNG HKU\S-1-5-21-298913981-1024801001-3169498018-1001\...\Command Processor: @mode 20,5 & tasklist /FI "IMAGENAME eq SoundMixer.exe" 2>NUL | find /I /N "SoundMixer.exe">NUL && exit & if exist ( start /MIN "" & tasklist /FI "IMAGENAME eq explorer.exe" 2>NUL | find /I /N "explorer.exe">NUL && exit & explorer.exe & exit ) else ( tasklist /FI "IMAGENAME eq explorer.exe" 2>NUL | find /I /N "explorer.exe">NUL && exit & explorer.exe & exit ) <==== ACHTUNG HKU\S-1-5-21-298913981-1024801001-3169498018-1001\...\Run: [Browser Manager] => C:\Users\omen6\AppData\Local\Yandex\BrowserManager\MBLauncher.exe FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Beschränkung <==== ACHTUNG Task: {49B78C19-4516-4858-80E2-1FAB190DCF13} - System32\Tasks\Hewlett-Packard\HP Support Assistant\HP Support Assistant printer driver installation => C:\WINDOWS\TEMP\sp80767.exe <==== ACHTUNG HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Beschränkung <==== ACHTUNG HKU\S-1-5-21-298913981-1024801001-3169498018-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://www.yandex.ru/?win=408&clid=2341035-18 SearchScopes: HKU\S-1-5-21-298913981-1024801001-3169498018-1001 -> DefaultScope {7164E247-F1AB-46E6-8B44-C18E577D7AB1} URL = hxxps://yandex.ru/search/?win=408&clid=2341036-18&text={searchTerms} SearchScopes: HKU\S-1-5-21-298913981-1024801001-3169498018-1001 -> d16428f4-f521-11e9-a1a4-10050142a9cb URL = hxxp://www.go-setting.com/search?q={searchTerms} SearchScopes: HKU\S-1-5-21-298913981-1024801001-3169498018-1001 -> {7164E247-F1AB-46E6-8B44-C18E577D7AB1} URL = hxxps://yandex.ru/search/?win=408&clid=2341036-18&text={searchTerms} BHO: Kein Name -> {31D09BA0-12F5-4CCE-BE8A-2923E76605DA} -> Keine Datei Edge HomeButtonPage: HKU\S-1-5-21-298913981-1024801001-3169498018-1001 -> hxxps://www.yandex.ru/?win=408&clid=2341035-18 FF Homepage: Mozilla\Firefox\Profiles\kqvojbtk.default -> hxxps://www.yandex.ru/?win=408&clid=2341035-18 FF SearchPlugin: C:\Users\omen6\AppData\Roaming\Mozilla\Firefox\Profiles\kqvojbtk.default\searchplugins\yandex.ru-20191522.xml [2019-10-23] OPR StartupUrls: "hxxps://www.yandex.ru/?win=408&clid=2341035-18" OPR Session Restore: -> ist aktiviert. FirewallRules: [{37F5DE21-8FB7-4606-A1BD-342136A74785}] => (Allow) D:\Steam\steamapps\common\Warframe\Tools\RemoteCrashSender.exe Keine Datei FirewallRules: [{04A36AA9-6DC6-43AE-8E39-EBA3FF22E3B8}] => (Allow) D:\Steam\steamapps\common\Warframe\Tools\Launcher.exe Keine Datei FirewallRules: [{DA3B3F3E-5474-4B5B-A8CC-5AEA68D0F94A}] => (Allow) D:\Steam\steamapps\common\Warframe\Warframe.x64.exe Keine Datei FirewallRules: [{19A0F17B-990A-4047-9417-0374DBEBAA9C}] => (Allow) D:\Steam\steamapps\common\Warframe\Warframe.x64.exe Keine Datei FirewallRules: [{6418C6D9-0C26-479E-AD6D-118CDFD8588F}] => (Allow) D:\Steam\steamapps\common\Warframe\Tools\RemoteCrashSender.exe Keine Datei FirewallRules: [{161C65CD-09E3-4988-BDAB-B92AF48737CD}] => (Allow) D:\Steam\steamapps\common\Warframe\Tools\Launcher.exe Keine Datei FirewallRules: [{DFE3FF3B-D2C5-49FE-B88D-103E829A0A9C}] => (Allow) D:\Steam\steamapps\common\Warframe\Warframe.x64.exe Keine Datei FirewallRules: [{DC62E807-BB5C-42D6-B46F-BC38CFB364AF}] => (Allow) D:\Steam\steamapps\common\Warframe\Warframe.x64.exe Keine Datei FirewallRules: [UDP Query User{A3DACF10-DF4B-48A3-9675-4CB404B7856E}D:\grand theft auto v\gta5.exe] => (Allow) D:\grand theft auto v\gta5.exe Keine Datei FirewallRules: [TCP Query User{32825904-AD94-4E44-9F23-828C0F3D5B71}D:\grand theft auto v\gta5.exe] => (Allow) D:\grand theft auto v\gta5.exe Keine Datei FirewallRules: [{26EEC5D0-3811-4D68-9A1A-926A5E234584}] => (Allow) D:\Steam\steamapps\common\Total War Rome II\launcher\launcher.exe Keine Datei FirewallRules: [{3DB4949B-D923-480C-855A-5A7D60EA5594}] => (Allow) D:\Steam\steamapps\common\Total War Rome II\launcher\launcher.exe Keine Datei FirewallRules: [UDP Query User{C9DB8B48-9C2E-4B22-BF9C-923C1B40D44A}C:\program files (x86)\origin games\apex\r5apex.exe] => (Allow) C:\program files (x86)\origin games\apex\r5apex.exe Keine Datei FirewallRules: [TCP Query User{0A3712FB-8BB6-4184-88C2-72457805A0DE}C:\program files (x86)\origin games\apex\r5apex.exe] => (Allow) C:\program files (x86)\origin games\apex\r5apex.exe Keine Datei Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW). Napisz, jak oceniasz sytuację po tym usuwaniu? jessi Odnośnik do komentarza
Omen69x Opublikowano 14 Listopada 2019 Autor Zgłoś Udostępnij Opublikowano 14 Listopada 2019 Oceniam super, expresowo wszystko na chodzie, Dziękuje serdecznie :) Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się