Skocz do zawartości

Logi sprawdzenie, prośba.


Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Jest infekcja SOUNDMIXER!

 

1) Spróbuj odinstalować ten program:

YAC(Yet Another Cleaner!) (HKLM-x32\...\iSafe) (Version:  - ELEX DO BRASIL PARTICIPAÇÕES LTDA) <==== UWAGA

 

2) Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.
Otworzy się Notatnik - wklej do niego:

Spoiler

HKU\S-1-5-21-3081180577-703244051-3826712266-1000\...\Winlogon: [Shell] %comspec% <==== UWAGA
HKU\S-1-5-21-3081180577-703244051-3826712266-1000\...\Command Processor: @mode 20,5 & tasklist /FI "IMAGENAME eq SoundMixer.exe" 2>NUL | find /I /N "SoundMixer.exe">NUL && exit & if exist ( start /MIN "" & tasklist /FI "IMAGENAME eq explorer.exe" 2>NUL | find /I /N "explorer.exe">NUL && exit & explorer.exe & exit ) else ( tasklist /FI "IMAGENAME eq explorer.exe" 2>NUL | find /I /N "explorer.exe">NUL && exit & explorer.exe & exit ) <==== UWAGA
IFEO\DisplaySwitch.exe: [Debugger]
IFEO\GoogleUpdate.exe: [Debugger] 324095823984.exe
IFEO\GoogleUpdaterService.exe: [Debugger] 8736459873644.exe
IFEO\taskmgr.exe: [Debugger]
FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ograniczenia <==== UWAGA
HKLM\...\Policies\Explorer: [HideSCAHealth] 1
HKU\S-1-5-21-3081180577-703244051-3826712266-1000\...\Run: [VoTiX] => cmd.exe /c start www.dinoraptzor.org
HKU\S-1-5-21-3081180577-703244051-3826712266-1000\...\Policies\system: [Shell]  <==== UWAGA
HKU\S-1-5-21-3081180577-703244051-3826712266-1000\...\Policies\system: []
Task: {1D3EFE50-D090-49FB-BE65-733CA9AE9720} - System32\Tasks\{9CAFF588-654F-4E16-B4FA-DBBF444E9725} => C:\Windows\system32\pcalua.exe -a C:\Users\VoTiX\Downloads\dxwebsetup(2).exe -d C:\Users\VoTiX\Downloads
Task: {34DB3F95-952A-467E-BEB3-0E611D300E7F} - System32\Tasks\Microsoft\Windows\Windows Error Reporting\winrmsrv => winrmsrv.exe <==== UWAGA
Task: {4876BB4A-FF26-408A-B2AD-32E7F9D282AB} - \PowerWord-SCT-JT -> Brak pliku <==== UWAGA
Task: {56A3DC6E-0B22-428B-9714-45EFB8F194A4} - System32\Tasks\VoTiX => cmd.exe /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v VoTiX /t REG_SZ /d "cmd.exe /c start www.dinoraptzor.org"
Task: {778E6CEB-4A90-478D-880B-F79E87FAA795} - System32\Tasks\Microsoft\Windows\WDI\SrvHost => rundll32.exe winscomrssrv.dll,SrvMainHost <==== UWAGA
Task: {95F4F45C-BBF4-4281-93FE-E9D8F12E00BB} - System32\Tasks\Microsoft\Windows\Application Experience\StartupCheckLibrary => rundll32.exe StartupCheckLibrary.dll,DllMainRunLibrary <==== UWAGA
Task: {99A1471E-9344-4778-B360-F1BCC6FCAB48} - System32\Tasks\Microsoft\Windows\Wininet\Winlogui => winlogui.exe <==== UWAGA
Task: {9DC4A3E2-33B6-4756-BCE5-14C7C4DD570B} - \Chromium lafed -> Brak pliku <==== UWAGA
Task: {C1F4D114-5C32-4F5D-9D49-9A10B7F0748C} - \Windows-WoShiBeiYongDe -> Brak pliku <==== UWAGA
Task: C:\Windows\Tasks\Chromium lafed.job => Wscript.exe  C:\ProgramData\{21AEE4CD-ABEC-6E0B-2D2A-F049B7687B87}\daro.txt <==== UWAGA
HKU\S-1-5-21-3081180577-703244051-3826712266-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.nav-pl.com/
HKU\S-1-5-21-3081180577-703244051-3826712266-1000\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://www.msn.com/pl-pl/?ocid=iehp
SearchScopes: HKU\S-1-5-21-3081180577-703244051-3826712266-1000 -> DefaultScope {97ED1C83-B720-415B-8A20-AAE84F23A83F} URL = hxxp://www.nav-pl.com/search?q={searchTerms}
SearchScopes: HKU\S-1-5-21-3081180577-703244051-3826712266-1000 -> {97ED1C83-B720-415B-8A20-AAE84F23A83F} URL = hxxp://www.nav-pl.com/search?q={searchTerms}
FF ProfilePath: C:\Users\VoTiX\AppData\Roaming\Mozilla\Firefox\Profiles\wq3x4dfm.default-release [2020-06-19]
CHR HomePage: Default -> hxxp://www.nav-pl.com/
CHR StartupUrls: Default -> "hxxp://www.nav-pl.com/"
CHR DefaultSearchURL: Default -> hxxp://www.nav-pl.com/search?q={searchTerms}
CHR DefaultSearchKeyword: Default -> szukaj
S3 aswbIDSAgent; "C:\Program Files\AVAST Software\Avast\aswidsagent.exe" [X]
S2 avast! Antivirus; "C:\Program Files\AVAST Software\Avast\AvastSvc.exe" [X]
S2 FirefoxU; "C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe" [X] <==== UWAGA
RemoveDirectory: C:\ProgramData\{21AEE4CD-ABEC-6E0B-2D2A-F049B7687B87}
S3 cpuz140; \??\C:\Users\VoTiX\AppData\Local\Temp\cpuz140\cpuz140_x64.sys [X] <==== UWAGA
S1 iSafeNetFilter; system32\DRIVERS\iSafeNetFilter.sys [X] <==== UWAGA
S4 NVHDA; system32\drivers\nvhda64v.sys [X]
S4 nvlddmkm; system32\DRIVERS\nvlddmkm.sys [X]
S4 nvvhci; system32\DRIVERS\nvvhci.sys [X]
S3 iSafeKrnlBoot; C:\Windows\System32\DRIVERS\iSafeKrnlBoot.sys [55056 2016-05-23] (Elex do Brasil Participações Ltda -> Elex do Brasil Participações Ltda) <==== UWAGA
C:\Windows\System32\DRIVERS\iSafeKrnlBoot.sys
C:\Users\VoTiX\AppData\Roaming\47282459
MSCONFIG\startupreg: VoTiX => cmd.exe /c start www.dinoraptzor.org
FirewallRules: [{CDCB28A1-A740-456E-9FC5-7892BBBDA7CD}] => (Allow) C:\Program Files (x86)\Everness\Application\chrome.exe => Brak pliku
FirewallRules: [{2E0CAEB2-B0D6-4AA7-8632-8094023E51CA}] => (Allow) C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe => Brak pliku
FirewallRules: [{BBF8382F-3DE7-4B69-BBED-C29059A34B47}] => (Allow) C:\Program Files (x86)\Google\Chrome\Application\chrome.exe => Brak pliku
FirewallRules: [TCP Query User{4702AA8F-491F-422C-9B81-58F31BCDEB64}J:\fifa 17\fifa17.exe] => (Block) J:\fifa 17\fifa17.exe => Brak pliku
FirewallRules: [UDP Query User{3F28FFDA-0503-49B8-9D11-A562AB1AEDB2}J:\fifa 17\fifa17.exe] => (Block) J:\fifa 17\fifa17.exe => Brak pliku
C:\Program Files (x86)\Everness
FirewallRules: [{2541206B-292A-4741-A304-1BD8A43A4BA9}] => (Allow) C:\Windows\system32\winrmsrv.exe => Brak pliku
HOSTS:
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:

Na klawiaturze naciśnij jednocześnie CTRL+S.
W FRST kliknij na Fix (NAPRAW).

 

3)

Cytat

Error: (06/19/2020 10:06:03 AM) (Source: WinMgmt) (EventID: 10) (User: )
Description: Event filter with query "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" could not be reactivated in namespace "//./root/CIMV2" because of error 0x80041003. Events cannot be delivered through this filter until the problem is corrected.

Ściągnij MicrosoftFixit50688.msi stąd > http://www.mediafire.com/download/6hwcm6b77098cbb/MicrosoftFixit50688.msi
i go uruchom jako Administator.

 

4) Nie masz Avasta na liście Twoich programów, a on jednak cały czas działą - wyjaśnij to.

Być może potrzeba będzie użyć do jego usunięcia Avast Uninstall Utility - http://www.avast.com/uninstall-utility

 

5) Zrób nowe logi FRST.

 

jessi

Odnośnik do komentarza

Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.
Otworzy się Notatnik - wklej do niego:

Spoiler

DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\iSafe
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\iSafe
RemoveDirectory: C:\Program Files\AVAST Software
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Brak pliku
HKU\S-1-5-21-3081180577-703244051-3826712266-1000\...\Policies\system: []
HKLM\...\Run: [AvastUI.exe] => "C:\Program Files\AVAST Software\Avast\AvLaunch.exe" /gui
Task: {4BF184CC-1D9F-4886-9EA9-88A1B7A56002} - System32\Tasks\Avast Software\Overseer => C:\Program Files\Common Files\Avast Software\Overseer\overseer.exe
RemoveDirectory: C:\Program Files\Common Files\Avast Software
Task: {66D9C9D5-DB83-45BC-BC08-74DF795F36DB} - System32\Tasks\Avast Emergency Update => C:\Program Files\AVAST Software\Avast\AvEmUpdate.exe
Task: {D443CCE9-A561-497C-91CB-07535BEE806C} - System32\Tasks\AVAST Software\Avast settings backup => C:\Program Files\Common Files\AV\avast! Antivirus\backup.exe
RemoveDirectory: C:\Program Files\Common Files\AV\avast! Antivirus
FF ProfilePath: C:\Users\VoTiX\AppData\Roaming\Firefox\Firefox\Profiles\fuyi2lhp.default [2017-08-04] <==== UWAGA
FF SearchPlugin: C:\Users\VoTiX\AppData\Roaming\Firefox\Firefox\Profiles\fuyi2lhp.default\searchplugins\startsearch.xml [2017-05-11]
RemoveDirectory: C:\ProgramData\AVAST Software
EmptyTemp:

Na klawiaturze naciśnij jednocześnie CTRL+S.
W FRST kliknij na Fix (NAPRAW).

 

Wg mnie - powinno już być OK.

 

jessi

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...