Infekcja - koparka ?
#4
Możliwe że jakaś koparka.

Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:


Kod:
CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-3746824727-3175080848-809881633-1001\...\Run: [InstMP_Service] => C:\Users\tobayashi\AppData\Local\InstallShield\InstMP.exe
HKLM\...\Run: [] => [X]
HKLM-x32\...\Run: [] => [X]
HKU\S-1-5-21-3746824727-3175080848-809881633-1001\...\Run: [ABBYY Screenshot Reader Retail] => [X]
HKU\S-1-5-21-3746824727-3175080848-809881633-1001\...\Run: [] => [X]
GroupPolicy: Ograniczenia ? <==== UWAGA
Policies: C:\ProgramData\NTUSER.pol: Ograniczenia <==== UWAGA
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ograniczenia <==== UWAGA
HKLM\SOFTWARE\Policies\Google: Ograniczenia <==== UWAGA
FF NewTab: Mozilla\Firefox\Profiles\46bxx60q.default -> hxxps://defaultsearch.co/homepage?hp=1&pId=IC150206&iDate=2020-06-03 02:02:34&bName=&bitmask=0450
FF Homepage: Mozilla\Firefox\Profiles\wl0no301.default-release -> about:blank
FF NewTab: Mozilla\Firefox\Profiles\wl0no301.default-release -> hxxps://defaultsearch.co/homepage?hp=1&pId=IC150206&iDate=2020-06-03 02:02:34&bName=&bitmask=0450
R3 esihdrv; \??\C:\Users\TOBAYA~1\AppData\Local\Temp\esihdrv.sys [X] <==== UWAGA
S3 GENERICDRV; \??\C:\Users\tobayashi\Desktop\Nowy folder (2)\50608-system\afuwin64\amifldrv64.sys [X]
CustomCLSID: HKU\S-1-5-21-3746824727-3175080848-809881633-1001_Classes\CLSID\{19A6E644-14E6-4A60-B8D7-DD20610A871D}\InprocServer32 -> C:\Users\tobayashi\AppData\Local\Microsoft\TeamsMeetingAddin\1.0.20240.5\x64\Microsoft.Teams.AddinLoader.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-3746824727-3175080848-809881633-1001_Classes\CLSID\{CB965DF1-B8EA-49C7-BDAD-5457FDC1BF92}\InprocServer32 -> C:\Users\tobayashi\AppData\Local\Microsoft\TeamsMeetingAddin\1.0.20240.5\x64\Microsoft.Teams.AddinLoader.dll => Brak pliku
AlternateDataStreams: C:\Windows\tracing:? [16]
AlternateDataStreams: C:\Users\tobayashi\AppData\Local\Temp:$DATA​ [16]
HKU\S-1-5-21-3746824727-3175080848-809881633-1001\...\StartupApproved\Run: => "InstMP_Service"
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
CMD: netsh advfirewall reset
EmptyTemp:

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt przedstaw go.
Odpowiedz


Wiadomości w tym wątku
Infekcja - koparka ? - przez tobzi - 29.11.2020, 21:29
RE: Infekcja - koparka ? - przez Quassar - 29.11.2020, 21:34
RE: Infekcja - koparka ? - przez tobzi - 29.11.2020, 21:36
RE: Infekcja - koparka ? - przez tachion - 05.12.2020, 15:01

Skocz do:


Użytkownicy przeglądający ten wątek: 1 gości