Prośba o sprawdzenie logów
#1
Witam,
Wczoraj wyłączył się nagle mój laptop. Przyczyną okazała się wysoka temperatura wynikająca z ciągłego obciążenia procesora przez SVCHOST.

Będę wdzięczny za sprawdzenie logów, może znajdziecie jakieś świństwo.


FRST.txt

[Aby zobaczyć linki, zarejestruj się tutaj]


Addition.txt

[Aby zobaczyć linki, zarejestruj się tutaj]


Shortcut.txt

[Aby zobaczyć linki, zarejestruj się tutaj]

Odpowiedz
#2
Odinstaluj:
Adobe AIR
YTD Video Downloader 4.9.1


Do notatnika wklej i zapisz jako fixlist.txt

Kod:
CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-1520661697-1117774077-3865140873-1000\Control Panel\Desktop\\SCRNSAVE.EXE -> C:\Windows\system32\PhotoScreensaver.scr [477696 2010-11-21] (Microsoft Corporation)
AppInit_DLLs: C:\Windows\Jaksta\AC\x64\jaudcap.dll => C:\Windows\Jaksta\AC\x64\jaudcap.dll [312096 2015-04-24] (Jaksta Technologies Pty Ltd)
AppInit_DLLs-x32: C:\Windows\Jaksta\AC\x86\jaudcap.dll => Brak pliku
GroupPolicyScripts: Ograniczenia <======= UWAGA
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA
HKU\S-1-5-21-1520661697-1117774077-3865140873-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA
HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=msnhome
HKU\S-1-5-21-1520661697-1117774077-3865140873-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKU\S-1-5-21-1520661697-1117774077-3865140873-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://google.pl/
DPF: HKLM-x32 {108D3206-846A-4A93-BACB-F0572D043ED7} hxxp://10.9.19.62/webrec.cab
DPF: HKLM-x32 {166B1BCA-3F9C-11CF-8075-444553540000} hxxp://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
S3 catchme; \??\C:\ComboFix\catchme.sys [X]
S3 MBAMSwissArmy; \??\C:\Windows\system32\drivers\MBAMSwissArmy.sys [X]
S4 nvvad_WaveExtensible; system32\drivers\nvvad64v.sys [X]
S3 RTCore64; \??\C:\Program Files (x86)\RMClock\RTCore64.sys [X]
S3 VBoxNetFlt; system32\DRIVERS\VBoxNetFlt.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
C:\Users\K\Desktop\malware
 C:\ComboFix.txt
C:\Windows\PEV.exe
C:\Windows\MBR.exe
C:\Windows\NIRCMD.exe
C:\Windows\SWREG.exe
C:\Windows\SWSC.exe
C:\Windows\sed.exe
C:\Windows\grep.exe
C:\Windows\zip.exe
C:\Qoobox
C:\Windows\erdnt
C:\ProgramData\Kaspersky Lab Setup Files
C:\ProgramData\Malwarebytes
C:\Users\K\AppData\Local\TempPSTEMPFILEon0809011320_1.tmp
C:\Users\K\AppData\Local\TempPSTEMPFILEon0809012596_1.tmp
C:\Users\K\AppData\Local\TempPSTEMPFILEon0809013504_1.tmp
C:\Users\K\AppData\Local\TempPSTEMPFILEon0809013848_1.tmp
C:\Users\K\AppData\Local\TempPSTEMPFILEon0809014172_1.tmp
C:\Users\K\AppData\Local\TempPSTEMPFILEon0809014856_1.tmp
C:\Users\K\AppData\Local\TempPSTEMPFILEon0809014864_1.tmp
C:\Users\K\AppData\Local\TempPSTEMPFILEon0809015148_1.tmp
C:\Users\K\AppData\Local\TempPSTEMPFILEon0809015328_1.tmp
C:\Users\K\AppData\Local\TempPSTEMPFILEon080901624_1.tmp
C:\ProgramData\APN
C:\ProgramData\YTD Video Downloader
C:\ProgramData\TEMP
Tcpip\Parameters: [DhcpNameServer] 8.8.8.8 10.9.19.1
Tcpip\..\Interfaces\{06622CCD-C9EF-423F-B91D-B3CE8E5F2FC9}: [DhcpNameServer] 8.8.8.8 10.9.19.1
Tcpip\..\Interfaces\{214FC5C7-78BF-44BF-8E53-4F9223ECF12F}: [DhcpNameServer] 208.67.222.222 8.8.8.8
Task: {19709B42-D915-49CE-9E2D-C5A11766E70A} - System32\Tasks\Adobe Acrobat Update Task => C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [2015-10-28] (Adobe Systems Incorporated)
Task: {7CCDBF29-FC55-4413-A61C-BFF2C6C72A53} - System32\Tasks\GoogleUpdateTaskUserS-1-5-21-1970835742GUI => C:\Users\K\AppData\Roaming\Synaptics\googleupd.exe <==== UWAGA
Task: {F49EC893-0D6B-4049-8D68-4C8A301F31E2} - System32\Tasks\{BC63D8A3-B45F-442A-BD3D-B3E8C446F428} => pcalua.exe -a C:\Users\K\Desktop\irfanview_plugins_437_setup.exe -d C:\Users\K\Desktop
AlternateDataStreams: C:\ProgramData\Nalpeiron:user.ns1
AlternateDataStreams: C:\ProgramData\Nalpeiron:user.ns2
AlternateDataStreams: C:\ProgramData\Nalpeiron:user.ns3
AlternateDataStreams: C:\ProgramData\Nalpeiron:user.ns4
AlternateDataStreams: C:\ProgramData\TEMP:16C07ED2
AlternateDataStreams: C:\ProgramData\TEMP:890CC2F3
CMD: netsh advfirewall reset
CMD: ipconfig /flushdns
DisableService: sptd
EmptyTemp:

Zapisany skrypt umieść obok ściągniętego programu FRST 
Następnie w programie kliknij Napraw. Po wykonaniu pokaż raport z tego działania.


Google Chrome

Zresetuj synchronizację (o ile włączona):

[Aby zobaczyć linki, zarejestruj się tutaj]

Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję "Zresetuj ustawienia przeglądarki".
Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie włącz.
Ustawienia > karta Historia > wyczyść

W przeglądarce Firefox

Odłącz synchronizację (o ile włączona):

[Aby zobaczyć linki, zarejestruj się tutaj]


Otwórz menu w górnym rogu po prawej stronie > otwórz menu pomoc oznaczone czerwoną ramką.

[Aby zobaczyć linki, zarejestruj się tutaj]


Informacje dla pomocy technicznej > Odśwież program Firefox. Reset nie naruszy zakładek i haseł.

Menu Historia > Wyczyść całą historię przeglądania.

Ściągnij program

[Aby zobaczyć linki, zarejestruj się tutaj]

kliknij Szukaj i następnie Usuń

Pokaż raport z niego.


Ściągnij

[Aby zobaczyć linki, zarejestruj się tutaj]



Po uruchomieniu otworzy się okno cmd proszące o wciśnięcie jakiegokolwiek klawisza, by kontynuować. Rozpoczyna się skan i usuwanie. Wynikowo na Pulpicie powstanie log JRT.txt.


Używałeś Combofixa na własną rękę,w regulaminie jest wyraźnie napisane żeby tego nie robić.

Podaj mi logi które powstały z TDSSKiller

Zrób nowe logi i przedstaw z FRST.txt > Addition.txt
Odpowiedz


Skocz do:


Użytkownicy przeglądający ten wątek: 1 gości