Skocz do zawartości
Zamknięcie Forum PC LAB

Szanowny Użytkowniku,

Informujemy, że za 30 dni tj. 30 listopada 2024 r. serwis internetowy Forum PC LAB zostanie zamknięty.

Administrator Serwisu Forum PC LAB - Ringier Axel Springer Polska sp. z o.o. z siedzibą w Warszawie: wypowiada całość usług Serwisu Forum PC LAB z zachowaniem miesięcznego okresu wypowiedzenia.

Administrator Serwisu Forum PC LAB informuje, że:

  1. Z dniem 29 listopada 2024 r. zakończy się świadczenie wszystkich usług Serwisu Forum PC LAB. Ważną przyczyną uzasadniającą wypowiedzenie jest zamknięcie Serwisu Forum PC LAB
  2. Dotychczas zamowione przez Użytkownika usługi Serwisu Forum PC LAB będą świadczone w okresie wypowiedzenia tj. do dnia 29 listopada 2024 r.
  3. Po ogłoszeniu zamknięcia Serwisu Forum od dnia 30 października 2024 r. zakładanie nowych kont w serwisie Forum PC LAB nie będzie możliwe
  4. Wraz z zamknięciem Serwisu Forum PC LAB, tj. dnia 29 listopada 2024 r. nie będzie już dostępny katalog treści Forum PC LAB. Do tego czasu Użytkownicy Forum PC LAB mają dostęp do swoich treści w zakładce "Profil", gdzie mają możliwość ich skopiowania lub archiwizowania w formie screenshotów.
  5. Administrator danych osobowych Użytkowników - Ringier Axel Springer Polska sp. z o.o. z siedzibą w Warszawie zapewnia realizację praw podmiotów danych osobowych przez cały okres świadczenia usług Serwisu Forum PC LAB. Szczegółowe informacje znajdziesz w Polityce Prywatności

Administrator informuje, iż wraz z zamknięciem Serwisu Forum PC LAB, dane osobowe Użytkowników Serwisu Forum PC LAB zostaną trwale usunięte ze względu na brak podstawy ich dalszego przetwarzania. Proces trwałego usuwania danych z kopii zapasowych może przekroczyć termin zamknięcia Forum PC LAB o kilka miesięcy. Wyjątek może stanowić przetwarzanie danych użytkownika do czasu zakończenia toczących się postepowań.

distino

Bardzo proszę o sprawdzenie logów po infekcji

dodany przez distino, w Internet, sieci i bezpieczeństwo

Rekomendowane odpowiedzi

distino    0

distino
Napisano

Witam, infekcja po odpaleniu pobranego pliku exe. Przeskanowałem komputer Adwcleanerem, NOD32 i Malwarebytes i pousuwało mi troche plików i folderów, ale zwracam się z prośbą o sprawdzenie logów, żeby mieć pewność że nic nie zostało :

 

FRST: https://pastebin.com/1NXxBTwr

Shortcut: https://pastebin.com/ztSnSMeL

Addition: https://pastebin.com/WKqkV9D8

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach

filutka78    11

filutka78
Napisano (edytowane)

Infekcja jest dalej widoczna

Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego:

2021-09-04 04:48 - 2021-09-04 04:48 - 003062560 _____ (Realtek Semiconductor Corp.) C:\Users\Sebastian 2\AppData\Roaming\1696297.exe


2021-09-04 04:48 - 2021-09-04 04:48 - 000282112 _____ (hdgrfdgregre) C:\Users\Sebastian 2\AppData\Roaming\4792837.exe
2021-09-04 04:48 - 2021-09-04 04:48 - 000166912 _____ (sdvsdsdvds) C:\Users\Sebastian 2\AppData\Roaming\6052910.exe
2021-09-04 04:48 - 2021-09-04 04:48 - 000282112 _____ (hdgrfdgregre) C:\Users\Sebastian 2\AppData\Roaming\6784667.exe
RemoveDirectory: C:\ProgramData\KSVJ4L5U1DBU3TY4J9QZ3HTLA
S3 GVCIDrv; \??\C:\Program Files (x86)\GIGABYTE\RGBFusion\GVCIDrv64.sys [X]
S2 iocbios2; \??\C:\Program Files (x86)\Intel\Intel(R) Extreme Tuning Utility\Drivers\IocDriver\64bit\iocbios2.sys [X]
S4 RAMDiskVE; System32\Drivers\RAMDiskVE.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
S3 WinRing0_1_2_0; \??\C:\Program Files (x86)\GIGABYTE\RGBFusion\MODAPI.sys [X]
S3 xhunter1; \??\C:\Windows\xhunter1.sys [X]
Task: {181ED6B7-6DBE-4EF9-AD61-5FD4DEFD7BDD} - System32\Tasks\{D1DA9553-5AA9-4A5A-9267-88B6A14F2CE5} => C:\Windows\system32\pcalua.exe -a "H:\Users\Sebastian\Downloads\dotNetFx35setup (1).exe" -d H:\Users\Sebastian\Downloads
Task: {D66374E9-1347-4474-BD9D-A13C995B9886} - System32\Tasks\{2676CEC3-7C92-4DFE-9A0C-E2A05C50C351} => C:\Windows\system32\pcalua.exe -a "C:\Users\Sebastian 2\Downloads\DDU v18.0.2.1\Display Driver Uninstaller.exe" -d "C:\Users\Sebastian 2\Downloads\DDU v18.0.2.1"
GroupPolicy: Ograniczenia ? <==== UWAGA
Policies: C:\ProgramData\NTUSER.pol: Ograniczenia <==== UWAGA
FirewallRules: [{368B294D-A676-42C2-A683-AF180D1526B7}] => (Allow) C:\Steam\steamapps\common\Mordhau\Mordhau.exe => Brak pliku
FirewallRules: [{F75D3DC0-D4FA-42DF-B808-D52D05A47A69}] => (Allow) C:\Steam\steamapps\common\Mordhau\Mordhau.exe => Brak pliku
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MBAMService => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PAexec => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PNP_TDI => ""="Driver Group"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Schedule => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MBAMService => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PAexec => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Schedule => ""="Service"
HOSTS:
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:


Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).

 

==========

Error: (09/04/2021 04:50:53 AM) (Source:

WinMgmt) (EventID: 10) (User: )
Description: Event filter with query "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" could not be reactivated in namespace "//./root/CIMV2" because of error 0x80041003. Events cannot be delivered through this filter until the problem is corrected.

Ściągnij MicrosoftFixit50688.msi stąd > http://www.mediafire.com/download/6hwcm6b77098cbb/MicrosoftFixit50688.msi
i go uruchom jako Administator.

 

F.

 

Edytowane przez filutka78

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach

filutka78    11

filutka78
Napisano (edytowane)

Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego:

Cytat

2021-09-04 04:48 - 2021-09-04 04:48 - 001564823 _____ C:\ProgramData\5360

2021-09-04 04:48 - 2021-09-04 04:48 - 001564823 _____ C:\ProgramData\4852
RemoveDirectory: C:\Users\Sebastian 2\AppData\Roaming\WinHost
EmptyTemp:


Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).

 

F.

Edytowane przez filutka78

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach

distino    0

distino
Napisano

Logi na innej stronie, ponieważ na pastebin wykorzystałem limit 10 linków na 24 godziny bez konta. Konto założyłem, ale e-mail do potwierdzenia konta na razie nie przychodzi. 

FixLog: http://www.wklejto.pl/912673

 

FRST: http://www.wklejto.pl/912675

Shortcut: http://www.wklejto.pl/912676

Addition: http://www.wklejto.pl/912677

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach

distino    0

distino
Napisano (edytowane)

W takim razie raz jeszcze bardzo dziękuje za pomoc.

Edytowane przez distino

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach

Jeśli chcesz dodać odpowiedź, zaloguj się

Komentowanie zawartości tej strony możliwe jest po zalogowaniu



Zaloguj się
Przejdź do listy tematów

  • Ostatnio przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników przeglądających tę stronę.

×
×
  • Dodaj nową pozycję...