Witamy na forum PC Format Zapraszamy do REJESTRACJI


Użytkownicy przeglądający ten wątek: 1 gości

Proszę o sprawdzenie logów

#1
Proszę o sprawdzenie logów
Witam, przed chwilą ściągnąłem  jakiś plik z podejrzanej strony który to zaczął instalować różne programy, mało tego mój antywirus wykrywał ciągle trojany. Udało mi się to jakoś ogarnąć WDSC+adw  ale nie jestem pewny czy usunąłem te ścierwo. Proszę o pomoc  i dziękuje z góry Wesoły 


FRST: http://www.wklejto.pl/568499

ADDITION: http://www.wklejto.pl/568501

SHORTCUT: http://www.wklejto.pl/568503


 System operacyjny: windows_ten Przeglądarka: chrome
#2
RE: Proszę o sprawdzenie logów
1) Uruchom FRST. NA klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego:

Kod:
RemoveDirectory: C:\ProgramData\XjOPTLXDzAynQaVB
RemoveDirectory: C:\Users\DarkCreed\AppData\Roaming\yrfj3pr5br0
RemoveDirectory: C:\Users\DarkCreed\AppData\Roaming\tao4nmktoh5
RemoveDirectory: C:\Users\DarkCreed\AppData\Roaming\klo01oudzlq
RemoveDirectory: C:\Program Files\GLAQY9F8PK
RemoveDirectory: C:\Program Files\CH04T9WDKY
RemoveDirectory: C:\ProgramData\XjOPTLXDzAynQaVB
RemoveDirectory: C:\Users\DarkCreed\AppData\Roaming\hunyanfn1y5
RemoveDirectory: C:\Program Files\BZWDQATFZQ
RemoveDirectory: C:\Program Files (x86)\qsdqsd
RemoveDirectory: C:\Users\Public\Documents\XMUpdate
RemoveDirectory: C:\Program Files\My Program
Task: {18E66B07-741C-4CBF-B26A-D774A479AD58} - System32\Tasks\WobUIKhuMtTTi2 => C:\WINDOWS\system32\wscript.exe "C:\ProgramData\XjOPTLXDzAynQaVB\TMYfomg.wsf"
Task: {2AF96E42-8381-4961-B5BD-3E0B8133845D} - System32\Tasks\{ABB81E48-B724-457E-8698-B383F4D5399D} => C:\WINDOWS\system32\pcalua.exe -a F:\FileRgn.exe -d F:\
HKU\S-1-5-21-3638004228-2167589276-2756934381-1000\Software\Classes\regfile: regedit.exe "%1" <==== UWAGA
ProxyEnable: [S-1-5-21-3638004228-2167589276-2756934381-1000] => Proxy [funkcja włączona]
ProxyServer: [S-1-5-21-3638004228-2167589276-2756934381-1000] => http=127.0.0.1:8080;https=127.0.0.1:8080
ManualProxies: 1http=127.0.0.1:8080;https=127.0.0.1:8080
FF Extension: (Brak nazwy) - C:\Program Files\Mozilla Firefox\browser\features\{A5FD4672-4D73-4F90-A1C0-2ABD39DB2565}.xpi [2018-06-16] [Brak podpisu cyfrowego]
CHR Extension: (System Table) - C:\Users\DarkCreed\AppData\Local\Google\Chrome\User Data\Default\SystemTable\1.2_0 [2018-06-16]
R2 winamgr; C:\ProgramData\Microsoft\Windows\Audio\winamgr.exe [10644480 2018-05-28] (Microsoft Corporation) [Brak podpisu cyfrowego] <==== UWAGA
C:\ProgramData\Microsoft\Windows\Audio\winamgr.exe
C:\WINDOWS\system32\default_error_stack-000*.txt
C:\Users\Public\Documents\{DE764086-1C0A-4DD3-90BA-0B93BDD794BE}
ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Brak pliku
ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Brak pliku
ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Brak pliku
ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Brak pliku
ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Brak pliku
ShellIconOverlayIdentifiers: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Brak pliku
ShellIconOverlayIdentifiers: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> Brak pliku
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Brak pliku
ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Brak pliku
ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Brak pliku
ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Brak pliku
ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Brak pliku
ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Brak pliku
ShellIconOverlayIdentifiers-x32: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Brak pliku
ShellIconOverlayIdentifiers-x32: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> Brak pliku
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA
GroupPolicy: Ograniczenia - Windows Defender <==== UWAGA
Hosts:
EmptyTemp:
Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).

2) Zrób nowe logi FRST.

3) Coś tu się nie zgadza:

Cytat:(Dan Deng) C:\Users\DarkCreed\AppData\Local\CentBrowser\Application\chrome.exe
Cent Browser (HKU\S-1-5-21-3638004228-2167589276-2756934381-1000\...\CentBrowser) (Version: 3.4.3.39 - Cent Studio)
Zainstalowaną masz przeglądarkę z firmy "Cent Studio", natomiast w procesach jest z firmy "Dan Deng".
Skąd masz tę przeglądarkę, skąd ściągnąłeś ją?
.
 System operacyjny: windows_xp_2003 Przeglądarka: firefox
#3
RE: Proszę o sprawdzenie logów
Fixlog: http://wklejto.pl/568875

Shortcut: http://wklejto.pl/568881

Addition: http://wklejto.pl/568882

Frst: http://wklejto.pl/568887



Przeglądarke mam z oficjalnej strony https://www.centbrowser.com
 System operacyjny: windows_ten Przeglądarka: chrome
#4
RE: Proszę o sprawdzenie logów
mam trudności z połączeniem z netem, więc na razie tylko to:
Uruchom FRST. NA klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego:

Cytat:VirusTotal: C:\Users\DarkCreed\AppData\Local\CentBrowser\Application\chrome.exe
Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).
 System operacyjny: windows_xp_2003 Przeglądarka: firefox
#5
RE: Proszę o sprawdzenie logów
OK nie ma sprawy : )

Więc tak

Fixlog: http://wklejto.pl/568972

FRST: http://wklejto.pl/569007
FRST part 2 http://wklejto.pl/569011

Addition: http://wklejto.pl/569013

Shortcut: http://wklejto.pl/569016

Teraz zauważyłem strasznie złą wydajność w grach o wiele mniej fps niż było plus straszne opóźnia myszki w grze.
 System operacyjny: windows_ten Przeglądarka: chrome
#6
RE: Proszę o sprawdzenie logów
Na VirusTotal nic nie wykryto w pliku C:\Users\DarkCreed\AppData\Local\CentBrowser\Application\chrome.exe
Ale dla mnie to się nie podoba - dlaczego CentBrowser startuje z C:\Users\DarkCreed\AppData\Local, a nie z C:\Program Files, skoro ta przeglądarka jest oficjalnie zainstalowana?

Dziwne jest to, że co kilka minut powstaje u Ciebie jakiś nowy plik C:\WINDOWS\system32\default_error_stack-001017-000000.txt, zmieniają się tylko cyferki w nazwie pliku.
Jak tak dalej pójdzie, to w szybkim czasie te pliki zapełnią cały dysk.

Uruchom FRST. NA klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego:
Cytat:C:\WINDOWS\system32\default_error_stack-0*.txt
EmptyTemp:
Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).

Przeskanuj komputer przy pomocy MBAM  https://downloads.malwarebytes.com/file/mbam_current/
 System operacyjny: windows_xp_2003 Przeglądarka: firefox
#7
RE: Proszę o sprawdzenie logów
Przeglądarkę centbrowser usunąłem i przerzuciłem się na chroma
przeskanowałem MBAM komputer i wykryło aż 52 wirusów i mam je trzymać w kwarantannie czy usunąć ?

Dobra usunąłem

fixlog: http://wklejto.pl/569117

FRST: http://wklejto.pl/569123

FRST part 2 http://wklejto.pl/569124

Shortcut: http://wklejto.pl/569125

addition: http://wklejto.pl/569126

Dziwne z tymi plikami tekstowymi. Otworzyłem jeden z nich a w środku jest to

http://wklejto.pl/569128
 System operacyjny: windows_ten Przeglądarka: chrome
#8
RE: Proszę o sprawdzenie logów
Dobrze, że pokazałeś treść tych dziwnych plików tekstowych - wynika z niej, że to produkuje ... INTEL.
Zatrzymam usługi z tym związane.
Nic więcej podejrzanego w logach nie ma.

Uruchom FRST. NA klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego:

Kod:
CMD: sc config ESRV_SVC_QUEENCREEK start= demand
CMD: sc config SystemUsageReportSvc_QUEENCREEK start= demand
CMD: sc config USER_ESRV_SVC_QUEENCREEK start= demand
C:\WINDOWS\system32\default_error_stack*.txt
EmptyTemp:
Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).
 System operacyjny: windows_xp_2003 Przeglądarka: firefox
#9
RE: Proszę o sprawdzenie logów
ok czyli wszystko jest w normie ?

fix: http://wklejto.pl/569229

FRST: http://wklejto.pl/569233

FRST part 2: http://wklejto.pl/569236

Shortcut: http://wklejto.pl/569237

Adition: http://wklejto.pl/569238
 System operacyjny: windows_ten Przeglądarka: chrome
#10
RE: Proszę o sprawdzenie logów
Usługi wyłączone.Powinno być OK.

Uruchom FRST. NA klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego:

Kod:
HKU\S-1-5-21-3638004228-2167589276-2756934381-1000\...\RunOnce: [Application Restart #3] => C:\Users\DarkCreed\AppData\Local\CentBrowser\Application\chrome.exe  --disk-cache-dir="C:\Users\DarkCreed\AppData\Local\CentBrowser\User Data\Cache" --flag-switches-begin --disable-password-generation (dane wartości zawierają 216 znaków więcej).
Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).
 System operacyjny: windows_xp_2003 Przeglądarka: firefox
Programy: Polecane / Nowe / Inne




Podobne wątki (Proszę o sprawdzenie logów)
Wątek: Autor Odpowiedzi: Wyświetleń: Ostatni post
  Prośba o sprawdzenie logów - trojan Mielikki 33 3368 24.08.2020, 13:27
Ostatni post: Illidan
  Prosba o sprawdzenie logów ricardo59 2 765 22.08.2020, 20:54
Ostatni post: ricardo59
  Prośba o sprawdzenie logów OTL Ardixis 2 3610 03.05.2020, 15:05
Ostatni post: wlisik

Skocz do:


Wybrane wątki (Proszę o sprawdzenie logów)
Wątek: Autor Odpowiedzi: Wyświetleń: Ostatni post
  Prośba o sprawdzenie logów - trojan Mielikki 33 3368 24.08.2020 13:27
Ostatni post: Illidan
  Atlas VPN (z bezpłatną subskrypcją) RickAtlasVPN 0 760 23.08.2020 13:49
Ostatni post: RickAtlasVPN
  Prosba o sprawdzenie logów ricardo59 2 765 22.08.2020 20:54
Ostatni post: ricardo59
Exclamation Nowy atak podszywanie się pod DHL lactoral 0 1060 13.08.2020 15:30
Ostatni post: lactoral
  Czy ten antywirus mi zadziała,jaki antywirus jest dobry - wątek główny II pepe0619 115 221296 10.08.2020 20:19
Ostatni post: Fix00ser
  Trojan Generic.KDZ- co to? Physicist 3 1913 19.07.2020 17:45
Ostatni post: Michu_PL
  Dziwne przekierowywanie neah 1 1719 18.07.2020 22:08
Ostatni post: Michu_PL
  Połączenie nie jest prywatne - NET::ERR_CERT_REVOKED gari 0 2415 23.06.2020 19:20
Ostatni post: gari
  4 "nietykalne" pliki w katalogu temp Muerte 52 13815 05.06.2020 17:09
Ostatni post: Illidan
  Prośba o sprawdzenie logów OTL Ardixis 2 3610 03.05.2020 15:05
Ostatni post: wlisik
  Prosze o Pomoc. Wirus mikolaj95 2 3587 30.04.2020 17:45
Ostatni post: mikolaj95
  Niesprawdzony serwer proxy, sprawdzenie logów dla pewności Pawes97 2 3555 28.04.2020 18:11
Ostatni post: Pawes97
  Przeglądarka jest zarządzana przez twoją organizację PannaNatalka 4 4415 25.04.2020 01:24
Ostatni post: Illidan
  Powiadomienie SMS o braku prądu dia8el 2 3753 24.04.2020 16:17
Ostatni post: Illidan
  prawdopodobnie keylogger lucaskrk 3 4044 20.04.2020 11:12
Ostatni post: wlisik