Witamy na forum PC Format Zapraszamy do REJESTRACJI


Użytkownicy przeglądający ten wątek: 1 gości

Proszę o sprawdzenie logów

#1
Proszę o sprawdzenie logów
Witam, przed chwilą ściągnąłem  jakiś plik z podejrzanej strony który to zaczął instalować różne programy, mało tego mój antywirus wykrywał ciągle trojany. Udało mi się to jakoś ogarnąć WDSC+adw  ale nie jestem pewny czy usunąłem te ścierwo. Proszę o pomoc  i dziękuje z góry Wesoły 


FRST: http://www.wklejto.pl/568499

ADDITION: http://www.wklejto.pl/568501

SHORTCUT: http://www.wklejto.pl/568503


 System operacyjny: windows_ten Przeglądarka: chrome
#2
RE: Proszę o sprawdzenie logów
1) Uruchom FRST. NA klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego:

Kod:
RemoveDirectory: C:\ProgramData\XjOPTLXDzAynQaVB
RemoveDirectory: C:\Users\DarkCreed\AppData\Roaming\yrfj3pr5br0
RemoveDirectory: C:\Users\DarkCreed\AppData\Roaming\tao4nmktoh5
RemoveDirectory: C:\Users\DarkCreed\AppData\Roaming\klo01oudzlq
RemoveDirectory: C:\Program Files\GLAQY9F8PK
RemoveDirectory: C:\Program Files\CH04T9WDKY
RemoveDirectory: C:\ProgramData\XjOPTLXDzAynQaVB
RemoveDirectory: C:\Users\DarkCreed\AppData\Roaming\hunyanfn1y5
RemoveDirectory: C:\Program Files\BZWDQATFZQ
RemoveDirectory: C:\Program Files (x86)\qsdqsd
RemoveDirectory: C:\Users\Public\Documents\XMUpdate
RemoveDirectory: C:\Program Files\My Program
Task: {18E66B07-741C-4CBF-B26A-D774A479AD58} - System32\Tasks\WobUIKhuMtTTi2 => C:\WINDOWS\system32\wscript.exe "C:\ProgramData\XjOPTLXDzAynQaVB\TMYfomg.wsf"
Task: {2AF96E42-8381-4961-B5BD-3E0B8133845D} - System32\Tasks\{ABB81E48-B724-457E-8698-B383F4D5399D} => C:\WINDOWS\system32\pcalua.exe -a F:\FileRgn.exe -d F:\
HKU\S-1-5-21-3638004228-2167589276-2756934381-1000\Software\Classes\regfile: regedit.exe "%1" <==== UWAGA
ProxyEnable: [S-1-5-21-3638004228-2167589276-2756934381-1000] => Proxy [funkcja włączona]
ProxyServer: [S-1-5-21-3638004228-2167589276-2756934381-1000] => http=127.0.0.1:8080;https=127.0.0.1:8080
ManualProxies: 1http=127.0.0.1:8080;https=127.0.0.1:8080
FF Extension: (Brak nazwy) - C:\Program Files\Mozilla Firefox\browser\features\{A5FD4672-4D73-4F90-A1C0-2ABD39DB2565}.xpi [2018-06-16] [Brak podpisu cyfrowego]
CHR Extension: (System Table) - C:\Users\DarkCreed\AppData\Local\Google\Chrome\User Data\Default\SystemTable\1.2_0 [2018-06-16]
R2 winamgr; C:\ProgramData\Microsoft\Windows\Audio\winamgr.exe [10644480 2018-05-28] (Microsoft Corporation) [Brak podpisu cyfrowego] <==== UWAGA
C:\ProgramData\Microsoft\Windows\Audio\winamgr.exe
C:\WINDOWS\system32\default_error_stack-000*.txt
C:\Users\Public\Documents\{DE764086-1C0A-4DD3-90BA-0B93BDD794BE}
ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Brak pliku
ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Brak pliku
ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Brak pliku
ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Brak pliku
ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Brak pliku
ShellIconOverlayIdentifiers: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Brak pliku
ShellIconOverlayIdentifiers: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> Brak pliku
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Brak pliku
ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Brak pliku
ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Brak pliku
ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Brak pliku
ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Brak pliku
ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Brak pliku
ShellIconOverlayIdentifiers-x32: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Brak pliku
ShellIconOverlayIdentifiers-x32: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> Brak pliku
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA
GroupPolicy: Ograniczenia - Windows Defender <==== UWAGA
Hosts:
EmptyTemp:
Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).

2) Zrób nowe logi FRST.

3) Coś tu się nie zgadza:

Cytat:(Dan Deng) C:\Users\DarkCreed\AppData\Local\CentBrowser\Application\chrome.exe
Cent Browser (HKU\S-1-5-21-3638004228-2167589276-2756934381-1000\...\CentBrowser) (Version: 3.4.3.39 - Cent Studio)
Zainstalowaną masz przeglądarkę z firmy "Cent Studio", natomiast w procesach jest z firmy "Dan Deng".
Skąd masz tę przeglądarkę, skąd ściągnąłeś ją?
.
 System operacyjny: windows_xp_2003 Przeglądarka: firefox
#3
RE: Proszę o sprawdzenie logów
Fixlog: http://wklejto.pl/568875

Shortcut: http://wklejto.pl/568881

Addition: http://wklejto.pl/568882

Frst: http://wklejto.pl/568887



Przeglądarke mam z oficjalnej strony https://www.centbrowser.com
 System operacyjny: windows_ten Przeglądarka: chrome
#4
RE: Proszę o sprawdzenie logów
mam trudności z połączeniem z netem, więc na razie tylko to:
Uruchom FRST. NA klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego:

Cytat:VirusTotal: C:\Users\DarkCreed\AppData\Local\CentBrowser\Application\chrome.exe
Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).
 System operacyjny: windows_xp_2003 Przeglądarka: firefox
#5
RE: Proszę o sprawdzenie logów
OK nie ma sprawy : )

Więc tak

Fixlog: http://wklejto.pl/568972

FRST: http://wklejto.pl/569007
FRST part 2 http://wklejto.pl/569011

Addition: http://wklejto.pl/569013

Shortcut: http://wklejto.pl/569016

Teraz zauważyłem strasznie złą wydajność w grach o wiele mniej fps niż było plus straszne opóźnia myszki w grze.
 System operacyjny: windows_ten Przeglądarka: chrome
#6
RE: Proszę o sprawdzenie logów
Na VirusTotal nic nie wykryto w pliku C:\Users\DarkCreed\AppData\Local\CentBrowser\Application\chrome.exe
Ale dla mnie to się nie podoba - dlaczego CentBrowser startuje z C:\Users\DarkCreed\AppData\Local, a nie z C:\Program Files, skoro ta przeglądarka jest oficjalnie zainstalowana?

Dziwne jest to, że co kilka minut powstaje u Ciebie jakiś nowy plik C:\WINDOWS\system32\default_error_stack-001017-000000.txt, zmieniają się tylko cyferki w nazwie pliku.
Jak tak dalej pójdzie, to w szybkim czasie te pliki zapełnią cały dysk.

Uruchom FRST. NA klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego:
Cytat:C:\WINDOWS\system32\default_error_stack-0*.txt
EmptyTemp:
Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).

Przeskanuj komputer przy pomocy MBAM  https://downloads.malwarebytes.com/file/mbam_current/
 System operacyjny: windows_xp_2003 Przeglądarka: firefox
#7
RE: Proszę o sprawdzenie logów
Przeglądarkę centbrowser usunąłem i przerzuciłem się na chroma
przeskanowałem MBAM komputer i wykryło aż 52 wirusów i mam je trzymać w kwarantannie czy usunąć ?

Dobra usunąłem

fixlog: http://wklejto.pl/569117

FRST: http://wklejto.pl/569123

FRST part 2 http://wklejto.pl/569124

Shortcut: http://wklejto.pl/569125

addition: http://wklejto.pl/569126

Dziwne z tymi plikami tekstowymi. Otworzyłem jeden z nich a w środku jest to

http://wklejto.pl/569128
 System operacyjny: windows_ten Przeglądarka: chrome
#8
RE: Proszę o sprawdzenie logów
Dobrze, że pokazałeś treść tych dziwnych plików tekstowych - wynika z niej, że to produkuje ... INTEL.
Zatrzymam usługi z tym związane.
Nic więcej podejrzanego w logach nie ma.

Uruchom FRST. NA klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego:

Kod:
CMD: sc config ESRV_SVC_QUEENCREEK start= demand
CMD: sc config SystemUsageReportSvc_QUEENCREEK start= demand
CMD: sc config USER_ESRV_SVC_QUEENCREEK start= demand
C:\WINDOWS\system32\default_error_stack*.txt
EmptyTemp:
Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).
 System operacyjny: windows_xp_2003 Przeglądarka: firefox
#9
RE: Proszę o sprawdzenie logów
ok czyli wszystko jest w normie ?

fix: http://wklejto.pl/569229

FRST: http://wklejto.pl/569233

FRST part 2: http://wklejto.pl/569236

Shortcut: http://wklejto.pl/569237

Adition: http://wklejto.pl/569238
 System operacyjny: windows_ten Przeglądarka: chrome
#10
RE: Proszę o sprawdzenie logów
Usługi wyłączone.Powinno być OK.

Uruchom FRST. NA klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego:

Kod:
HKU\S-1-5-21-3638004228-2167589276-2756934381-1000\...\RunOnce: [Application Restart #3] => C:\Users\DarkCreed\AppData\Local\CentBrowser\Application\chrome.exe  --disk-cache-dir="C:\Users\DarkCreed\AppData\Local\CentBrowser\User Data\Cache" --flag-switches-begin --disable-password-generation (dane wartości zawierają 216 znaków więcej).
Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).
 System operacyjny: windows_xp_2003 Przeglądarka: firefox
Programy: Polecane / Nowe / Inne




Podobne wątki (Proszę o sprawdzenie logów)
Wątek: Autor Odpowiedzi: Wyświetleń: Ostatni post
  prosba o sprawdzenie logów - samootwierajace sie strony capd 3 1643 18.09.2019, 09:52
Ostatni post: morderca
  Proszę o sprawdzenie logów. Zello 2 1910 01.09.2019, 19:41
Ostatni post: Zello
  Prośba o sprawdzenie logów rzezniczak 2 1902 31.08.2019, 11:53
Ostatni post: rzezniczak

Skocz do:


Wybrane wątki (Proszę o sprawdzenie logów)
Wątek: Autor Odpowiedzi: Wyświetleń: Ostatni post
  Strona uruchamia się wraz ze startem systemu. SHARP33 2 892 20.12.2018 02:02
Ostatni post: SHARP33
  Otwierająca się strona po starcie systemu Maxthal124 2 4640 16.12.2018 15:20
Ostatni post: Maxthal124
  Komputer dlugo sie zalancza. bracik77 4 4605 16.12.2018 13:45
Ostatni post: bracik77
  samoistnie otwierająca się strona po starcie systemu logan0125 2 4680 16.12.2018 13:42
Ostatni post: logan0125
  Włączanie się strony internetowej w raz ze startem systemu LifesGood 2 4389 16.12.2018 02:44
Ostatni post: LifesGood
  przy odpaleniu windowsa włacza sie strona z wirusem :( Wojt84 1 4646 15.12.2018 05:25
Ostatni post: Illidan
  Wirus ransomware dawid_v22 3 4578 14.12.2018 00:52
Ostatni post: Fix00ser
  Samoistne włączanie się przez 1s. wiersza poleceń po starcie systemu z przeglądarką mattur88 5 4439 13.12.2018 14:25
Ostatni post: morderca
  Proszę bardzo o pomoc z WIRUSEM szymoneku 3 4296 10.12.2018 09:24
Ostatni post: morderca
  Wirus który wraca mimo że jest "usuwany"? shadowalker 7 1361 03.12.2018 14:50
Ostatni post: morderca
  1 rdzeń procesora na 100% arnagorn 2 4130 03.12.2018 14:19
Ostatni post: Illidan
  komputer widzi błąd seba1946 1 4057 03.12.2018 08:06
Ostatni post: morderca
  Strona z reklamami przy starcie systemu Lary57 2 6012 01.12.2018 21:07
Ostatni post: Lary57
  Dostałem e-maila od kogoś, kto zainfekował mi pc. czy to możliwe? Kazioko 1 3979 01.12.2018 08:20
Ostatni post: morderca
  Chrome/Mozilla, wyskakujące reklamy, przekierowania. waple 6 4237 23.11.2018 19:30
Ostatni post: waple