Skocz do zawartości
Omen69x

Explorer.exe śpi i w ogóle bajzel.

Rekomendowane odpowiedzi

Hej cześć i czołem,

 

Od pewnego czasu przy starcie systemu przestał się włączać explorer.exe, działa tylko ręczne uruchomienie przez menadżera zadań. Oczywiście z miejsca przeskanowałem wszystko Antywirem i AntyMarwel. O ile wirusów jako takich nie wykryło tak AntiMarwel łapał kolejne pozycje jak szalony, końca nie było. Niby już wszystko ok, skany nic nie wykazują ale problem nie zniknął. Ciężko mi też wskazać jakąś konkretną przyczynę bo to PC typowo domowy, czyli korzysta z niego multum domowników. Dzieciakom zdarza się kliknąć w reklamę gry, żona szuka seriali gdzie tylko się da bo nowy sezon już, nie ważne czy to jakaś ruska strony z serwerami w Mongolii. FRST poszedł w ruch ale dla mnie te logi to czysta czarna magia, mogło by być nawet po egipsku, tyle samo bym zrozumiał. 

 

 

FRST.txt Addition.txt

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Jest infekcja SOUNDMIXER

 

Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.
Otworzy się Notatnik - wklej do niego:

Spoiler

HKU\S-1-5-21-298913981-1024801001-3169498018-1001\...\Winlogon: [Shell] %comspec% <==== ACHTUNG
HKU\S-1-5-21-298913981-1024801001-3169498018-1001\...\Command Processor: @mode 20,5 & tasklist /FI "IMAGENAME eq SoundMixer.exe" 2>NUL | find /I /N "SoundMixer.exe">NUL && exit & if exist ( start /MIN "" & tasklist /FI "IMAGENAME eq explorer.exe" 2>NUL | find /I /N "explorer.exe">NUL && exit & explorer.exe & exit ) else ( tasklist /FI "IMAGENAME eq explorer.exe" 2>NUL | find /I /N "explorer.exe">NUL && exit & explorer.exe & exit ) <==== ACHTUNG
HKU\S-1-5-21-298913981-1024801001-3169498018-1001\...\Run: [Browser Manager] => C:\Users\omen6\AppData\Local\Yandex\BrowserManager\MBLauncher.exe
FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Beschränkung <==== ACHTUNG
Task: {49B78C19-4516-4858-80E2-1FAB190DCF13} - System32\Tasks\Hewlett-Packard\HP Support Assistant\HP Support Assistant printer driver installation => C:\WINDOWS\TEMP\sp80767.exe <==== ACHTUNG
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Beschränkung <==== ACHTUNG
HKU\S-1-5-21-298913981-1024801001-3169498018-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://www.yandex.ru/?win=408&clid=2341035-18
SearchScopes: HKU\S-1-5-21-298913981-1024801001-3169498018-1001 -> DefaultScope {7164E247-F1AB-46E6-8B44-C18E577D7AB1} URL = hxxps://yandex.ru/search/?win=408&clid=2341036-18&text={searchTerms}
SearchScopes: HKU\S-1-5-21-298913981-1024801001-3169498018-1001 -> d16428f4-f521-11e9-a1a4-10050142a9cb URL = hxxp://www.go-setting.com/search?q={searchTerms}
SearchScopes: HKU\S-1-5-21-298913981-1024801001-3169498018-1001 -> {7164E247-F1AB-46E6-8B44-C18E577D7AB1} URL = hxxps://yandex.ru/search/?win=408&clid=2341036-18&text={searchTerms}
BHO: Kein Name -> {31D09BA0-12F5-4CCE-BE8A-2923E76605DA} -> Keine Datei
Edge HomeButtonPage: HKU\S-1-5-21-298913981-1024801001-3169498018-1001 -> hxxps://www.yandex.ru/?win=408&clid=2341035-18
FF Homepage: Mozilla\Firefox\Profiles\kqvojbtk.default -> hxxps://www.yandex.ru/?win=408&clid=2341035-18
FF SearchPlugin: C:\Users\omen6\AppData\Roaming\Mozilla\Firefox\Profiles\kqvojbtk.default\searchplugins\yandex.ru-20191522.xml [2019-10-23]
OPR StartupUrls: "hxxps://www.yandex.ru/?win=408&clid=2341035-18"
OPR Session Restore: -> ist aktiviert.
FirewallRules: [{37F5DE21-8FB7-4606-A1BD-342136A74785}] => (Allow) D:\Steam\steamapps\common\Warframe\Tools\RemoteCrashSender.exe Keine Datei
FirewallRules: [{04A36AA9-6DC6-43AE-8E39-EBA3FF22E3B8}] => (Allow) D:\Steam\steamapps\common\Warframe\Tools\Launcher.exe Keine Datei
FirewallRules: [{DA3B3F3E-5474-4B5B-A8CC-5AEA68D0F94A}] => (Allow) D:\Steam\steamapps\common\Warframe\Warframe.x64.exe Keine Datei
FirewallRules: [{19A0F17B-990A-4047-9417-0374DBEBAA9C}] => (Allow) D:\Steam\steamapps\common\Warframe\Warframe.x64.exe Keine Datei
FirewallRules: [{6418C6D9-0C26-479E-AD6D-118CDFD8588F}] => (Allow) D:\Steam\steamapps\common\Warframe\Tools\RemoteCrashSender.exe Keine Datei
FirewallRules: [{161C65CD-09E3-4988-BDAB-B92AF48737CD}] => (Allow) D:\Steam\steamapps\common\Warframe\Tools\Launcher.exe Keine Datei
FirewallRules: [{DFE3FF3B-D2C5-49FE-B88D-103E829A0A9C}] => (Allow) D:\Steam\steamapps\common\Warframe\Warframe.x64.exe Keine Datei
FirewallRules: [{DC62E807-BB5C-42D6-B46F-BC38CFB364AF}] => (Allow) D:\Steam\steamapps\common\Warframe\Warframe.x64.exe Keine Datei
FirewallRules: [UDP Query User{A3DACF10-DF4B-48A3-9675-4CB404B7856E}D:\grand theft auto v\gta5.exe] => (Allow) D:\grand theft auto v\gta5.exe Keine Datei
FirewallRules: [TCP Query User{32825904-AD94-4E44-9F23-828C0F3D5B71}D:\grand theft auto v\gta5.exe] => (Allow) D:\grand theft auto v\gta5.exe Keine Datei
FirewallRules: [{26EEC5D0-3811-4D68-9A1A-926A5E234584}] => (Allow) D:\Steam\steamapps\common\Total War Rome II\launcher\launcher.exe Keine Datei
FirewallRules: [{3DB4949B-D923-480C-855A-5A7D60EA5594}] => (Allow) D:\Steam\steamapps\common\Total War Rome II\launcher\launcher.exe Keine Datei
FirewallRules: [UDP Query User{C9DB8B48-9C2E-4B22-BF9C-923C1B40D44A}C:\program files (x86)\origin games\apex\r5apex.exe] => (Allow) C:\program files (x86)\origin games\apex\r5apex.exe Keine Datei
FirewallRules: [TCP Query User{0A3712FB-8BB6-4184-88C2-72457805A0DE}C:\program files (x86)\origin games\apex\r5apex.exe] => (Allow) C:\program files (x86)\origin games\apex\r5apex.exe Keine Datei
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:

Na klawiaturze naciśnij jednocześnie CTRL+S.
W FRST kliknij na Fix (NAPRAW).

 

Napisz, jak oceniasz sytuację po tym usuwaniu?

 

jessi

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się

  • Ostatnio przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników przeglądających tę stronę.

×
×
  • Dodaj nową pozycję...