Dziwne okna wiersza poleceń

windows7

(qushin430) #1

Witam wczoraj chciałem sobie pobrać grę z internetu(Strona kończąca się na .Ro) tak powinienem wyjść od razu i nic nie pobierać ale chęć zagrania była większa i wyskoczył mi komunikat o wirusie. Reakcja była natychmiastowa i wydawało mi się ze po problemie. A dzisiaj rano włączam kompa i wyskakują mi takie o to wiersze poleceń(w załączniku) i bardzo głośno chodzi mi chłodzenie od procesora, które było cichutkie zawsze CPU jaki mam to intel core i7-870 2.93Mhz a w turbo 3.6Mhz w OCCT przy samym pulpicie procek chodzi na ok 3.2Mhz z spadkami do NORMY jaka była 1.2Mhz.A zapomniałem dodać że po tym wierszu wyskakuje kolejny w którym jest coś o transferze.60796d11861fc90938bcebdfacb066dd9bf8df26_1_690x387


(bachus) #2

https://forum.dobreprogramy.pl/c/dla-specjalistow/bezpieczenstwo


(qushin430) #3

Addition_16-12-2017 17.32.50.txt (25,3 KB)
FRST_16-12-2017 17.32.50.txt (99,1 KB)
Shortcut_16-12-2017 17.32.50.txt (29,1 KB)


(Atis) #4

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist:

Task: {102DCE87-2585-4060-8BA2-732FEA326D1D} - System32\Tasks\xpihxZBvNk => C:\Users\Admini\AppData\Local\Zjakby.bat [2009-07-14] () <==== UWAGA
Task: {1522AEF2-24B3-4FFE-8B59-1CB3C13F10EF} - System32\Tasks\XYOtVRLSbAIe => C:\Users\Admini\AppData\Local\LGLor.bat [2009-07-14] () <==== UWAGA
Task: {935C46EF-0629-4215-97DA-B5533682A990} - System32\Tasks\geektonete5a => "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" geekto.net/e5a <==== UWAGA
GroupPolicy: Ograniczenia <==== UWAGA
GroupPolicy\User: Ograniczenia <==== UWAGA
HKU\S-1-5-21-876376559-1544931156-231164547-1000\Software\Microsoft\Internet Explorer\Main,Start Page = 
CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] - hxxps://clients2.google.com/service/update2/crx
2017-12-16 16:49 - 2017-12-16 16:49 - 000000000 ____D C:\AdwCleaner
2017-12-16 16:28 - 2017-12-16 16:28 - 000000000 ____D C:\ProgramData\SWCUTemp
2017-12-15 19:05 - 2017-12-16 16:32 - 000003490 _____ C:\Windows\System32\Tasks\XYOtVRLSbAIe
2017-12-15 19:05 - 2017-12-16 15:44 - 000003614 _____ C:\Windows\System32\Tasks\geektonete5a
2017-12-15 19:05 - 2017-12-16 15:44 - 000003290 _____ C:\Windows\System32\Tasks\xpihxZBvNk
2017-12-15 19:05 - 2017-12-15 19:05 - 000000001 _____ C:\Users\Admini\AppData\Local\WMI.ini
2017-12-15 19:05 - 2010-11-21 04:24 - 000186368 _____ (Microsoft Corporation) C:\Windows\SysWOW64\1566234.exe
2017-12-15 19:05 - 2009-07-14 02:14 - 000001210 _____ C:\Users\Admini\AppData\Local\oJqQxTJL
2017-12-15 19:05 - 2009-07-14 02:14 - 000001116 _____ C:\Users\Admini\AppData\Local\NdSBxEJl
2017-12-15 19:05 - 2009-07-14 02:14 - 000000068 _____ C:\Users\Admini\AppData\Local\Zjakby
2017-12-15 19:05 - 2009-07-14 02:14 - 000000068 _____ C:\Users\Admini\AppData\Local\LGLor
C:\Users\Admini\AppData\Local\*.bat
EmptyTemp:

Uruchom FRST i kliknij Napraw (Fix). Pokaż raport z usuwania Fixlog.
Kliknij Skanuj (Scan) i pokaż nowy raport z FRST bez Addition i Shortcut.