Problem z wyskakujacymi okienkami typu cmd.exe oraz setup.exe


(Kara93) #1

Witam serdecznie.
Z góry przeproszę za złą i nic nie wnoszącą nazwę tematu, ale w zasadzie nie wiem jak mogę to nazwać. Wyskakują mi po prostu okienka, gdzie ich nazwa to c:\windows\system32\cmd.exe oraz setup.exe tu jak przy instalacji. Avast wykrywa je jako dziwne numerki z zakończeniem .exe i usuwa. W załączniku dodaje zdjęcia jak to wygląda. Proszę o pomoc. Co to może być? Jak się tego pozbyć?

!


(Atis) #2

Farbar Recovery Scan Tool - Raport obowiązkowy


(Kara93) #3

http://www.wklej.org/id/3314699/
http://www.wklej.org/id/3314700/
http://www.wklej.org/id/3314701/


(Atis) #4

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist:

CloseProcesses:
GroupPolicy: Ograniczenia <==== UWAGA
GroupPolicy\User: Ograniczenia <==== UWAGA
HKU\S-1-5-21-2523929006-4012201428-3024620391-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://mail.ru/cnt/10445?gp=811141
SearchScopes: HKU\S-1-5-21-2523929006-4012201428-3024620391-1000 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={searchTerms}&fr=ntg&product_id=%7BCF112B53-A10A-4EE0-9BE8-E37094148B06%7D&gp=811142
SearchScopes: HKU\S-1-5-21-2523929006-4012201428-3024620391-1000 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={searchTerms}&fr=ntg&product_id=%7BCF112B53-A10A-4EE0-9BE8-E37094148B06%7D&gp=811142
BHO-x32: Search@Mail.Ru -> {8E8F97CD-60B5-456F-A201-73065652D099} -> C:\Users\Damian\AppData\Local\Mail.Ru\Sputnik\ie_addon_dll.dll [2017-12-05] (Mail.Ru)
CHR HomePage: Default -> inline.go.mail.ru
CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=811138"
CHR HKLM-x32\...\Chrome\Extension: [bhjhnafpiilpffhglajcaepjbnbjemci] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [hcadgijmedbfgciegjomfpjcdchlhnif] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [lhemechcanjmilllmccjbjldonmnnjjj] - hxxps://clients2.google.com/service/update2/crx
S3 xhunter1; \??\C:\Windows\xhunter1.sys [X]
2017-12-05 17:46 - 2010-11-21 04:24 - 000186368 _____ (Microsoft Corporation) C:\Windows\SysWOW64\800630.exe
2017-12-05 17:46 - 2009-07-14 02:14 - 000001179 _____ C:\Users\Damian\AppData\Local\MCVQKlENfk
2017-12-05 17:46 - 2009-07-14 02:14 - 000001170 _____ C:\Users\Damian\AppData\Local\yherChSyBSs
2017-12-05 17:46 - 2009-07-14 02:14 - 000000071 _____ C:\Users\Damian\AppData\Local\NQqizslxPYb
2017-12-05 17:46 - 2009-07-14 02:14 - 000000070 _____ C:\Users\Damian\AppData\Local\FuziqKv
2017-12-05 17:43 - 2017-12-05 17:45 - 000000000 ____D C:\Users\Damian\AppData\Local\Mail.Ru
2017-12-05 17:43 - 2017-12-05 17:45 - 000000000 ____D C:\ProgramData\Mail.Ru
2017-12-05 17:43 - 2017-12-05 17:45 - 000000000 ____D C:\Program Files (x86)\Mail.Ru
2017-12-05 17:43 - 2017-12-05 17:43 - 000000000 ____D C:\Users\Damian\AppData\Roaming\BrowserModule
2017-12-04 19:33 - 2010-11-21 04:24 - 000186368 _____ (Microsoft Corporation) C:\Windows\SysWOW64\9804894.exe
2017-12-04 19:33 - 2009-07-14 02:14 - 000001187 _____ C:\Users\Damian\AppData\Local\ppoVwVRani
2017-12-04 19:33 - 2009-07-14 02:14 - 000001155 _____ C:\Users\Damian\AppData\Local\rQYAYTyIBvn
2017-12-04 19:33 - 2009-07-14 02:14 - 000000071 _____ C:\Users\Damian\AppData\Local\LoqXapGhzdnF
2017-12-04 19:33 - 2009-07-14 02:14 - 000000070 _____ C:\Users\Damian\AppData\Local\nlnMTQFPT
2017-12-02 19:15 - 2010-11-21 04:24 - 000186368 _____ (Microsoft Corporation) C:\Windows\SysWOW64\7005847.exe
2017-12-02 19:15 - 2009-07-14 02:14 - 000001017 _____ C:\Users\Damian\AppData\Local\PZSgbmPiV
2017-12-02 19:15 - 2009-07-14 02:14 - 000001016 _____ C:\Users\Damian\AppData\Local\EcvuUdmJYh
2017-12-02 19:15 - 2009-07-14 02:14 - 000000070 _____ C:\Users\Damian\AppData\Local\OlrAUzVr
2017-12-02 19:15 - 2009-07-14 02:14 - 000000069 _____ C:\Users\Damian\AppData\Local\osDMmOiG
2017-12-02 10:31 - 2010-11-21 04:24 - 000186368 _____ (Microsoft Corporation) C:\Windows\SysWOW64\6364655.exe
2017-12-02 10:31 - 2009-07-14 02:14 - 000001071 _____ C:\Users\Damian\AppData\Local\aqvWXcuoNgS
2017-12-02 10:31 - 2009-07-14 02:14 - 000000968 _____ C:\Users\Damian\AppData\Local\EGKtp
2017-12-02 10:31 - 2009-07-14 02:14 - 000000071 _____ C:\Users\Damian\AppData\Local\hXQOpn
2017-12-02 10:31 - 2009-07-14 02:14 - 000000065 _____ C:\Users\Damian\AppData\Local\hFSVPvDk
2017-11-22 18:36 - 2010-11-21 04:24 - 000186368 _____ (Microsoft Corporation) C:\Windows\SysWOW64\9798314.exe
2017-11-19 12:12 - 2017-12-04 19:40 - 000000000 ____D C:\AdwCleaner
C:\Users\Damian\AppData\Local\*.bat
C:\Users\Damian\AppData\Local\WMI.ini
Task: {0562C878-DBF4-4B9E-A4DD-22C97F5F5379} - System32\Tasks\dNYUrXoYIA => C:\Users\Damian\AppData\Local\NQqizslxPYb.bat [2009-07-14] () <==== UWAGA
Task: {0CB5CD5E-B78D-4FAA-A2E8-24725C4D9804} - System32\Tasks\jVFjxCNYe => C:\Users\Damian\AppData\Local\nlnMTQFPT.bat [2009-07-14] () <==== UWAGA
Task: {224817F0-DDF2-4B2A-9D2A-3456D2C82ABA} - System32\Tasks\oGBmj => C:\Users\Damian\AppData\Local\LoqXapGhzdnF.bat [2009-07-14] () <==== UWAGA
Task: {231F59BC-12C0-471E-9606-6DDA8CA328B9} - System32\Tasks\newsupforucomzdjkzigqzxs => "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" newsupforu.com/zdjkzigqzxs <==== UWAGA
Task: {3B0636D3-7BCD-4037-9BFF-2D63A8BCC0E0} - System32\Tasks\phZaS => C:\Users\Damian\AppData\Local\hFSVPvDk.bat [2009-07-14] () <==== UWAGA
Task: {497FE7B3-432D-4ED5-A071-57D9B4F21B30} - System32\Tasks\NSFDdUADsy => C:\Users\Damian\AppData\Local\osDMmOiG.bat [2009-07-14] () <==== UWAGA
Task: {8F7B75F4-FACF-4A96-AD6D-C457F54391E4} - System32\Tasks\JvNAnnU => C:\Users\Damian\AppData\Local\OlrAUzVr.bat [2009-07-14] () <==== UWAGA
Task: {9F0E851F-BFFE-4C91-9D09-8D4E596A332E} - System32\Tasks\RCLEsNiiE => C:\Users\Damian\AppData\Local\FuziqKv.bat [2009-07-14] () <==== UWAGA
Task: {C19EAA06-6EC3-4154-968A-74FA23299069} - System32\Tasks\nenOua => C:\Users\Damian\AppData\Local\XpHsGvLCnaXi.bat [2017-11-22] () <==== UWAGA
Task: {D3D83089-3B57-44EE-B4A1-D9942145FF43} - System32\Tasks\BRtQftvqvooQ => C:\Users\Damian\AppData\Local\hXQOpn.bat [2009-07-14] () <==== UWAGA
Task: {E10C98BD-D107-4E03-86C3-171A8DCC327C} - \news2news2net0xaskzl -> Brak pliku <==== UWAGA
Task: {E8AB20FF-5FF5-4699-BDDC-0699EBF01DAE} - System32\Tasks\YRFdvmsM => C:\Users\Damian\AppData\Local\yXxsDYGQ.bat [2017-11-22] () <==== UWAGA
ShortcutWithArgument: C:\Users\Damian\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk -> C:\Windows\System32\rundll32.exe (Microsoft Corporation) -> url,FileProtocolHandler "hxxp://www.mail.ru/cnt/20775012?gp=811144"
EmptyTemp:

Uruchom FRST i kliknij Napraw (Fix). Pokaż raport z usuwania Fixlog.
Kliknij Skanuj (Scan) i pokaż nowy raport z FRST bez Addition i Shortcut.


(Kara93) #5

Raport z fixlog:
http://wklej.org/id/3314757/
Raport FRST:
http://wklej.org/id/3314759/

A mam jeszcze pytanie jak robicie to “naprawianie” ? Czy to za każdym razem można robić gdy pojawia się problem z takimi wyskakującymi oknami i reklamami? Co wtedy trzeba zmienić ?


(Atis) #6

Musisz za każdym razem utworzyć unikatowy Fixlist, bo ten nie jest uniwersalny i musi być utworzony na podstawie aktualnych logów.
FRST - Tutorial obsługi Farbar Recovery Scan Tool

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist:

2017-12-05 17:23 - 2017-12-05 17:23 - 000000258 _____ C:\ProgramData\fontcacheev1.dat
2017-11-22 18:36 - 2017-11-22 18:36 - 000001126 _____ C:\Users\Damian\AppData\Local\RsnKZQX
2017-11-22 18:36 - 2017-11-22 18:36 - 000001053 _____ C:\Users\Damian\AppData\Local\CHKOvCTBmhoF
2017-11-22 18:36 - 2017-11-22 18:36 - 000000072 _____ C:\Users\Damian\AppData\Local\XpHsGvLCnaXi
2017-11-22 18:36 - 2017-11-22 18:36 - 000000067 _____ C:\Users\Damian\AppData\Local\yXxsDYGQ
C:\Users\Damian\AppData\Local\Google\Chrome\User Data\Default\Extensions\eeocknbjpmfgaclencnfjfkklmmfmiie
DeleteQuarantine:

Uruchom FRST i kliknij Napraw (Fix). Później skasuj folder C:\FRST
Czyszczenie folderów Przywracania systemu