jessica
-
Postów
4 099 -
Dołączył
-
Ostatnia wizyta
Odpowiedzi opublikowane przez jessica
-
-
Nie widzę tu żadnej infekcji.
Kosmetyka:
Otwórz Notatnik i wklej w nim:
HKLM-x32\...\Run: [] => [X]
C:\Users\Beata\Desktop\dzień matki i ojca\100 lat.lnk
C:\Users\Beata\Desktop\dzień matki i ojca\Majowy zapach kwiatów.lnk
C:\Users\Beata\Desktop\dzień matki i ojca\Melodia -Cudownych rodziców mam.lnk
C:\Users\Beata\Desktop\dzień matki i ojca\Na stronach kalendarza.lnk
C:\Users\Beata\Desktop\dzień matki i ojca\Słowa -Cudownych rodziców mam.lnk
C:\Users\Beata\Desktop\dzień matki i ojca\Tata jest potrzebny.lnk
C:\Users\Beata\Desktop\dzień matki i ojca\Tata umie zrobić wszystko.lnk
C:\Users\Beata\AppData\Roaming\Microsoft\Windows\SendTo\Android (ALLPlayer Pilot).lnk
C:\Users\Public\Desktop\Już w szkole, klasa 3, semestr 2.lnk
EmptyTemp:
Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix.-----------
Ok. 23 sierpnia wraca @Picasso, więc wtedy zgłoś swój temat w tym (lub podobnym, uaktualnionym) temacie: http://www.fixitpc.p...bez-odpowiedzi/
jessi
-
W zwrotkach dostaję info o kilkudziesięciu meilach, tylko i wyłącznie moich znajomych.
czy ci znajomi nie znali się też między sobą, nie mieli adresów Twoich znajomych?
jessi
-
Od znajomych, którzy otrzymali spam dowiedziałam się, że wiadomości wysyłane są z mojego maila. Nie wiem, czy ma to jakieś znaczenie, ale w tym czasie komputer był wyłączony i nie miał dostępu do sieci.
To nie Ty rozsyłasz spam, tylko ktoś z Twoich znajomych, kto miał Twój adres e-mailowy w książce adresowej; infekcja wykryła w jego książce adresowej Twój adres, i teraz z jego komputera rozsyła e-maile do innych, udając, że pochodzą z Twego komputera.
Nic na to nie poradzisz. Możesz jedynie zmienić swój adres e-mailowy, i powiadomić wszystkich swoich znajomych, że nie rozsyłasz spamu, bo masz już inny adres/konto.
W logach - nic ciekawego.
jessi
-
nie widniejesz w temacie http://www.fixitpc.p...ieni-do-pomocy/jako osoba która może udzielać pomocy i trochę się obawiam.
Tak, wiem, że nie mam uprawnień.
Powinnam o tym uprzedzić, by Użytkownik mógł świadomie zdecydować, czy czekać kilka tygodni na @Picasso, czy zaryzykować i działać wg moich zaleceń. Ale wiem, że wielu Użytkowników potrzebuje szybszej pomocy niż po np. 3 tygodniach czekania, więc nie piszę, że nie mam uprawnień, wychodząc z założenia, że Użytkownik sam to odkryje, i potem dokona wyboru.
Jeśli jest już OK, to możemy kończyć:
Otwórz Notatnik i wklej w nim:
DeleteQuarantine:Plik zapisz pod nazwą fixlist.txt i umieść obok FRST. Uruchom FRST i kliknij w Fix.
przez SHIFT+DEL usuń pozostały folder C:\FRST.
W Adw-Cleaner kliknij na przycisk Odinstaluj (UNINSTALL).
jessi
-
C:\Program Files (x86)\Common Files\fccb0821-00ee-466c-acb5-2a5cec258511\updater.exe
R2 Update Mgr WanderBurst; C:\Program Files (x86)\Common Files\fccb0821-00ee-466c-acb5-2a5cec258511\updater.exe [706272 2015-08-17] ()
to też należy do "WanderBurst"
-
Co do logów:
Otwórz Notatnik i wklej w nim:
C:\WINDOWS\65F1CF6331E0450B96F34A88BE7361A6.TMP
S3 vmci; \SystemRoot\System32\drivers\vmci.sys [X]
S3 VMnetAdapter; \SystemRoot\system32\DRIVERS\vmnetadapter.sys [X]
SearchScopes: HKU\S-1-5-21-3326815062-3995382162-3647125834-1002 -> {7EF9427A-40C8-4670-8F22-77B4A92B561F} URL =
Startup: C:\Users\Ikar\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\csrss.vbs [2015-08-16] ()
Startup: C:\Users\Ikar\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\svchost.exe [2015-08-16] (Microsoft)
C:\Users\Ikar\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\svchost.exe
C:\Users\Ikar\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\csrss.vbs
AppInit_DLLs-x32: C:\PROGRA~2\Amazon\AMAZON~1\AMAZON~3.DLL => "C:\PROGRA~2\Amazon\AMAZON~1\AMAZON~3.DLL" File not found
AppInit_DLLs: C:\PROGRA~2\Amazon\AMAZON~1\AMAZON~2.DLL => C:\PROGRA~2\Amazon\AMAZON~1\AMAZON~2.DLL File not found
HKU\S-1-5-21-3326815062-3995382162-3647125834-1002\...\Run: [csrss] => wscript.exe //B "C:\Users\Ikar\AppData\Local\Temp\csrss.vbs" <===== ATTENTION
HKU\S-1-5-21-3326815062-3995382162-3647125834-1002\...\Run: [2d059fe3b8bce1556560e5f5ca3462c4] => C:\Users\Ikar\AppData\Local\Temp\svchost.exe [183808 2015-08-17] ({达式达谢达信方自伙丢怎种种份么频的信延) <===== ATTENTION
HKLM-x32\...\Run: [2d059fe3b8bce1556560e5f5ca3462c4] => C:\Users\Ikar\AppData\Local\Temp\svchost.exe [183808 2015-08-17] ({达式达谢达信方自伙丢怎种种份么频的信延) <===== ATTENTION
HKLM-x32\...\Run: [] => [X]
EmptyTemp:
Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix.
Powstanie plik fixlog.txt.
Daj ten log.
Czy mialeś kiedyś jakiś program, którego nazwa zaczynała się od "Magic ..."?
jessi
-
@ref
Da się coś jeszcze zrobić?
nie wykonany punkt 3 moich zaleceń:
3) Zrób nowe logi FRST.jessi
-
W nowych logach nie widzę już obiektów BRONTOK'a.
Could not list Devices. Check "winmgmt" service or repair WMI.Nie jest to jasne dla mnie, bo zwykle taki komunikat pojawia się w związku z nie działającym "Przywracaniem Systemu", a tu w logu widać, że są punkty przywracania.
mpsdrv Service is not running.
MpsSvc Service is not running.wscsvc Service is not running.
wuauserv Service is not running.
WinDefend Service is not running.
Te usługi są wyłączone, ale nie są zniszczone.
BRONTOK raczej ich wszystkich nie wyłączył, zwykle wyłącza tylko jedną.
To do wyjaśnienia sprawy przez @Picasso.
Ok. 23 sierpnia wraca @Picasso, więc wtedy zgłoś swój temat w tym (lub podobnym, uaktualnionym) temacie: http://www.fixitpc.p...bez-odpowiedzi/
jessi
-
1) Otwórz Notatnik i wklej w nim:
C:\Users\Admin\AppData\Roaming\Microsoft\Office\Niedawny\14_POL.LNK
C:\Users\Admin\AppData\Roaming\Microsoft\Office\Niedawny\2 Stężenia(1).LNK
C:\Users\Admin\AppData\Roaming\Microsoft\Office\Niedawny\3 Roztwory wodne-2.LNK
C:\Users\Admin\AppData\Roaming\Microsoft\Office\Niedawny\5 Termochemia.LNK
C:\Users\Admin\AppData\Roaming\Microsoft\Office\Niedawny\6 Elektrochemia.LNK
C:\Users\Admin\AppData\Roaming\Microsoft\Office\Niedawny\ALGEBRA.LNK
C:\Users\Admin\AppData\Roaming\Microsoft\Office\Niedawny\Chemia 2.LNK
C:\Users\Admin\AppData\Roaming\Microsoft\Office\Niedawny\cwiczenie-8-BM.LNK
C:\Users\Admin\AppData\Roaming\Microsoft\Office\Niedawny\Instrukcje - Kompleksometria.LNK
C:\Users\Admin\AppData\Roaming\Microsoft\Office\Niedawny\Latwy sposob na rzucenie palenia.LNK
C:\Users\Admin\AppData\Roaming\Microsoft\Office\Niedawny\Nowy dokument sformatowany.LNK
C:\Users\Admin\AppData\Roaming\Microsoft\Office\Niedawny\Rar$DI00.032.LNK
C:\Users\Admin\AppData\Roaming\Microsoft\Office\Niedawny\Rar$DI00.861.LNK
C:\Users\Admin\AppData\Roaming\Microsoft\Office\Niedawny\Rar$DI75.794.LNK
C:\Users\Admin\AppData\Roaming\Microsoft\Office\Niedawny\sur.LNK
C:\Users\Admin\AppData\Roaming\Microsoft\Office\Niedawny\wyklad_15.LNK
Startup: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Rozmowa.lnk [2015-08-16]
ShortcutTarget: Rozmowa.lnk -> C:\Program Files (x86)\Wirtualna Polska\System syntezy mowy\rozmowy.exe ()
StandardProfile\AuthorizedApplications: [C:\Users\Admin\P-7-78-8964-9648-3874\windll.exe] =>
C:\Users\Admin\P-7-78-8964-9648-3874
EmptyTemp:Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix.
Powstanie plik fixlog.txt.
Daj ten log.2)
WinDefend Service is not running. Checking service configuration:
Checking Start type: ATTENTION!=====> Unable to open WinDefend registry key. The service key does not exist.
Checking ImagePath: ATTENTION!=====> Unable to open WinDefend registry key. The service key does not exist.
Checking ServiceDll: ATTENTION!=====> Unable to open WinDefend registry key. The service key does not exist.Pobierz >>ESET ServicesRepair
Kliknij prawym na pliku ServicesRepair i wybierz Uruchom jako administrator.3) Zrób nowy log FSS.
===================
po wklejeniu zadanej komendy do notatnika i użyciu FRST komputer dalej zawiesza się definitywnie po 3 minutach.Ok. 23 sierpnia wraca @Picasso, więc wtedy zgłoś swój temat w tym (lub podobnym, uaktualnionym) temacie: http://www.fixitpc.p...bez-odpowiedzi/
jessi
-
1) Jeszcze raz spróbuj odinstalować
istartsurf uninstall (HKLM-x32\...\istartsurf uninstall) (Version: - istartsurf) <==== ATTENTION
2) Użyj >Adw-cleaner
najpierw kliknij na SZUKAJ (SCAN), a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ (CLEANING), to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner\AdwCleaner.txt3) Otwórz Notatnik i wklej w nim:
Task: {140C76B2-27DE-484D-8663-4696B84774DF} - System32\Tasks\{7302D5D2-5A6D-4626-8DB9-D4E6DA020BD5} => pcalua.exe -a C:\Users\ww\audio\Audigy_SupportPack_4_5\setup.exe -d C:\Users\ww\audio\Audigy_SupportPack_4_5
Task: {9A204345-B267-4DC3-87B8-357A3CAE8238} - System32\Tasks\{052E3066-A1D6-409D-9936-4E773E3821C3} => pcalua.exe -a C:\Users\ww\AppData\Roaming\istartsurf\UninstallManager.exe -c -ptid=cor
Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
AlternateDataStreams: C:\Windows:s8vj4g0sk4d1
AlternateDataStreams: C:\Users\ww\Dane aplikacji:lv93ja32540f
AlternateDataStreams: C:\Users\ww\AppData\Roaming:lv93ja32540f
C:\ProgramData\flwjycbm.bab
C:\ProgramData\SWinManProS
C:\Users\ww\AppData\Roaming\istartsurf
S1 atitray; \??\C:\Program Files (x86)\Ray Adams\ATI Tray Tools\atitray64.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
R2 WindowsMangerProtect; C:\ProgramData\SWinManProS\ProtectWindowsManager.exe [708264 2015-08-16] (DTools LIMITED) <==== ATTENTION
S2 Net Driver HPZ12; C:\Windows\system32\HPZinw12.dll [X]
S2 Pml Driver HPZ12; C:\Windows\system32\HPZipm12.dll [X]
HKU\S-1-5-21-1394974778-1380221434-1069446208-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.istartsurf.com/?type=hp&ts=1439751121&z=b2daa060b435af10c13595dgdz6c6t1mbwag7e5ofm&from=cor&uid=ST3500418AS_9VM651YHXXXX9VM651YH
HKU\S-1-5-21-1394974778-1380221434-1069446208-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.istartsurf.com/?type=hp&ts=1439751121&z=b2daa060b435af10c13595dgdz6c6t1mbwag7e5ofm&from=cor&uid=ST3500418AS_9VM651YHXXXX9VM651YH
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1439751121&z=b2daa060b435af10c13595dgdz6c6t1mbwag7e5ofm&from=cor&uid=ST3500418AS_9VM651YHXXXX9VM651YH&q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1439751121&z=b2daa060b435af10c13595dgdz6c6t1mbwag7e5ofm&from=cor&uid=ST3500418AS_9VM651YHXXXX9VM651YH&q={searchTerms}
SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1439751121&z=b2daa060b435af10c13595dgdz6c6t1mbwag7e5ofm&from=cor&uid=ST3500418AS_9VM651YHXXXX9VM651YH&q={searchTerms}
SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1439751121&z=b2daa060b435af10c13595dgdz6c6t1mbwag7e5ofm&from=cor&uid=ST3500418AS_9VM651YHXXXX9VM651YH&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1394974778-1380221434-1069446208-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1439751121&z=b2daa060b435af10c13595dgdz6c6t1mbwag7e5ofm&from=cor&uid=ST3500418AS_9VM651YHXXXX9VM651YH&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1394974778-1380221434-1069446208-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1439751121&z=b2daa060b435af10c13595dgdz6c6t1mbwag7e5ofm&from=cor&uid=ST3500418AS_9VM651YHXXXX9VM651YH&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.istartsurf.com/?type=hp&ts=1439751121&z=b2daa060b435af10c13595dgdz6c6t1mbwag7e5ofm&from=cor&uid=ST3500418AS_9VM651YHXXXX9VM651YH
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.istartsurf.com/?type=hp&ts=1439751121&z=b2daa060b435af10c13595dgdz6c6t1mbwag7e5ofm&from=cor&uid=ST3500418AS_9VM651YHXXXX9VM651YH
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.istartsurf.com/?type=hp&ts=1439751121&z=b2daa060b435af10c13595dgdz6c6t1mbwag7e5ofm&from=cor&uid=ST3500418AS_9VM651YHXXXX9VM651YH
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.istartsurf.com/?type=hp&ts=1439751121&z=b2daa060b435af10c13595dgdz6c6t1mbwag7e5ofm&from=cor&uid=ST3500418AS_9VM651YHXXXX9VM651YH
GroupPolicyScripts: Group Policy detected <======= ATTENTION
EmptyTemp:
Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix.4) Napisz, czy problem znikł?
jessi
-
Nie widzę tu żadnej infekcji.
Otwórz Notatnik i wklej w nim:
2015-08-12 18:26 - 2015-08-12 18:26 - 00000000 ____D C:\Users\Public\Documents\Baidu Security
2015-08-12 17:36 - 2015-08-12 17:36 - 00000000 ____D C:\ProgramData\Baidu
2015-08-12 17:35 - 2015-08-12 17:35 - 00000000 ____D C:\Users\Public\Documents\Baidu
2015-08-12 17:35 - 2015-08-12 17:35 - 00000000 ____D C:\ProgramData\Baidu Security
2015-08-12 17:35 - 2015-08-12 17:35 - 00000000 ____D C:\Program Files (x86)\Baidu Security
U3 BcmSqlStartupSvc; no ImagePath
U2 CLKMSVC10_3A60B698; no ImagePath
U2 CLKMSVC10_C3B3B687; no ImagePath
U3 DfSdkS; no ImagePath
U2 DriverService; no ImagePath
U2 iATAgentService; no ImagePath
U2 idealife Update Service; no ImagePath
U3 IGRS; no ImagePath
U2 IviRegMgr; no ImagePath
U2 nvUpdatusService; no ImagePath
U2 Oasis2Service; no ImagePath
U2 PCCarerService; no ImagePath
U2 ReadyComm.DirectRouter; no ImagePath
U2 RichVideo; no ImagePath
U2 RtLedService; no ImagePath
U2 SeaPort; no ImagePath
U2 SoftwareService; no ImagePath
U3 SQLWriter; no ImagePath
U2 Stereo Service; no ImagePath
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Baidu PC Faster 4.0.0.0" /f
C:\Program Files (x86)\PC Faster
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OCCT\Ocbase.com.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OCCT\OCCT.lnk
EmptyTemp:
Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix.Ok. 23 sierpnia wraca @Picasso, więc wtedy zgłoś swój temat w tym (lub podobnym, uaktualnionym) temacie: http://www.fixitpc.p...bez-odpowiedzi/
jessi
-
Ok. 23 sierpnia wraca @Picasso, więc wtedy zgłoś swój temat w tym (lub podobnym, uaktualnionym) temacie: http://www.fixitpc.p...bez-odpowiedzi/
-
Nie widzę tu żadnej infekcji.
Date: 2015-08-15 23:28:34.346
Description: Code Integrity determined that a process (\Device\HarddiskVolume4\Windows\System32\services.exe) attempted to load \Device\HarddiskVolume4\Program Files\Windows Defender\NisSrv.exe that did not meet the Custom 3 / Antimalware signing level requirements.
Date: 2015-08-15 23:21:12.080
Description: Windows is unable to verify the image integrity of the file \Device\HarddiskVolume4\Program Files\Windows Defender\MsMpEng.exe because file hash could not be found on the system. A recent hardware or software change might have installed a file that is signed incorrectly or damaged, or that might be malicious software from an unknown source.Nie wiem, o co tu chodzi.
Ok. 23 sierpnia wraca @Picasso, więc wtedy zgłoś swój temat w tym (lub podobnym, uaktualnionym) temacie: http://www.fixitpc.p...bez-odpowiedzi/
Może w międzyczasie zrób log z Farbar Service Scanner >http://download.bleepingcomputer.com/farbar/FSS.exe (do skanowania zaznacz wszystko).
jessi
-
1) Otwórz Notatnik i wklej w nim:
CMD: netsh advfirewall reset
C:\Users\Mariusz\Music\Uruchom Wiedźmin 2.lnk
C:\Users\Mariusz\Links\FV 2013.lnk
C:\Users\Mariusz\Links\matin.lnk
C:\Users\Mariusz\Links\ts3.lnk
C:\Users\Mariusz\Desktop\Nieużywane\ (2).lnk
C:\Users\Mariusz\Desktop\Nieużywane\ (3).lnk
C:\Users\Mariusz\Desktop\Nieużywane\.lnk
C:\Users\Mariusz\Desktop\Nieużywane\Action!.lnk
C:\Users\Mariusz\Desktop\Nieużywane\Adobe Download Assistant.lnk
C:\Users\Mariusz\Desktop\Nieużywane\Adobe Reader 9.lnk
C:\Users\Mariusz\Desktop\Nieużywane\avast! Premier (2).lnk
C:\Users\Mariusz\Desktop\Nieużywane\avast! Premier.lnk
C:\Users\Mariusz\Desktop\Nieużywane\DAEMON Tools Lite.lnk
C:\Users\Mariusz\Desktop\Nieużywane\LogMeIn Hamachi.lnk
C:\Users\Mariusz\Desktop\Nieużywane\Mobogenie.lnk
C:\Users\Mariusz\Desktop\Nieużywane\µTorrent.lnk
C:\Users\Mariusz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Steam\Steam.lnk
C:\Users\Mariusz\Desktop\Nieużywane\Symulator Farmy 2011 .lnk
C:\Program Files (x86)\Mobogenie
Task: {523A0AA1-6A41-493A-AE4A-B25368078F45} - System32\Tasks\{71F51CE1-3FAD-4991-82E2-0F5FC01A1B99} => pcalua.exe -a "C:\Program Files\AVAST Software\Avast\aswRunDll.exe" -c "C:\Program Files\AVAST Software\Avast\Setup\setiface.dll" RunSetup
Task: {CC01BDE4-3D36-4BF7-945C-D96DD21125CE} - System32\Tasks\{F8AE7EB7-11AC-4B36-BCCA-219096F034A0} => pcalua.exe -a C:\Users\Mariusz\AppData\Roaming\.minecraft\Uninstall.exe
HKLM\...\Policies\Explorer: [TaskbarNoNotification] 1
HKLM\...\Policies\Explorer: [HideSCAHealth] 1
HKU\S-1-5-21-3923760505-3937785608-132173358-1000\...\Run: [AdobeBridge] => [X]
Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
BHO: No Name -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> No File
BHO: Java Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre6\bin\jp2ssv.dll No File
BHO-x32: Java Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll No File
Toolbar: HKLM - No Name - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File
Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - No File
Toolbar: HKU\S-1-5-21-3923760505-3937785608-132173358-1000 -> No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No File
S3 hdcorrer; \??\C:\Windows\system32\drivers\ngiodriver_x64 [X]
C:\Users\Mariusz\AppData\Local\Bron.tok.A9.em.bin
C:\Users\Mariusz\AppData\Local\Kosong.Bron.Tok.txt
C:\Users\Mariusz\AppData\Local\Update.9.Bron.Tok.bin
EmptyTemp:
Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix.
Powstanie plik fixlog.txt.
Daj ten log.2)
mpsdrv Firewall Service is not running.
MpsSvc Firewall Service is not running.Zrób log z Farbar Service Scanner >http://download.bleepingcomputer.com/farbar/FSS.exe (do skanowania zaznacz wszystko).
3) Zrób nowe logi FRST - już bez Shortcut.
jessi
-
Startup: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Rozmowa.lnk [2015-08-16]
ShortcutTarget: Rozmowa.lnk -> C:\Program Files (x86)\Wirtualna Polska\System syntezy mowy\rozmowy.exe ()
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Dtella.lnk [2015-08-16]
ShortcutTarget: Dtella.lnk -> C:\Program Files (x86)\Dtella@MS\dtella.exe ()
Znasz te powyższe?
Masz co najmniej dwie infekcje.
1) Otwórz Notatnik i wklej w nim:
Task: {C7A88731-DAAA-4DD7-B0D6-841A66AE34CC} - System32\Tasks\{E3864EE3-D8EF-47AD-ADC5-DD7AD7735A5E} => pcalua.exe -a D:\programy\daemontools406.exe -d D:\programyHKLM\...\Policies\Explorer\Run: [17471024] => C:\ProgramData\msmoori.exe [89477120 2010-11-21] (Bronto Software)
HKLM\...\Policies\Explorer: [TaskbarNoNotification] 1
HKLM\...\Policies\Explorer: [HideSCAHealth] 1
C:\ProgramData\msmoori.exe
S2 VSSS; C:\Users\Admin\AppData\Roaming\Microsoft\SystemCertificates\VSSVC.exe [103952704 2015-06-23] (Microsoft Corporation) [File not signed] <==== ATTENTION
C:\Users\Admin\AppData\Roaming\Microsoft\SystemCertificates\VSSVC.exe
EmptyTemp:
Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
2) Wejdź w Tryb Awaryjny (F8 przed startem Systemu).
3) Uruchom FRST i kliknij przycisk Fix.
Powstanie plik fixlog.txt.
Daj ten log.
4) Zrób nowe logi FRST.
5) Zrób log z Farbar Service Scanner >http://download.bleepingcomputer.com/farbar/FSS.exe (do skanowania zaznacz wszystko).
jessi
-
W logach nie widzę niczego podejrzanego.
Otwórz Notatnik i wklej w nim:
Task: {01C0C527-D3CE-42DD-8A2B-DE34B4254581} - System32\Tasks\{BEF4124F-6B55-4B50-A214-0E20B8586B0E} => pcalua.exe -a C:\AGENT.m6\unins000.exe
HKU\S-1-5-21-2554018869-3465991184-4273776038-1000\...\Run: [] => [X]
HKU\S-1-5-21-2554018869-3465991184-4273776038-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://search.us.com/?guid={562A15FD-E62D-4B82-84BA-3C6F9F84BA6E}
HKU\S-1-5-21-2554018869-3465991184-4273776038-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://search.us.com/?guid={562A15FD-E62D-4B82-84BA-3C6F9F84BA6E}
Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
SearchScopes: HKU\S-1-5-21-2554018869-3465991184-4273776038-1000 -> {804A6B79-F69E-4084-B60E-5834092BE6E5} URL = hxxp://search.us.com/serp?guid={562A15FD-E62D-4B82-84BA-3C6F9F84BA6E}&k={searchTerms}
SearchScopes: HKU\S-1-5-21-2554018869-3465991184-4273776038-1000 -> {B8930126-2BF5-456A-86CC-F2DF240307B5} URL = hxxp://search.yahoo.com/search?p={searchTerms}&fr=tightropetb&type=11433
Toolbar: HKU\S-1-5-21-2554018869-3465991184-4273776038-1000 -> No Name - {A13C2648-91D4-4BF3-BC6D-0079707C4389} - No File
FF Plugin HKU\S-1-5-21-2554018869-3465991184-4273776038-1000: LWAPlugin15.8 -> C:\Users\Adam\AppData\Roaming\Mozilla\Plugins\npLWAPlugin15.8.dll No File
FF Extension: Blur - C:\Users\Adam\AppData\Roaming\Mozilla\Firefox\Profiles\5rwq9ffk.default\Extensions\donottrackplus@abine.com.xpi [2015-07-14]
S4 DrWebEngine; C:\Program Files\Common Files\Doctor Web\Scanning Engine\dwengine.exe [2665008 2014-05-10] (Doctor Web, Ltd.)
C:\Program Files\Common Files\Doctor Web
S3 DFUBTUSB; System32\Drivers\frmupgr.sys [X]
S3 GDPkIcpt; \??\C:\Windows\system32\drivers\PktIcpt.sys [X]
EmptyTemp:
Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix.jessi
-
1) Otwórz Notatnik i wklej w nim:
Task: {002CF15D-DD0F-47F7-9926-F207192A1C84} - System32\Tasks\StPrsSW => C:\Users\Wioleta\AppData\Roaming\StPrsSW\stprss.exe
C:\Users\Wioleta\AppData\Roaming\StPrsSW
HKU\S-1-5-21-3281234712-2478978767-3473656501-1001\Software\Classes\.exe: exefile => <===== ATTENTION
HKU\S-1-5-21-3281234712-2478978767-3473656501-1001\Software\Classes\exefile: <===== ATTENTION
S0 is3srv; SySWOW64\drivers\is3srv64.sys [X]
S0 szkg5; SySWOW64\drivers\szkg64.sys [X]
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
CustomCLSID: HKU\S-1-5-21-3281234712-2478978767-3473656501-1001_Classes\CLSID\{0F22A205-CFB0-4679-8499-A6F44A80A208}\InprocServer32 -> C:\Users\Wioleta\AppData\Local\Google\Update\1.3.25.5\psuser_64.dll No File
CustomCLSID: HKU\S-1-5-21-3281234712-2478978767-3473656501-1001_Classes\CLSID\{1423F872-3F7F-4E57-B621-8B1A9D49B448}\InprocServer32 -> C:\Users\Wioleta\AppData\Local\Google\Update\1.3.27.5\psuser_64.dll No File
CustomCLSID: HKU\S-1-5-21-3281234712-2478978767-3473656501-1001_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> C:\Users\Wioleta\AppData\Local\Google\Update\1.3.23.9\psuser_64.dll No File
CustomCLSID: HKU\S-1-5-21-3281234712-2478978767-3473656501-1001_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\Wioleta\AppData\Local\Google\Update\1.3.24.15\psuser_64.dll No File
CustomCLSID: HKU\S-1-5-21-3281234712-2478978767-3473656501-1001_Classes\CLSID\{C3BC25C0-FCD3-4F01-AFDD-41373F017C9A}\InprocServer32 -> C:\Users\Wioleta\AppData\Local\Google\Update\1.3.26.9\psuser_64.dll No File
CustomCLSID: HKU\S-1-5-21-3281234712-2478978767-3473656501-1001_Classes\CLSID\{D0336C0B-7919-4C04-8CCE-2EBAE2ECE8C9}\InprocServer32 -> C:\Users\Wioleta\AppData\Local\Google\Update\1.3.25.11\psuser_64.dll No File
CustomCLSID: HKU\S-1-5-21-3281234712-2478978767-3473656501-1001_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\Wioleta\AppData\Local\Google\Update\1.3.24.7\psuser_64.dll No File
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKU\S-1-5-21-3281234712-2478978767-3473656501-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://search.yahoo.com/?fr=hp-ddc-bd&type=bl-bir-is__alt__ddc_dsssyc_bd_com
HKU\S-1-5-21-3281234712-2478978767-3473656501-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://search.yahoo.com/?fr=hp-ddc-bd&type=bl-bir-is__alt__ddc_dsssyc_bd_com
SearchScopes: HKU\S-1-5-21-3281234712-2478978767-3473656501-1001 -> DefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL =
FF NewTab: hxxp://search.yahoo.com/?fr=hp-ddc-bd-tab&type=bl-bfr-is__alt__ddc_dsssyctab_bd_com
FF SelectedSearchEngine: Yahoo Search!
FF Homepage: hxxp://search.yahoo.com/?fr=hp-ddc-bd&type=bl-bfr-is__alt__ddc_dsssyc_bd_com
FF Keyword.URL: hxxp://search.yahoo.com/yhs/search?hspart=ddc&hsimp=yhs-ddc_bd&type=bl-bfr-is__alt__ddc_dss_bd_com&p={searchTerms}
C:\Users\Wioleta\Downloads\yet_another_cleaner_sk_7449892.exe
C:\ProgramData\c716fd70-872c-4aaa-a07f-e248365d7f56
C:\ProgramData\MakeMarkerFile.exe
C:\Users\EasySurvey\EasySurvey.exe
EmptyTemp:Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix.
Powstanie plik fixlog.txt.
Daj ten log.2) Uruchom FRST.
W polu SEARCH wklej:Assist Point;
c716fd70-872c-4aaa-a07f-e248365d7f56kliknij na przycisk "Search Registry".
Raport z tego będzie tam, gdzie jest FRST.jessi
-
Nie widzę tu żadnej infekcji.
Kosmetyka:
Otwórz Notatnik i wklej w nim:
HKLM\...\Run: [KernelFaultCheck] => %systemroot%\system32\dumprep 0 -k
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.sweet-page.com/web/?type=ds&ts=1428575234&from=cor&uid=WDCXWD800BB-00JHC0_WD-WCAM9A04904249042&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.sweet-page.com/web/?type=ds&ts=1428575234&from=cor&uid=WDCXWD800BB-00JHC0_WD-WCAM9A04904249042&q={searchTerms}
Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
EmptyTemp:
Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix.
-----------------------------------
jessi
-
I jak, Opera znikła? Zrób nowe logi FRST
jessi -
Darmowy, można też pobrać z dobreprogramy .
I znów zainstalować sobie jakiegoś szkodliwego śmiecia? Przecież na vortalu DobreProgramy do każdego programu doklejają różne szkodliwe śmieci.Trzymać się z dala od tego vortalu!
---------------------------------------
Co do usunięcia OPERY:
Otwórz Notatnik i wklej w nim:
Task: {15D13CFE-BBDF-4D30-B085-3C0FA6A3BDE3} - System32\Tasks\Opera N Saturday => C:\Program Files (x86)\Opera\launcher.exe [2015-07-30] (Opera Software)
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Opera 31.0.1889.99" /f
C:\Program Files (x86)\Opera
Task: {711834FE-6D97-4370-A850-C1F87B5544AA} - System32\Tasks\Opera scheduled Autoupdate 1439548839 => C:\Program Files (x86)\Opera\launcher.exe [2015-07-30] (Opera Software)
Task: {E9A69610-B8B9-4414-9A71-3BCFE89B5DAC} - System32\Tasks\Opera N Sunday => C:\Program Files (x86)\Opera\launcher.exe [2015-07-30] (Opera Software)
C:\WINDOWS\System32\Tasks\Opera scheduled Autoupdate 1439548839
C:\WINDOWS\System32\Tasks\Opera N Sunday
C:\WINDOWS\System32\Tasks\Opera N Saturday
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk
C:\Users\Sylwik\AppData\Roaming\Shortcut
C:\Program Files (x86)\Opera
EmptyTemp:
Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix.
Powstanie plik fixlog.txt.
Daj ten log.
jessi
-
-
W logach nie ma niczego podejrzanego.
Kosmetyka:
Otwórz Notatnik i wklej w nim:
Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
S3 NwlnkFlt; system32\DRIVERS\nwlnkflt.sys [X]
S3 NwlnkFwd; system32\DRIVERS\nwlnkfwd.sys [X]
EmptyTemp:
Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix.Po pojawieniu się napisu Zapraszamy w Windows Vista mam z 2-3 minuty czarny ekran. Czy to wina czegoś zainstalowanego?Skoro to jest jeszcze przed pojawieniem się Pulpitu, to Programy nie mają z tym nic wspólnego.
jessi
-
Akamai Netsession Interface nie jest do niczego potrzebne, więc nawet nie próbuj tego instalować.
jessi
-
W takim razie możemy kończyć:
Otwórz Notatnik i wklej w nim:
DeleteQuarantine:
Plik zapisz pod nazwą fixlist.txt i umieść obok FRST. Uruchom FRST i kliknij w Fix.
przez SHIFT+DEL usuń pozostały folder C:\FRST.jessi
Zaśmiecenie systemu po aktualizacji KMPlayera
w Dział pomocy doraźnej
Opublikowano
Nie sądzę, by tak było
Otwórz Notatnik i wklej w nim:
Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix.
Powstanie plik fixlog.txt.
Daj ten log.
Zrób nowe logi FRST - już bez Shortcut.
jessi