jessica
-
Postów
4 099 -
Dołączył
-
Ostatnia wizyta
Odpowiedzi opublikowane przez jessica
-
-
Wykonałem. Na pendrivie wszystko działa. Co dalej?
W USBFix kliknij na przycisk VACCINATE - powstaną obiekty zaporowe "autorun.inf", by w przyszłości utrudniać takim infekcjom przedostawanie się z pendrive na komputer, i odwrotnie.
jessi
-
"System Volume Information" to folder Systemowy, do przechowywania kopii plików potrzebnych przy "Przywracaniu Systemu".
Na wszelki wypadek też przesuń ten folder poziom wyżej (choć nie bardzo wiem, po co ten folder na pendrive).
a folder "bez nazwy" przez SHIFT+DEL
jessi
-
nie został sformatowany. z mojego poziomu "widzę" katalog bez nazwy ale jak spr. tam jest zawartość - nie otwierałem tego pustego katalogu żeby nie infekować kompa
w tym folderze "bez nazwy" powinny się znajdować Twoje pliki, które zostały tam umieszczone właśnie przez infekcję.
Problem w tym, że nie widzę infekcji, ani na komputerze, ani na pendrive, (USBFix nie pokazał niczego na pendrive).
Wejdź do tego folderu "bez nazwy", i wyciągnij z niego swoje pliki na poziom wyżej.
napisz, co pozostało w tym folderze "bez nazwy"
jessi
-
niestety, @Picasso jest w dalszym ciągu niedyspopnowana.
Otwórz Notatnik i wklej w nim:
Task: {BEA67399-61D2-40F1-BBCB-FEE69C403C4E} - System32\Tasks\tet3008 => C:\PROGRA~2\FASTSE~1\tet3008.exe
Task: C:\Windows\Tasks\{6A128791-4857-4484-9BB2-71D4C1257200}.job => C:\ProgramData\ToolsUpdatePlatform\CallBackInstall.exe
C:\PROGRA~2\FASTSE~1
C:\ProgramData\ToolsUpdatePlatform
C:\Program Files (x86)\baidu
Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
S3 X6va022; \??\C:\Windows\SysWOW64\Drivers\X6va022 [X]
EmptyTemp:
Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix.
Powstanie plik fixlog.txt.
Daj ten log.
jessi
-
nadal występują próby przekierowania pod adres
Spróbuj przeinstalować przeglądarkę, na której to występuje.
Otwórz Notatnik i wklej w nim:
GroupPolicy: Group Policy on Chrome detected <======= ATTENTIONCHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
C:\ProgramData\.bf45c81f8dc8abfeecf09.dat
C:\ProgramData\.nvGL.dat
EmptyTemp:
Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix.
Powstanie plik fixlog.txt.
Daj ten log.
(*** suspicious ***) @ C:\PROGRA~3\ASGVIS\DONGLE~1\STARTV~1.EXE [2552](2015-07-20 10:25:01)Sprawdź ten plik na --> JOTTI/ albo na VIRUSTOTAL
jessi
-
CHR Extension: (No Name) - C:\Users\Marcin\AppData\Local\Google\Chrome\User Data\Default\Extensions\dpjamkmjmigaoobjbekmfgabipmfilij [2015-07-21]
a to rozszerzenie w Chrome ?
skąd się wzięło?
problem mam od dzisiaj. Dziwne, bo wczoraj nic takiego, co mogło zainstalować syf nie robiłem
-
To forum "świeci pustkami"
też tak uważam: to forum powoli ale nieubłaganie przechodzi do historii, lata świetności minęły bezpowrotnie i już nie wrócą.
-
Sądząc po logach, to z Google Chrome jest już OK.
Jeśli jednak uważasz, że dalej nie jest OK, to przeinstaluj Chrome.
Otwórz Notatnik i wklej w nim:
Task: {58A2F014-D7CE-4950-9338-961ADF02258E} - \LaunchPreSignup No Task File <==== ATTENTION
OPR StartupUrls: "hxxp://www.mystartsearch.com/?type=hp&ts=1429116215&from=wpc&uid=SamsungXSSDX840XEVOX120GB_S1D5NEBD814796X"
OPR Extension: (Sense) - C:\Users\Shahkulu\AppData\Roaming\Opera Software\Opera Stable\Extensions\jhapbopfchfogphiimjbhodmgnppoigk [2014-08-25]
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
BHO: RanndomuPReice -> {060CC841-173E-4D6C-B393-2D55A4B89665} -> No File
BHO: FunDEoals -> {86c428a0-06a5-414e-acc2-9511e70f9af8} -> No File
BHO: GreuatSoave4uU -> {91B8A7B4-1E10-47C9-967C-BEB6D7A3EE87} -> No File
BHO: RegularDeauls -> {a2b60426-e6d9-42c4-9813-bd2db64ba0b0} -> No File
BHO: DiscounntExtensia -> {AD1D4ED0-4EBD-4571-9A0D-ADEB4CDA934B} -> No File
BHO: NaetoCOuupoin -> {C91CDE49-939B-4899-B5DE-CED11A21C257} -> No File
BHO: DiscountExteNsi -> {F0A56771-D437-4BD3-9A5B-84C57F20B70C} -> No File
FF Plugin HKU\S-1-5-21-1627610808-317510186-2805469361-1001: @lightspark.github.com/Lightspark;version=1 -> C:\Program Files (x86)\Lightspark 0.5.3-git\nplightsparkplugin.dll No File
FF Extension: DiscouuntEExtensoii - C:\Users\Shahkulu\AppData\Roaming\Mozilla\Firefox\Profiles\ycv5zv5h.default\Extensions\cs@ZKjKGRv.com [2015-06-24]
C:\Users\Shahkulu\Downloads\SpyHunter-Installer.exe
C:\Users\Shahkulu\Downloads\yet_another_cleaner_sk_7462226.exe
2015-06-24 16:16 - 2015-06-24 17:45 - 00000000 ____D C:\ProgramData\372be72000003b6f
2015-06-24 13:04 - 2015-06-25 15:16 - 00000000 ____D C:\Program Files (x86)\DiscouuntEExtensoii
2015-06-24 13:04 - 2015-06-25 15:16 - 00000000 ____D C:\Program Files (x86)\Assistantto Scheduling Assistant
2015-06-24 13:04 - 2015-06-25 14:02 - 00000000 ____D C:\Program Files (x86)\DiscounntExtensia
2015-06-24 13:03 - 2015-06-25 15:16 - 00000000 ____D C:\Program Files (x86)\DiscountExteNsi
2015-06-25 16:34 - 2015-06-01 19:51 - 00000000 ____D C:\ProgramData\boost_interprocess
2015-06-25 14:02 - 2015-06-11 20:31 - 00000000 ____D C:\Program Files (x86)\GreuatSoave4uU
2015-06-25 14:02 - 2015-05-15 19:30 - 00000000 ____D C:\Program Files (x86)\NaetoCOuupoin
2015-06-25 14:02 - 2015-05-15 19:29 - 00000000 ____D C:\Program Files (x86)\RanndomuPReice
2015-06-25 14:02 - 2015-04-27 10:45 - 00000000 ____D C:\Program Files (x86)\RegularDeauls
2015-06-25 14:02 - 2015-04-27 10:45 - 00000000 ____D C:\Program Files (x86)\FunDEoals
EmptyTemp:
Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix.
Powstanie plik fixlog.txt.
Daj ten log.Zrób nowe logi.
jessi
-
W załączeniu LOG
czyżby "G" został już sformatowany i nic na nim nie ma?
jessi
-
hciałam spytać tylko czy mam wykonać ten skrypt, który podałaś mi w pierwszym poście?
wg mnie - możesz wykonać ten mój skrypt
tyle tylko, że w takim przypadku trzeba będzie potem zrobić nowe logi FRST, by @Picasso miała aktualne
jessi
-
Otwórz Notatnik i wklej w nim:
HKLM-x32\...\Run: [CMD] => cmd.exe /c start http://zivlingamer.org&& exit
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "mobilegeni daemon" /f
Reg: reg delete HKU\S-1-5-21-2817337505-1868514402-3568713921-1002\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /vNextLive /f
Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
HKLM-x32\...\Run: [LManager] => [X]
HKU\S-1-5-21-2817337505-1868514402-3568713921-1002\...\Run: [Akamai NetSession Interface] => "C:\Users\OEM\AppData\Local\Akamai\netsession_win.exe"
C:\Users\OEM\AppData\Local\Akamai\netsession_win.exe
IFEO\adwcleaner_4.204.exe: [Debugger] svchost.exe
IFEO\AnVir.exe: [Debugger] svchost.exe
IFEO\AutoLogger.exe: [Debugger] svchost.exe
IFEO\avz.exe: [Debugger] svchost.exe
IFEO\CCleaner.exe: [Debugger] svchost.exe
IFEO\CCleaner64.exe: [Debugger] svchost.exe
IFEO\FRST.exe: [Debugger] svchost.exe
IFEO\FRST64.exe: [Debugger] svchost.exe
IFEO\HiJackThis.exe: [Debugger] svchost.exe
IFEO\regedit.exe: [Debugger] svchost.exe
IFEO\RegWorks.exe: [Debugger] svchost.exe
IFEO\RSIT.exe: [Debugger] svchost.exe
IFEO\RSITx64.exe: [Debugger] svchost.exe
C:\WINDOWS\Minidump\*.dmp
C:\Users\OEM\AppData\Roaming\b6205f20.dat
CustomCLSID: HKU\S-1-5-21-2817337505-1868514402-3568713921-1002_Classes\CLSID\{6A221957-2D85-42A7-8E19-BE33950D1DEB}\localserver32 -> D:\AUTOCAD14\AutoCAD 2014\acad.exe No File
CustomCLSID: HKU\S-1-5-21-2817337505-1868514402-3568713921-1002_Classes\CLSID\{7DE1BE5C-CEBA-4F1D-ACBC-9CE11EE9A2A1}\localserver32 -> D:\AUTOCAD14\AutoCAD 2014\acad.exe /Automation No File
CustomCLSID: HKU\S-1-5-21-2817337505-1868514402-3568713921-1002_Classes\CLSID\{BD0DEB94-63DB-4392-9420-6EEE05094B1F}\localserver32 -> D:\AUTOCAD14\AutoCAD 2014\acad.exe /Automation No File
Task: {17413630-87A8-4E84-80EC-15AEC88580E5} - System32\Tasks\{9690880B-A15B-400E-8CBE-368E89D53E24} => pcalua.exe -a I:\Launch.exe -d I:\
Task: {2A72E292-A4D9-4644-842E-21F60CF0EEDF} - System32\Tasks\Origin => C:\Users\OEM\AppData\Roaming\Origin\update.vbe <==== ATTENTION
C:\Users\OEM\AppData\Roaming\Origin\update.vbe
Task: {2E99D693-E2F9-48DB-B98E-5817D7D1BF7E} - System32\Tasks\{0B2401C6-6370-4BD0-B997-3F76EFCB25C0} => pcalua.exe -a H:\MafiaSetup.exe -d H:\
Task: {477E8250-9A3B-4BA7-80B5-46CD87FF7B4B} - System32\Tasks\{11139A47-6622-4D38-9FB5-0BD4C8F4BEF6} => pcalua.exe -a H:\MafiaGame\MafiaSetup.exe -d H:\MafiaGame
Task: {7660EEEE-09C3-41E7-8311-E03030107A51} - System32\Tasks\{CAF5CF4D-E6F8-4C34-BB75-98874D6592ED} => pcalua.exe -a "C:\Program Files (x86)\FK_Monitor\service.exe" -c /U
EmptyTemp:
Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix.
Powstanie plik fixlog.txt.
Daj ten log.
Zrób nowe logi.
Potem pozostanie czekanie na @Picasso (nie wiem, kiedy będzie w stanie pomagać na forum)
jessi
-
Zrób jeszcze log z USBFix https://www.fixitpc.pl/topic/8-dezynfekcja-zbi%C3%B3r-narz%C4%99dzi-usuwaj%C4%85cych/?do=findComment&comment=74
z opcji LISTING
jessi
-
Log FRST.txt - jest tylko jego końcówka.
Uzupełnij to.
Potem pozostanie czekanie na @Picasso (nie wiem, kiedy będzie w stanie pomagać)
jessi
-
Tcpip\..\Interfaces\{5F353FB7-2B12-4087-ADFF-36E25A752653}: [DhcpNameServer] 7.254.254.254
to z USA, a nie z Polski.
Jeśli używasz routera, to:
Zaloguj się do routera:
- Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4
- Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami:
http://multimo.telestrada.pl/uwaga1
Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie:
http://cert.orange.pl/modemscan/
Otwórz Notatnik i wklej w nim:
HKLM-x32\...\Run: [gmsd_pl_005010002] => [X]HKU\S-1-5-21-624697613-4269924856-1014094728-500\...\Run: [jfsshycgik] => cmd /c start http://rfusa.ru/?utm_source=uoua03&utm_content=bc8c20c055e60f43206a2c5bec47b7c2
HKU\S-1-5-21-624697613-4269924856-1014094728-500\...\Run: [Akamai NetSession Interface] => "C:\Users\Administrator\AppData\Local\Akamai\netsession_win.exe"
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
BHO-x32: GoodTab Class -> {1F91A9A1-01BA-4c81-863D-3BA0751E1419} -> C:\Program Files (x86)\MiuiTab\SupTab.dll No File
C:\Program Files (x86)\MiuiTab
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
C:\Users\Administrator\AppData\Local\nsh7921.tmp
C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Amigo.lnk
C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Star Conflict\ Star Conflict Forum.lnk
C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Star Conflict\ Star Conflict Launcher.lnk
C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Star Conflict\ Star Conflict Website.lnk
C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Star Conflict\ Uninstall game.lnk
Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
EmptyTemp:
Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix.
Powstanie plik fixlog.txt.
Daj ten log.
JESSI
-
Otwórz Notatnik i wklej w nim:
CustomCLSID: HKU\S-1-5-21-1400040647-3413486666-1744970339-1000_Classes\CLSID\{F6BF8414-962C-40FE-90F1-B80A7E72DB9A}\InprocServer32 -> C:\ProgramData\{9A88E103-A20A-4EA5-8636-C73B709A5BF8}\wpccpl.dll (ropoatfrcortoinsoC Mi) <==== ATTENTION
C:\ProgramData\{9A88E103-A20A-4EA5-8636-C73B709A5BF8}
Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AMCap.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\XviD\Uninstall.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Skype\Skype.lnk
C:\Users\Spider\Desktop\Programy\adwcleaner_3.311 — skrót.lnk
C:\Users\Spider\Desktop\Programy\Dialang.lnk
C:\Users\Spider\Desktop\Programy\e-Deklaracje RZĄD 2013.lnk
C:\Users\Spider\Desktop\Programy\e-pity.lnk
C:\Users\Spider\Desktop\Programy\everest — skrót.lnk
C:\Users\Spider\Desktop\Programy\fillUp Przyjazne formularze.lnk
C:\Users\Spider\Desktop\Programy\FL Studio 10.lnk
C:\Users\Spider\Desktop\Programy\Gadwin PrintScreen.lnk
C:\Users\Spider\Desktop\Programy\GearBox.lnk
C:\Users\Spider\Desktop\Programy\Governor of Poker 2 .lnk
C:\Users\Spider\Desktop\Programy\HD Tune Pro.lnk
C:\Users\Spider\Desktop\Programy\ImgBurn.lnk
C:\Users\Spider\Desktop\Programy\Last.fm.lnk
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKU\S-1-5-21-1400040647-3413486666-1744970339-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
StartMenuInternet: (HKLM) Opera - C:\Program Files (x86)\Opera\Opera.exe http://www.istartsurf.com/?type=sc&ts=1412530661&from=smt&uid=SAMSUNGXHD203WI_S1UYJDWZ717316
3 COMMONFX.DLL; system32\COMMONFX.DLL [X]
S3 CT20XUT.DLL; system32\CT20XUT.DLL [X]
S3 CTAUDFX.DLL; system32\CTAUDFX.DLL [X]
S3 CTEAPSFX.DLL; system32\CTEAPSFX.DLL [X]
S3 CTEDSPFX.DLL; system32\CTEDSPFX.DLL [X]
S3 CTEDSPIO.DLL; system32\CTEDSPIO.DLL [X]
S3 CTEDSPSY.DLL; system32\CTEDSPSY.DLL [X]
S3 CTERFXFX.DLL; system32\CTERFXFX.DLL [X]
S3 CTEXFIFX.DLL; system32\CTEXFIFX.DLL [X]
S3 CTHWIUT.DLL; system32\CTHWIUT.DLL [X]
S3 CTSBLFX.DLL; system32\CTSBLFX.DLL [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
EmptyTemp:Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix.
Powstanie plik fixlog.txt.
Daj ten log.Zrób nowe logi
EDIT:
temat już chyba nieaktualny - pomoc na innym forum?
jessi
-
Otwórz Notatnik i wklej w nim:
FF Extension: Sale Clipper - C:\Users\Kuba\AppData\Roaming\Mozilla\Firefox\Profiles\g623qy4q.default\Extensions\{554a5089-0529-4705-b0f5-10754c41df99}.xpi [2015-07-21]
Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
FF DefaultSearchEngine: webssearches
FF SelectedSearchEngine: webssearches
FF SearchPlugin: C:\Users\Kuba\AppData\Roaming\Mozilla\Firefox\Profiles\g623qy4q.default\searchplugins\webssearches.xml [2015-07-22]
FF Extension: Default SearchProtected - C:\Users\Kuba\AppData\Roaming\Mozilla\Firefox\Profiles\g623qy4q.default\Extensions\defsearchp@gmail.com [2015-07-22]
EmptyTemp:
Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix.
Powstanie plik fixlog.txt.
Daj ten log.Zrób nowy log z FRST - już bez Shortcut i bez Additional.
jessi
-
1) Odinstaluj ten Filter Results
2) Użyj AdwCleaner. Najpierw kliknij na SZUKAJ (SCAN), a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ (CLEANING), to kliknij na niego. Pokaż raport z niego C:\AdwCleaner\AdwCleaner*.txt
3) Otwórz Notatnik i wklej w nim:
Task: {12190775-F808-4BCF-97E4-80FD0CCB6142} - System32\Tasks\{82755EDF-06E7-4E0B-BA3A-3C4747A74AB1} => pcalua.exe -a "D:\Program Files (x86)\Origin Games\Battlefield 4\pbsetup\pbsetup.exe" -d "d:\Program Files (x86)\Origin Games\Battlefield 4\pbsetup\"
Task: {46E92FCE-3AD4-489E-AC9B-910EE04246AF} - System32\Tasks\{137ED739-9843-4330-91EB-E967832C2F5C} => pcalua.exe -a "D:\Program Files (x86)\Origin Games\Battlefield 3\pbsetup\pbsetup.exe" -d "d:\Program Files (x86)\Origin Games\Battlefield 3\pbsetup\"
Task: {696A5BD8-981C-430C-AE54-0EE8099A00A3} - System32\Tasks\{DF5ADF64-D091-465B-AA36-D7B72AC621F8} => pcalua.exe -a "G:\Pobrane Opera\pbsetup\pbsetup\pbsetup.exe" -d "g:\Pobrane Opera\pbsetup\pbsetup\"
C:\Program Files (x86)\Common Files\f08cac26-e74f-49b4-9ff1-f081aa55e1b3\updater.exe
C:\ProgramData\f08cac26-e74f-49b4-9ff1-f081aa55e1b3
Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
BHO-x32: Filter Results -> {dd4c66b8-f943-4b10-8053-7e9ee39bba4a} -> C:\Program Files (x86)\Filter Results\Extensions\dd4c66b8-f943-4b10-8053-7e9ee39bba4a.dll [2015-07-12] ()
C:\Program Files (x86)\Filter Results
CHR Extension: (Filter Results) - C:\Users\Piotr\AppData\Local\Google\Chrome\User Data\Default\Extensions\hkkdkembhhmcflpmfcdjlkfkjahklkag [2015-07-12]
OPR Extension: (Filter Results) - C:\Users\Piotr\AppData\Roaming\Opera Software\Opera Stable\Extensions\hkkdkembhhmcflpmfcdjlkfkjahklkag [2015-07-12]
R2 Service Mgr FilterResults; C:\ProgramData\f08cac26-e74f-49b4-9ff1-f081aa55e1b3\plugincontainer.exe [653032 2015-07-12] ()
R2 Update Mgr FilterResults; C:\Program Files (x86)\Common Files\f08cac26-e74f-49b4-9ff1-f081aa55e1b3\updater.exe [569576 2015-07-12] ()
S3 ALSysIO; \??\C:\Users\Piotr\AppData\Local\Temp\ALSysIO64.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
EmptyTemp:
Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix.
Powstanie plik fixlog.txt.
Daj ten log.
4) Zrób nowe logi frst.
jessi
-
W logach FRST nie widzę żadnej infekcji, więc musisz czekać, aż @Picasso wyzdrowieje.
Kosmetyka:
Otwórz Notatnik i wklej w nim:
Task: {2AD81D26-C58C-484B-82FF-E09BDFBF4BDC} - System32\Tasks\{404F7832-E3B9-42F0-B0F0-A666210EE825} => pcalua.exe -a G:\Setup.exe -d G:\
EmptyTemp:
Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix.
jessi
-
Usunąłem , ale tak czytam i widzę że synth3dvsc.sys jest wykorzystywany jako jakieś jądro sterownika grafiki czy coś. Mogłaby wyjaśnić co dokładnie zrobiłaś (zrobiłem) usuwając te pliki.
Sam popatrz do fixloga: oprócz "boost interproces" nie był usuwany żaden plik.
Synth3dVsc => Service removed successfullyta usługa była i tak już bezplikowa, a więc bezużyteczna.
W logu FRST miała 2 oznaczenia:
S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X]
S = NIECZYNNA
X = bezplikowa
jessi
-
FRST:
Otwórz Notatnik i wklej w nim:
DeleteQuarantine:Plik zapisz pod nazwą fixlist.txt i umieść obok FRST. Uruchom FRST i kliknij w Fix.
przez SHIFT+DEL usuń pozostały folder C:\FRST.
GMER - chyba ręcznie (dawno tego nie używałam)
ComboFix:
>START >>> URUCHOM >>> wklej i wywołaj polecenie "C:\Users\euro\Desktop\ComboFix.exe" /uninstall
jessi
-
W logu GMER nie widzę rootkita.
Ale jest bardzo dużo odniesień do procesu "ntdll.dll".
Włącz swój Antywirus i przeskanuj System.
jessi
-
to ma tylko usunąć jednego śmiecia, poza tym tylko kosmetyka.
jessi
-
Otwórz Notatnik i wklej w nim:
C:\Users\euro\Desktop\Nowy folder (2)\Picexa.lnk
C:\Users\euro\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Picexa.lnk
OPR Extension: (Dynamo Combo) - C:\Users\euro\AppData\Roaming\Opera Software\Opera Stable\Extensions\cgohmfhlbipbcmmpdonacmkpibfghppn [2015-05-20]
EmptyTemp:
Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix.Poczekamy na log GMER
jessi
-
W logach nie widzę żadnej infekcji.
Otwórz Notatnik i wklej w nim:
C:\ProgramData\boost_interprocess
S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X]
S3 tsusbhub; system32\drivers\tsusbhub.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
EmptyTemp:
Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix.W tej sytuacji musisz czekać, aż @Picasso wyzdrowieje.
jessi
Wirus tworzy skrót na pendrivie zamiast plików
w Dział pomocy doraźnej
Opublikowano
W USBFix kliknij na przycisk UNINSTALL.
Nic tu więcej nie było usuwane, więc FRST na razie może zostać - może @Picasso jeszcze zaleci jakieś kosmetyczne usuwanie.
jessi