jessica

Wykonane. Co dalej?

W USBFix kliknij na przycisk UNINSTALL.

Nic tu więcej nie było usuwane, więc FRST na razie może zostać - może @Picasso jeszcze zaleci jakieś kosmetyczne usuwanie.

jessi

Wykonałem. Na pendrivie wszystko działa. Co dalej?

W USBFix kliknij na przycisk VACCINATE - powstaną obiekty zaporowe "autorun.inf", by w przyszłości utrudniać takim infekcjom przedostawanie się z pendrive na komputer, i odwrotnie.

jessi

"System Volume Information" to folder Systemowy, do przechowywania kopii plików potrzebnych przy "Przywracaniu Systemu".

Na wszelki wypadek też przesuń ten folder poziom wyżej (choć nie bardzo wiem, po co ten folder na pendrive).

 a folder "bez nazwy" przez SHIFT+DEL

jessi
 

nie został sformatowany. z mojego poziomu "widzę" katalog bez nazwy ale jak spr. tam jest zawartość - nie otwierałem tego pustego katalogu żeby nie infekować kompa

w tym folderze "bez nazwy" powinny się znajdować Twoje pliki, które zostały tam umieszczone właśnie przez infekcję.

Problem w tym, że nie widzę infekcji, ani na komputerze, ani na pendrive, (USBFix nie pokazał niczego na pendrive).

Wejdź do tego folderu "bez nazwy", i wyciągnij z niego swoje pliki na poziom wyżej.

napisz, co pozostało w tym folderze "bez nazwy"

jessi

niestety, @Picasso jest w dalszym ciągu niedyspopnowana.

Otwórz Notatnik i wklej w nim:

Task: {BEA67399-61D2-40F1-BBCB-FEE69C403C4E} - System32\Tasks\tet3008 => C:\PROGRA~2\FASTSE~1\tet3008.exe

Task: C:\Windows\Tasks\{6A128791-4857-4484-9BB2-71D4C1257200}.job => C:\ProgramData\ToolsUpdatePlatform\CallBackInstall.exe

C:\PROGRA~2\FASTSE~1

C:\ProgramData\ToolsUpdatePlatform

C:\Program Files (x86)\baidu

Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes" /f

Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f

Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f

S3 VGPU; System32\drivers\rdvgkmd.sys [X]

S3 X6va022; \??\C:\Windows\SysWOW64\Drivers\X6va022 [X]

EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe

Uruchom FRST i kliknij przycisk Fix.

Powstanie plik fixlog.txt.

Daj ten log.

jessi

nadal występują próby przekierowania pod adres

Spróbuj przeinstalować przeglądarkę, na której to występuje.

Otwórz Notatnik i wklej w nim:

GroupPolicy: Group Policy on Chrome detected <======= ATTENTION

CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION

C:\ProgramData\.bf45c81f8dc8abfeecf09.dat

C:\ProgramData\.nvGL.dat

EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe

Uruchom FRST i kliknij przycisk Fix.

Powstanie plik fixlog.txt.

Daj ten log.

(*** suspicious ***) @ C:\PROGRA~3\ASGVIS\DONGLE~1\STARTV~1.EXE [2552](2015-07-20 10:25:01) 

Sprawdź ten plik na --> JOTTI/ albo na VIRUSTOTAL

jessi

CHR Extension: (No Name) - C:\Users\Marcin\AppData\Local\Google\Chrome\User Data\Default\Extensions\dpjamkmjmigaoobjbekmfgabipmfilij [2015-07-21]

 

a to rozszerzenie w Chrome ?

skąd się wzięło?

problem mam od dzisiaj. Dziwne, bo wczoraj nic takiego, co mogło zainstalować syf nie robiłem

 

 

To forum "świeci pustkami"

też tak uważam: to forum powoli ale nieubłaganie przechodzi do historii, lata świetności minęły bezpowrotnie i już nie wrócą.

Sądząc po logach, to z Google Chrome jest już OK.

Jeśli jednak uważasz, że dalej nie jest OK, to przeinstaluj Chrome.

Otwórz Notatnik i wklej w nim:

Task: {58A2F014-D7CE-4950-9338-961ADF02258E} - \LaunchPreSignup No Task File <==== ATTENTION
OPR StartupUrls: "hxxp://www.mystartsearch.com/?type=hp&ts=1429116215&from=wpc&uid=SamsungXSSDX840XEVOX120GB_S1D5NEBD814796X"
OPR Extension: (Sense) - C:\Users\Shahkulu\AppData\Roaming\Opera Software\Opera Stable\Extensions\jhapbopfchfogphiimjbhodmgnppoigk [2014-08-25]
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
BHO: RanndomuPReice -> {060CC841-173E-4D6C-B393-2D55A4B89665} ->  No File
BHO: FunDEoals -> {86c428a0-06a5-414e-acc2-9511e70f9af8} ->  No File
BHO: GreuatSoave4uU -> {91B8A7B4-1E10-47C9-967C-BEB6D7A3EE87} ->  No File
BHO: RegularDeauls -> {a2b60426-e6d9-42c4-9813-bd2db64ba0b0} ->  No File
BHO: DiscounntExtensia -> {AD1D4ED0-4EBD-4571-9A0D-ADEB4CDA934B} ->  No File
BHO: NaetoCOuupoin -> {C91CDE49-939B-4899-B5DE-CED11A21C257} ->  No File
BHO: DiscountExteNsi -> {F0A56771-D437-4BD3-9A5B-84C57F20B70C} ->  No File
FF Plugin HKU\S-1-5-21-1627610808-317510186-2805469361-1001: @lightspark.github.com/Lightspark;version=1 -> C:\Program Files (x86)\Lightspark 0.5.3-git\nplightsparkplugin.dll No File
FF Extension: DiscouuntEExtensoii - C:\Users\Shahkulu\AppData\Roaming\Mozilla\Firefox\Profiles\ycv5zv5h.default\Extensions\cs@ZKjKGRv.com [2015-06-24]
C:\Users\Shahkulu\Downloads\SpyHunter-Installer.exe
C:\Users\Shahkulu\Downloads\yet_another_cleaner_sk_7462226.exe
2015-06-24 16:16 - 2015-06-24 17:45 - 00000000 ____D C:\ProgramData\372be72000003b6f
2015-06-24 13:04 - 2015-06-25 15:16 - 00000000 ____D C:\Program Files (x86)\DiscouuntEExtensoii
2015-06-24 13:04 - 2015-06-25 15:16 - 00000000 ____D C:\Program Files (x86)\Assistantto Scheduling Assistant
2015-06-24 13:04 - 2015-06-25 14:02 - 00000000 ____D C:\Program Files (x86)\DiscounntExtensia
2015-06-24 13:03 - 2015-06-25 15:16 - 00000000 ____D C:\Program Files (x86)\DiscountExteNsi
2015-06-25 16:34 - 2015-06-01 19:51 - 00000000 ____D C:\ProgramData\boost_interprocess
2015-06-25 14:02 - 2015-06-11 20:31 - 00000000 ____D C:\Program Files (x86)\GreuatSoave4uU
2015-06-25 14:02 - 2015-05-15 19:30 - 00000000 ____D C:\Program Files (x86)\NaetoCOuupoin
2015-06-25 14:02 - 2015-05-15 19:29 - 00000000 ____D C:\Program Files (x86)\RanndomuPReice
2015-06-25 14:02 - 2015-04-27 10:45 - 00000000 ____D C:\Program Files (x86)\RegularDeauls
2015-06-25 14:02 - 2015-04-27 10:45 - 00000000 ____D C:\Program Files (x86)\FunDEoals
EmptyTemp:

Zrób nowe logi.

jessi

W załączeniu LOG

czyżby "G" został już sformatowany i nic na nim nie ma?

jessi

hciałam spytać tylko czy mam wykonać ten skrypt, który podałaś mi w pierwszym poście?

wg mnie - możesz wykonać ten mój skrypt

tyle tylko, że w takim przypadku trzeba będzie potem zrobić nowe logi FRST, by @Picasso miała aktualne

jessi

Otwórz Notatnik i wklej w nim:

HKLM-x32\...\Run: [CMD] => cmd.exe /c start http://zivlingamer.org&& exit
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "mobilegeni daemon" /f
Reg: reg delete HKU\S-1-5-21-2817337505-1868514402-3568713921-1002\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /vNextLive /f
Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
HKLM-x32\...\Run: [LManager] => [X]
HKU\S-1-5-21-2817337505-1868514402-3568713921-1002\...\Run: [Akamai NetSession Interface] => "C:\Users\OEM\AppData\Local\Akamai\netsession_win.exe"
C:\Users\OEM\AppData\Local\Akamai\netsession_win.exe
IFEO\adwcleaner_4.204.exe: [Debugger] svchost.exe
IFEO\AnVir.exe: [Debugger] svchost.exe
IFEO\AutoLogger.exe: [Debugger] svchost.exe
IFEO\avz.exe: [Debugger] svchost.exe
IFEO\CCleaner.exe: [Debugger] svchost.exe
IFEO\CCleaner64.exe: [Debugger] svchost.exe
IFEO\FRST.exe: [Debugger] svchost.exe
IFEO\FRST64.exe: [Debugger] svchost.exe
IFEO\HiJackThis.exe: [Debugger] svchost.exe
IFEO\regedit.exe: [Debugger] svchost.exe
IFEO\RegWorks.exe: [Debugger] svchost.exe
IFEO\RSIT.exe: [Debugger] svchost.exe
IFEO\RSITx64.exe: [Debugger] svchost.exe
C:\WINDOWS\Minidump\*.dmp
C:\Users\OEM\AppData\Roaming\b6205f20.dat
CustomCLSID: HKU\S-1-5-21-2817337505-1868514402-3568713921-1002_Classes\CLSID\{6A221957-2D85-42A7-8E19-BE33950D1DEB}\localserver32 -> D:\AUTOCAD14\AutoCAD 2014\acad.exe No File
CustomCLSID: HKU\S-1-5-21-2817337505-1868514402-3568713921-1002_Classes\CLSID\{7DE1BE5C-CEBA-4F1D-ACBC-9CE11EE9A2A1}\localserver32 -> D:\AUTOCAD14\AutoCAD 2014\acad.exe /Automation No File
CustomCLSID: HKU\S-1-5-21-2817337505-1868514402-3568713921-1002_Classes\CLSID\{BD0DEB94-63DB-4392-9420-6EEE05094B1F}\localserver32 -> D:\AUTOCAD14\AutoCAD 2014\acad.exe /Automation No File
Task: {17413630-87A8-4E84-80EC-15AEC88580E5} - System32\Tasks\{9690880B-A15B-400E-8CBE-368E89D53E24} => pcalua.exe -a I:\Launch.exe -d I:\
Task: {2A72E292-A4D9-4644-842E-21F60CF0EEDF} - System32\Tasks\Origin => C:\Users\OEM\AppData\Roaming\Origin\update.vbe <==== ATTENTION
C:\Users\OEM\AppData\Roaming\Origin\update.vbe
Task: {2E99D693-E2F9-48DB-B98E-5817D7D1BF7E} - System32\Tasks\{0B2401C6-6370-4BD0-B997-3F76EFCB25C0} => pcalua.exe -a H:\MafiaSetup.exe -d H:\
Task: {477E8250-9A3B-4BA7-80B5-46CD87FF7B4B} - System32\Tasks\{11139A47-6622-4D38-9FB5-0BD4C8F4BEF6} => pcalua.exe -a H:\MafiaGame\MafiaSetup.exe -d H:\MafiaGame
Task: {7660EEEE-09C3-41E7-8311-E03030107A51} - System32\Tasks\{CAF5CF4D-E6F8-4C34-BB75-98874D6592ED} => pcalua.exe -a "C:\Program Files (x86)\FK_Monitor\service.exe" -c /U
EmptyTemp:

Zrób nowe logi.

Potem pozostanie czekanie na @Picasso (nie wiem, kiedy będzie w stanie pomagać na forum)

jessi

Zrób jeszcze log z USBFix https://www.fixitpc.pl/topic/8-dezynfekcja-zbi%C3%B3r-narz%C4%99dzi-usuwaj%C4%85cych/?do=findComment&comment=74

z opcji LISTING

jessi

Log FRST.txt - jest tylko jego końcówka.

Uzupełnij to.

Potem pozostanie czekanie na @Picasso  (nie wiem, kiedy będzie w stanie pomagać)

jessi

Tcpip\..\Interfaces\{5F353FB7-2B12-4087-ADFF-36E25A752653}: [DhcpNameServer] 7.254.254.254

 

to z USA, a nie z Polski.

Jeśli używasz routera, to:

Zaloguj się do routera:

- Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4

- Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami:

http://multimo.telestrada.pl/uwaga1

http://www.pcworld.pl/artykuly/394764_3/Zmasowany.atak.na.routery.polskich.uzytkownikow.Orange.blokuje.falszywe.DNS.y.html

Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie:

http://cert.orange.pl/modemscan/

Otwórz Notatnik i wklej w nim:

HKLM-x32\...\Run: [gmsd_pl_005010002] => [X]

HKU\S-1-5-21-624697613-4269924856-1014094728-500\...\Run: [jfsshycgik] => cmd /c start http://rfusa.ru/?utm_source=uoua03&utm_content=bc8c20c055e60f43206a2c5bec47b7c2

HKU\S-1-5-21-624697613-4269924856-1014094728-500\...\Run: [Akamai NetSession Interface] => "C:\Users\Administrator\AppData\Local\Akamai\netsession_win.exe"

GroupPolicy: Group Policy on Chrome detected <======= ATTENTION

CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION

BHO-x32: GoodTab Class -> {1F91A9A1-01BA-4c81-863D-3BA0751E1419} -> C:\Program Files (x86)\MiuiTab\SupTab.dll No File

C:\Program Files (x86)\MiuiTab

S3 VGPU; System32\drivers\rdvgkmd.sys [X]

C:\Users\Administrator\AppData\Local\nsh7921.tmp

C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Amigo.lnk

C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Star Conflict\ Star Conflict Forum.lnk

C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Star Conflict\ Star Conflict Launcher.lnk

C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Star Conflict\ Star Conflict Website.lnk

C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Star Conflict\ Uninstall game.lnk

Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes" /f

Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f

Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f

EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe

Uruchom FRST i kliknij przycisk Fix.

Powstanie plik fixlog.txt.

Daj ten log.

JESSI

Otwórz Notatnik i wklej w nim:

CustomCLSID: HKU\S-1-5-21-1400040647-3413486666-1744970339-1000_Classes\CLSID\{F6BF8414-962C-40FE-90F1-B80A7E72DB9A}\InprocServer32 -> C:\ProgramData\{9A88E103-A20A-4EA5-8636-C73B709A5BF8}\wpccpl.dll (ropoatfrcortoinsoC Mi) <==== ATTENTION
C:\ProgramData\{9A88E103-A20A-4EA5-8636-C73B709A5BF8}
Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AMCap.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\XviD\Uninstall.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Skype\Skype.lnk
C:\Users\Spider\Desktop\Programy\adwcleaner_3.311 — skrót.lnk
C:\Users\Spider\Desktop\Programy\Dialang.lnk
C:\Users\Spider\Desktop\Programy\e-Deklaracje RZĄD 2013.lnk
C:\Users\Spider\Desktop\Programy\e-pity.lnk
C:\Users\Spider\Desktop\Programy\everest — skrót.lnk
C:\Users\Spider\Desktop\Programy\fillUp Przyjazne formularze.lnk
C:\Users\Spider\Desktop\Programy\FL Studio 10.lnk
C:\Users\Spider\Desktop\Programy\Gadwin PrintScreen.lnk
C:\Users\Spider\Desktop\Programy\GearBox.lnk
C:\Users\Spider\Desktop\Programy\Governor of Poker 2     .lnk
C:\Users\Spider\Desktop\Programy\HD Tune Pro.lnk
C:\Users\Spider\Desktop\Programy\ImgBurn.lnk
C:\Users\Spider\Desktop\Programy\Last.fm.lnk
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKU\S-1-5-21-1400040647-3413486666-1744970339-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
StartMenuInternet: (HKLM) Opera - C:\Program Files (x86)\Opera\Opera.exe http://www.istartsurf.com/?type=sc&ts=1412530661&from=smt&uid=SAMSUNGXHD203WI_S1UYJDWZ717316
3 COMMONFX.DLL; system32\COMMONFX.DLL [X]
S3 CT20XUT.DLL; system32\CT20XUT.DLL [X]
S3 CTAUDFX.DLL; system32\CTAUDFX.DLL [X]
S3 CTEAPSFX.DLL; system32\CTEAPSFX.DLL [X]
S3 CTEDSPFX.DLL; system32\CTEDSPFX.DLL [X]
S3 CTEDSPIO.DLL; system32\CTEDSPIO.DLL [X]
S3 CTEDSPSY.DLL; system32\CTEDSPSY.DLL [X]
S3 CTERFXFX.DLL; system32\CTERFXFX.DLL [X]
S3 CTEXFIFX.DLL; system32\CTEXFIFX.DLL [X]
S3 CTHWIUT.DLL; system32\CTHWIUT.DLL [X]
S3 CTSBLFX.DLL; system32\CTSBLFX.DLL [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix.
Powstanie plik fixlog.txt.
Daj ten log.

Zrób nowe logi

EDIT:

temat już chyba nieaktualny - pomoc na innym forum?

jessi

Otwórz Notatnik i wklej w nim:

FF Extension: Sale Clipper - C:\Users\Kuba\AppData\Roaming\Mozilla\Firefox\Profiles\g623qy4q.default\Extensions\{554a5089-0529-4705-b0f5-10754c41df99}.xpi [2015-07-21]
Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
FF DefaultSearchEngine: webssearches
FF SelectedSearchEngine: webssearches
FF SearchPlugin: C:\Users\Kuba\AppData\Roaming\Mozilla\Firefox\Profiles\g623qy4q.default\searchplugins\webssearches.xml [2015-07-22]
FF Extension: Default SearchProtected  - C:\Users\Kuba\AppData\Roaming\Mozilla\Firefox\Profiles\g623qy4q.default\Extensions\defsearchp@gmail.com [2015-07-22]
EmptyTemp:

Zrób nowy log z FRST - już bez Shortcut i bez Additional.

jessi

1) Odinstaluj ten Filter Results

2) Użyj AdwCleaner. Najpierw kliknij na SZUKAJ (SCAN), a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ (CLEANING), to kliknij na niego. Pokaż raport z niego C:\AdwCleaner\AdwCleaner*.txt

3) Otwórz Notatnik i wklej w nim:

Task: {12190775-F808-4BCF-97E4-80FD0CCB6142} - System32\Tasks\{82755EDF-06E7-4E0B-BA3A-3C4747A74AB1} => pcalua.exe -a "D:\Program Files (x86)\Origin Games\Battlefield 4\pbsetup\pbsetup.exe" -d "d:\Program Files (x86)\Origin Games\Battlefield 4\pbsetup\"

Task: {46E92FCE-3AD4-489E-AC9B-910EE04246AF} - System32\Tasks\{137ED739-9843-4330-91EB-E967832C2F5C} => pcalua.exe -a "D:\Program Files (x86)\Origin Games\Battlefield 3\pbsetup\pbsetup.exe" -d "d:\Program Files (x86)\Origin Games\Battlefield 3\pbsetup\"

Task: {696A5BD8-981C-430C-AE54-0EE8099A00A3} - System32\Tasks\{DF5ADF64-D091-465B-AA36-D7B72AC621F8} => pcalua.exe -a "G:\Pobrane Opera\pbsetup\pbsetup\pbsetup.exe" -d "g:\Pobrane Opera\pbsetup\pbsetup\"

C:\Program Files (x86)\Common Files\f08cac26-e74f-49b4-9ff1-f081aa55e1b3\updater.exe

C:\ProgramData\f08cac26-e74f-49b4-9ff1-f081aa55e1b3

Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes" /f

Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f

Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f

GroupPolicy: Group Policy on Chrome detected <======= ATTENTION

CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION

BHO-x32: Filter Results -> {dd4c66b8-f943-4b10-8053-7e9ee39bba4a} -> C:\Program Files (x86)\Filter Results\Extensions\dd4c66b8-f943-4b10-8053-7e9ee39bba4a.dll [2015-07-12] ()

C:\Program Files (x86)\Filter Results

CHR Extension: (Filter Results) - C:\Users\Piotr\AppData\Local\Google\Chrome\User Data\Default\Extensions\hkkdkembhhmcflpmfcdjlkfkjahklkag [2015-07-12]

OPR Extension: (Filter Results) - C:\Users\Piotr\AppData\Roaming\Opera Software\Opera Stable\Extensions\hkkdkembhhmcflpmfcdjlkfkjahklkag [2015-07-12]

R2 Service Mgr FilterResults; C:\ProgramData\f08cac26-e74f-49b4-9ff1-f081aa55e1b3\plugincontainer.exe [653032 2015-07-12] ()

R2 Update Mgr FilterResults; C:\Program Files (x86)\Common Files\f08cac26-e74f-49b4-9ff1-f081aa55e1b3\updater.exe [569576 2015-07-12] ()

S3 ALSysIO; \??\C:\Users\Piotr\AppData\Local\Temp\ALSysIO64.sys [X]

S3 VGPU; System32\drivers\rdvgkmd.sys [X]

EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe

Uruchom FRST i kliknij przycisk Fix.

Powstanie plik fixlog.txt.

Daj ten log.

4) Zrób nowe logi frst.

jessi

W logach FRST nie widzę żadnej infekcji, więc musisz czekać, aż @Picasso wyzdrowieje.

Kosmetyka:

Otwórz Notatnik i wklej w nim:

Task: {2AD81D26-C58C-484B-82FF-E09BDFBF4BDC} - System32\Tasks\{404F7832-E3B9-42F0-B0F0-A666210EE825} => pcalua.exe -a G:\Setup.exe -d G:\

EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe

Uruchom FRST i kliknij przycisk Fix.

jessi

Usunąłem , ale tak czytam i widzę że synth3dvsc.sys  jest wykorzystywany jako jakieś jądro sterownika grafiki czy coś. Mogłaby wyjaśnić co dokładnie zrobiłaś (zrobiłem) usuwając te pliki.

Sam popatrz do fixloga: oprócz "boost interproces" nie był usuwany żaden plik.

Synth3dVsc => Service removed successfully

 

ta usługa była i tak już bezplikowa, a więc bezużyteczna.

W logu FRST miała 2 oznaczenia:

S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X]

 

S = NIECZYNNA

X = bezplikowa

jessi

FRST:

Otwórz Notatnik i wklej w nim:

DeleteQuarantine:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST. Uruchom FRST i kliknij w Fix.
przez SHIFT+DEL usuń pozostały folder C:\FRST.
 

GMER - chyba ręcznie (dawno tego nie używałam)

ComboFix:

>START >>> URUCHOM >>> wklej i wywołaj polecenie "C:\Users\euro\Desktop\ComboFix.exe" /uninstall

jessi

W logu GMER nie widzę rootkita.

Ale jest bardzo dużo odniesień do procesu "ntdll.dll".

Włącz swój Antywirus i przeskanuj System.

jessi

to ma tylko usunąć jednego śmiecia, poza tym tylko kosmetyka.

jessi

Otwórz Notatnik i wklej w nim:

C:\Users\euro\Desktop\Nowy folder (2)\Picexa.lnk
C:\Users\euro\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Picexa.lnk
OPR Extension: (Dynamo Combo) - C:\Users\euro\AppData\Roaming\Opera Software\Opera Stable\Extensions\cgohmfhlbipbcmmpdonacmkpibfghppn [2015-05-20]
EmptyTemp:

Poczekamy na log GMER

jessi

W logach nie widzę żadnej infekcji.

Otwórz Notatnik i wklej w nim:

C:\ProgramData\boost_interprocess
S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X]
S3 tsusbhub; system32\drivers\tsusbhub.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
EmptyTemp:

W tej  sytuacji musisz czekać, aż @Picasso wyzdrowieje.

jessi