jessica

Raczej nie.

jessi

Nie widzę w logu niczego podejrzanego.

jessi

D:\Progamy\Best player

 

Przeinstaluj - może to pomoże.

Ale być może ten program potrzebuje jakichś dodatkowych składników, a trudno zgadną, jakich.

C:\WINDOWS\system\svchost.exe

 

W tej lokalizacji nie powinno być pliku o tej nazwię - więc jest to plik infekcji.

Są też ślady śmieci, więc:

1) Użyj >Adw-cleaner

najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.

Pokaż raport z niego C:\AdwCleaner\AdwCleaner.txt

2) Otwórz Notatnik i wklej w nim:

C:\WINDOWS\system\svchost.exe

Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f

Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f

Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f

Reg: reg delete "HKU\S-1-5-21-527237240-484061587-1801674531-1003\Software\Microsoft\Internet Explorer\SearchScopes" /f

HKLM\...\Winlogon: [userinit] userinit.exe,C:\WINDOWS\system\svchost.exe

CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION

S2 c81eb536; "C:\WINDOWS\system32\rundll32.exe" "c:\docume~1\alluse~1\daneap~1\fastan~1\FastAndSafeSvc.dll",service

c:\docume~1\alluse~1\daneap~1\fastan~1

S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X]

S3 HWiNFO32; \??\C:\DOCUME~1\Pawel005\USTAWI~1\Temp\HWiNFO32.SYS [X]

S3 ZDPSp50; System32\Drivers\ZDPSp50.sys [X]

C:\Documents and Settings\All Users\Dane aplikacji\b26468bdefe1b73b

C:\Documents and Settings\Pawel005\Ustawienia lokalne\Dane aplikacji\Genesis_07161020

Reboot:

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Daj ten log.

3) Zrób nowe logi FRST.

jessi

Czy jest ktoś kto może mi pomoc?

Jak widzisz, nie ma tu nikogo, kto potrafiłby Ci pomóc, niestety. (ja też nie!)

C:\Windows\System32\userinit.exe IS MISSING <==== ATTENTION!.

 

Brak tego bardzo ważnego pliku Systemowego.

jessi

Tak, zrób tylko pozostałe kroki.

jessi

1. Odinstaluj te programy (o ile da się odinstalować w awaryjnym): Akamai NetSession Interface, Mobogenie, uTorrentControl_v2 Toolbar.

2. Użyj AdwCleaner. Pokaż raport z niego C:\AdwCleaner\AdwCleaner.txt

3. Otwórz Notatnik i wklej w nim:

AppInit_DLLs-x32: c:\progra~3\browse~1\261519~1.190\{c16c1~1\browse~1.dll => "c:\progra~3\browse~1\261519~1.190\{c16c1~1\browse~1.dll" File Not Found

Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f

Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f

Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f

Task: {A1E469F5-EE9D-4E6B-9DC7-CC859E0F8A7C} - System32\Tasks\EPUpdater => C:\Users\Kabeks\AppData\Roaming\BABSOL~1\Shared\BabMaint.exe <==== ATTENTION

MSCONFIG\startupreg: mobilegeni daemon => C:\Program Files (x86)\Mobogenie\DaemonProcess.exe

C:\Program Files (x86)\Mobogenie\DaemonProcess.exe

C:\Program Files (x86)\Mobogenie

C:\Users\wangzhisong

MSCONFIG\startupreg: Akamai NetSession Interface => "C:\Users\Kabeks\AppData\Local\Akamai\netsession_win.exe"

C:\Users\Kabeks\AppData\Local\Akamai\netsession_win.exe

URLSearchHook: HKLM-x32 - uTorrentControl_v2 Toolbar - {7473b6bd-4691-4744-a82b-7854eb3d70b6} - C:\Program Files (x86)\uTorrentControl_v2\prxtbuTor.dll (Conduit Ltd.)

URLSearchHook: HKCU - uTorrentControl_v2 Toolbar - {7473b6bd-4691-4744-a82b-7854eb3d70b6} - C:\Program Files (x86)\uTorrentControl_v2\prxtbuTor.dll (Conduit Ltd.)

SearchScopes: HKCU - DefaultScope {217C1776-3A2C-4017-A88B-B29EF8F0C5E6} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3220468

SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://isearch.babylon.com/?q={searchTerms}&affID=119816&tt=gc_&babsrc=SP_ssbtis1&mntrId=E2DF582C80139263

SearchScopes: HKCU - {217C1776-3A2C-4017-A88B-B29EF8F0C5E6} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3220468

SearchScopes: HKCU - {CFF4DB9B-135F-47c0-9269-B4C6572FD61A} URL = http://mystart.incredibar.com/mb201/?search={searchTerms}&loc=IB_DS&a=6R8QNm9CnW&i=26

BHO-x32: uTorrentControl_v2 Toolbar -> {7473b6bd-4691-4744-a82b-7854eb3d70b6} -> C:\Program Files (x86)\uTorrentControl_v2\prxtbuTor.dll (Conduit Ltd.)

Toolbar: HKLM-x32 - uTorrentControl_v2 Toolbar - {7473b6bd-4691-4744-a82b-7854eb3d70b6} - C:\Program Files (x86)\uTorrentControl_v2\prxtbuTor.dll (Conduit Ltd.)

Toolbar: HKCU - No Name - {47833539-D0C5-4125-9FA8-0819E2EAAC93} -  No File

Toolbar: HKCU - No Name - {7473B6BD-4691-4744-A82B-7854EB3D70B6} -  No File

FF DefaultSearchEngine: Delta Search

FF SelectedSearchEngine: Delta Search

FF Homepage: hxxp://www2.delta-search.com/?affID=119816&tt=gc_&babsrc=HP_ss&mntrId=E2DF582C80139263

FF SearchPlugin: C:\Users\Kabeks\AppData\Roaming\Mozilla\Firefox\Profiles\y6dgsjd9.default\searchplugins\babylon.xml

FF SearchPlugin: C:\Users\Kabeks\AppData\Roaming\Mozilla\Firefox\Profiles\y6dgsjd9.default\searchplugins\delta.xml

FF SearchPlugin: C:\Users\Kabeks\AppData\Roaming\Mozilla\Firefox\Profiles\y6dgsjd9.default\searchplugins\MyStart Search.xml

FF SearchPlugin: C:\Users\Kabeks\AppData\Roaming\Mozilla\Firefox\Profiles\y6dgsjd9.default\searchplugins\utorrentcontrolv2-customized-web-search.xml

FF Extension: Delta Toolbar - C:\Users\Kabeks\AppData\Roaming\Mozilla\Firefox\Profiles\y6dgsjd9.default\Extensions\ffxtlbr@delta.com [2013-05-08]

CHR Extension: (uTorrentControl_v2) - C:\Users\Kabeks\AppData\Local\Google\Chrome\User Data\Default\Extensions\ejpbbhjlbipncjklfjjaedaieimbmdda

CHR Extension: (New tab for Chrome™) - C:\Users\Kabeks\AppData\Local\Google\Chrome\User Data\Default\Extensions\jifflliplgeajjdhmkcfnngfpgbjonjg

CHR HKCU\...\Chrome\Extension: [ejpbbhjlbipncjklfjjaedaieimbmdda] - C:\Users\Kabeks\AppData\Local\CRE\ejpbbhjlbipncjklfjjaedaieimbmdda.crx [2012-11-19]

CHR HKLM-x32\...\Chrome\Extension: [dlnembnfbcpjnepmfjmngjenhhajpdfd] - C:\Program Files\IB Updater\source.crx [2012-11-19]

CHR HKLM-x32\...\Chrome\Extension: [ejpbbhjlbipncjklfjjaedaieimbmdda] - C:\Users\Kabeks\AppData\Local\CRE\ejpbbhjlbipncjklfjjaedaieimbmdda.crx [2012-11-19]

C:\Users\Konferencja Lean\AppData\Roaming\Systweak

C:\Users\Konferencja Lean\daemonprocess.txt

C:\Users\Konferencja Lean\AppData\Local\Temp\COMAP.EXE

C:\Users\Konferencja Lean\AppData\Local\Temp\GURCCEA.exe

C:\Users\Konferencja Lean\AppData\Local\Temp\MotoCast_Installer_2.0031.exe

C:\Users\Konferencja Lean\AppData\Local\Temp\Shockwave_Installer_FF.exe

C:\Users\Kabeks\AppData\Roaming\3cab8a6de5ed842d9d9f01148a6192164816d25f

C:\ProgramData\3cab8a6de5ed842d9d9f01148a6192164816d25f

C:\Users\Kabeks\AppData\Roaming\b0aa5df4d755c86d155bd20c03c50c4194988cc2

C:\ProgramData\b0aa5df4d755c86d155bd20c03c50c4194988cc2

Reboot:

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Daj ten log.

Zrób nowy log z OTL.

jessi

Mbam znalazł zagrożenie ale nie wiem gdzie zapisał log ze skanowania, znalazłem tylko logi z aktualizacji, wszystkie wirusy są przeniesione do kwarantanny.

 

Mam nadzieję, że dałeś aktualne logi, zrobione już po użyciu MBAM.

1)

sweet-page uninstaller (HKLM-x32\...\sweet-page uninstaller) (Version:  - sweet-page) <==== ATTENTION

 

Odinstaluj ten program.

2) Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:OTL

O36 - AppCertDlls: x64 - (C:\Program Files (x86)\Settings Manager\systemk\x64\sysapcrt.dll) - C:\Program Files (x86)\Settings Manager\systemk\x64\sysapcrt.dll ()

O36 - AppCertDlls: x86 - (C:\Program Files (x86)\Settings Manager\systemk\sysapcrt.dll) - C:\Program Files (x86)\Settings Manager\systemk\sysapcrt.dll ()

SRV - [2014-04-28 11:38:05 | 003,543,056 | ---- | M] () [Auto | Stopped] -- C:\Program Files (x86)\Settings Manager\systemk\SystemkService.exe -- (SystemkService)

 

:Reg

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]

"DefaultScope"=-

[HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]

"DefaultScope"=-

[HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]

"DefaultScope"=-

[HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]

"DefaultScope"=-

[HKEY_USERS\S-1-5-21-1934045388-852915893-379320470-500\Software\Microsoft\Internet Explorer\SearchScopes]

"DefaultScope"=-

 

:Commands

[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

3)  Użyj >Adw-cleaner

najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.

Pokaż raport z niego C:\AdwCleaner\AdwCleaner.txt

4) Zrób nowy log z OTL

jessi

@Rucek:

W raporcie Adw-Cleaner było:

Folder Usunięto : C:\Users\Patryk\AppData\Local\Mobogenie

Mobogenie bardzo często instaluje dodatkowego Użytkownika: właśnie tego "wangzhisong"

W logach tego Użytkownika nie widać, można go natomiast zobaczyć, jeśli się usuwa przy pomocy Skryptu OTL.

Dlatego, tak na wszelki wypadek, daję "wangshisong" do usuwania zawsze, gdy był "Mobogenie", mimo że"wangshisong" w logach nie było widać. Jeśli go naprawdę nie ma, to nic się nie stanie, co najwyżej pojawi się w raporcie informacja  => File/Directory not found.

jessi

W logach nie ma niczego podejrzanego.

Kosmetyka:

Otwórz Notatnik i wklej w nim:

Task: {3F660A3C-D57A-42E2-BE5C-AEEEF2269561} - \BonanzaDealsUpdate No Task File <==== ATTENTION
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
HKU\S-1-5-21-2651791677-126434903-354596880-1000\...\Run: [ASRockXTU] => [X]
HKU\S-1-5-21-2651791677-126434903-354596880-1000\...\Run: [zASRockInstantBoot] => [X]
S3 HRMACPI; SYSTEM32\DRIVERS\HRMACPI.SYS [X]
S3 MSICDSetup; \??\D:\CDriver64.sys [X]
S3 SOFTUSBTESTHUB; SYSTEM32\DRIVERS\SOFTUSBTESTHUB.SYS [X]
S3 SOFTWADP; SYSTEM32\DRIVERS\SOFTWADP.SYS [X]
S3 WSOFTUSBK; SYSTEM32\DRIVERS\WSOFTUSBK.SYS [X]
C:\Users\Merlin-hs\AppData\Local\Temp\dropbox_sqlite_ext.{5f3e3153-5bce-5766-8f84-3e3e7ecf0d81}.tmpxeukvr.dll
Reboot:

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix.

jessi

W takim razie kończymy:

W Adw-Cleaner kliknij na przycisk Odinstaluj (UNINSTALL).

Otwórz Notatnik i wklej w nim:

DeleteQuarantine:

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix.
przez SHIFT+DEL usuń pozostały folder C:\FRST

W OTL kliknij na przycisk Sprzątanie - to go usunie razem z jego Kwarantanną.

jessi

"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper

to może masz pod taką nazwą?

---

Do Notatnika wklej:

Windows Registry Editor Version 5.00

[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\FixMyRegistry]

[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpeedUpMyComputer]

Z Menu Notatnika >> Plik >> Zapisz jako >> Ustaw rozszerzenie na Wszystkie pliki >> Zapisz jako> FIX.REG >>

plik uruchom (dwuklik i OK).

jessi

1. Odinstaluj ten program:

Google Update Helper (x32 Version: 1.3.23.0 - BonanzaDeals) Hidden <==== ATTENTION

2. Otwórz Notatnik i wklej w nim:

C:\Program Files (x86)\SmartTweak\FixMyRegistry\FixMyRegistry.exe

C:\Program Files (x86)\SmartTweak\FixMyRegistry

C:\Program Files (x86)\SmartTweak\SpeedUpMyComputer\SpeedUpMyComputer.exe

C:\Program Files (x86)\SmartTweak\SpeedUpMyComputer

C:\Program Files (x86)\SmartTweak

Reg: reg delete HKLM\software\microsoft\shared tools\msconfig\startupreg\FixMyRegistry /f

Reg: reg delete HKLM\software\microsoft\shared tools\msconfig\startupreg\SpeedUpMyComputer /f

Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f

Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f

Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f

SearchScopes: HKCU - {CD351110-CA70-4132-BEB9-793DAFA88EF2} URL = http://www.mysearchresults.com/search?c=3524&t=01&q={searchTerms}

FF Plugin HKCU: BearSharePlugin -> C:\Program Files (x86)\BearShare Applications\BearShare\npBearSharePlugin.dll No File

S4 nvvad_WaveExtensible; system32\drivers\nvvad64v.sys [X]

S3 OSFMount; \??\E:\Counter-Strike Global Offensive\image\x64\OSFMount.sys [X]

S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X]

S3 tsusbhub; system32\drivers\tsusbhub.sys [X]

S3 VGPU; System32\drivers\rdvgkmd.sys [X]

S3 WinRing0_1_2_0; \??\D:\Game Booster 3\Driver\WinRing0x64.sys [X]

:\Users\Patryk\AppData\Local\Temp\jre-7u67-windows-i586-iftw.exe

C:\Users\Patryk\AppData\Local\Temp\LiveSupport_setup.exe

C:\Users\Patryk\AppData\Local\Temp\OptimizerPro.exe

C:\Users\Patryk\AppData\Local\Temp\rcpsetup_sdl_es_sdl_es.exe

C:\Users\wangzhisong

Reboot:

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Daj ten log.

jessi

Użyj AdwCleaner. Najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.

Pokaż raport z niego C:\AdwCleaner\AdwCleaner.txt

Zrób nowe logi (Addition też zaznacz w FRST).

jessi

 

OTL częściowo załatwił sprawę ale folder FRST i w nim Quarantine nadal istnieją  a kiedy chce wywalic do kosza jest info:

Program Eksplorator Windows przestał działać

 

Trudno, zostawiamy to, bo jakoś nic innego nie przychodzi mi na myśl.

jessi

W OTL kliknij na przycisk Sprzątanie - może przy okazji usunie się także FRST.

Nie wiem, dlaczego nie da się usunąć normalnie.

jessi

przez SHIFT+DEL nie moge usunąc folderu FRST co ciekawe do kosza tez nie mogę...

zrobiłeś najpierw to "DeleteQuarantine:" ?

jeszcze jakieś kroki finalizujące temat:

W Adw-Cleaner kliknij na przycisk Odinstaluj (UNINSTALL).

Otwórz Notatnik i wklej w nim:

DeleteQuarantine:

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix.
przez SHIFT+DEL usuń pozostały folder C:\FRST

Rogue Killer - usuń ręcznie.

ESET Service Repair - usuń ręcznie.

FSS - usuń ręcznie.

SETAcl - usuń ręcznie

Fix.Reg - usuń ręcznie (jeśli jeszcze jest).

To chyba wszystko.

jessi

Action Center:

============

 

wscsvc Service is not running. Checking service configuration:

The start type of wscsvc service is OK.

The ImagePath of wscsvc service is OK.

The ServiceDll of wscsvc service is OK.

 

Teoretycznie powinno się teraz dać włączyć.

>START >URUCHOM >wybierz (lub wpisz): services.msc

>po prawej wyszukaj i zaznacz: Centrum Zabezpieczeń

>po lewej kliknij na: Uruchom Usługę

Windows Update:

============

wuauserv Service is not running. Checking service configuration:

The start type of wuauserv service is OK.

The ImagePath of wuauserv service is OK.

The ServiceDll of wuauserv service is OK.

 

Teoretycznie powinno się teraz dać włączyć.

>START >URUCHOM >wybierz (lub wpisz): services.msc

>po prawej wyszukaj i zaznacz: Windows Update

>po lewej kliknij na: Uruchom Usługę

Miejmy nadzieję, że to pomoże ...

jessi

MBAM wykrył tylko PUP'y. Nie wykrył niczego związanego z Facebookiem. Tak więc nic tu nie świadczy o istnieniu infekcji "facebookowej".

Otwórz Notatnik i wklej w nim:

DeleteQuarantine:

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix.

przez SHIFT+DEL usuń pozostały folder C:\FRST

MBAM - możesz albo odinstalować, albo sobie zostawić, by od czasu do czasu, po uprzedniej aktualizacji jego bazy wirusów, przeskanować komputer.

jessi

SRV:64bit: - File not found [Auto | Stopped] -- C:\Program Files\SRV:64bit: - File not found [Auto | Stopped] -- C:\Program Files\Windows Firewall Control\wfcs.exe -- (_wfcs)\wfcs.exe -- (_wfcs)

 

Nie zauważyłam, że w Skrypcie pomyłkowo znalazł się też  Windows Firewall Control.

Oczywiście został usunięty. Pozostała po nim ta usługa. Ją też usuniemy:

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:OTL

SRV:64bit: - File not found [Auto | Stopped] -- C:\Program Files\Windows Firewall Control\wfcs.exe -- (_wfcs)

IE:64bit: - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2405}: "URL" = http://dts.search.ask.com/sr?src=ieb&gct=ds&appid=0&systemid=405&v=a13350-303&apn_uid=2403428420794153&apn_dtid=BND405&o=APN10647&apn_ptnrs=AG8&q={searchTerms}

 

:Files

C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\cnbfkdbbfjggldfggihdhjjincelkgak

C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\ikgffpobhoklcdcnhciopbapkabiaefj

C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\kmiknoeciigpjgopdeampbhffekpiohd

 

:Commands

[emptytemp]

Kliknij w Wykonaj Skrypt.

Potem możesz zainstalować od nowa Windows Firewall Control

Potem kończymy:

W Adw-Cleaner kliknij na przycisk Odinstaluj (UNINSTALL).

W OTL kliknij na przycisk Sprzątanie - to go usunie razem z jego Kwarantanną.

jessi

Swoje pliki możesz przenieść np. na pendrive'a, pod warunkiem, że na pendrive nie znajdzie się żaden plik *.exe, *.htm, *.html.

jessi

1. Odinstaluj Bundled software uninstaller.

2. Otwórz Notatnik i wklej w nim:

C:\Documents and Settings\Damian\Ustawienia lokalne\Temp\6_Offer_3.exe

C:\Documents and Settings\Damian\Ustawienia lokalne\Temp\DM1394570370.exe

C:\Documents and Settings\Damian\Ustawienia lokalne\Temp\drm_dyndata_7400009.dll

C:\Documents and Settings\Damian\Ustawienia lokalne\Temp\jre-7u55-windows-i586-iftw.exe

C:\Documents and Settings\Damian\Ustawienia lokalne\Temp\jre-7u65-windows-i586-iftw.exe

C:\Documents and Settings\Damian\Ustawienia lokalne\Temp\jre-7u67-windows-i586-iftw.exe

C:\Documents and Settings\Damian\Ustawienia lokalne\Temp\Mobogenie_INT.exe

C:\Documents and Settings\Damian\Ustawienia lokalne\Temp\NGM.exe

C:\Documents and Settings\Damian\Ustawienia lokalne\Temp\NGMDll.dll

C:\Documents and Settings\Damian\Ustawienia lokalne\Temp\NGMResource.dll

C:\Documents and Settings\Damian\Ustawienia lokalne\Temp\Uninstall.exe

C:\Documents and Settings\Damian\Ustawienia lokalne\Temp\uttB7.tmp.exe

CHR HKLM\...\Chrome\Extension: [gppomckgmefcejhfhfghdigjioaeejkd] - C:\DOCUME~1\Damian\USTAWI~1\DANEAP~1\SearchDial.crx

Reboot:

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Daj ten log.

3. W logach nie widzę żadnej infekcji, więc przeskanuj komputer przy pomocy Malwarebytes Anti-Malware. Zaznacz wszystko co wykryje, kliknij na Usuń zaznaczone.

Podaj z tego raport.

jessi

O20 - HKLM Winlogon: UserInit - (C:\Program Files\lasykjvx\tdklujfl.exe) - C:\Program Files\lasykjvx\tdklujfl.exe ()

Przeskanuj komputer przy pomocy Kaspersky Virus Removal Tool. Jeśli wykryje Ramnit/Nimnul, to szkoda czasu na wykonywanie innych moich zaleceń.

Trzeba będzie sformatować dysk i wgrać system od nowa. Zbyt duże uszkodzenia Systemu i programów, by opłaciło się kilkutygodniowe usuwanie wirusa!

jessi

"MediaBuzzV1mode7504" = Media Buzz

"MediaPlayerV1alpha663" = Media Player

"MediaViewerV1alpha264" = Media Viewer

"MediaViewV1alpha2703" = Media View

"MediaViewV1alpha2913" = Media View

"MediaWatchV1home635" = Media Watch

"savevidmoviestoolbarhaFF" = Movies Toolbar for Firefox (Dist. by Bandoo Media, Inc.)

"savevidmoviestoolbarhaIE" = Movies Toolbar for Internet Explorer (Dist. by Bandoo Media, Inc.)

"TrustMediaViewerV1alpha6676" = Trust Media Viewer

"DefaultTab" = Defaulttab

"RichMediaViewV1release98" = Rich Media View

 

Jeśli któregoś z tych programów nie instalowałeś świadomie, to go odinstaluj.

2)  Użyj >Adw-cleaner

najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.

Pokaż raport z niego C:\AdwCleaner\AdwCleaner.txt

3) Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:OTL

IE - HKU\S-1-5-21-3048719043-573068598-484485261-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://search.delta-homes.com/web/?type=ds&ts=1402582301&from=wpm0612&uid=SAMSUNGXHD250HJ_S17LJ9BPB00842&q={searchTerms}

FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=:  File not found

FF - HKCU\Software\MozillaPlugins\ubisoft.com/uplaypc: C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\npuplaypc.dll File not found

O3:64bit: - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.

O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.

O4 - HKLM..\Run: []  File not found

O4 - HKLM..\Run: [mobilegeni daemon] C:\Program Files (x86)\Mobogenie\DaemonProcess.exe File not found

[2014-07-20 10:54:44 | 000,000,000 | ---D | C] -- C:\Users\User\AppData\Roaming\Systweak

[2014-07-14 10:03:30 | 000,000,000 | ---D | C] -- C:\Program Files\Windows Firewall Control

[2014-07-14 10:02:38 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\NetCrawl

[2014-07-14 08:19:35 | 000,000,000 | -HSD | C] -- C:\found.001

[2014-03-02 14:40:44 | 000,000,000 | -HSD | M] -- C:\Users\User\AppData\Roaming\wyUpdate AU

 

:Services

be0fb33b

 

:Files

C:\Users\wangzhisong

 

:Reg

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]

"DefaultScope"=-

[HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]

"DefaultScope"=-

[HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]

"DefaultScope"=-

[HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]

"DefaultScope"=-

[HKEY_USERS\S-1-5-21-3048719043-573068598-484485261-1000\Software\Microsoft\Internet Explorer\SearchScopes]

"DefaultScope"=-

[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2405}]

[-HKEY_USERS\S-1-5-21-3048719043-573068598-484485261-1000\Software\Microsoft\Internet Explorer\SearchScopes\{710E0C19-F266-4639-8279-7242FB6F81EF}]

[-HKEY_USERS\S-1-5-21-3048719043-573068598-484485261-1000\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2405}]

 

:Commands

[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.

Pokaż nowy log OTL.txt oraz raport z usuwania Skryptem.

=====================================================================================

Error - 2014-08-08 05:31:25 | Computer Name = User-Komputer | Source = WinMgmt | ID = 10

Description =

 

Aby automatycznie rozwiązać ten problem, kliknij > Fix.it. na stronie http://go.microsoft.com/?linkid=9775756

Następnie kliknij przycisk Uruchom w oknie dialogowym Pobieranie pliku i wykonaj kroki w kreatorze Fix.it.

(Link zapasowy > http://www.mediafire.com/download/6hwcm6b77098cbb/MicrosoftFixit50688.msi )

jessi

>>START>>> Uruchom >>> wybierz (lub wpisz) REGEDIT>>OK>
>rozwiń ten klucz,klikając na (+):

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

‘DisableTaskMgr’

czy jest tam takie coś?

D:\System Volume Information

 

To folder zawierający kopie plików potrzebnych do "Przywracania Systemu".

Można go opróżnić poprzez chwilowe wyłączenie "Przywracania":

>>START >>PANEL STEROWANIA >> SYSTEM >> zakładka PRZYWRACANIE SYSTEMU >> zaznacz okienko przy "wyłącz przywracanie systemu na wszystkich dyskach" >ZASTOSUJ >> OK

Po kilku minutach usuń zaznaczenie przy "wyłącz przywracanie systemu na wszystkich dyskach"

Kosmetyka:

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:OTL
DRV - File not found [Kernel | On_Demand | Stopped] -- E:\NTGLM7X.sys -- (SetupNTGLM7X)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDRFRAME)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDRELI)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDFRAME)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDCOMP)
DRV - File not found [Kernel | System | Stopped] --  -- (PCIDump)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\pccsmcfd.sys -- (pccsmcfd)
DRV - File not found [Kernel | On_Demand | Stopped] -- E:\NTACCESS.sys -- (NTACCESS)
DRV - File not found [Kernel | On_Demand | Stopped] -- E:\install4\MSICPL.sys -- (MSICPL)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\Lavasoft\Ad-Aware\KernExplorer.sys -- (Lavasoft Kernexplorer)
DRV - File not found [Kernel | On_Demand | Stopped] -- E:\INSTALL\GMSIPCI.SYS -- (GMSIPCI)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\Lavalys\EVEREST Home Edition\kerneld.wnt -- (EverestDriver)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\AmdLLD.sys -- (AmdLLD)
DRV - File not found [Kernel | On_Demand | Unknown] --  -- (age510ar)
DRV - File not found [Kernel | On_Demand | Unknown] --  -- (a6g26but)
FF - prefs.js..browser.search.defaultenginename: "error"
FF - prefs.js..browser.search.order.1: "error"
FF - prefs.js..browser.search.selectedEngine: "error"
FF - prefs.js..browser.startup.homepage: "chrome://fastdial/content/fastdial.html"
FF - prefs.js..extensions.enabledAddons: fastdial%40telega.phpnet.us:4.11
FF - HKLM\Software\MozillaPlugins\@veetle.com/vbp;version=0.9.16: D:\Program Files\Veetle\VLCBroadcast\npvbp.dll File not found
[2014-08-01 19:54:18 | 000,000,000 | ---D | M] (Fast Dial) -- C:\Documents and Settings\Mrozie\Dane aplikacji\Mozilla\Firefox\Profiles\wc2kbnjv.default-1397922440250\extensions\fastdial@telega.phpnet.us
O4 - HKLM..\Run: [NPSStartup]  File not found
O4 - HKLM..\Run: [userFaultCheck] %systemroot%\system32\dumprep 0 -u File not found
O9 - Extra Button: Flash Decompiler SWF Capture tool - {86B4FC19-8FA4-4FD3-B243-9AEDB42FA2D5} - D:\Program Files\Eltima Software\Flash Decompiler Trillix\saveflash\iebt.dll File not found
O9 - Extra 'Tools' menuitem : Flash Decompiler SWF Capture tool menu - {86B4FC19-8FA4-4FD3-B243-9AEDB42FA2D5} - D:\Program Files\Eltima Software\Flash Decompiler Trillix\saveflash\iebt.dll File not found
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} http://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab (Reg Error: Key error.)
[2014-08-01 00:00:22 | 000,000,000 | ---D | C] -- C:\Program Files\Deal Keeper

:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-21-746137067-1454471165-682003330-1003\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[-HKEY_USERS\S-1-5-21-746137067-1454471165-682003330-1003\Software\Microsoft\Internet Explorer\SearchScopes\{518B7761-6125-40B0-B2D0-0F2A9F369C18}]
[-HKEY_USERS\S-1-5-21-746137067-1454471165-682003330-1003\Software\Microsoft\Internet Explorer\SearchScopes\{52262020-72A7-498F-BC44-70E8A0F035BF}]

:Commands
[emptytemp]

Kliknij w Wykonaj Skrypt.

jessi