Dzień Dobry,
jakiś czas temu postanowiłem sobie zassać jakiś darmowy odtwarzać multimedialny wybrałem vlc ale zrobiłem to nie ze strony producenta tylko z jakiejś polskiej stronki. Po zainstalowaniu oprócz widomych bonusów takich jak np. przeglądarka opera dostałem kilka ukrytych. Na początku poznałem SafeFindera, wiecie, przekierowania na różne 'ciekawe' strony itp. Postanowiłem coś z tym zrobić. Zacząłem czytać co to, później ściągać róźne programy do pomocy, i załatwiłem go Revo Uninstallerem, choć nie do końca ale o tym później. Poznałem też jego kolegów jednym z nich był tristip innych nie pamiętam, usuwałem logi. W każdym razie, usunąłem go ręcznie, chyba log z OTL i nowe foldery czy programy i je po prostu usunąłem. Dalej zacząłem przyglądać się procesom w menadżerze, też tak raczej nieprofesjonalenie, proces -> gogle -> katalog. Natrafiłem na ctfmon.exe który oprócz katalogów w których 'może' być był w dwóch innych, a jeszcze czasami kiedy zamykałem system wyskakiwało 'kończenie pracy' właśnie tego ctfmona, więc z tych katalogów go usunąłem. Zniknął z menadżera i przy zamykaniu też się już nie pojawia. Zacząłem bawić się ComboFixem. Na początku nic takiego, znalazł parę rzeczy usunął, restart i ok. Ale pewnego razu postanowiłem usunąć trochę nieużywanych programów. Było ich kilka. Usuwałem to Revo Uninstallerem, wyszukiwanie zaawansowane i wszystko co znalazło out. Otworzyłem internet explorer choć go nie używam w ogóle, na mój system akualizacji chyba od dawna już nie ma, i kogo tam spotkałem? kolegę safefindera - to internet explorer out. Usunąłem później pliki z folderu \Qoobox\Quarantine jeszcze raz przejechałem ComboFixem, znowu usunąłem quarantine i restart. Po zalogowaniu 'explorer.exe nie można odnaleźć pliku iertutil.dll...' sama tapeta, na szczęście działał Menadżer zadań i dzięki Bogu za smartfony. Skopiowałem z C:\WINDOWS\system32\dllcache i wkleiłem, zadziałało. I później był spokój. Aż z pięć[?] dni temu, coś robię w sieci, niczego nie ściągam, nagle 109.tmp chce nawiązać połączenie z internetem, wykryła go zapora systemu windows, siedział gdzieś w Temporary Internet Files na moim koncie użytkownika, blokuj + ręcznie usuń. Na drugi dzień, OTL patrze jakieś nowe foldery, jeden był jakoś podejrzany, tylko znowu usuwałem logi i nie mam nazwy, pamiętam tylko rozszerzenie .dll, myślałem że w nowych logach pojawi się ten plik ale nie, jakby w ogóle nie istniał. I jak go wyszukałem, wyszła tylko jedna stronka która go znała, zagraniczna, i tam dwie osoby były za usuwaniem, to chciałem usunać ale nie odmowa dostępu czy program go jakiś teraz używa. Ale teraz ComboFix pomógł, usunął, zrobił reset, wszystko ok. Jeszcze wcześniej bawiłem się zaporą Comodo, jest niezła, komp uruchamia się ze 20min, wszystko zwalnia, RKill w ogóle nie chciał się uruchomić, zwykle sprawdzenie trwa ok. 1.30 min. teraz szybciej ale wtedy po kilkunastu minutach wyłączałem no bo nic się nie działo. Usunałem 'zaporę'. Co jeszcze robiłem? Odinstalowałem FireFoxa, sam mi powiedział że wolno działa, reset ustawień, dodatki też odinstalowałem java itp. zainstalowałem - wszystko to samo, jakbym nie odinstalowywał nawet historia została. To jeszcze raz, wszystkie foldery na dysku od FF i dopiero wtedy zadziałało. W każdym razie mam te logi z FRST i GMER logi poprzedzone RKillem nic nie znalazł. Odinstalowałem też antywirusa i oprogramowanie emulujące napędy daemon/powerISO. Ta Wasza metoda z trójki nie zadziałała i 'metoda przez zmianę uprawnień kasowanych kluczy' cały czas wyskakiwało że nie można usunąć klucza ale RegASSASSIN pomógł. Fajny to program jest trochę tych kluczy z tristipem pousuwałem wczoraj, ciekawe czy wrócą wcześniej wracały kiedy normalnie je usuwałem, jednego nie mogę pisze że 'RegASSASSIN could NOT remove the registry key'. I niewiem co z tym Internet Explorerem bo ten ComboFix mi go przywraca, tzn. jakąś ikonkę ale jak kliknę to się nic nie dzieje, mam też z nim jakieś foldery ma dysku, nie mogę usunąć bo jakiś program go używa, pewnie ma też tego safefindera i jak go do końca usunąć, tak samo co z tristipem i proszę o sprawdzenie logów pewnie coś innego też tam jest. Z góry dzięki.
FRST.txt
Addition.txt
Shortcut.txt
GMER.txt