picasso
-
Postów
36 532 -
Dołączył
-
Ostatnia wizyta
Odpowiedzi opublikowane przez picasso
-
-
Kombinowałeś z ComboFix i na ten temat: KLIK. Brakuje raportu z GMER. Temat przenoszę do działu Windows, gdyż nie ma tu oznak infekcji (choć GMER nie sprawdzony). Tylko kosmetyczna poprawka (bez jakiegokolwiek związku z problemem):
Zamknij Firefox. Otwórz Notatnik i wklej w nim:
StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe FF user.js: detected! => C:\Users\666\AppData\Roaming\Mozilla\Firefox\Profiles\p2ecev9n.default-1381508780775\user.js S3 catchme; \??\C:\ComboFix\catchme.sys [X] AlternateDataStreams: C:\Users\666\Cookies:A0BDaHWb3jCNtZdzaTfTlPW AlternateDataStreams: C:\Users\666\AppData\Local\ldJcatalVInQRb:oy7JHlxQVgMheC8EbgNXsjlr AlternateDataStreams: C:\Users\666\AppData\Local\Temporary Internet Files:zJM3FrEOx5AynHRQrsNMvHF C:\Users\666\AppData\Roaming\FoxTab C:\Users\666\AppData\Roaming\msnmsg
Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.
od kilku dni uruchamianie windows trochę się wydłużyło i za każdym razem wyskakuje okienko z komunikatem: serwer zajęty - nie mozna ukończyć tej czynności, gdyż inny program jest zajęty. Wybierz przycisk "przęłącz na", aby uaktywnić zajęty program i usunąć problem.
i ogolnie wszystko chodzi jakos tak wolniej.
Budzi podejrzenia Avast. Ale na początek przetestuj zachowanie systemu na czystym rozruchu: KB929135.
.
-
Wymagane poprawki. Otwórz Notatnik i wklej w nim:
C:\ProgramData\PoroShOpuperr C:\ProgramData\DOownlooaditkeep SearchScopes: HKLM - DefaultScope value is missing. Unlock: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{8E222953-92EC-42A3-BCCB-CB46D13644AC} Unlock: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{8E222953-92EC-42A3-BCCB-CB46D13644AC} Unlock: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\YourFile Update Unlock: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{C6A4D2F5-FCC2-4AAF-9E1E-1440FD5C7E11} Unlock: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{C6A4D2F5-FCC2-4AAF-9E1E-1440FD5C7E11} Unlock: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\DealPly Unlock: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{D28556DC-EFF6-456F-8A63-649D0B8132E7} Unlock: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{D28556DC-EFF6-456F-8A63-649D0B8132E7} Unlock: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\AVG-Secure-Search-Update_JUNE2013_HP_rmv Unlock: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{DBC5F333-204E-4152-8E91-433F39FF8443} Unlock: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{DBC5F333-204E-4152-8E91-433F39FF8443} Unlock: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\AVG-Secure-Search-Update_JUNE2013_TB_rmv Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{8E222953-92EC-42A3-BCCB-CB46D13644AC}" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{8E222953-92EC-42A3-BCCB-CB46D13644AC}" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\YourFile Update" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{C6A4D2F5-FCC2-4AAF-9E1E-1440FD5C7E11}" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{C6A4D2F5-FCC2-4AAF-9E1E-1440FD5C7E11}" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\DealPly" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{D28556DC-EFF6-456F-8A63-649D0B8132E7}" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{D28556DC-EFF6-456F-8A63-649D0B8132E7}" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\AVG-Secure-Search-Update_JUNE2013_HP_rmv" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{DBC5F333-204E-4152-8E91-433F39FF8443}" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{DBC5F333-204E-4152-8E91-433F39FF8443}" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\AVG-Secure-Search-Update_JUNE2013_TB_rmv" /fPlik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.
.
-
Adware nie zostało odinstalowane poprawnie i tu jeszcze mamy sporo roboty. Poza tym, ja ... nadal widzę YTTBookMMark w Google Chrome ... Czyżby się odtworzyło?
1. Pobierz najnowszy FRST. Otwórz Notatnik i wklej w nim:
HKLM\...\Run: [NWEReboot] - [X] HKLM\...\Run: [mobilegeni daemon] - C:\Program Files\Mobogenie\DaemonProcess.exe HKLM\...\Policies\Explorer: [NoCDBurning] 0 HKU\S-1-5-21-299502267-1035525444-1177238915-1003\...\Run: [badoo Desktop] - C:\Documents and Settings\All Users\Dane aplikacji\Badoo\Badoo Desktop\1.6.58.1220\Badoo.Desktop.exe HKU\S-1-5-21-299502267-1035525444-1177238915-1003\...\Run: [NextLive] - C:\WINDOWS\system32\rundll32.exe "C:\Documents and Settings\Hubert\Dane aplikacji\newnext.me\nengine.dll",EntryPoint -m l HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gazeta.pl/0,0.html?p=128 SearchScopes: HKLM - DefaultScope value is missing. SearchScopes: HKCU - {27F68CFD-0F10-42C8-BD3F-F92A1E95944E} URL = http://search.babylon.com/web/{searchTerms}?babsrc=SP_ss&affID=100474&mntrId=4c1a2f0b00000000000000241d2b6d91 SearchScopes: HKCU - {8A244612-A1F7-11E0-95C0-E71F4824019B} URL = http://badoo.com/startpage/?source=bsb&q={searchTerms} SearchScopes: HKCU - {9C558FFB-DF1C-4545-9611-8E10174DD7F9} URL = http://websearch.ask.com/redirect?client=ie&tb=VD&o=14778&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=VX&apn_dtid=YYYYYYYYPL&apn_uid=63772DCA-0346-4945-93DE-5E23F54993EE&apn_sauid=AD82888A-073D-4068-9FEA-3CD6D69BFD14 BHO: greattsAvEr - {0CD9561A-8DC4-2E5D-D151-13A033DC0F3B} - C:\Program Files\greattsAvEr\RInt8.dll () BHO: YoutubeAdblocker - {62A67AFE-0B72-2E83-B072-062CE5BC4E46} - C:\Program Files\YoutubeAdblocker\vktF2.dll () Toolbar: HKCU - No Name - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - No File DPF: {68282C51-9459-467B-95BF-3C0E89627E55} http://www.mks.com.pl/skaner/SkanerOnline.cab FF SearchPlugin: C:\Program Files\mozilla firefox\searchplugins\BearShareWebSearch.xml CHR Extension: (YTTBookMMark) - C:\Documents and Settings\Hubert\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\mmcccllnlcfemdmfmlllhbccmlghammm [2014-01-28] S2 Update FindRight; "C:\Program Files\FindRight\updateFindRight.exe" [X] S3 Ca2001v; System32\Drivers\Ca2001v.sys [X] S3 RT61; system32\DRIVERS\RT61.sys [X] S3 StarOpen; No ImagePath C:\Program Files\greattsAvEr C:\Program Files\FindRight C:\Program Files\YoutubeAdblocker C:\Documents and Settings\All Users\Dane aplikacji\a3e3a92aef77a455 C:\Documents and Settings\All Users\Dane aplikacji\greattsAvEr C:\Documents and Settings\All Users\Dane aplikacji\InstallMate C:\Documents and Settings\All Users\Dane aplikacji\YoutubeAdblocker C:\Documents and Settings\Administrator C:\Documents and Settings\Hubert\Dane aplikacji\newnext.me C:\Documents and Settings\Hubert\Menu Start\Programy\Mobogenie C:\Documents and Settings\Hubert\Ustawienia lokalne\Dane aplikacji\Comodo C:\Documents and Settings\Hubert\Ustawienia lokalne\Dane aplikacji\Mobogenie C:\Documents and Settings\Gość C:\Documents and Settings\SUPPORT_388945a0 C:\Documents and Settings\Pomocnik Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.
2. W międzczasie dorobiłeś się nowego zbędnika, czyli McAfee Security Scan Plus. Odinstaluj.
3. Uruchom TFC - Temp Cleaner.
4. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt.
.
-
Może tego pliku już wcale nie było w momencie przetwarzania skryptu. I na wszelki wypadek dodaj ogólne szukanie na kopie "nukne.dll", bo wg pierwotnych raportów to coś się replikowało w różnych lokalizacjach. Uruchom SystemLook i w oknie wklej:
:filefind nukne.dll
Klikw Look i przedstaw wynikowy raport.
.
-
Open fm ma 0kb a ask toolbar zwraca błąd "nie masz praw administratora" czy jakoś tak
Ale oba programy zniknęły już z listy zainstalowanych. Ogólnie prawie wszystkie operacje wykonane, choć FRST wywalił kilka błędów i są wymagane i inne poprawki:
1. Otwórz Notatnik i wklej w nim:
Unlock: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\RegClean Pro Unlock: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{26F7DDB7-39D8-4A3B-BF4D-4ECD13B5480E} Unlock: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{26F7DDB7-39D8-4A3B-BF4D-4ECD13B5480E} Unlock: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\BonanzaDealsLiveUpdateTaskMachineCore Unlock: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{2A85C3C4-8A96-4F33-826A-A91621107D02} Unlock: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{2A85C3C4-8A96-4F33-826A-A91621107D02} Unlock: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\PC Performer Unlock: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{3311B86D-77D2-41EA-8921-FE93EAB34DA8} Unlock: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{3311B86D-77D2-41EA-8921-FE93EAB34DA8} Unlock: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\RegClean Pro_UPDATES Unlock: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{41BEE9AE-7D80-4102-9E4C-22D84DFCB814} Unlock: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{41BEE9AE-7D80-4102-9E4C-22D84DFCB814} Unlock: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Scheduled Update for Ask Toolbar Unlock: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{423BC4A1-F70D-48D0-9201-76C4712A94C2} Unlock: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{423BC4A1-F70D-48D0-9201-76C4712A94C2} Unlock: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{E6E5484E-F187-426C-BCB3-730EDD4F0C0A} Unlock: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{46E82F5B-4CEC-4DC3-86FC-C2194BE347EA} Unlock: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{46E82F5B-4CEC-4DC3-86FC-C2194BE347EA} Unlock: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Adobe Flash Player Updater Unlock: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{56C1C39B-44E3-4365-80C2-8827DB5E8294} Unlock: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{56C1C39B-44E3-4365-80C2-8827DB5E8294} Unlock: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\BonanzaDealsLiveUpdateTaskMachineUA Unlock: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{6DA06F35-1A95-4370-BD33-9FF60F9B64E7} Unlock: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{6DA06F35-1A95-4370-BD33-9FF60F9B64E7} Unlock: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{A14CFDBB-71D4-4AD1-96D2-2B1EC4EFFCBB} Unlock: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{744E036A-4C2C-4521-B32B-F5025C12D8B6} Unlock: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{744E036A-4C2C-4521-B32B-F5025C12D8B6} Unlock: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\AdobeFlashPlayerUpdate 2 Unlock: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{782503AE-CD0D-4A71-A3FE-58FBEF60194B} Unlock: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{782503AE-CD0D-4A71-A3FE-58FBEF60194B} Unlock: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\BitGuard Unlock: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{9FC8135C-4545-4E25-916E-C0800C077891} Unlock: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{9FC8135C-4545-4E25-916E-C0800C077891} Unlock: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\RegClean Pro_DEFAULT Unlock: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{ACB3845D-DD62-4482-85A9-5A714B561206} Unlock: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{ACB3845D-DD62-4482-85A9-5A714B561206} Unlock: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Game_Booster_AutoUpdate Unlock: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{D87897EE-CF28-4707-BA4D-4FCFCA59F2B6} Unlock: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{D87897EE-CF28-4707-BA4D-4FCFCA59F2B6} Unlock: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\BonanzaDealsUpdate Unlock: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{FDBD43D7-A5A7-48F1-A76F-3BAAFD90F496} Unlock: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{FDBD43D7-A5A7-48F1-A76F-3BAAFD90F496} Unlock: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\AdobeFlashPlayerUpdate Task: {26F7DDB7-39D8-4A3B-BF4D-4ECD13B5480E} - \BonanzaDealsLiveUpdateTaskMachineCore No Task File Task: {2A85C3C4-8A96-4F33-826A-A91621107D02} - \PC Performer No Task File Task: {423BC4A1-F70D-48D0-9201-76C4712A94C2} - \{E6E5484E-F187-426C-BCB3-730EDD4F0C0A} No Task File Task: {46E82F5B-4CEC-4DC3-86FC-C2194BE347EA} - \Adobe Flash Player Updater No Task File Task: {56C1C39B-44E3-4365-80C2-8827DB5E8294} - \BonanzaDealsLiveUpdateTaskMachineUA No Task File Task: {6DA06F35-1A95-4370-BD33-9FF60F9B64E7} - \{A14CFDBB-71D4-4AD1-96D2-2B1EC4EFFCBB} No Task File Task: {744E036A-4C2C-4521-B32B-F5025C12D8B6} - \AdobeFlashPlayerUpdate 2 No Task File Task: {ACB3845D-DD62-4482-85A9-5A714B561206} - \Game_Booster_AutoUpdate No Task File Task: {FDBD43D7-A5A7-48F1-A76F-3BAAFD90F496} - \AdobeFlashPlayerUpdate No Task File C:\Program Files (x86)\Mobogenie C:\Program Files (x86)\Przyspiesz C:\ProgramData\WPM C:\Users\Lee sin\daemonprocess.txt C:\Users\Lee sin\AppData\Local\avgchrome C:\Users\Lee sin\AppData\Local\AVG Secure Search C:\Users\Lee sin\AppData\Local\XulTest C:\Users\Lee sin\AppData\Roaming\Systweak C:\Users\Lee sin\AppData\Roaming\XulTest C:\Users\win7\AppData\Roaming\FoxTab C:\Users\win7\Desktop\Wyczyść rejestr za darmo!.lnk Reg: reg add "HKLM\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000001" /v LibraryPath /t REG_SZ /d ^%SystemRoot^%\system32\NLAapi.dll /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: rd /s /q C:\TDSSKiller_Quarantine CMD: rd /s /q C:\Users\win7\Desktop\FRST-OlderVersion CMD: rd /s /q C:\Users\win7\Downloads\FRST-OlderVersion CMD: del /q C:\Users\win7\Downloads\njmkh7rf.exe CMD: del /q C:\Users\win7\Downloads\ESETNecursCleaner.* CMD: del /q C:\Users\win7\Downloads\tdsskiller.exe CMD: del /q C:\sc-cleaner.txt CMD: C:\Users\win7\Downloads\ComboFix.exe /uninstallAdnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Uruchomi się także deinstalacja ComboFix i proszę czekaj cierpliwie, aż ukończy się ten proces.
2. Preferencje Google Chrome są uszkodzone i nie wygląda na to, by odbył się reset. Powtórz: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki.
3. Uruchom TFC - Temp Cleaner.
4. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt.
.
-
Brak tu jakichkolwiek oznak, by chodziło o czynną infekcję. A log FRST zrobiony z RE jest okrojony, to niestety nie to samo co log spod Windows i brak pewnych detekcji. Są tu owszem odpadki adware i rozwalone preferencje Firefox, ale to nie może być przyczyną problemów:
Laptop zwolnil, BSOD'y, problem z uruchamieniem oprogramowania
Uściślij kiedy pojawia się BSOD i które oprogramowanie jeszcze odmawia współpracy, bo na razie to wymieniłeś w pierwszym poście tylko programy skanujące FRST i GMER. I z logów nic kompletnie nie wynika pod kątem zgłoszeń głównych. Ewentualnie gruby plik HOSTS może zamulać ogólnie system, ale BSOD i problemy uruchomienia nie mogą być wynikiem tego.
Na razie więc mogę zadać tylko drobne czyszczenie:
1. Wyczyść przeglądarki z adware i uszkodzeń:
- Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.
- Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki.
Te procesy nie naruszą zakładek i haseł.
2. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. Przedstaw raport.
3. Uruchom TFC - Temp Cleaner.
4. Uruchom Autoruns i w karcie Drivers usuń te odpadkowe sterowniki (te losowe to prawdopodobnie od MSSE):
==================== Drivers (Whitelisted) ====================
S1 abuodihm; \??\C:\Windows\system32\drivers\abuodihm.sys [X]
S1 akdlfeuy; \??\C:\Windows\system32\drivers\akdlfeuy.sys [X]
S1 bdlptnii; \??\C:\Windows\system32\drivers\bdlptnii.sys [X]
S1 dsxqgelt; \??\C:\Windows\system32\drivers\dsxqgelt.sys [X]
S1 ethtrwpv; \??\C:\Windows\system32\drivers\ethtrwpv.sys [X]
S1 eztpateu; \??\C:\Windows\system32\drivers\eztpateu.sys [X]
S1 gtyuxiio; \??\C:\Windows\system32\drivers\gtyuxiio.sys [X]
S1 gxxpbglm; \??\C:\Windows\system32\drivers\gxxpbglm.sys [X]
S1 huncqdbp; \??\C:\Windows\system32\drivers\huncqdbp.sys [X]
S3 igfx; system32\DRIVERS\igdkmd32.sys [X]
S1 jyrorhts; \??\C:\Windows\system32\drivers\jyrorhts.sys [X]
S1 lymajafs; \??\C:\Windows\system32\drivers\lymajafs.sys [X]
S1 oghyxvei; \??\C:\Windows\system32\drivers\oghyxvei.sys [X]
S1 owdqcwib; \??\C:\Windows\system32\drivers\owdqcwib.sys [X]
S1 oyzhkdgo; \??\C:\Windows\system32\drivers\oyzhkdgo.sys [X]
S1 qhrurfmc; \??\C:\Windows\system32\drivers\qhrurfmc.sys [X]
S1 qlvfpilp; \??\C:\Windows\system32\drivers\qlvfpilp.sys [X]
S1 qrzmwtrp; \??\C:\Windows\system32\drivers\qrzmwtrp.sys [X]
S1 riwlfdod; \??\C:\Windows\system32\drivers\riwlfdod.sys [X]
S1 tjijogan; \??\C:\Windows\system32\drivers\tjijogan.sys [X]
S1 tvlprrrn; \??\C:\Windows\system32\drivers\tvlprrrn.sys [X]
S1 uvsucsal; \??\C:\Windows\system32\drivers\uvsucsal.sys [X]
S1 vepcxnbt; \??\C:\Windows\system32\drivers\vepcxnbt.sys [X]
S1 vwkdeeux; \??\C:\Windows\system32\drivers\vwkdeeux.sys [X]
S1 wljgevkq; \??\C:\Windows\system32\drivers\wljgevkq.sys [X]
5. Plik HOSTS ogromny:
O1 HOSTS File: ([2010-03-21 15:22:39 | 000,380,731 | R--- | M]) - C:\Windows\System32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1 localhost
O1 - Hosts: ::1 localhost
O1 - Hosts: 127.0.0.1 www.007guard.com
O1 - Hosts: 127.0.0.1 007guard.com
O1 - Hosts: 127.0.0.1 008i.com
O1 - Hosts: 127.0.0.1 www.008k.com
O1 - Hosts: 127.0.0.1 008k.com
O1 - Hosts: 127.0.0.1 www.00hq.com
O1 - Hosts: 127.0.0.1 00hq.com
O1 - Hosts: 127.0.0.1 010402.com
O1 - Hosts: 127.0.0.1 www.032439.com
O1 - Hosts: 127.0.0.1 032439.com
O1 - Hosts: 127.0.0.1 www.0scan.com
O1 - Hosts: 127.0.0.1 0scan.com
O1 - Hosts: 127.0.0.1 www.1000gratisproben.com
O1 - Hosts: 127.0.0.1 1000gratisproben.com
O1 - Hosts: 127.0.0.1 www.1001namen.com
O1 - Hosts: 127.0.0.1 1001namen.com
O1 - Hosts: 127.0.0.1 www.100888290cs.com
O1 - Hosts: 127.0.0.1 100888290cs.com
O1 - Hosts: 127.0.0.1 www.100sexlinks.com
O1 - Hosts: 127.0.0.1 100sexlinks.com
O1 - Hosts: 127.0.0.1 10sek.com
O1 - Hosts: 127.0.0.1 www.10sek.com
O1 - Hosts: 127.0.0.1 1-2005-search.com
O1 - Hosts: 13117 more lines...
Uruchom narzędzie Fix-it resetujące plik: KLIK.
6. Po wszystkim spróbuj ponowić skan FRST spod Windows, pole Addition, ma być zaznaczone.
.
-
dodatkowo dołączam nowy log z FRST mimo że nie napisałaś żebym dołączył ale wydaje mi się że po to go robiłem
Ale to było oczywiste, że raport robisz, po to by go dołączyć:
6. Zrób nowy skan FRST (bez Addition).
Przy przetwarzaniu skryptu pokazały się błędy. Dodaj mi jeszcze log FRST Addition.
.
-
Próba skasowania sptd w rejestrze zakonczyła się pomyślnie, nie wiem dlaczego nie wywaliło mi komunikatu "błąd przy usuwaniu klucza" (Untitled2.jpg).
Najwyraźniej usuwałeś SPTD już po skanie FRST, gdyż w FRST sterownik SPTD jest w formie czynnej:
R0 sptd; C:\Windows\System32\Drivers\sptd.sys [564824 2013-06-15] (Duplex Secure Ltd.)
U3 aqfbvqac; C:\Windows\System32\Drivers\aqfbvqac.sys [0 ] (Advanced Micro Devices)
Jest tu poważna infekcja, która blokuje uruchamianie programów zabezpieczających i je uszkadza oraz próbuje resetować uprawnienia obiektów, które się uruchamia / dotyka. Infekcja prawdpodobnie nabyta przez crack. Co pobierałeś i uruchamiałeś ostatnio z tej kategorii? Przeprowadź następujące działania:
1. Otwórz Notatnik i wklej w nim:
() C:\ProgramData\NTKernel\nt32.exe (Microsoft Corporation) C:\Windows\SysWOW64\WScript.exe C:\ProgramData\load32.exe C:\ProgramData\392817338.vbs C:\ProgramData\{$5365-6581-2698-7441-1850$} C:\ProgramData\NTKernel C:\Program Files (x86)\Mobogenie C:\Users\Artur Machnicki\Documents\315load32.exe C:\Users\Artur Machnicki\AppData\Local\genienext C:\Users\Artur Machnicki\AppData\Local\Mobogenie C:\Users\Artur Machnicki\AppData\Roaming\ATI C:\Users\Artur Machnicki\AppData\Roaming\system.ini HKLM\...\Run: [sBRegRebootCleaner] - "C:\Program Files (x86)\Ad-Aware Antivirus\SBRC.exe" HKLM-x32\...\Run: [Ad-Aware Browsing Protection] - C:\ProgramData\Ad-Aware Browsing Protection\adawarebp.exe [0 2014-02-10] () HKLM-x32\...\Run: [Ad-Aware Antivirus] - "C:\Program Files (x86)\Ad-Aware Antivirus\AdAwareLauncher" --windows-run HKLM-x32\...\Run: [iSaverCtrl] - "C:\Program Files (x86)\iSaver\iSaverCtrl.exe" --startup HKLM-x32\...\Run: [mobilegeni daemon] - C:\Program Files (x86)\Mobogenie\DaemonProcess.exe HKLM-x32\...\Run: [NT Kernel Service] - C:\ProgramData\NTKernel\nt32.exe -rundll32 /SYSTEM32 "C:\Windows\System32\taskmgr.exe" "C:\Program Files\Microsoft\Windows" HKU\S-1-5-21-1555391868-1872542918-1764165259-1000\...\CurrentVersion\Windows: [Load] C:\ProgramData\NTKernel\nt32.exe HKU\S-1-5-21-1555391868-1872542918-1764165259-1000\...\Winlogon: [shell] explorer.exe,"C:\ProgramData\load32.exe" [319488 2014-02-09] () IFEO\AvastSvc.exe: [Debugger] C:\Users\Artur Machnicki\Documents\315load32.exe IFEO\AvastUI.exe: [Debugger] C:\Users\Artur Machnicki\Documents\315load32.exe IFEO\avgcsrvx.exe: [Debugger] C:\Users\Artur Machnicki\Documents\315load32.exe IFEO\avgidsagent.exe: [Debugger] C:\Users\Artur Machnicki\Documents\315load32.exe IFEO\avgrsx.exe: [Debugger] C:\Users\Artur Machnicki\Documents\315load32.exe IFEO\avgui.exe: [Debugger] C:\Users\Artur Machnicki\Documents\315load32.exe IFEO\avgwdsvc.exe: [Debugger] C:\Users\Artur Machnicki\Documents\315load32.exe IFEO\avp.exe: [Debugger] euaie.exe IFEO\bdagent.exe: [Debugger] euaie.exe IFEO\ccuac.exe: [Debugger] euaie.exe IFEO\ComboFix.exe: [Debugger] euaie.exe IFEO\egui.exe: [Debugger] euaie.exe IFEO\hijackthis.exe: [Debugger] euaie.exe IFEO\instup.exe: [Debugger] C:\Users\Artur Machnicki\Documents\315load32.exe IFEO\keyscrambler.exe: [Debugger] euaie.exe IFEO\mbam.exe: [Debugger] euaie.exe IFEO\mbamgui.exe: [Debugger] C:\Users\Artur Machnicki\Documents\315load32.exe IFEO\mbampt.exe: [Debugger] C:\Users\Artur Machnicki\Documents\315load32.exe IFEO\mbamscheduler.exe: [Debugger] C:\Users\Artur Machnicki\Documents\315load32.exe IFEO\mbamservice.exe: [Debugger] C:\Users\Artur Machnicki\Documents\315load32.exe IFEO\MpCmdRun.exe: [Debugger] euaie.exe IFEO\MSASCui.exe: [Debugger] euaie.exe IFEO\MsMpEng.exe: [Debugger] euaie.exe IFEO\msseces.exe: [Debugger] euaie.exe IFEO\rstrui.exe: [Debugger] C:\Users\Artur Machnicki\Documents\315load32.exe IFEO\spybotsd.exe: [Debugger] euaie.exe IFEO\wireshark.exe: [Debugger] euaie.exe IFEO\zlclient.exe: [Debugger] euaie.exe Startup: C:\Users\Artur Machnicki\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Update.Microsoft.com.url () Startup: C:\Users\Artur Machnicki\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Windows.ini.url () HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.v9.com/?utm_source=b&utm_medium=fft-1&from=fft-1&uid=ST1000DM003-9YN162_Z1D0JDRF____Z1D0JDRF&ts=1361878551 HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.v9.com/?utm_source=b&utm_medium=fft-1&from=fft-1&uid=ST1000DM003-9YN162_Z1D0JDRF____Z1D0JDRF&ts=1361878551 SearchScopes: HKCU - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://search.v9.com/web/?q={searchTerms} SearchScopes: HKCU - {B0ADBAC7-AE88-4EDF-AB11-41397ADE9100} URL = http://websearch.ask.com/redirect?client=ie&tb=FF&o=14594&src=kw&q={searchTerms}&locale=&apn_ptnrs=^FV&apn_dtid=^YYYYYY^YY^PL&apn_uid=e2419489-7227-409f-9c5e-095c90e69efa&apn_sauid=739310FC-BE88-4516-8212-0C0D0DDDC73A FF SearchEngineOrder.1: Ask.com HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\61482591.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\61482591.sys => ""="Driver" File: C:\Windows\system32\vbscript.dll File: C:\Windows\SysWOW64\vbscript.dll Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows Script Host" /s Reg: reg query HKLM\SYSTEM\CurrentControlSet\Services\Schedule /sAdnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przejdź w Tryb awaryjny Windows. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.
2. Uruchom TFC - Temp Cleaner.
3. Przejdź w Tryb normalny Windows. Zrób nowe skany FRST (bez Addition) i GMER. Dołącz też plik fixlog.txt.
.
-
Wprawdzie prawie wszystko wykonane i nie ma oznak czynnej infekcji, ale plik infekcji nie usunął się. Poprawka. Otwórz Notatnik i wklej w nim:
Unlock: C:\Documents and Settings\NetworkService\Dane aplikacji\nukne.dll C:\Documents and Settings\NetworkService\Dane aplikacji\nukne.dll
Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.
.
-
Proszę nie duplikować tematów, to jest tu zabronione i niczego nie przyśpieszy (wręcz przeciwnie). Dubel leci do kosza. Log z FRST po raz kolejny niekompletny, brak pliku Addition. Temat również przenoszę do działu Sieci, gdyż nie ma tu podstaw do szukania infekcji. Są tylko drobne odpadki adware, ale to kompletnie bez związku z problemem. Ich czyszczenie + fragmentów odinstalowanych programów w spoilerze:
1. W Google Chrome odmontuj adware wprowadzone przez IOBit: Ustawienia > karta Rozszerzenia > odinstaluj Amazon Shopping Assistant by Spigot, Domain Error Assistant, Ebay Shopping Assistant by Spigot.
2. Otwórz Notatnik i wklej w nim:
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.windowsxlive.net SearchScopes: HKCU - DefaultScope {E6862C52-5312-4A02-8FFB-EA3E488CBA5E} URL = http://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=402027&p={searchTerms} SearchScopes: HKCU - {E6862C52-5312-4A02-8FFB-EA3E488CBA5E} URL = http://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=402027&p={searchTerms} FF user.js: detected! => C:\Documents and Settings\Miler\Dane aplikacji\Mozilla\Firefox\Profiles\32i2h0di.default\user.js FF Keyword.URL: hxxp://search.yahoo.com/search?fr=greentree_ff1&ei=utf-8&ilc=12&type=402027&p= FF SearchPlugin: C:\Documents and Settings\Miler\Dane aplikacji\Mozilla\Firefox\Profiles\32i2h0di.default\searchplugins\yahoo_ff.xml CHR HKLM\...\Chrome\Extension: [hbcennhacfaagdopikcegfcobcadeocj] - C:\Program Files\Common Files\Spigot\GC\saebay_1.1.crx [2013-10-14] CHR HKLM\...\Chrome\Extension: [icdlfehblmklkikfigmjhbmmpmkmpooj] - C:\Program Files\Common Files\Spigot\GC\ErrorAssistant_1.3.crx [2013-12-27] CHR HKLM\...\Chrome\Extension: [pfndaklgolladniicklehhancnlgocpp] - C:\Program Files\Common Files\Spigot\GC\saamazon_1.0.crx [2012-11-22] S4 AVGIDSAgent; "C:\Program Files\AVG\AVG2014\avgidsagent.exe" [X] C:\KRECYCLE C:\Documents and Settings\All Users\Dane aplikacji\AVG2014 C:\Documents and Settings\All Users\Dane aplikacji\CheckPoint C:\Documents and Settings\All Users\Dane aplikacji\Lavasoft C:\Documents and Settings\Miler\Dane aplikacji\Lavasoft C:\Documents and Settings\Miler\Dane aplikacji\LavasoftStatistics C:\Documents and Settings\Miler\Dane aplikacji\newnext.me C:\Documents and Settings\Miler\Ustawienia lokalne\Temp\*.exe C:\Documents and Settings\Miler\Ustawienia lokalne\Dane aplikacji\genienext C:\Documents and Settings\Miler\Ustawienia lokalne\Dane aplikacji\ESET C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\ESET C:\Program Files\AVG C:\Program Files\Common Files\Lavasoft C:\Program Files\Common Files\Spigot C:\Program Files\Mobogenie C:\WINDOWS\system32\%InstallDir%speclean.exe
Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.
Od niedawna drastycznie zwolnil mi internet.
Cóż, od razu zwracają tu uwagę programy zabezpieczące mocno ingerujące w sieć, które co dopiero (w styczniu) były instalowane w odstępie zaledwie paru dni (więc trudno zgadywać który jest bardziej podejrzany): 360 Internet Security, Online Armor 6.0. I jeśli ten 360 Internet Security ma czynny firewall, to grubo przesadziłeś (dwie zapory w tym samym czasie). Sprawdź ich testową deinstalację, ale nie wykonuj obu deinstalacji na raz, tylko sprawdzaj efekty przedzielając resetami systemu. Jeśli zmian nie będzie, dołącz raporty wymagane działem Sieci: KLIK. Częściowo już zrealizowane:
Moze niepotrzebnie dalem net-log ,bo widze duze zainteresowanie tym wlasnie logiem przez innych uzytkownikow?
Pobieranie nie ma żadnego znaczenia. Nikt tego nie wykorzysta. Temat omawiany na forum: KLIK.
.
-
Brak tu jakichkolwiek oznak infekcji. Temat przenoszę do działu sieci. Zasady działu: KLIK. Od razu wspomnę, że w Dzienniku jest następujący błąd:
==================== Faulty Device Manager Devices =============
Name: ASUS NX1001 Network Adapter
Description: ASUS NX1001 Network Adapter
Class Guid: {4D36E972-E325-11CE-BFC1-08002BE10318}
Manufacturer: ASUSTek Computer Inc
Service: ip100Avista
Problem: : This device cannot start. (Code10)
Resolution: Device failed to start. Click "Update Driver" to update the drivers for this device.
On the "General Properties" tab of the device, click "Troubleshoot" to start the troubleshooting wizard.
PS. I odinstaluj zbędnik (pewnie instalacja sponsorowana): McAfee Security Scan.
.
-
W raportach brak oznak tej infekcji Facebook jest tylko adware. Zanim się nim zajmę dodaj obowiązkowy log z GMER, by było pewne że nie ma nic ukrytego. I pobierz najnowszą wersję FRST (ma nową detekcję poliyk Google wprowadzoną dzoś w nocy) i zrób nowy skan.
.
-
Ten błąd Winamp Packages może się zdarzyć. Jak sądzę wpis został usunięty automatycznie z listy zainstalowanych programów. Ja i tak za pomocą skryptu FRST w kroku dwa (czyli po deinstalacji) wyrzuciłam z dysku powiązany katalog C:\Users\XoX\AppData\Roaming\0D1F1S1C1P0P1C1F1N1C1T1H2UtF1E1I. I możesz już kończyć zadania:
1. Uruchom TFC - Temp Cleaner.
2. Przez SHIFT+DEL (omija Kosz) skasuj z dysku:
C:\AdwCleaner
C:\FRST
C:\Users\XoX\Downloads\Programy LOGI\FRST64.exe
W OTL uruchom Sprzątanie.
3. Wyczyść foldery Przywracania systemu: KLIK.
4. Zaktualizuj wyliczone poniżej programy: KLIK. Wg raportu są tu następujące wersje:
Internet Explorer Version 10
==================== Installed Programs ======================
Adobe Flash Player 11 ActiveX (x32 Version: 11.7.700.224 - Adobe Systems Incorporated) ----> wtyczka dla IE
Adobe Flash Player 11 Plugin (x32 Version: 11.7.700.224 - Adobe Systems Incorporated) ----> wtyczka dla Firefox/Opera
Adobe Reader XI - Polish (x32 Version: 11.0.00 - Adobe Systems Incorporated)
Microsoft Office Enterprise 2007 (x32 Version: 12.0.4518.1014 - Microsoft Corporation) ----> instalacja pakietu SP3
Microsoft Silverlight (Version: 5.1.20513.0 - Microsoft Corporation)
Mozilla Firefox 26.0 (x86 pl) (x32 Version: 26.0 - Mozilla)
Opera 12.15 (x32 Version: 12.15.1748 - Opera Software ASA)
.
-
Aha, przy próbach skanowania TFC, program się zawiesza. Nie wiem, czy to przez ilość plików, czy przez co. Spróbuję go może puścić na noc.
Przejdź w Tryb awaryjny Windows i ponów próbę. Poproszę także o zrobienie nowego raportu FRST Addition.
.
-
Temat przenoszę do działu Sieci. Oznak infekcji brak. Jedynie drobna sprawa szczątka adware w Google Chrome, ale nie wiąż tego z problemami (kompletny brak związku). Pod tym kątem działania w spoilerze:
Otwórz Notatnik i wklej w nim:
CHR HKCU\...\Chrome\Extension: [cflheckfmhopnialghigdlggahiomebp] - C:\Users\Lukasz\AppData\Local\CRE\cflheckfmhopnialghigdlggahiomebp.crx [2014-01-03] CHR HKLM-x32\...\Chrome\Extension: [cflheckfmhopnialghigdlggahiomebp] - C:\Users\Lukasz\AppData\Local\CRE\cflheckfmhopnialghigdlggahiomebp.crx [2014-01-03] C:\Users\Lukasz\AppData\Local\CRE
Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.
chciałbym wykluczyć wystąpienie np programu blokującego dostęp do internetu niektórym usługom
Przy problemach sieci od razu zwraca uwagę modyfikacja Winsock przeprowadzona przez program proksyfikacyjny WideCap:
Winsock: Catalog5 08 C:\Program Files (x86)\WideCap\widecapdrv.dll [327168] ()
Winsock: Catalog9 01 C:\Program Files (x86)\WideCap\widecapdrv.dll [327168] ()
Winsock: Catalog9 02 C:\Program Files (x86)\WideCap\widecapdrv.dll [327168] ()
Winsock: Catalog9 03 C:\Program Files (x86)\WideCap\widecapdrv.dll [327168] ()
Winsock: Catalog9 04 C:\Program Files (x86)\WideCap\widecapdrv.dll [327168] ()
Winsock: Catalog9 05 C:\Program Files (x86)\WideCap\widecapdrv.dll [327168] ()
Winsock: Catalog9 17 C:\Program Files (x86)\WideCap\widecapdrv.dll [327168] ()
Odinstaluj program. Zresetuj Winsock komendą netsh winsock reset: KLIK. I zobaczymy.
zmagam się z dość dziwnym problemem w Chrome - dziś przy próbie wysłania przelewu w ING powinno pojawić mi się okienko z wpisaniem kodu z wiadomości SMS - kilka prób - dostałem następujący komunikat
A czy ta przeglądarka w ogóle współpracuje z witryną? Na Facebooku (KLIK) jest taki oto komentarz:
"Dla poprawnego funkcjonowania usługi ING BankOnLine rekomendujemy przeglądarkę Internet Explorer oraz Mozilla Firefox. Przeglądarka Google Chrome nie jest rekomendowana przez Bank do korzystania z usługi ING BankOnLine."
.
-
Nie widzę tu żadnych oznak infekcji.
Od jakiegoś czasu zaobserwowałem powolną pracę komputera. Czasem trzeba czekać kilkadziesiąt sekund na otwarcie pliku word'owskiego itp.
Pierwszy podejrzany to niestety Kaspersky Internet Security. Wstępnie wyłącz ochronę rezydentną i sprawdź jak sytuacja w takich warunkach wygląda. Rzetelny test to i tak pełna testowa deinstalacja programu (jedyny proces odcinający wszystkie czynności).
.
-
Nie przedstawiłeś w czym Avira widzi tytułowego delikwenta, czyli dokładna ścieżka dostępu. A reklamy w Firefox są spowodowane czynnym adware. Jeden z obiektów adware (Movies Toolbar) został niepoprawnie już czymś naruszony / odinstalowany (brak wejścia na liście zainstalowanych). Wykonaj następujące działania:
1. Otwórz Notatnik i wklej w nim:
() C:\Program Files\BuzzSearch\updateBuzzSearch.exe () C:\Program Files\BuzzSearch\bin\utilBuzzSearch.exe S2 bonanzadealslive; C:\Program Files\BonanzaDealsLive\Update\BonanzaDealsLive.exe [148976 2013-11-27] (BonanzaDeals) S3 bonanzadealslivem; C:\Program Files\BonanzaDealsLive\Update\BonanzaDealsLive.exe [148976 2013-11-27] (BonanzaDeals) R2 Update BuzzSearch; C:\Program Files\BuzzSearch\updateBuzzSearch.exe [80160 2014-02-11] () R2 Util BuzzSearch; C:\Program Files\BuzzSearch\bin\utilBuzzSearch.exe [80160 2014-02-11] () S2 DatamngrCoordinator; C:\Program Files\Movies Toolbar\Datamngr\DatamngrCoordinator.exe [X] AppInit_DLLs: C:\PROGRA~2\Wincert\WIN32C~1.DLL => C:\ProgramData\Wincert\win32cert.dll [7168 2013-11-04] () AppInit_DLLs: C:\PROGRA~1\MOVIES~1\Datamngr\mgrldr.dll => File Not Found IFEO\bitguard.exe: [Debugger] tasklist.exe IFEO\bprotect.exe: [Debugger] tasklist.exe IFEO\bpsvc.exe: [Debugger] tasklist.exe IFEO\browsemngr.exe: [Debugger] tasklist.exe IFEO\browserdefender.exe: [Debugger] tasklist.exe IFEO\browsermngr.exe: [Debugger] tasklist.exe IFEO\browserprotect.exe: [Debugger] tasklist.exe IFEO\browsersafeguard.exe: [Debugger] tasklist.exe IFEO\bundlesweetimsetup.exe: [Debugger] tasklist.exe IFEO\cltmngsvc.exe: [Debugger] tasklist.exe IFEO\delta babylon.exe: [Debugger] tasklist.exe IFEO\delta tb.exe: [Debugger] tasklist.exe IFEO\delta2.exe: [Debugger] tasklist.exe IFEO\deltainstaller.exe: [Debugger] tasklist.exe IFEO\deltasetup.exe: [Debugger] tasklist.exe IFEO\deltatb.exe: [Debugger] tasklist.exe IFEO\deltatb_2501-c733154b.exe: [Debugger] tasklist.exe IFEO\iminentsetup.exe: [Debugger] tasklist.exe IFEO\protectedsearch.exe: [Debugger] tasklist.exe IFEO\rjatydimofu.exe: [Debugger] tasklist.exe IFEO\searchprotection.exe: [Debugger] tasklist.exe IFEO\snapdo.exe: [Debugger] tasklist.exe IFEO\stinst32.exe: [Debugger] tasklist.exe IFEO\stinst64.exe: [Debugger] tasklist.exe IFEO\sweetimsetup.exe: [Debugger] tasklist.exe IFEO\tbdelta.exetoolbar783881609.exe: [Debugger] tasklist.exe HKLM\...\AppCertDlls: [x86] -> C:\Program Files\Movies Toolbar\Datamngr\apcrtldr.dll HKLM\...\AppCertDlls: [x64] -> c:\program files\movies toolbar\datamngr\x64\apcrtldr.dll Task: {79F8A8D3-1AE4-4463-892E-916CD86F852B} - System32\Tasks\BonanzaDealsLiveUpdateTaskMachineCore => C:\Program Files\BonanzaDealsLive\Update\BonanzaDealsLive.exe [2013-11-27] (BonanzaDeals) Task: {7A8737D2-CA63-45D6-9C38-F83C40379319} - System32\Tasks\Update Bonanza => C:\Users\Anna\AppData\Roaming\UpdateBonanza\UpdateProc\UpdateTask.exe [2013-04-12] () Task: {A88B98C2-5C0C-49E9-9B94-CB4049D20B75} - System32\Tasks\BonanzaDealsLiveUpdateTaskMachineUA => C:\Program Files\BonanzaDealsLive\Update\BonanzaDealsLive.exe [2013-11-27] (BonanzaDeals) Task: {C76A4E0B-D39B-4A88-9A9A-1F65F0F0F549} - System32\Tasks\BonanzaDealsUpdate => C:\Program Task: {F2763F91-1D49-4D14-BED8-F8B30CD3E0EB} - System32\Tasks\Bonanza => C:\Users\Anna\AppData\Roaming\Bonanza\UpdateProc\UpdateTask.exe [2013-04-30] () Task: C:\Windows\Tasks\Bonanza.job => C:\Users\Anna\AppData\Roaming\Bonanza\UPDATE~1\UPDATE~1.EXE Task: C:\Windows\Tasks\BonanzaDealsLiveUpdateTaskMachineCore.job => C:\Program Files\BonanzaDealsLive\Update\BonanzaDealsLive.exe Task: C:\Windows\Tasks\BonanzaDealsLiveUpdateTaskMachineUA.job => C:\Program Files\BonanzaDealsLive\Update\BonanzaDealsLive.exe Task: C:\Windows\Tasks\Update Bonanza.job => C:\Users\Anna\AppData\Roaming\UPDATE~1\UPDATE~1\UPDATE~1.EXE HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.search.ask.com/?o=APN10645A&gct=hp&d=406-429&v=n10781-213&t=4 SearchScopes: HKLM - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2406} URL = http://dts.search.ask.com/sr?src=ieb&gct=ds&appid=429&systemid=406&v=n10781-213&apn_uid=4516562624904700&apn_dtid=BND406&o=APN10645&apn_ptnrs=AG6&q={searchTerms} SearchScopes: HKCU - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2406} URL = http://dts.search.ask.com/sr?src=ieb&gct=ds&appid=429&systemid=406&v=n10781-213&apn_uid=4516562624904700&apn_dtid=BND406&o=APN10645&apn_ptnrs=AG6&q={searchTerms} BHO: Movies Toolbar (Dist. by Bandoo Media, Inc.) - {3d86a75b-cb6b-4764-885d-ca6336f04ba2} - C:\Program Files\Movies Toolbar\Datamngr\SRTOOL~1\IE\searchresultsDx.dll () BHO: BuzzSearch - {5cf5a690-c8f4-488e-9d20-f21aef602d41} - C:\Program Files\BuzzSearch\BuzzSearchBHO.dll (BuzzSearch) BHO: BonanzaDeals - {fe063412-bea4-4d76-8ed3-183be6220d17} - C:\Program Files\BonanzaDeals\BonanzaDealsIE.dll (BonanzaDeals) Toolbar: HKLM - Movies Toolbar (Dist. by Bandoo Media, Inc.) - {3d86a75b-cb6b-4764-885d-ca6336f04ba2} - C:\Program Files\Movies Toolbar\Datamngr\SRTOOL~1\IE\searchresultsDx.dll () FF Plugin: @tools.bdupdater.com/BonanzaDealsLive Update;version=3 - C:\Program Files\BonanzaDealsLive\Update\1.3.23.0\npGoogleUpdate3.dll (BonanzaDeals) FF Plugin: @tools.bdupdater.com/BonanzaDealsLive Update;version=9 - C:\Program Files\BonanzaDealsLive\Update\1.3.23.0\npGoogleUpdate3.dll (BonanzaDeals) C:\Program Files\BonanzaDealsLive C:\Program Files\Movies Toolbar C:\ProgramData\WincertAdnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.
2. Przez Panel sterowania odinstaluj adware Bonanza Deals (remove only), BuzzSearch 2013.11.07.232809, McAfee Security Scan Plus.
3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone.
4. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania.
5. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt i log z AdwCleaner.
.
-
Hmmm, ja tu nie widzę żadnych oznak infekcji i dopasowanych do efektu obiektów. Są tylko drobne rzeczy adware i podejrzany plik ClickHeretoDownload-fbEePLi.exe w Pobranych (usuwam poniżej). Dodaj log z GMER.
W kwestii owych drobnostek:
1. Przez Panel sterowania odinstaluj adware Skype Packages. To nie jest to co nazwa sugeruje, tylko wrapper adware.
2. Otwórz Notatnik i wklej w nim:
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.searchgol.com/?babsrc=HP_ss&mntrId=AA580617C4199369&affID=119357&tsp=5021 SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.searchgol.com/?q={searchTerms}&babsrc=SP_ss&mntrId=AA580617C4199369&affID=119357&tsp=5021 C:\Users\Magda\Downloads\ClickHeretoDownload-fbEePLi.exe C:\Users\Magda\AppData\Roaming\0F1F1C2Y1H1P1C0I0T C:\Users\Magda\AppData\Roaming\Babylon C:\Users\Magda\AppData\Roaming\DSite
Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.
.
-
Na zakończenie jeszcze zaktualizuj te programy:
==================== Installed Programs ======================
Adobe Flash Player 11 ActiveX (x32 Version: 11.9.900.170 - Adobe Systems Incorporated) ----> wtyczka dla IE
Adobe Flash Player 11 Plugin (x32 Version: 11.9.900.170 - Adobe Systems Incorporated) ----> wtyczka dla Firefox/Opera
Foxit Reader (x32 Version: 6.0.3.524 - Foxit Corporation)
Java 7 Update 45 (x32 Version: 7.0.450 - Oracle)
Java 7 (64-bit) (Version: 7.0.0 - Oracle)
Jak zawsze mała pomoc na utrzymanie serwisu - bo warto
Dzięki!
.
-
Wszystko wykonane. Finalizujemy sprawy:
1. Drobna poprawka na odpadkowe foldery. Otwórz Notatnik i wklej w nim:
C:\Documents and Settings\All Users\Dane aplikacji\SaveSenseLive C:\Documents and Settings\Ja\Dane aplikacji\aartemis C:\Documents and Settings\Ja\Dane aplikacji\newnext.me C:\Documents and Settings\Ja\Dane aplikacji\SaveSense C:\Documents and Settings\Ja\Menu Start\Programy\SaveSense C:\Documents and Settings\Ja\Ustawienia lokalne\Dane aplikacji\SaveSense C:\Documents and Settings\Ja\Ustawienia lokalne\Dane aplikacji\SaveSenseLive C:\Program Files\SaveSenseLive
Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw fixlog.txt. Po jego potwierdzeniu kończ:
2. Przez SHIFT+DEL (omija Kosz) skasuj narzędzia (z wyjątkiem OTL i AdwCleaner) i ich logi, w tym:
C:\sc-cleaner.txt
C:\FRST
C:\Documents and Settings\Ja\Pulpit\FRST.exe
W AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie.
3. Uruchom TFC - Temp Cleaner.
4. Wyczyść foldery Przywracania systemu: KLIK. O ile jest co czyścić (w pierwszym raporcie nie było żadnych punktów).
5. Zaktualizuj zakreślone poniżej programy: KLIK.
==================== Installed Programs ======================
Adobe Flash Player 11 Plugin (Version: 11.8.800.94 - Adobe Systems Incorporated) ----> wtyczka dla Firefox/Opera (odinstaluj całkowicie)
Adobe Shockwave Player 12.0 (Version: 12.0.3.133 - Adobe Systems, Inc.)
Java 7 Update 25 (Version: 7.0.250 - Oracle)
Microsoft Office Enterprise 2007 (Version: 12.0.4518.1014 - Microsoft Corporation) ----> instalacja pakietu SP3
Microsoft Silverlight (Version: 5.1.20513.0 - Microsoft Corporation)
.
-
Chciałbym zapytać, czy to normalne, że ikonki (patrz. zdjęcie) "inne urządzenia" i "nieznane urządzenie" są na żółto?
Jest to normalne w przypadku braku określonych sterowników. Z Menedżera urządzeń wynika, że jest jakieś urządzenie, do którego brak sterowników. Ja to widziałam już w raporcie FRST Addition:
==================== Faulty Device Manager Devices =============
Name:
Description:
Class Guid: {4D36E97E-E325-11CE-BFC1-08002BE10318}
Manufacturer:
Service:
Problem: : The drivers for this device are not installed. (Code 28)
Resolution: To install the drivers for this device, click "Update Driver", which starts the Hardware Update wizard.
Google Chrome zainstalowałem bo naiwnie myślałem, że może to wina Firefoksa :/ Instalowałem przeglądarkę i pewnie nieumyślnie zaznaczyłem "synchronizację z serwerem Google", w jaki sposób można to wyłączyć? I jak wywalić pozostałe śmieci?
1. Wyłącz synchronizację z serwerem. Wchodzisz przez ten link: KLIK. Powinna się pokazać opcja:
"Zatrzymać synchronizację i wyczyścić zsynchronizowane dane Chrome?
Czy na pewno chcesz zatrzymać synchronizację i wyczyścić wszystkie zsynchronizowane dane Chrome z serwerów Google?
Tego działania nie można cofnąć, a jego wykonywanie może potrwać kilka godzin."
2. Po wyłączeniu synchronizacji w Google Chrome:
- Ustawienia > karta Rozszerzenia > odinstaluj GoPhoto.it
- Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.
3. Zrób nowy log FRST (bez Addition).
.
-
Urządzenie F zostało pomyślnie wyczyszczone, możesz już nań wchodzić. Odinstaluj USBFix, przez SHIFT+DEL skasuj FRST i folder C:\FRST. To tyle.
.
-
ad 4 błąd zdjęcie w załączniku
Ale przecież ja zadałam do deinstalacji Smart File Advisor 1.1.3, a na obrazku jest Alcohol 52%... I ten błąd Alcohol stąd, że wyłączyłeś sterownik SPTD:
S4 sptd; C:\Windows\System32\Drivers\sptd.sys [386680 2014-01-27] (Duplex Secure Ltd.)
By Alcohol poprawie się odinstalował, musisz przywrócić czynność sterownika SPTD narzędziem Defogger: KLIK.
1. MBAM: wykryte adware, usunięte bez poprawnej deinstalacji via Panel sterowania. A wymowne są detekcje plików, które wprowadziły adware: PUP.Optional.Dobreprogramy (i bardzo dobrze, że MBAM to flaguje, bo trzeba takie bezczelne praktyki piętnować). Do czytania cały materiał na temat pobierania z portali (w tym dobreprogramy.pl), portalowych "asystentów" i zagrożeń z tym związanych: KLIK.
2. Użycie ComboFix w oczekiwaniu na odpowiedź na forum było zupełnie nietrafionym pomysłem. Jego użycie nie miało tu znaczenia i nic ComboFix nie wykonał pod kątem problemu głównego. Na temat stosowania ComboFix: KLIK.
3. Zadania wykonane, ale pojawił się tu jakiś nowy niepokojący odczyt i zastanawiam się czy ComboFix nie uszkodził czegoś. Usługa Zapory systemu Windows jest prezentowana w następujący sposób:
==================== Services (Whitelisted) =================
S3 MpsSvc; . [0 2014-02-10] ()
Dodaj log z Farbar Service Scanner.
.
-
Polityka została pomyślnie usunięta. Teraz wejdź do Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj Media Player. Na wszelki wypadek zresetuj system, następnie otwórz ponownie Google Chrome i potwierdź, że rozszerzenie nie wróciło.
.
Chrome informuje o złośliwym oprogramowaniu
w Dział pomocy doraźnej
Opublikowano
Skrypt wykonany pomyślnie. Możesz przejść dalej.