Landuss

Plik jest związany z Directem z tego co wyczytałem w jego właściwościach. Link, który mi podsuwasz znam i dokładnie to samo mi wyskakuje, że instalacja nie jest wymagana. Wieslaw a nie zastanawia cię ten chwilowy pad karty po wystąpieniu restartu?

Zrobiłem jak radziłeś. Wyskoczyła mi informacja, że instalator wykrył podobną wersję oprogramowania w systemie i instalacja nie jest potrzebna. Coś w tym stylu.

Sterowniki ze strony www.nvidia.pl zawsze stamtąd pobieram i nigdy nie było problemu. Poza tym tak jak wspomniałem ten problem u mnie pojawił się po wymianie płyty i procesora i oczywiście formatowaniu dysku i instalacji systemu na nowo. Dzisiaj problem jak na razie nie wystąpił mimo, że trochę grałem z tym że temperatura karty wyniosła 70°C a więc sporo mniej niż wczoraj.

Wiesz moim zdaniem to obojętne czy pobierasz sterowniki ze strony nvidii czy ze strony producenta karty graficznej bo to przecież są te same sterowniki od nvidia.

Spróbuję jeszcze raz wszystko zaktualizować, w ostateczności zmienię pastę na rdzeniu karty bo jeszcze nie była zmieniana od nieco ponad roku jak z niej korzystam.

EDIT: Dodam jeszcze, że po wystąpieniu bluescreena i restarcie przez chwile nie działa mi monitor (brak sygnału) czyli tak jakby karta nie wstaje. Muszę wszystko zgasić i chwilę odczekać i dopiero wtedy zaskakuje.

Witajcie.

Rzadko proszę o pomoc ale tym razem mój sprzęt coś dopadło i mimo niewielkich prób naprawy problemu postanowiłem, że jednak napiszę.

Na początek specyfikacja sprzętu:

Płyta główna: Asus Maximus VI Hero

Procesor: Intel Core i5 4670K

RAM: 8GB Kingston 1333MHz

Grafika: EVGA GeForce GTX 670 FTW

Dyski: SSD OCZ Agility3 60GB

          HDD WD Caviar 500GB

Zasilacz: OCZ ZT Series 550W

Obudowa: Corsair Graphite 600T

System: Windows 7 64-bit

Kilka dni temu w komputerze zmieniana była płyta główna i procesor. I wszystko by było dobrze gdyby nie fakt, że od tamtej pory zazwyczaj podczas grania w wymagające gry mam (tak mi się wydaje) jakiś problem obracający się wokół karty graficznej czy sterowników. Po prostu pogram jakiś czas i wywala mi bluescreena, następuje restart. Podobnie stało się podczas testowania grafiki w Benchmark Valley. Karta przy maksymalnym obciążeniu osiąga temperatury w granicach 80°C więc nie wydaje mi się by to było jakoś ekstremalnie gorąco. Poza tym to jest referent i też jakiegoś super chłodzenia nie należy się spodziewać, ale wcześniej nigdy nie było problemów.

Karta graficzna jest lekko podkręcona fabrycznie. Procesor też jest po niewielkim OC na razie do 4.2 GHz.

Próbowałem zmieniać sterowniki na starszą wersję i nic to nie dało.

BluescreenView pokazuje BSOD na pliku dxgkrnl.sys i wszystkie minidump mam dokładnie takie same:

A problem has been detected and Windows has been shut down to prevent damage
to your computer.

The problem seems to be caused by the following file: dxgkrnl.sys



If this is the first time you've seen this stop error screen,
restart your computer. If this screen appears again, follow
these steps:

Check to make sure any new hardware or software is properly installed.
If this is a new installation, ask your hardware or software manufacturer
for any Windows updates you might need.

If problems continue, disable or remove any newly installed hardware
or software. Disable BIOS memory options such as caching or shadowing.
If you need to use safe mode to remove or disable components, restart
your computer, press F8 to select Advanced Startup Options, and then
select Safe Mode.

Technical Information:

*** STOP: 0x00000116 (0xfffffa8009e6b010, 0xfffff8800556e700, 0xffffffffc000009a,
0x0000000000000004)

*** dxgkrnl.sys - Address 0xfffff880040e5000 base at 0xfffff88004088000 DateStamp
0x4ce799fa

Jakie info mam jeszcze podać i jakie ewentualnie testy porobić, abyście mogli coś doradzić. Mam tylko nadzieję, że nie siada mi karta, a może to jakiś inny problem? Mam nadzieję, że coś doradzicie

O ile problem nadal aktualny. Wykonaj skan za pomocą Kaspersky TDSSKiller i wklej tutaj raport z wynikami skanowania.

Jest infekcja. Wykonaj poniższe czynności.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

:OTL
IE - HKLM\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://startsear.ch/?aff=1&src=sp&cf=1bcf0d07-8cb0-11e1-83c4-001e33551e82&q={searchTerms}
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2786678
IE - HKLM\..\SearchScopes\{E6D907A5-70B2-48B1-952C-FD51BCF8A4A6}: "URL" = http://www.searchamong.com/searchview.php?query={searchTerms}&cat=webs&bar=true
IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=12&q={searchTerms}&barid={0DA7B724-71A7-4E82-BEE7-C02643832BD5}
IE - HKU\S-1-5-21-405524647-3204506411-2190298169-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = http://www.searchamong.com/searchview.php?query={searchTerms}&cat=webs&bar=true
IE - HKU\S-1-5-21-405524647-3204506411-2190298169-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://www.searchamong.com/searchview.php?query={searchTerms}&cat=webs&bar=true
IE - HKU\S-1-5-21-405524647-3204506411-2190298169-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://startsear.ch/?aff=1&cf=058b65ef-25f1-11e2-86d6-001e33551e82
IE - HKU\S-1-5-21-405524647-3204506411-2190298169-1000\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.searchamong.com/searchview.php?query={searchTerms}&cat=webs&bar=true
IE - HKU\S-1-5-21-405524647-3204506411-2190298169-1000\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.searchamong.com/searchview.php?query={searchTerms}&cat=webs&bar=true
IE - HKU\S-1-5-21-405524647-3204506411-2190298169-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://search.babylon.com/?q={searchTerms}&affID=110819&babsrc=SP_ss&mntrId=fe49e98600000000000000215c29d691
IE - HKU\S-1-5-21-405524647-3204506411-2190298169-1000\..\SearchScopes\{154d339e-ccaa-49a5-9b38-6878ad4220bc}: "URL" = http://startsear.ch/?aff=1&src=sp&cf=058b65ef-25f1-11e2-86d6-001e33551e82&q={searchTerms}
IE - HKU\S-1-5-21-405524647-3204506411-2190298169-1000\..\SearchScopes\{6DFB5BA4-CC70-4688-BB71-C3A8C2D89FA0}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=SPC2&o=15000&src=kw&q={searchTerms}&locale=&apn_ptnrs=PV&apn_dtid=YYYYYYYYPL&apn_uid=84F7207E-7F3D-43F0-87FE-017EECDFFCF5&apn_sauid=EBE36D09-D5FC-4630-8EA5-72B367A8A1E8
IE - HKU\S-1-5-21-405524647-3204506411-2190298169-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2786678
IE - HKU\S-1-5-21-405524647-3204506411-2190298169-1000\..\SearchScopes\{DDF7E232-D405-4006-BA71-F9DDE485622A}: "URL" = http://search.babylon.com/?q={searchTerms}&AF=100482&babsrc=SP_ss&mntrId=fe49e98600000000000000215c29d691
IE - HKU\S-1-5-21-405524647-3204506411-2190298169-1000\..\SearchScopes\{E6D907A5-70B2-48B1-952C-FD51BCF8A4A6}: "URL" = http://www.searchamong.com/searchview.php?query={searchTerms}&cat=webs&bar=true
IE - HKU\S-1-5-21-405524647-3204506411-2190298169-1000\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=12&q={searchTerms}&barid={0DA7B724-71A7-4E82-BEE7-C02643832BD5}
O2 - BHO: (no name) - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - No CLSID value found.
 
:Files
C:\Windows\System32\5fadc08b.exe
C:\Windows\System32\sysdm9.dll
C:\Windows\tasks\Rpyonn.job
C:\Users\Kuba\AppData\Roaming\Babylon
 
:Commands
[emptytemp]

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

2. Przez Panel sterowania odinstaluj: vShare.tv plugin 1.3 / Contextual Tool Extrafind

Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj StartSearch Video plug-in / SweetIM for Facebook / vshare plugin. Następnie w zarządzeniu wyszukiwarkami przestaw bieżącą Web Search na Google, po tym Web Search usuń z listy.

3. Uruchom AdwCleaner z opcji Usuń

4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Niepotrzebnie aż tyle logów. Wystarczył sam OTL na początek.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

:OTL
IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?utm_source=b&utm_medium=newgdp&from=newgdp&uid=SAMSUNGXHM251JJ_S1J9JD0Q808717&ts=1377262398
IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-homes.com/?utm_source=b&utm_medium=newgdp&from=newgdp&uid=SAMSUNGXHM251JJ_S1J9JD0Q808717&ts=1377262398
[2013-08-23 14:52:51 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\WinZipper
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
:Commands
[emptytemp]

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

2. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

:OTL
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O4 - HKLM..\Run: [bron-Spizaetus] C:\Windows\ShellNew\sempalong.exe ()
O4 - HKU\S-1-5-21-3256665892-3506901594-3246222480-1000..\Run: [Tok-Cirrhatus] C:\Users\Rozalia Korościl\AppData\Local\smss.exe ()
O4 - Startup: C:\Users\Rozalia Korościl\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Empty.pif ()
O7 - HKU\S-1-5-21-3256665892-3506901594-3246222480-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoFolderOptions = 1
O7 - HKU\S-1-5-21-3256665892-3506901594-3246222480-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O20 - HKLM Winlogon: Shell - ("C:\Windows\eksplorasi.exe") - C:\Windows\eksplorasi.exe ()
 
:Files
C:\Users\Rozalia Korościl\AppData\Roaming\OpenCandy
C:\Users\Rozalia Korościl\AppData\Local\winlogon.exe
C:\Users\Rozalia Korościl\AppData\Local\services.exe
C:\Users\Rozalia Korościl\AppData\Local\lsass.exe
C:\Users\Rozalia Korościl\AppData\Local\inetinfo.exe
C:\Users\Rozalia Korościl\AppData\Local\csrss.exe
 
:Commands
[emptytemp]

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Logi nie wskazują by tutaj była infekcja. Tym bardziej jeśli został wykonany format nie ma prawa być wirusów. Temat przesuwam do innego działu.

Radzę na pierwszy ogień odinstalować Eseta i sprawdzić czy to aby on nie odpowiada za problem.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

:OTL
DRV - File not found [Kernel | On_Demand | Stopped] -- System32\drivers\rdvgkmd.sys -- (VGPU)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\tsusbhub.sys -- (tsusbhub)
DRV - File not found [Kernel | On_Demand | Stopped] -- System32\drivers\synth3dvsc.sys -- (Synth3dVsc)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\Senfilt.sys -- (SenFiltService)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\RtHDMIV.sys -- (RTHDMIAzAudService)
IE - HKLM\..\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}: "URL" = http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=a9b00378-27b8-4ac2-a939-833cc066b252&affid=111583&searchtype=ds&babsrc=lnkry&q={searchTerms}
IE - HKU\S-1-5-21-303203307-493594314-157293843-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://search.b1.org/?bsrc=hmior&chid=c167991
IE - HKU\S-1-5-21-303203307-493594314-157293843-1001\..\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}: "URL" = http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=a9b00378-27b8-4ac2-a939-833cc066b252&affid=111583&searchtype=ds&babsrc=lnkry&q={searchTerms}
IE - HKU\S-1-5-21-303203307-493594314-157293843-1001\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://www.delta-search.com/?q={searchTerms}&affID=119293&babsrc=SP_ss&mntrId=E85E001BFC0859EE
IE - HKU\S-1-5-21-303203307-493594314-157293843-1001\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = https://isearch.avg.com/search?cid={12FD0E1D-529F-4C22-9249-C4A7A49F8DFC}&mid=00f1d820cda447d0947cd152baecb01d-75c342e2c195c8b994020a9ac81444ac6ad89f22&lang=pl&ds=is015&pr=sa&d=2012-08-01 07:58:39&v=12.1.0.21&sap=dsp&q={searchTerms}
O3 - HKLM\..\Toolbar: (no name) - {ae07101b-46d4-4a98-af68-0333ea26e113} - No CLSID value found.
O3 - HKU\S-1-5-21-303203307-493594314-157293843-1001\..\Toolbar\WebBrowser: (no name) - {687578B9-7132-4A7A-80E4-30EE31099E03} - No CLSID value found.
O3 - HKU\S-1-5-21-303203307-493594314-157293843-1001\..\Toolbar\WebBrowser: (no name) - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No CLSID value found.
 
:Files
C:\Users\DAREK\AppData\Local\Google
C:\Users\DAREK\AppData\Local\B1E
C:\Users\DAREK\AppData\Roaming\B1Toolbar
C:\Users\DAREK\AppData\Roaming\BabSolution
C:\Users\DAREK\AppData\Roaming\Babylon
C:\Users\DAREK\AppData\Roaming\GoforFiles
C:\Users\DAREK\AppData\Roaming\HoolappForAndroid
C:\Users\DAREK\AppData\Roaming\File Scout
C:\Users\DAREK\AppData\Roaming\OpenCandy
C:\Users\DAREK\AppData\Roaming\PerformerSoft
C:\Users\DAREK\AppData\Roaming\Yontoo
C:\Program Files\mozilla firefox\searchplugins\avg-secure-search.xml
C:\Program Files\mozilla firefox\searchplugins\babylon.xml
C:\Windows\System32\temp.001
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Search Bar"=-
"Search Page Before"=-
"Start Page Before"=-
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search]
[-HKEY_CURRENT_USER\Software\Google]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Google]
 
:Commands
[emptytemp]

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

2. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

3. Uruchom AdwCleaner z opcji Usuń

4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Logi w żadnym wypadku nie potwierdzają by była jakaś infekcja na tym systemie. Temat zostaje stąd przeniesiony.

Tutaj przede wszystkim należy się zająć aktualizacjami bo system ten jest w krytycznym, dziurawym stanie, odcięty od wsparcia Microsoftu:

Windows XP Home Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation

Internet Explorer (Version = 6.0.2900.2180)

Zainstaluj jak najszybciej Service Pack 3 + Internet Explorer 8

Należy jednak pamiętać, że wsparcie dla Windowsa XP SP3 kończy się w przyszłym roku i należy powoli myśleć o zmianie systemu na nowszy.

Jeśli chodzi o Javę, wszelkie stare szczątki możesz usunąć za pomocą JavaRa, następnie zainstaluj najnowszą wersję Javy (JRE) - Java SE 7 update 21.

Po tych działaniach dopiero sprawdź jakie są efekty.

Logi nie wykazują czynnej infekcji na tym systemie. Temat na razie przenoszę na dział systemowy.

Zacznijmy od wyeliminowania z tego systemu Avasta. Jak to zrobisz sprawdź efekty i daj znać.

Na początek wykonaj skanowanie za pomocą Kaspersky TDSSKiller. Jeśli coś wykryje nic nie usuwaj tylko zaznacz opcję Skip i wklej raport z wynikami skanowania.

Logi są czyste i nie wygląda to na problem infekcji. Temat przenoszę.

Na początek podstawowe pytanie o jakiej przeglądarce mowa i czy na każdej jest taki problem?

Logi nie wskazują by była tutaj jakaś infekcja. Temat zostaje przeniesiony na bardziej właściwy dział.

Odinstaluj tylko śmieci - Ashampoo PO Toolbar / Babylon toolbar on IE / Softonic toolbar on IE and Chrome / Winamp Toolbar

Po tym zastosuj jeszcze AdwCleaner z opcji Usuń

W kwestii spowolnienia zaś wykonaj czysty rozruch systemu i zobacz jaki jest efekt w tym stanie: KLIK

1. Otwórz Notatnik i wklej w nim:

HKCU\...\Run: [ctfmon.exe] C:\PROGRA~3\rundll32.exe C:\PROGRA~3\jajm7.dat,FG00 [159744 2013-05-04] (Microsoft Corporation)
HKLM-x32\...\Run: [] [x]
Startup: C:\Users\vaio\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\msconfig.lnk
ShortcutTarget: msconfig.lnk -> C:\PROGRA~3\jajm7.dat (Microsoft Corporation)
HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.v9.com/?utm_source=b&utm_medium=vlt2&from=vlt2&uid=ST9640423AS_5WS4386S____5WS4386S&ts=1347300798
HKCU SearchScopes: DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.v9.com/web/?q={searchTerms}
SearchScopes: HKCU - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.v9.com/web/?q={searchTerms}
BHO: avast! WebRep - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - D:\Programy\AVAST Software\Avast\aswWebRepIE64.dll No File
BHO-x32: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - D:\Programy\AVAST Software\Avast\aswWebRepIE.dll No File
BHO-x32: continuetosave - {9070C357-5A2A-FF00-08A3-99579C6EF0AC} - C:\ProgramData\continuetosave\50f31cec6a99d.dll ()
Toolbar: HKLM - avast! WebRep - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - D:\Programy\AVAST Software\Avast\aswWebRepIE64.dll No File
Toolbar: HKLM-x32 - avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - D:\Programy\AVAST Software\Avast\aswWebRepIE.dll No File
Toolbar: HKCU - No Name - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - No File
2013-05-04 23:02 - 2013-05-04 23:02 - 00000151 ____A C:\ProgramData\7mjaj.reg
2013-05-04 23:02 - 2013-05-04 23:02 - 00000055 ____A C:\ProgramData\7mjaj.bat
2013-05-04 23:01 - 2013-05-05 00:30 - 95023320 ___AT C:\ProgramData\7mjaj.pad
2013-05-04 23:01 - 2013-05-04 23:25 - 00000000 ____A C:\ProgramData\as98213.txt
2013-05-04 23:01 - 2013-05-04 23:01 - 95023320 ___AT C:\ProgramData\eq9d7.pad
2013-05-04 23:01 - 2013-05-04 23:01 - 00159744 ____A (Microsoft Corporation) C:\ProgramData\jajm7.dat
2013-05-04 23:01 - 2013-05-04 23:01 - 00159744 ____A (Microsoft Corporation) C:\ProgramData\7d9qe.dat
2013-05-04 23:01 - 2013-05-04 23:01 - 00048640 ____A (Microsoft Corporation) C:\ProgramData\rundll32.exe

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST.

2. Uruchom narzędzie FRST i zastosuj w nim opcję Fix. Wynikowo powstanie plik fixlog.txt.

3. Pokazujesz nowy log z FRST ze skanu oraz fixlog.txt.

Wejdź w tryb awaryjny z obsługą wiersza polecenia i z jego poziomu uruchom OTL. Tam nie powinno być blokady.

Wejdź w awaryjny z obsługą wiersza polecenia, tam nie będzie problemu.

Logi wykonane z błędnego konta (Administrator wbudowany w system). Wykonaj je raz jeszcze poprawnie z konta zainfekowanego użytkownika. To bardzo ważne.

Logi nie wskazują na aktywną infekcję, ale są rzeczywiście jej ślady do usunięcia.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

:OTL
O2:64bit: - BHO: (no name) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - No CLSID value found.
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - No CLSID value found.
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKU\S-1-5-21-3186241951-4255620087-4124068397-1000\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
O4 - HKLM..\Run: [] File not found
 
:Files
C:\Users\tim\AppData\Roaming\Alunyn
C:\Users\tim\AppData\Roaming\Boxayw
C:\Users\tim\AppData\Roaming\Efoqw
C:\Users\tim\AppData\Roaming\Ekynip
C:\Users\tim\AppData\Roaming\Iqusq
C:\Users\tim\AppData\Roaming\Luxo
C:\Users\tim\AppData\Roaming\Muatv
C:\Users\tim\AppData\Roaming\Omip
C:\Users\tim\AppData\Roaming\Oqyco
C:\Users\tim\AppData\Roaming\Otuqk
C:\Users\tim\AppData\Roaming\Ovegi
C:\ProgramData\-UBsLvkjRkfnP1qr
C:\ProgramData\-UBsLvkjRkfnP1q
C:\ProgramData\UBsLvkjRkfnP1q
C:\ProgramData\eqn2v33l2070qj3n
C:\Users\tim\AppData\Local\eqn2v33l2070qj3n
C:\Users\tim\AppData\Roaming\AltShell.ini
 
:Commands
[emptytemp]

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

:OTL
IE - HKLM\..\SearchScopes\{25035F92-35DD-454B-B1C7-299004674B49}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2786678
IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=12&q={searchTerms}&barid={DFF18D2F-5257-4B63-9546-AD92B37D0D40}
IE - HKCU\..\URLSearchHook: {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - No CLSID value found
IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://search.babylon.com/?q={searchTerms}&AF=100482&babsrc=SP_ss&mntrId=6c9c1d090000000000000626b6e26817
IE - HKCU\..\SearchScopes\{25035F92-35DD-454B-B1C7-299004674B49}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2786678
IE - HKCU\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = http://www.daemon-search.com/search?q={searchTerms}
IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://startsear.ch/?aff=2&src=sp&cf=0539393f-60e2-11e1-b194-00266c64bc95&q={searchTerms}
IE - HKCU\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=12&q={searchTerms}&barid={DFF18D2F-5257-4B63-9546-AD92B37D0D40}
O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {30F9B915-B755-4826-820B-08FBA6BD249D} - No CLSID value found.
O4 - HKLM..\Run: [] File not found
O20 - HKCU Winlogon: Shell - (C:\Users\Anna\AppData\Roaming\skype.dat) - C:\Users\Anna\AppData\Roaming\skype.dat ()
 
:Files
C:\Users\Anna\AppData\Local\Temp*.html
C:\Users\Anna\AppData\Roaming\skype.dat
C:\Users\Anna\AppData\Roaming\skype.ini
 
:Commands
[emptytemp]

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

2. Przez Panel sterowania odinstaluj: AutocompletePro / Babylon toolbar on IE / DAEMON Tools Toolbar / Glarysoft Toolbar / LiveVDO plugin 1.3 / SweetIM for Messenger 3.6 / SweetPacks Toolbar for Internet Explorer 4.6 / Update Manager for SweetPacks 1.0 / YTD Toolbar v7.0 / uTorrentBar Toolbar

Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj AutocompletePro / SweetIM for Facebook / LiveVDO plugin

3. Uruchom AdwCleaner z opcji Usuń

4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Bez logów się tutaj nie obejdzie bo jeśli założyłeś temat w tym dziale musisz zastosować się do zasad. Także logi z OTl + Gmer do wykonania i załączenia na forum: KLIK

A co do plików tmp to wygląda na obiekty tymczasowe a więc można to usuwać, nie spowoduje to żadnych problemów.

Logów w żadnym wypadku nie wolno robić z konta Administratora. Mają być zrobione z konta zainfekowanego użytkownika. Także logi dałeś złe bo nie widzimy obiektów infekcji z tego konta gdyż każde konto ma inne rejestry.

Wejdź w tryb awaryjny z obsługą wiersza polecenia i wtedy uruchom OTL na prawidłowym koncie podając właściwe logi.

Tu jeszcze należy oczyścić system z pustych wpisów także wykonaj kolejny skrypt o takiej zawartości:

:OTL
DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\ZDPSp50.sys -- (ZDPSp50)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\ZDCndis5.SYS -- (ZDCndis5)
DRV - File not found [Kernel | System | Stopped] -- system32\DRIVERS\UimBus.sys -- (UimBus)
DRV - File not found [Kernel | System | Stopped] -- System32\Drivers\Uim_IM.sys -- (Uim_IM)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\PCANDIS5.SYS -- (PCANDIS5)
DRV - File not found [Kernel | System | Stopped] -- system32\drivers\InCDRm.sys -- (InCDRm)
DRV - File not found [Kernel | System | Stopped] -- system32\drivers\InCDPass.sys -- (InCDPass)
DRV - File not found [File_System | Disabled | Stopped] -- system32\drivers\InCDFs.sys -- (InCDFs)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\ComboFix\catchme.sys -- (catchme)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\adiusbaw.sys -- (adiusbaw)
DRV - File not found [Kernel | Auto | Stopped] -- System32\Drivers\adildr.sys -- (ADILOADER)
O3 - HKU\S-1-5-21-842925246-1202660629-839522115-500\..\Toolbar\ShellBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
 
:Commands
[reboot]

Wykonujesz skrypt i dajesz nowy log ze skanu do wglądu.

Na pierwszy rzut oka w logach kompletnie nic nie ma, ale wykonaj jeszcze raport z pełnego skanowania Gmer