Explorer.exe łączy się jak szalony z netem oraz pojawiają się wirusy w folderze microsoft

[CrashJack]

aplikacja 'explorer.exe łączy się zawzięcie z internetem, zablokowałem ten procese/aplikację

 

ale spamuje mi dziennik zdarzeń oraz nie chcę aby się łączyło i nie wiem o co chodzi z tym, że łączy mi się z różnymi ip/portami

 

 

 

aż blokuje ponad 1558 zdarzeń od wczoraj 12h37 do 22h26, pół dnia i już sporo i dalej pewnie będzie się powiększała ta liczba/ lipa

 

 

 

i druga sprawa, to nie mam pojęcia dlaczego te wirusy pojawiły się u mnie, skąd one mi się wzięły w tych lokalizacjach?

 

 

 

Gmer już na początku coś wykrył, ale kliknąłem na szukaj i pod koniec się zawiesił i nie mogę dać pełnego loga, a więc skopiowałem gmera na pulpit i zmieniłem nazwę na abc.exe i włączyłem aby szukał

 

 

pisałem z tym na hotfix, ale jeszcze nie uzyskałem odpowiedzi

explorer.exe jest cały czas zablokowany przez CIS 7, ale się boję :/

 

a roguekiller wykrywa mi jakieś PUP.xxx i jak kasuję to po ponownym skanowaniu znów pojawiają się te wpisy ;/

 

i nie rozumiem skąd to wszystko mogło się u mnie wziąść;/

FRST.txt

Addition.txt

Shortcut.txt

OLT.txt

Extras.Txt

GMER.txt

[CrashJack]

zapomniałem napisać, że

utworzyły się jakieś nowe nieznane profile

oraz na pulpicie tworzą się skróty do mój komputer oraz do mojego profilu, skasowałem, ale znowu co jakiś czas się pojawiają :/

 

3 konta nie znane z 16.09.2014:

 

 

skasowałem te konta, ale nie wiem, czy nie pojawią się potem

 

oraz dwa procesy explorer.exe widnieją w menedżerze zadań ;/

 

i nie wiem czy to normalne, że w folderze użytkownicy jest tyle folderów:

 

All Users - pod kłódką

pierwsze moje konto - zwykły user pod kłódką

Default - ukryty folder

Defautl User - pod kłódką

Publiczny

drugie moje konto - admin

desktop.ini - ukryty

[picasso]

Istotnie, mamy infekcję ładowaną metodą ShellIconOverlayIdentifiers (klasy ikon nakładkowych eksploratora) uruchamiającą plik udający coś "bezpiecznego" od Microsoftu (C:\ProgramData\Microsoft\Secure\Icons\SecureIconsProvider.dll). Ten rodzaj infekcji wygląda na nabyty via jakiś crack.

 

 

druga sprawa, to nie mam pojęcia dlaczego te wirusy pojawiły się u mnie, skąd one mi się wzięły w tych lokalizacjach?

COMODO nawet nie wykrył tej infekcji. To co jest w folderze C:\Windows\Installer to szczątki instalatorów adware opartych na Instalatorze Windows. Po usunięciu adware są to tylko odpadki i nie mają wpływu na system. A jeśli chodzi o adware, to zapewne jedna z tych metod nabycia: KLIK.

 

 

i nie wiem czy to normalne, że w folderze użytkownicy jest tyle folderów

Tu się wszystko zgadza, folder Default to matryca używana do zakładania nowych kont, Publiczny też jest domyślnym folderem. A te obiekty z kłódkami to są linki symboliczne.

 

 

 

---

Przechodzimy do usuwania infekcji, przy okazji i puste wpisy po programach:

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
ShellIconOverlayIdentifiers: 1SecureIconsProvider -> {FC9D8189-520A-4417-AED7-9EAC810C6FBA} => C:\ProgramData\Microsoft\Secure\Icons\SecureIconsProvider.dll ()
U3 TrueSight; C:\Windows\SysWOW64\drivers\TrueSight.sys [33512 2014-09-19] ()
HKLM\...\Policies\Explorer: [NoFolderOptions] 0
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction 
FF HKLM-x32\...\Firefox\Extensions: [{E4D03422-D07A-4609-89C3-705974F05472}] - C:\Program Files (x86)\proxysurf.com\Firefox
FF Plugin-x32: Adobe Reader -> C:\Program Files (x86)\Adobe\Reader 11.0\Reader\AIR\nppdf32.dll No File
Task: {19C6D86B-D6DC-4143-A5A3-A28539177886} - System32\Tasks\Wise Memory Optimizer Task => C:\Program Files (x86)\Wise\Wise Memory Optimizer\WiseMemoryOptimzer.exe
Task: {1D271201-4621-4139-AB17-CCBC6B8775EB} - System32\Tasks\Safer-Networking\Spybot - Search and Destroy\Scan the system => C:\Program Files (x86)\Spybot - Search & Destroy 2\SDScan.exe
Task: {46F2C079-63D4-4885-9E0F-509E24F33DC0} - System32\Tasks\{9707311F-754A-4E64-BBFC-95E04A488269} => E:\!!!!Najważniejsze pliki\Spybot - Search & Destroy 1.6.2.46 64bit.exe
Task: {7B214DA5-DC5A-42AA-B202-5D3E1803FEC7} - System32\Tasks\{EAC74457-1C81-46D6-BE48-01C39E5BE04D} => C:\Program Files (x86)\WinSnap\WinSnap.exe
Task: {B034BF74-414A-42B4-938A-38CD03DC8899} - System32\Tasks\Safer-Networking\Spybot - Search and Destroy\Refresh immunization => C:\Program Files (x86)\Spybot - Search & Destroy 2\SDImmunize.exe
Task: {DBAD5418-8CC2-4068-9549-0DD9C49009FA} - System32\Tasks\Safer-Networking\Spybot - Search and Destroy\Check for updates => C:\Program Files (x86)\Spybot - Search & Destroy 2\SDUpdate.exe
Task: {E0F3BBF7-0B88-4DCE-B4CE-DC7D266622CB} - System32\Tasks\Driver Booster Beta SkipUAC (Spid3r) => C:\Program Files (x86)\IObit\Driver Booster Beta\DriverBooster.exe
Task: {FDE65472-8169-4350-BE0B-DA20B7CAA6B6} - System32\Tasks\Driver Booster SkipUAC (Spid3r) => C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe
Task: C:\Windows\Tasks\Wise Memory Optimizer Task.job => C:\Program Files (x86)\Wise\Wise Memory Optimizer\WiseMemoryOptimzer.exe
C:\Program Files (x86)\mozilla firefox\plugins
C:\ProgramData\cisEA.exe
C:\ProgramData\Microsoft\Secure
C:\ProgramData\TEMP
C:\Users\Spid3r\lb5yqtn8226j6t
C:\Users\Default\AppData\Roaming\TuneUp Software
C:\Users\Spid3r\AppData\Roaming\Imminent
C:\Users\Spid3r\AppData\Roaming\TuneUp Software
C:\Windows\SysWOW64\sqlite3.dll
C:\Windows\SysWOW64\drivers\TrueSight.sys
RemoveDirectory: C:\Users\Spid3r\Desktop\Old Firefox Data
Reg: reg delete "HKU\S-1-5-21-2622835651-1712134509-2677869765-1000\Software\Microsoft\Internet Explorer\Search" /f
Reg: reg delete HKU\S-1-5-21-2622835651-1712134509-2677869765-1000\Software\Microsoft\Windows\CurrentVersion\policies\Explorer /f
Reg: reg delete HKU\S-1-5-21-2622835651-1712134509-2677869765-1000\Software\Microsoft\Windows\CurrentVersion\policies\System /f
Reg: reg delete HKU\S-1-5-21-2622835651-1712134509-2677869765-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\Software\Microsoft\Windows\CurrentVersion\policies\Explorer /f
Reg: reg delete HKU\S-1-5-21-2622835651-1712134509-2677869765-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\Software\Microsoft\Windows\CurrentVersion\policies\System /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\LBTServ" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\LPTSystemUpdater" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\PSI_SVC_2" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\PSI_SVC_2_x64" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\RUBotSrv" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\SbieSvc" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\SDScannerService" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\SDUpdateService" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\SDWSCService" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\Winstep Xtreme Service" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\WiseBootAssistant" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\*WerKernelReporting" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AVG_UI" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Browser Infrastructure Helper" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DownloadAccelerator" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\GUDelayStartup" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SDTray" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Trend Micro RUBotted V2.0 Beta" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\tvncontrol" /f
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST.

 

2. Przejdź w Tryb awaryjny Windows, gdyż COMODO uniemożliwi pracę FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. W systemie są uruchomione także szczątki po niepełnie odinstalowanym AVG. W Trybie awaryjnym zastosuj firmowy usuwacz AVG Remover.

 

4. Opuść Tryb awaryjny. Odinstaluj via Panel sterowania zbędnik GeekBuddy od COMODO. Sugeruję pozbyć się też wszystkich programów IOBit (Advanced SystemCare 7, IObit Uninstaller, Smart Defrag 3, Surfing Protection), gdyż firma ma grzeszki na sumieniu i jest to marka w której nie pokładam żadnego zaufania: KLIK.

 

5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. I dostarcz log RogueKiller pokazujący to:

 

a roguekiller wykrywa mi jakieś PUP.xxx i jak kasuję to po ponownym skanowaniu znów pojawiają się te wpisy ;/

Logi proszę wstaw jako załączniki forum, serwis wklejkowy je zmanipulował (obcięte specjalne znaki).

 

 

.

[CrashJack]

dzięki, już przystępuję do działania

a tutaj pełny log od gmera

 

EDIT:

 

no i lipa

ledwo mi explorer.exe odpalił się dzisiaj z rana miałem taki problem i musiałem uruchomić przywracanie systemu i pomogło

tym razem nie użyłem tego narzędzia

 

lecz teraz nie mogę żadnej aplikacji włączyć, wyskakuje błąd, że nie mam uprawnień do otwarcia tego pliku, folderu etc... bym zrobił screen'a bądź zapisał do notatnika, ale nie mogę nic otworzyć

 

teraz jestem na wirtualnym pulpicie i korzystam z comodo dragon, to jedynie działa, i temu piszę tego posta

gmer.txt

[picasso]

Przypuszczalnie blokuje COMODO Internet Security. Zdaje się że sobie zablokowałeś dostęp do wszystkiego odmawiając jakiejś modyfikacji. Czy w Trybie awaryjnym Windows nie ma problemu? Jeśli nie, blokuje COMODO.

[CrashJack]

otóż to, teraz sprawdziłem, wyłączyłem HIPS i mogę włączać wszystko,

jak włącze HIPS w tryb bezpieczny czy nauki to nic nie działa

ale wcześniej wszystko działało i nie rozumiem co się stało teraz z HIPS'em ;/

 

w trybie awaryjnym nie ma problemu, nie wiem jak przywrócić ten HIPS do porządku

i zdaje się, że nie mam praw admina

 

załączam logi

w rogueKille'rze jeszcze się pojawiły wpisy w task, procesy, hosts

pomyliło mi się z tym pup, to jest pum

Fixlog.txt

FRST.txt

RKReport.txt

[picasso]

1. Wyniki FRST: infekcja pomyślnie usunięta. Tak więc nasuwa się pytanie czy połączenia explorer.exe ustały?

 

2. Wyniki RogueKiller:

 

PUM.DNS: Detekcja francuskich DNS strony routera: KLIK / KLIK. Ten typ wyników jest nieusuwalny za pomocą skanerów robiących edycję rejestru, gdyż DhcpNameServer jest aktualizowane z routera. Widziałam te DNS już na początku w raporcie FRST i ominęłam celowo, ponieważ na forum tutaj widzę Cię pod IP tego samego dostawcy, co mi sugeruje że jesteś za granicą. Jeśli tak, to te zgłoszenia w RogueKiller są fałszywymi alarmami i nie ma infekcji routera. Natomiast DNS ustawione spod Windows (156.154.70.25, 156.154.71.25) to z kolei COMODO Secure DNS.

 

Tcpip\Parameters: [DhcpNameServer] 212.76.224.172 89.2.0.1 89.2.0.2

Tcpip\..\Interfaces\{08BC1738-7EFC-4C1B-92E5-695128BA97AC}: [NameServer] 156.154.70.25,156.154.71.25

Tcpip\..\Interfaces\{1427378F-01E4-4954-85B7-81DA3A1AA628}: [NameServer] 156.154.70.25,156.154.71.25

 

PUM.DesktopIcons: To tylko detekcja braku widoczności specjalnych ikon na Pulpicie - odpowiednik prawokliku na Pulpit > Personalizuj > Zmień ikony Pulpitu > w(y)łączanie widzialności danej ikony. Do ominięcia.

 

Proc.Svchost: Nie wiem o co chodzi. Wg raportu FRST nie było żadnych podejrzanych instancji tego procesu (domyślne są na białej liście).

 

3. COMODO Internet Security: efekt wygląda tak jakbyś odmówił omyłkowo dostępu przy którymś z pytań i została stworzona reguła blokująca wszystko. Nie mam tej instalacji u siebie i nie wiem jakie są tam opcje. Czy na pewno nie ma opcji związanej z resetem reguł do stanu domyślnego? Jeśli brak opcji, to proponuję po prostu przeinstalować COMODO.

 

 

 

 

.

[CrashJack]

dzięki za odpowiedz,

zgadza się, za granicą jestem

tak ustały już łączenia się z explorer.exe

ale widnieją 2 procesy explorer.exe w menedżerze zadań i nie wiem czy to normalne

oraz mam dwa konta na swoim kompie, jedno administrator a drugie zwykły użytkownik i przy logowaniu jest konto administrator, a drugie to 'inny użytkownik' i gdzie po kliknięciu trzeba wpisać nazwę użytkownika i hasło, no i tam obrazku nie ma,

a jak wejdę na tego użytkownika to przy następnym logowaniu ten użytkownik widnieje a drugiego konta nie widać, widoczne jest jako 'inny użytkownik' - tutaj admin, gdzie znowu trzeba wpisywać nazwę i hasło i jest bez obrazka

 

wcześniej było z obrazkiem i wystarczyło wpisać do każdego konta hasło

 

z tym rogue killerem dzięki za wyjaśnienia, już wiem o co chodzi

 

a co do comodo, to przeinstalowałem na nowo ;p

 

i czym różni się otl od frst ?  otl dłużej skanuje niż frst

[picasso]

ale widnieją 2 procesy explorer.exe w menedżerze zadań i nie wiem czy to normalne

Wcześniejsze raporty nie pokazywały niedomyślnych instancji, infekcja była ładowana via domyślny proces (wstrzyknięta biblioteka DLL). Wielokrotność explorer.exe może być normalnym zjawiskiem. Czy w Opcje folderów i wyszukiwania > Widok > Uruchom okna folderów w osobnych procesach jest zaznaczone?

 

 

oraz mam dwa konta na swoim kompie, jedno administrator a drugie zwykły użytkownik i przy logowaniu jest konto administrator, a drugie to 'inny użytkownik' i gdzie po kliknięciu trzeba wpisać nazwę użytkownika i hasło, no i tam obrazku nie ma,

 

a jak wejdę na tego użytkownika to przy następnym logowaniu ten użytkownik widnieje a drugiego konta nie widać, widoczne jest jako 'inny użytkownik' - tutaj admin, gdzie znowu trzeba wpisywać nazwę i hasło i jest bez obrazka

 

wcześniej było z obrazkiem i wystarczyło wpisać do każdego konta hasło

Pokaż mi wyciąg kluczy kont. Wyłącz tymczasowo COMODO, by nie przeszkadzał FRST. Otwórz Notatnik i wklej w nim:

 

Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList" /s
Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts" /s

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Dostarcz wynikowy fixlog.txt.

 

 

i czym różni się otl od frst ? otl dłużej skanuje niż frst

Są określone skany dodatkowe w OTL (np. wyszukiwanie plików bez producenta), które wydłużają czas.

 

 

 

 

.

[CrashJack]

Wcześniejsze raporty nie pokazywały niedomyślnych instancji, infekcja była ładowana via domyślny proces (wstrzyknięta biblioteka DLL). Wielokrotność explorer.exe może być normalnym zjawiskiem. Czy w Opcje folderów i wyszukiwania > Widok > Uruchom okna folderów w osobnych procesach jest zaznaczone?

tak, mam tam zaznaczone

 

tutaj zdjecie jak to wygląda

 

Fixlog.txt

[picasso]

tak, mam tam zaznaczone

To właśnie ta opcja powoduje rozmnożenie instancji explorer.exe. Po jej wyłączeniu jest tylko jeden explorer.exe, o ile nie nastąpi jakiś zawias procesu.

 

 

tutaj zdjecie jak to wygląda

Wiem jak to wygląda z graficznego punktu widzenia. Twój problem jest tego rodzaju: KLIK. Wynikowy Fixlog pokazuje następujący wadliwy odpadkowy klucz uszkodzonego konta-fantoma:

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-5-21-2622835651-1712134509-2677869765-1009

 

Wyłącz COMODO. Otwórz Notatnik i wklej w nim:

 

DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-5-21-2622835651-1712134509-2677869765-1009
Reboot:

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart. Dostarcz wynikowy fixlog.txt i powiedz czy jest zmiana na ekranie logowania.

 

 

PS.

 

pisałem z tym na hotfix, ale jeszcze nie uzyskałem odpowiedzi

Dopiero dziś wyszukałam ten temat. Post rozpoczynający się od "jak dla mnie to tu bardzo dużo wirusów a jestem zielony jeżeli chodzi o logi..." to jakieś głupoty. Zaznaczę też, że gdyby ktoś tam jednak raczył odpowiedzieć w inny sposób (podany skrypt coś usuwający), nie wykonuj już nic. Oni mają nieadekwatne dane i stare logi, a my tu już jesteśmy daaaleko do przodu i mnóstwo zmian systemowych zostało wykonanych. Infekcja została też wyczyszczona.

 

 

 

.

[CrashJack]

tak pomogło to

dziękuje Ci bardzo za pomoc

temat uznaje za rozwiązany

 

daje tutaj, ponieważ w załączniku jest napisane, że wysyłanie zakończone niepowodzeniem, mniejsza o to

 

http://wklej.org/hash/7f34e57f82a/

 

 

Dopiero dziś wyszukałam ten temat. Post rozpoczynający się od "jak dla mnie to tu bardzo dużo wirusów a jestem zielony jeżeli chodzi o logi..." to jakieś głupoty. Zaznaczę też, że gdyby ktoś tam jednak raczył odpowiedzieć w inny sposób (podany skrypt coś usuwający), nie wykonuj już nic. Oni mają nieadekwatne dane i stare logi, a my tu już jesteśmy daaaleko do przodu i mnóstwo zmian systemowych zostało wykonanych. Infekcja została też wyczyszczona.

ok, już napisałem tam, że problem został rozwiązany

Fixlog.txt

[picasso]

Log doczepiłam jako załącznik. Problem z załącznikami to może być wpływ COMODO, gdyż ja nie notuję żadnych dewiacji, również nikt inny tego nie zgłaszał. I tu jeszcze nie koniec tematu. Rozwiązaliśmy sprawę infekcji i defektu kont, ale są inne aspekty. Pytanie podstawowe: czy odinstalowałeś wszystkie programy IObit? W ostatnim raporcie FRST były oznaki deinstalacji, ale również nadal uruchomione w tle komponenty IObit (aktualizator IObit i integracja IObit Uninstaller z IE). Potwierdź mi czy wszystko od IObit poszło do piachu, gdyż od tego zależy czy usunę na siłę widoczne obiekty czy też nie.

 

==================== Internet (Whitelisted) ====================
 

BHO: ExplorerWnd Helper -> {10921475-03CE-4E04-90CE-E2E7EF20C814} -> C:\Program Files (x86)\IObit\IObit Uninstaller\UninstallExplorer64.dll (IObit)
 

==================== Services (Whitelisted) =================
 

S2 LiveUpdateSvc; C:\Program Files (x86)\IObit\LiveUpdate\LiveUpdate.exe [2282272 2014-08-19] (IObit)

 

 

 

.

[CrashJack]

zostawiłem smart Defrag - gdyż jako jedyny dobrze mi defragmentuje, używałem, już ultradefrag, perfectdics, O&O, defraggler, Auslogics Disk Defrag i żaden tak dobrze nie deframentował, a ten systemowy to nie nadaje się

i został jeszcze IOBIT Uninstaller, gdzie można usunąć rzadko używane aplikacje, czy aplikacje o największym rozmiarze, ostatnio instalowane, aktualizacje windows, paski narzędzi i wtyczki do przeglądarek, gdzie z łatwością można odinstalować

 

używam jeszcze do odinstalowywania RevoUninstaller Pro

jak trzeba to mogę odinstalować IObit Uninstaller

 

a te LiveUpdate'y można wykasować, bo nie są one mi potrzebne, nie updat'uje tego oprogramowania

 

a ten LiveUpdate zablokowałem firewallem

 

 

BHO: ExplorerWnd Helper -> {10921475-03CE-4E04-90CE-E2E7EF20C814} -> C:\Program Files (x86)\IObit\IObit Uninstaller\UninstallExplorer64.dll (IObit)

myślisz, że mogę być śledzony przez te BHO ? może mógłbym wykasować to za pomocą HijackThis'a ?

nie używam IE 11 tylko Firefox'a

 

tutaj dla pewności pokazuje dwa procesy explorer.exe, jeden wychodzi od svchost, a drugi jest nie

 

[picasso]

myślisz, że mogę być śledzony przez te BHO ? może mógłbym wykasować to za pomocą HijackThis'a ?

nie używam IE 11 tylko Firefox'a

 

jak trzeba to mogę odinstalować IObit Uninstaller

 

a te LiveUpdate'y można wykasować, bo nie są one mi potrzebne, nie updat'uje tego oprogramowania

 

a ten LiveUpdate zablokowałem firewallem

Wejście jest klasyfikowane jako "wątpliwe / niepewne" w bazie SystemLookup: KLIK. O HijackThis zapomnij. Masz system 64-bit, a narzędzie jest 32-bitowe i niezgodne z tym systemem. Nie ma dostępu do natywnie 64-bitowej części (nie widzi połowy systemu), pokazuje głupoty i fałszywe odczyty "file missing". Po prostu wyrejestruję bibliotekę, wyłączę też updater IObit.

 

 

Wyłącz COMODO na czas poniższych operacji:

 

1. Otwórz Notatnik i wklej w nim:

 

U3 TrueSight; C:\Windows\SysWOW64\drivers\TrueSight.sys [33512 2014-09-23] ()
CMD: del /q C:\Windows\SysWOW64\drivers\TrueSight.sys
CMD: regsvr32 /u /s "C:\Program Files (x86)\IObit\IObit Uninstaller\UninstallExplorer64.dll"
CMD: sc config LiveUpdateSvc start= disabled
DeleteQuarantine:

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw fixlog.txt.

 

2. Zastosuj DelFix (on usunie fixlog, więc musisz go pokazać przed wykonaniem tego kroku).

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

To tyle.

 

 

.

[CrashJack]

Dzięki za pomoc

użyje delfix, tfc oraz usunę wszystkie punkty przywracania oraz utworzę jeden nowy

Fixlog.txt

[picasso]

Nie wykonała się ostatnia komenda usuwania kwarantanny FRST, źle wkleiłeś ostatnią linię obcinając kropki DeleteQuarantine:. Powtórz w FRST skrypt o zawartości:

 

DeleteQuarantine:

 

 

.

[CrashJack]

już zrobione

Fixlog.txt

[picasso]

Komenda wykonana pomyślnie, więc możesz przejść do dalszych czynności końcowych.

[CrashJack]

ok, już zrobione

delfixem, tfc, oraz usunięte i utworzony nowy punkt przywracania

widac; ze dbasz o bezpieczenstwo forumowiczow ;p

[CrashJack]

nie wiem co z tym zrobić, dlaczego hitman wykrył tutaj podejrzany plik, zostawić czy usunąć ?

 

http://wklej.org/hash/3d10fb05f6b/

 

 

a tutaj dałem pełne skanowanie i też wykrył dziwne rzeczy, np frst64, herdProtectScan

http://wklej.org/hash/ae51a5889fe/

Malware - nie wiem czy skasować ? np frst64 mam również w innej lokalizacji

Potential Unwanted Programs - usunąć mam wszystko ?

Cookies - do usunięcia

i chciałbym zainstalować ponownie SuperAntiSpyware Pro, miałem ostatnio i nie miałem z nim żadnych problemów, ale mi odradzili na hotfix'ie

 

 

i nie wiem czy to dobry program: VitRegistryFix pobrany z tej strony http://www.techsupportalert.com/

przeskanowałem, ale bałem się usunąć, bo dziwne rzeczy mi wykrywał, w porównaniu do darmowego Eusing Free Registry Cleaner

 

 

i użyłem narzędzi i naprawiłem błędy tym programem: Adware Removal Tool, nie wiem czy dobrze zrobiłem

http://wklej.org/hash/8eb5c551039/

[picasso]

Temat doklejam do poprzedniego, bo to jest kontynuacja i jakby zamknięcie tamtych wątków, podane logi umożliwiające odniesienie się do określonych aspektów. Odnosząc się do nowych pytań:

 

1. Detekcje infekcji:

 

- Hitman: Detekcje plików nVidia, skanera HerdProtect oraz FRST wyglądają na fałszywe alarmy. A FRST miał zostać już dawno usunięty, ale nie zauważyłam, że Ty umieściłeś go w podfolderze C:\Users\Spid3r\Desktop\Nowy folder - DelFix nie robi skanu rekursywnego, kasuje narzędzia tylko z root Pulpitu i Pobranych. FRST po prostu usuń, bo i tak za każdym razem należy go pobierać od nowa.

- Adware Removal Tool: nic szczególnego, tylko drobne i już nieczynne odpadki adware Babylon Toolbar i SmartBar wykryte. Te wyniki relatywne do adware łączą się z poprzednimi odczytami COMODO z folderu C:\Windows\Installer. Przypadkowo także usunięte odnośniki PCTools Browser Defender, ale program i tak już nie istniał w Twoim systemie, więc uszkodzeń brak. Poleciały też pliki Opera, tu nie jestem pewna czy to była rzeczowa detekcja i co było tak naprawdę w tych plikach INI.

 

2. Jeśli chodzi o programy:

 

- SuperAntiSpyware Pro: W mojej opinii to poboczny skaner i nie ta sama liga co np. Malwarebytes Antimalware Premium. Zalecam raczej jako skaner na żądanie drugiej instancji, z wyłączonym rezydentem, by nie przeciążać systemu.

- VitRegistryFix nie jest lewym programem, ale bez wyników skanu trudno cokolwiek powiedzieć, a każdy czyściciel rejestru ma inny algorytm. Ogólnie też nie przykładam zbyt dużej wagi do czyszczenia rejestru, a nawet w wielu przypadkach całkowicie odradzam to mniej zaawansowanym użytkownikom, którzy nie rozumieją wyników. Czyściciel rejestru ma ograniczoną inteligencję, potem się okazuje, że wyczyszczono za dużo i jest poważny problem z przywróceniem systemu do pożądanego stanu. Tu kilka razy na forum były historie tego typu z różnymi czyścicielami rejestru, o zgrozo użytkownik nawet kopii rejestru nie zrobił i było ciężko dojść co zostało właściwie uszkodzone. Czyszczenie rejestru nie ma też zbyt dużego wpływu na wydajność, o wiele większy wpływ ma defragmentacja dysku (pomijając dyski SSD). Popatrz także tu: KLIK.

 

 

 

.

[CrashJack]

dzięki

myślałem, że temat został usunięty, dopiero odszukałem ten post ;p