bpm Opublikowano 2 Grudnia 2014 Zgłoś Udostępnij Opublikowano 2 Grudnia 2014 Dzień dobry, Ogólnie komputer chodzi sprawnie, nie zauważyłem problemów. Jedyne problemy z internetem, strony wolno się wczytują i prędkość netu spadała oraz pojawiał się BSOD, który powodował igdpmd.sys po uruchomieniu przeglądarek, jak w tym temacie. Po przeinstalowaniu sterowników od karty Intela i przy okazji AMD i kilku testach na razie BSOD nie pojawia się. Skan MBAM i TDSSKiller również nic poważnego nie wykazał. Zauważyłem natomiast, że wcześniej ktoś używał ComboFix dlatego proszę o analizę logów czy coś nie "nawywijał" oraz na partycji C:\ jest mnóstwo plików tmp.png w stylu: oct1A0.tmp.png Z góry dziękuję za pomoc. Addition.txt ComboFix.txt Extras.Txt FRST.txt gmer.txt mabam.txt OTL.Txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 3 Grudnia 2014 Zgłoś Udostępnij Opublikowano 3 Grudnia 2014 Zauważyłem natomiast, że wcześniej ktoś używał ComboFix dlatego proszę o analizę logów czy coś nie "nawywijał" oraz na partycji C:\ jest mnóstwo plików tmp.png w stylu: oct1A0.tmp.png ComboFix pododawał pewne elementy, których w systemie wcześniej nie było. Nie wiem co utworzyło owe pliki PNG. Jak rozumiem pliki nie zostały skasowane między wytwarzaniem raportu OTL a FRST - w FRST ich nie widać, pewnie FRST filtruje taki rodzaj rozszerzeń. Oznak czynnej infekcji brak. Tylko kosmetyczne poprawki: 1. Odinstaluj stare wersje Adobe Flash Player 11 ActiveX, Adobe Flash Player 15 Plugin, Java 7 Update 21 oraz śmieci Qtrax Player, UpdateChecker. Jeśli te ostatnie nie będą widoczne na liście, nie szkodzi, i tak zajmie się nimi skrypt podany poniżej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: S3 catchme; \??\C:\ComboFix\catchme.sys [X] S3 STHDA; system32\DRIVERS\stwrt64.sys [X] ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-3827801199-4237816232-3164111636-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction URLSearchHook: HKU\S-1-5-21-3827801199-4237816232-3164111636-1001 - (No Name) - {261c67f2-64cd-4696-9821-612409b649d5} - No File SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-3827801199-4237816232-3164111636-1001 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://www.google.com/search?q={sear SearchScopes: HKU\S-1-5-21-3827801199-4237816232-3164111636-1001 -> {szukaj.gazeta.pl} URL = http://szukaj.gazeta.pl/internet/0,0.html?slowo={searchTerms} Toolbar: HKU\S-1-5-21-3827801199-4237816232-3164111636-1001 -> No Name - {4A8A0B3B-EEB7-4E90-B359-3E01B2C15E82} - No File FF Plugin-x32: @MyImageConverter_8j.com/Plugin -> C:\Program Files (x86)\MyImageConverter_8j\bar\2.bin\NP8jStub.dll No File FF HKU\S-1-5-21-3827801199-4237816232-3164111636-1001\...\Firefox\Extensions: [freegames115@BestOffers] - C:\Users\Irmina\AppData\Roaming\Mozilla\Extensions\freegames115@BestOffers CustomCLSID: HKU\S-1-5-21-3827801199-4237816232-3164111636-1001_Classes\CLSID\{A75BE48D-BF58-4A8B-B96C-F9A09DFB9844}\InprocServer32 -> %LOCALAPPDATA%\Pokki\ocdeskband_0.dll No File Task: {3BF726B8-2CFA-4685-B633-05D5DD432E07} - System32\Tasks\{6FD66EB5-8002-45C9-9743-F84EF499971C} => c:\program files (x86)\opera\opera.exe Task: {3D98415C-0097-4F02-82F8-715D2CF9103A} - System32\Tasks\{E4D8AF37-9C21-4610-BD68-EA188A338230} => Firefox.exe Task: {5AAF3642-5C07-4A6F-A257-3E1ED4D3854D} - System32\Tasks\{A979066F-96C6-4C0C-8E26-17EEF4D9D1EF} => Firefox.exe Task: {BEB4AD93-3E35-4C6D-BFAA-28541AB654D4} - System32\Tasks\{A7EAC957-83D9-4E90-92CB-340C0A78B4CB} => Firefox.exe Task: C:\windows\Tasks\HPCeeScheduleForIRMINA-HP$.job => C:\Program Files (x86)\Hewlett-Packard\HP Ceement\HPCEE.exe CMD: for /d %f in (C:\Users\Irmina\AppData\Local\{*}) do rd /s /q "%f" C:\oct*.tmp.png C:\ProgramData\SMRResults430.dat C:\ProgramData\AVAST Software C:\ProgramData\Avg_Update_1114tb C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Online Services C:\ProgramData\Norton C:\Users\Irmina\*.htm C:\Users\Irmina\*.lnk C:\Users\Irmina\AppData\Local\{*} C:\Users\Irmina\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Irmina\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage* C:\Users\Irmina\AppData\Local\NPE C:\Users\Irmina\AppData\Local\Pokki C:\Users\Irmina\AppData\Roaming\Audacity C:\Users\Irmina\AppData\Roaming\AVG C:\Users\Irmina\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\FLV Player.lnk C:\Users\Irmina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FLV Player C:\Users\Irmina\AppData\Roaming\Opera C:\Users\Irmina\AppData\Roaming\Origin C:\Users\Irmina\AppData\Roaming\rmi C:\Users\Irmina\AppData\Roaming\TuneUp Software C:\Users\Irmina\AppData\Roaming\uTorrent C:\Users\Irmina\Desktop\Desktop\Różne dokumenty\AVG Konserwacja 1 kliknięciem.lnk C:\Users\Irmina\Desktop\Desktop\Różne dokumenty\AVG PC TuneUp 2014.lnk C:\Users\Irmina\Desktop\Desktop\Różne dokumenty\Graj w Euro Truck Simulator 2.lnk C:\Users\Irmina\Desktop\Wika\Różne\Programy\AVG Konserwacja 1 kliknięciem.lnk C:\Users\Irmina\Desktop\Wika\Różne\Programy\AVG PC TuneUp 2014.lnk C:\Users\Irmina\Desktop\Wika\Różne\Programy\Debut Video Capture Software.lnk C:\Users\Irmina\Desktop\Wika\Różne\Programy\Origin.lnk C:\Users\Irmina\Desktop\Wika\Koniec Roku\OneDrive.lnk C:\Users\Irmina\Desktop\Wika\Koniec Roku\Jaa\2014\* — skrót.lnk C:\Users\Irmina\Desktop\Wika\Koniec Roku\Jaa\Camera\* — skrót.lnk C:\Users\Irmina\Documents\*.tmp C:\Users\Irmina\Documents\* — skrót.lnk C:\windows\grep.exe C:\windows\MBR.exe C:\windows\PEV.exe C:\windows\sed.exe C:\windows\zip.exe C:\windows\SysWow64\*.tmp Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AppSafe" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Tutorials" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\Search" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer /v NoDrives /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\Prefixes\gopher /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla\Thunderbird /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{84178AE8-C22D-48CB-A6BA-D116FD3FE469} /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{ec29edf6-ad3c-4e1c-a087-d6cb81400c43}" /f Reg: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Popajar, inc UpdateChecker" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{B4916AE2-C6EC-43C1-8D4A-B5DC852372ED}" /f Reg: reg delete HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer /v NoDrives /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Policies\Microsoft\Internet Explorer" /f Reg: reg delete "HKU\S-1-5-19\Software\Policies\Microsoft\Internet Explorer" /f Reg: reg delete "HKU\S-1-5-20\Software\Policies\Microsoft\Internet Explorer" /f CMD: netsh advfirewall reset CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Irmina\AppData\Local CMD: dir /a C:\Users\Irmina\AppData\LocalLow CMD: dir /a C:\Users\Irmina\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart i powstanie plik plik fixlog.txt. 3. Specjalny skrót IE jest uszkodzony: Shortcut: C:\Users\Irmina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) W pasku adresów eksploratora wklej ścieżkę C:\Users\Irmina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Zresetuj cache wtyczek Google Chrome. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Wypowiedz się czy po skasowaniu owych plików PNG one zaczynają się odtwarzać. . Odnośnik do komentarza
bpm Opublikowano 3 Grudnia 2014 Autor Zgłoś Udostępnij Opublikowano 3 Grudnia 2014 Wykonane zgodnie z zaleceniami. Wypowiedz się czy po skasowaniu owych plików PNG one zaczynają się odtwarzać. Nie zauważyłem już tego. Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 4 Grudnia 2014 Zgłoś Udostępnij Opublikowano 4 Grudnia 2014 Drobne poprawki. Do Notatnika wklej: Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects" /s Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\URL\Prefixes\gopher /f Reg: reg delete "HKU\S-1-5-18\Software\Policies\Microsoft\Internet Explorer" /f Reg: reg delete "HKU\S-1-5-19\Software\Policies\Microsoft\Internet Explorer" /f Reg: reg delete "HKU\S-1-5-20\Software\Policies\Microsoft\Internet Explorer" /f C:\Program Files\Symantec C:\Program Files (x86)\HDD Regenerator C:\ProgramData\AVG C:\ProgramData\Avg_Update_0814tb C:\ProgramData\EmailNotifier C:\ProgramData\HitmanPro C:\ProgramData\McAfee C:\ProgramData\NortonInstaller C:\ProgramData\Sun C:\ProgramData\TEMP C:\ProgramData\TuneUp Software C:\Users\Irmina\AppData\Local\AVG C:\Users\Irmina\AppData\Local\avgchrome C:\Users\Irmina\AppData\Local\Big Fish C:\Users\Irmina\AppData\Local\cache C:\Users\Irmina\AppData\Local\CrashDumps C:\Users\Irmina\AppData\Local\ESET C:\Users\Irmina\AppData\Local\MyImageConverter_8j C:\Users\Irmina\AppData\Local\Opera C:\Users\Irmina\AppData\Local\WMTools Downloaded Files C:\Users\Irmina\AppData\LocalLow\Sun C:\Users\Irmina\AppData\LocalLow\Temp Tak jak poprzednio zapisz pod nazwą fixlist.txt tam gdzie siedzi FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. Odnośnik do komentarza
bpm Opublikowano 4 Grudnia 2014 Autor Zgłoś Udostępnij Opublikowano 4 Grudnia 2014 Zrobione. Oto wynikowy log. Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 4 Grudnia 2014 Zgłoś Udostępnij Opublikowano 4 Grudnia 2014 Fix wykonany, ale jest tu pewien problem. W trakcie napraw (po pierwszym podejściu) nagle zniknął jeden z kluczy BHO i nie wiem dlaczego. Pierwszy Fix nie ruszał tam nic (drugi już tylko sprawdzał czy klucz jest), była za to deinstalacja Java usuwająca swoje obiekty z relatywnego obszaru i może to działanie miało jakiś błąd. Odzyskaj kopię klucza: 1. Otwórz Notatnik i wklej w nim: Reg: reg load HKLM\TMP C:\FRST\Hives\SOFTWARE Reg: reg export "HKLM\TMP\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects" C:\Users\Irmina\Desktop\bho.reg Reg: reg unload HKLM\TMP Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. 2. Na Pulpicie powstanie plik bho.reg. Otwórz do edycji w Notatniku i zamień HKEY_LOCAL_MACHINE\TMP na HKEY_LOCAL_MACHINE\SOFTWARE. Z prawokliku na plik opcja Scal. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). . Odnośnik do komentarza
bpm Opublikowano 4 Grudnia 2014 Autor Zgłoś Udostępnij Opublikowano 4 Grudnia 2014 Wykonane zgodnie z zaleceniami. Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 4 Grudnia 2014 Zgłoś Udostępnij Opublikowano 4 Grudnia 2014 Brakujący wpis grzecznie wrócił na miejsce: BHO: Windows Live ID Sign-in Helper -> {9030D464-4C02-4ABF-8ECC-5164760863C6} -> C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corp.) Wszystko zrobione, toteż przejdź do wiadomych kroków finalizujących całość: KLIK. Odnośnik do komentarza
Rekomendowane odpowiedzi