bpm Opublikowano 2 Grudnia 2014 Zgłoś Udostępnij Opublikowano 2 Grudnia 2014 Dzień dobry, Ogólnie komputer chodzi sprawnie, nie zauważyłem problemów. Jedyne problemy z internetem, strony wolno się wczytują i prędkość netu spadała oraz pojawiał się BSOD, który powodował igdpmd.sys po uruchomieniu przeglądarek, jak w tym temacie. Po przeinstalowaniu sterowników od karty Intela i przy okazji AMD i kilku testach na razie BSOD nie pojawia się. Skan MBAM i TDSSKiller również nic poważnego nie wykazał. Zauważyłem natomiast, że wcześniej ktoś używał ComboFix dlatego proszę o analizę logów czy coś nie "nawywijał" oraz na partycji C:\ jest mnóstwo plików tmp.png w stylu: oct1A0.tmp.png Z góry dziękuję za pomoc. Addition.txtPobieranie informacji ... ComboFix.txtPobieranie informacji ... Extras.TxtPobieranie informacji ... FRST.txtPobieranie informacji ... gmer.txtPobieranie informacji ... mabam.txtPobieranie informacji ... OTL.TxtPobieranie informacji ... Shortcut.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 3 Grudnia 2014 Zgłoś Udostępnij Opublikowano 3 Grudnia 2014 Cytat Zauważyłem natomiast, że wcześniej ktoś używał ComboFix dlatego proszę o analizę logów czy coś nie "nawywijał" oraz na partycji C:\ jest mnóstwo plików tmp.png w stylu: oct1A0.tmp.png ComboFix pododawał pewne elementy, których w systemie wcześniej nie było. Nie wiem co utworzyło owe pliki PNG. Jak rozumiem pliki nie zostały skasowane między wytwarzaniem raportu OTL a FRST - w FRST ich nie widać, pewnie FRST filtruje taki rodzaj rozszerzeń. Oznak czynnej infekcji brak. Tylko kosmetyczne poprawki: 1. Odinstaluj stare wersje Adobe Flash Player 11 ActiveX, Adobe Flash Player 15 Plugin, Java 7 Update 21 oraz śmieci Qtrax Player, UpdateChecker. Jeśli te ostatnie nie będą widoczne na liście, nie szkodzi, i tak zajmie się nimi skrypt podany poniżej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: S3 catchme; \??\C:\ComboFix\catchme.sys [X] S3 STHDA; system32\DRIVERS\stwrt64.sys [X] ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-3827801199-4237816232-3164111636-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction URLSearchHook: HKU\S-1-5-21-3827801199-4237816232-3164111636-1001 - (No Name) - {261c67f2-64cd-4696-9821-612409b649d5} - No File SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-3827801199-4237816232-3164111636-1001 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://www.google.com/search?q={sear SearchScopes: HKU\S-1-5-21-3827801199-4237816232-3164111636-1001 -> {szukaj.gazeta.pl} URL = http://szukaj.gazeta.pl/internet/0,0.html?slowo={searchTerms} Toolbar: HKU\S-1-5-21-3827801199-4237816232-3164111636-1001 -> No Name - {4A8A0B3B-EEB7-4E90-B359-3E01B2C15E82} - No File FF Plugin-x32: @MyImageConverter_8j.com/Plugin -> C:\Program Files (x86)\MyImageConverter_8j\bar\2.bin\NP8jStub.dll No File FF HKU\S-1-5-21-3827801199-4237816232-3164111636-1001\...\Firefox\Extensions: [freegames115@BestOffers] - C:\Users\Irmina\AppData\Roaming\Mozilla\Extensions\freegames115@BestOffers CustomCLSID: HKU\S-1-5-21-3827801199-4237816232-3164111636-1001_Classes\CLSID\{A75BE48D-BF58-4A8B-B96C-F9A09DFB9844}\InprocServer32 -> %LOCALAPPDATA%\Pokki\ocdeskband_0.dll No File Task: {3BF726B8-2CFA-4685-B633-05D5DD432E07} - System32\Tasks\{6FD66EB5-8002-45C9-9743-F84EF499971C} => c:\program files (x86)\opera\opera.exe Task: {3D98415C-0097-4F02-82F8-715D2CF9103A} - System32\Tasks\{E4D8AF37-9C21-4610-BD68-EA188A338230} => Firefox.exe Task: {5AAF3642-5C07-4A6F-A257-3E1ED4D3854D} - System32\Tasks\{A979066F-96C6-4C0C-8E26-17EEF4D9D1EF} => Firefox.exe Task: {BEB4AD93-3E35-4C6D-BFAA-28541AB654D4} - System32\Tasks\{A7EAC957-83D9-4E90-92CB-340C0A78B4CB} => Firefox.exe Task: C:\windows\Tasks\HPCeeScheduleForIRMINA-HP$.job => C:\Program Files (x86)\Hewlett-Packard\HP Ceement\HPCEE.exe CMD: for /d %f in (C:\Users\Irmina\AppData\Local\{*}) do rd /s /q "%f" C:\oct*.tmp.png C:\ProgramData\SMRResults430.dat C:\ProgramData\AVAST Software C:\ProgramData\Avg_Update_1114tb C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Online Services C:\ProgramData\Norton C:\Users\Irmina\*.htm C:\Users\Irmina\*.lnk C:\Users\Irmina\AppData\Local\{*} C:\Users\Irmina\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Irmina\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage* C:\Users\Irmina\AppData\Local\NPE C:\Users\Irmina\AppData\Local\Pokki C:\Users\Irmina\AppData\Roaming\Audacity C:\Users\Irmina\AppData\Roaming\AVG C:\Users\Irmina\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\FLV Player.lnk C:\Users\Irmina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FLV Player C:\Users\Irmina\AppData\Roaming\Opera C:\Users\Irmina\AppData\Roaming\Origin C:\Users\Irmina\AppData\Roaming\rmi C:\Users\Irmina\AppData\Roaming\TuneUp Software C:\Users\Irmina\AppData\Roaming\uTorrent C:\Users\Irmina\Desktop\Desktop\Różne dokumenty\AVG Konserwacja 1 kliknięciem.lnk C:\Users\Irmina\Desktop\Desktop\Różne dokumenty\AVG PC TuneUp 2014.lnk C:\Users\Irmina\Desktop\Desktop\Różne dokumenty\Graj w Euro Truck Simulator 2.lnk C:\Users\Irmina\Desktop\Wika\Różne\Programy\AVG Konserwacja 1 kliknięciem.lnk C:\Users\Irmina\Desktop\Wika\Różne\Programy\AVG PC TuneUp 2014.lnk C:\Users\Irmina\Desktop\Wika\Różne\Programy\Debut Video Capture Software.lnk C:\Users\Irmina\Desktop\Wika\Różne\Programy\Origin.lnk C:\Users\Irmina\Desktop\Wika\Koniec Roku\OneDrive.lnk C:\Users\Irmina\Desktop\Wika\Koniec Roku\Jaa\2014\* — skrót.lnk C:\Users\Irmina\Desktop\Wika\Koniec Roku\Jaa\Camera\* — skrót.lnk C:\Users\Irmina\Documents\*.tmp C:\Users\Irmina\Documents\* — skrót.lnk C:\windows\grep.exe C:\windows\MBR.exe C:\windows\PEV.exe C:\windows\sed.exe C:\windows\zip.exe C:\windows\SysWow64\*.tmp Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AppSafe" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Tutorials" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\Search" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer /v NoDrives /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\Prefixes\gopher /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla\Thunderbird /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{84178AE8-C22D-48CB-A6BA-D116FD3FE469} /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{ec29edf6-ad3c-4e1c-a087-d6cb81400c43}" /f Reg: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Popajar, inc UpdateChecker" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{B4916AE2-C6EC-43C1-8D4A-B5DC852372ED}" /f Reg: reg delete HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer /v NoDrives /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Policies\Microsoft\Internet Explorer" /f Reg: reg delete "HKU\S-1-5-19\Software\Policies\Microsoft\Internet Explorer" /f Reg: reg delete "HKU\S-1-5-20\Software\Policies\Microsoft\Internet Explorer" /f CMD: netsh advfirewall reset CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Irmina\AppData\Local CMD: dir /a C:\Users\Irmina\AppData\LocalLow CMD: dir /a C:\Users\Irmina\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart i powstanie plik plik fixlog.txt. 3. Specjalny skrót IE jest uszkodzony: Shortcut: C:\Users\Irmina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) W pasku adresów eksploratora wklej ścieżkę C:\Users\Irmina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Zresetuj cache wtyczek Google Chrome. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Wypowiedz się czy po skasowaniu owych plików PNG one zaczynają się odtwarzać. . Odnośnik do komentarza
bpm Opublikowano 3 Grudnia 2014 Autor Zgłoś Udostępnij Opublikowano 3 Grudnia 2014 Wykonane zgodnie z zaleceniami. Cytat Wypowiedz się czy po skasowaniu owych plików PNG one zaczynają się odtwarzać. Nie zauważyłem już tego. Fixlog.txtPobieranie informacji ... FRST.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 4 Grudnia 2014 Zgłoś Udostępnij Opublikowano 4 Grudnia 2014 Drobne poprawki. Do Notatnika wklej: Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects" /s Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\URL\Prefixes\gopher /f Reg: reg delete "HKU\S-1-5-18\Software\Policies\Microsoft\Internet Explorer" /f Reg: reg delete "HKU\S-1-5-19\Software\Policies\Microsoft\Internet Explorer" /f Reg: reg delete "HKU\S-1-5-20\Software\Policies\Microsoft\Internet Explorer" /f C:\Program Files\Symantec C:\Program Files (x86)\HDD Regenerator C:\ProgramData\AVG C:\ProgramData\Avg_Update_0814tb C:\ProgramData\EmailNotifier C:\ProgramData\HitmanPro C:\ProgramData\McAfee C:\ProgramData\NortonInstaller C:\ProgramData\Sun C:\ProgramData\TEMP C:\ProgramData\TuneUp Software C:\Users\Irmina\AppData\Local\AVG C:\Users\Irmina\AppData\Local\avgchrome C:\Users\Irmina\AppData\Local\Big Fish C:\Users\Irmina\AppData\Local\cache C:\Users\Irmina\AppData\Local\CrashDumps C:\Users\Irmina\AppData\Local\ESET C:\Users\Irmina\AppData\Local\MyImageConverter_8j C:\Users\Irmina\AppData\Local\Opera C:\Users\Irmina\AppData\Local\WMTools Downloaded Files C:\Users\Irmina\AppData\LocalLow\Sun C:\Users\Irmina\AppData\LocalLow\Temp Tak jak poprzednio zapisz pod nazwą fixlist.txt tam gdzie siedzi FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. Odnośnik do komentarza
bpm Opublikowano 4 Grudnia 2014 Autor Zgłoś Udostępnij Opublikowano 4 Grudnia 2014 Zrobione. Oto wynikowy log. Fixlog.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 4 Grudnia 2014 Zgłoś Udostępnij Opublikowano 4 Grudnia 2014 Fix wykonany, ale jest tu pewien problem. W trakcie napraw (po pierwszym podejściu) nagle zniknął jeden z kluczy BHO i nie wiem dlaczego. Pierwszy Fix nie ruszał tam nic (drugi już tylko sprawdzał czy klucz jest), była za to deinstalacja Java usuwająca swoje obiekty z relatywnego obszaru i może to działanie miało jakiś błąd. Odzyskaj kopię klucza: 1. Otwórz Notatnik i wklej w nim: Reg: reg load HKLM\TMP C:\FRST\Hives\SOFTWARE Reg: reg export "HKLM\TMP\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects" C:\Users\Irmina\Desktop\bho.reg Reg: reg unload HKLM\TMP Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. 2. Na Pulpicie powstanie plik bho.reg. Otwórz do edycji w Notatniku i zamień HKEY_LOCAL_MACHINE\TMP na HKEY_LOCAL_MACHINE\SOFTWARE. Z prawokliku na plik opcja Scal. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). . Odnośnik do komentarza
bpm Opublikowano 4 Grudnia 2014 Autor Zgłoś Udostępnij Opublikowano 4 Grudnia 2014 Wykonane zgodnie z zaleceniami. Fixlog.txtPobieranie informacji ... FRST.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 4 Grudnia 2014 Zgłoś Udostępnij Opublikowano 4 Grudnia 2014 Brakujący wpis grzecznie wrócił na miejsce: BHO: Windows Live ID Sign-in Helper -> {9030D464-4C02-4ABF-8ECC-5164760863C6} -> C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corp.) Wszystko zrobione, toteż przejdź do wiadomych kroków finalizujących całość: KLIK. Odnośnik do komentarza
Rekomendowane odpowiedzi