Skocz do zawartości

Podejrzany fastbar


Rekomendowane odpowiedzi

Mam bardzo podejrzny fastbar ktory bardzo Mnie trapi, prosze o pomoc,

 

 

GMER 2.1.19357 - http://www.gmer.net

Rootkit scan 2015-02-02 21:07:15

Windows 6.1.7601 Service Pack 1 x64 \Device\Harddisk1\DR1 -> \Device\Ide\IdeDeviceP0T1L0-3 SAMSUNG_HD322HJ rev.1AC01110 298,09GB

Running: gmer.exe; Driver: C:\Users\Krzysiek\AppData\Local\Temp\pgldapow.sys

 

 

---- Kernel code sections - GMER 2.1 ----

 

.text C:\Windows\System32\win32k.sys!W32pServiceTable fffff96000104300 7 bytes [00, A1, F3, FF, 41, B4, F0]

.text C:\Windows\System32\win32k.sys!W32pServiceTable + 8 fffff96000104308 3 bytes [00, 07, 02]

 

---- User code sections - GMER 2.1 ----

 

.text C:\Program Files (x86)\AVG\AVG2015\avgfws.exe[1416] C:\Windows\syswow64\psapi.dll!GetModuleInformation + 69 0000000075d21465 2 bytes [D2, 75]

.text C:\Program Files (x86)\AVG\AVG2015\avgfws.exe[1416] C:\Windows\syswow64\psapi.dll!GetModuleInformation + 155 0000000075d214bb 2 bytes [D2, 75]

.text ... * 2

.text C:\Program Files (x86)\Malwarebytes Anti-Malware\mbamscheduler.exe[1924] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69 0000000075d21465 2 bytes [D2, 75]

.text C:\Program Files (x86)\Malwarebytes Anti-Malware\mbamscheduler.exe[1924] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155 0000000075d214bb 2 bytes [D2, 75]

.text ... * 2

.text C:\Program Files (x86)\NEC Electronics\USB 3.0 Host Controller Driver\Application\nusb3mon.exe[2300] C:\Windows\SysWOW64\ntdll.dll!NtWriteVirtualMemory 000000007749fe14 5 bytes JMP 0000000173321000

.text C:\Program Files (x86)\AVG\AVG2015\avgui.exe[2324] C:\Windows\SysWOW64\ntdll.dll!NtWriteVirtualMemory 000000007749fe14 5 bytes JMP 0000000173321000

.text C:\Program Files (x86)\AVG\AVG2015\avgui.exe[2324] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69 0000000075d21465 2 bytes [D2, 75]

.text C:\Program Files (x86)\AVG\AVG2015\avgui.exe[2324] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155 0000000075d214bb 2 bytes [D2, 75]

.text ... * 2

.text C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[2336] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory 00000000772f0950 5 bytes JMP 0000000077450018

.text C:\Program Files (x86)\Spybot - Search & Destroy 2\SDTray.exe[2356] C:\Windows\SysWOW64\ntdll.dll!NtWriteVirtualMemory 000000007749fe14 5 bytes JMP 0000000173321000

.text C:\Program Files (x86)\Spybot - Search & Destroy 2\SDTray.exe[2356] C:\Windows\syswow64\psapi.dll!GetModuleInformation + 69 0000000075d21465 2 bytes [D2, 75]

.text C:\Program Files (x86)\Spybot - Search & Destroy 2\SDTray.exe[2356] C:\Windows\syswow64\psapi.dll!GetModuleInformation + 155 0000000075d214bb 2 bytes [D2, 75]

.text ... * 2

.text C:\Program Files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe[2468] C:\Windows\SysWOW64\ntdll.dll!NtWriteVirtualMemory 000000007749fe14 5 bytes JMP 0000000173321000

.text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2540] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory 00000000772f0950 5 bytes JMP 0000000077450018

.text C:\Program Files (x86)\Spybot - Search & Destroy 2\SDFSSvc.exe[2636] C:\Windows\SysWOW64\ntdll.dll!NtWriteVirtualMemory 000000007749fe14 5 bytes JMP 0000000173321000

.text C:\Program Files (x86)\Spybot - Search & Destroy 2\SDFSSvc.exe[2636] C:\Windows\syswow64\psapi.dll!GetModuleInformation + 69 0000000075d21465 2 bytes [D2, 75]

.text C:\Program Files (x86)\Spybot - Search & Destroy 2\SDFSSvc.exe[2636] C:\Windows\syswow64\psapi.dll!GetModuleInformation + 155 0000000075d214bb 2 bytes [D2, 75]

.text ... * 2

.text C:\Program Files (x86)\AVG\AVG2015\avgnsa.exe[2664] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory 00000000772f0950 5 bytes JMP 0000000077450018

.text C:\Program Files (x86)\AVG\AVG2015\avgemca.exe[2728] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory 00000000772f0950 5 bytes JMP 0000000077450018

.text C:\Program Files (x86)\Spybot - Search & Destroy 2\SDUpdSvc.exe[3020] C:\Windows\SysWOW64\ntdll.dll!NtWriteVirtualMemory 000000007749fe14 5 bytes JMP 0000000173321000

.text C:\Windows\system32\svchost.exe[1304] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory 00000000772f0950 5 bytes JMP 0000000077450018

.text C:\Program Files (x86)\Spybot - Search & Destroy 2\SDWSCSvc.exe[2376] C:\Windows\SysWOW64\ntdll.dll!NtWriteVirtualMemory 000000007749fe14 5 bytes JMP 0000000173321000

.text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[3216] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory 00000000772f0950 5 bytes JMP 0000000077450018

.text C:\Windows\system32\conhost.exe[3224] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory 00000000772f0950 5 bytes JMP 0000000077450018

.text C:\Windows\system32\SearchIndexer.exe[3264] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory 00000000772f0950 5 bytes JMP 0000000077450018

.text C:\Windows\System32\WUDFHost.exe[3820] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory 00000000772f0950 5 bytes JMP 0000000077450018

.text C:\Windows\SysWOW64\ctfmon.exe[3912] C:\Windows\SysWOW64\ntdll.dll!NtWriteVirtualMemory 000000007749fe14 5 bytes JMP 0000000173321000

.text C:\Windows\system32\svchost.exe[4432] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory 00000000772f0950 5 bytes JMP 0000000077450018

.text C:\Windows\system32\svchost.exe[420] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory 00000000772f0950 5 bytes JMP 0000000077450018

.text C:\Windows\system32\taskeng.exe[4560] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory 00000000772f0950 5 bytes JMP 0000000077450018

.text C:\Users\Krzysiek\Downloads\FRST64(3).exe[2804] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory 00000000772f0950 5 bytes JMP 0000000077450018

.text C:\Windows\system32\notepad.exe[4468] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory 00000000772f0950 5 bytes JMP 0000000077450018

.text C:\Windows\system32\notepad.exe[4500] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory 00000000772f0950 5 bytes JMP 0000000077450018

.text C:\Windows\system32\wbem\wmiprvse.exe[4820] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory 00000000772f0950 5 bytes JMP 0000000077450018

.text C:\Program Files\WinRAR\WinRAR.exe[5304] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory 00000000772f0950 5 bytes JMP 0000000077450018

.text C:\Program Files\Internet Explorer\iexplore.exe[5336] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory 00000000772f0950 5 bytes JMP 0000000077450018

.text C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE[5384] C:\Windows\SysWOW64\ntdll.dll!NtWriteVirtualMemory 000000007749fe14 5 bytes JMP 0000000173321000

.text C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE[5384] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69 0000000075d21465 2 bytes [D2, 75]

.text C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE[5384] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155 0000000075d214bb 2 bytes [D2, 75]

.text ... * 2

.text C:\Users\Krzysiek\AppData\Local\Temp\Temp1_gmer(2).zip\gmer.exe[6112] C:\Windows\SysWOW64\ntdll.dll!NtWriteVirtualMemory 000000007749fe14 5 bytes JMP 0000000173321000

 

---- Kernel IAT/EAT - GMER 2.1 ----

 

IAT C:\Windows\system32\drivers\atapi.sys[ataport.SYS!AtaPortReadPortBufferUshort] [fffff880010c1e94] \SystemRoot\System32\Drivers\sptd.sys [.text]

IAT C:\Windows\system32\drivers\atapi.sys[ataport.SYS!AtaPortReadPortUchar] [fffff880010c1c38] \SystemRoot\System32\Drivers\sptd.sys [.text]

IAT C:\Windows\system32\drivers\atapi.sys[ataport.SYS!AtaPortWritePortUchar] [fffff880010c2614] \SystemRoot\System32\Drivers\sptd.sys [.text]

IAT C:\Windows\system32\drivers\atapi.sys[ataport.SYS!AtaPortWritePortUlong] [fffff880010c2a10] \SystemRoot\System32\Drivers\sptd.sys [.text]

IAT C:\Windows\system32\drivers\atapi.sys[ataport.SYS!AtaPortWritePortBufferUshort] [fffff880010c286c] \SystemRoot\System32\Drivers\sptd.sys [.text]

 

---- Devices - GMER 2.1 ----

 

Device \Driver\atapi \Device\Ide\IdePort0 fffffa80039a42c0

Device \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-3 fffffa80039a42c0

Device \Driver\atapi \Device\Ide\IdePort1 fffffa80039a42c0

Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-1 fffffa80039a42c0

Device \Driver\atapi \Device\Ide\IdeDeviceP1T1L0-2 fffffa80039a42c0

Device \FileSystem\Ntfs \Ntfs fffffa80039a82c0

Device \Driver\usbuhci \Device\USBFDO-3 fffffa80050e72c0

Device \Driver\usbuhci \Device\USBPDO-1 fffffa80050e72c0

Device \Driver\cdrom \Device\CdRom0 fffffa8004c952c0

Device \Driver\cdrom \Device\CdRom1 fffffa8004c952c0

Device \Driver\dtsoftbus01 \Device\0000005b fffffa8004c9d2c0

Device \Driver\USBSTOR \Device\0000006b fffffa8004cd82c0

Device \Driver\usbehci \Device\USBFDO-4 fffffa80052162c0

Device \Driver\usbuhci \Device\USBPDO-2 fffffa80050e72c0

Device \Driver\usbuhci \Device\USBFDO-0 fffffa80050e72c0

Device \Driver\dtsoftbus01 \Device\DTSoftBusCtl fffffa8004c9d2c0

Device \Driver\usbuhci \Device\USBPDO-3 fffffa80050e72c0

Device \Driver\usbuhci \Device\USBFDO-1 fffffa80050e72c0

Device \Driver\NetBT \Device\NetBT_Tcpip_{C88FADA7-5B45-4EA4-9C68-53587E2F8AE1} fffffa8004cc72c0

Device \Driver\USBSTOR \Device\0000006d fffffa8004cd82c0

Device \Driver\NetBT \Device\NetBt_Wins_Export fffffa8004cc72c0

Device \Driver\usbehci \Device\USBPDO-4 fffffa80052162c0

Device \Driver\usbuhci \Device\USBFDO-2 fffffa80050e72c0

Device \Driver\atapi \Device\ScsiPort0 fffffa80039a42c0

Device \Driver\usbuhci \Device\USBPDO-0 fffffa80050e72c0

Device \Driver\atapi \Device\ScsiPort1 fffffa80039a42c0

 

---- Trace I/O - GMER 2.1 ----

 

Trace ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys >>UNKNOWN [0xfffffa80039a42c0]<< sptd.sys ataport.SYS intelide.sys PCIIDEX.SYS hal.dll atapi.sys fffffa80039a42c0

Trace 1 nt!IofCallDriver -> \Device\Harddisk1\DR1[0xfffffa8004904680] fffffa8004904680

Trace 3 CLASSPNP.SYS[fffff8800143b43f] -> nt!IofCallDriver -> [0xfffffa8003958e40] fffffa8003958e40

Trace 5 ACPI.sys[fffff8800100b7a1] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP0T1L0-3[0xfffffa80043d6680] fffffa80043d6680

Trace \Driver\atapi[0xfffffa8004385d20] -> IRP_MJ_CREATE -> 0xfffffa80039a42c0 fffffa80039a42c0

---- Processes - GMER 2.1 ----

 

Process C:\Users\Krzysiek\AppData\Local\Temp\Temp1_gmer(2).zip\gmer.exe (*** suspicious ***) @ C:\Users\Krzysiek\AppData\Local\Temp\Temp1_gmer(2).zip\gmer.exe [6112](2014-01-28 17:36:04) 0000000000400000

 

---- EOF - GMER 2.1 ----

 

 

 

Dodatkowo mam dziwne teredo, podejrzewa, ze jestem zainfekowany :/

Odnośnik do odpowiedzi
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Proszę:

- Nie wysyłaj do mnie PW z logami. Mam wyraźnie w profilu napisane, że nie rozwiązuję spraw technicznych via PW.

- Jeśli nikt jeszcze nie odpisał, zamiast pisać post pod postem korzystaj z opcji Edytuj. Posty sklejone.

- Opisz dokładniej problem. Z treści "Mam bardzo podejrzny fastbar" nic nie wynika konkretnego.

- Uzupełnij wymagane logi. Był tu podany tylko FRST Addition, a mają być trzy logi FRST (FRST.txt, Addition.txt i Shortcut.txt): KLIK.

- Nie wklejaj logów w postach. Oryginalne pliki mają być wstawione jako załączniki.

Odnośnik do odpowiedzi
  • 3 tygodnie później...

kondzior1989, proszę podaj raporty z FRST, to się zabiorę za analizę i usuwanie. Instrukcja tworzenia raportów: KLIK. Mają powstać trzy pliki: FRST.txt, Addition.txt i Shortcut.txt. Pliki te należy doczepić w postaci oryginalnej jako załączniki forum, nie wklejać ich w poście.

Odnośnik do odpowiedzi
  • 2 tygodnie później...
  • 2 tygodnie później...

kondzior, w temacie powstał śmietnik, dane podane fatalnie i musiałam wszystko skorygować. Nie tworzy się posta pod postem na każdy log tylko jeden porządny post, a w przypadku pomyłki używa opcję Edytuj. Wszystko sklejone. Pliki przeniosłam do załączników, zbędne dane wycięte z logów.

 

Mówiłam wyraźnie w jaki sposób mają być podane raporty:

 

Pliki te należy doczepić w postaci oryginalnej jako załączniki forum, nie wklejać ich w poście.

A Ty narobiłeś serię bezużytecznych postów - wklejanie logów wq postach lub umieszczanie na SpeedyShare. Nie. Oryginalne pliki masz wstawiać jako załączniki forum (tak jak powyżej już zrobiłam), czyli w polu szybkiej odpowiedzi > Więcej opcji > jest funkcja dołączania plików. Log z FRST zrobiony na innych ustawieniach niż zalecane - sekcje "Drivers MD5" i "List BCD" nie miały być zaznaczone.

 

 


Co widzę w raportach:

- Mocno kombinowałeś w międzyczasie, wiele różnych skanerów użyte (w tym wątpliwej reputacji), żadne wyniki nie podane. Na temat używania ComboFix: KLIK. Obecnie są tylko szczątki adware widoczne.

- Stosowałeś programy z czarnej listy: 1-2-3 Spyware Free, SpyHunter i YAC. To są lewe programy, których należy unikać! Jak szalony szukałeś scrackowanej wersji SpyHunter, a to program którego nie należy w ogóle instalować.

- Niepoprawnie odinstalowany AVG, który ma czynne uruchamiające się sterowniki. Skombinowanie tej wadliwej instalacji z KIS powinno mieć negatywny wpływ na system (zawieszenia, obniżenie wydajności).

 

 

Działania do przeprowadzenia:

 

1. Deinstalacje:

- Z poziomu Trybu awaryjnego Windows: zastosuj AVG Remover.

- Z poziomu Trybu normalnego Windows: przez Panel sterowania odinstaluj Spybot - Search & Destroy, SpyHunter 4, SpyHunter4 wersja 4.18.9.4384, Visual Studio 2012 x64 Redistributables, Visual Studio 2012 x86 Redistributables (te dwie pozycje Visual to szczątki po AVG).

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
Hosts:
Task: {177FCA84-6E7E-42BD-A355-918A7AACE439} - System32\Tasks\{5DACB18E-7859-419A-ACF7-1CC5D6D1BEFA} => pcalua.exe -a E:\Network\Atheros\setup.exe -d E:\Network\Atheros
Task: {26F58CBC-4827-47AB-8BC2-6E609B9FA5A9} - System32\Tasks\Trojan Killer => C:\Program Files\GridinSoft Trojan Killer\trojankiller.exe
Task: {29797E6B-13A2-4F4E-BD49-008B27AC9B90} - System32\Tasks\{8EBA598C-6551-4B4E-A58B-EDDBB8B8E33F} => pcalua.exe -a C:\Users\Krzysiek\Downloads\Atheros\setup.exe -d C:\Users\Krzysiek\Downloads\Atheros
Task: {36DF7719-0733-4583-AB6C-3CE09161CF33} - \Microsoft\Windows\Multimedia\SMupdate3 No Task File 
Task: {395F3788-43FE-41FF-BB91-AAB891D992DE} - System32\Tasks\{8C6EB2C5-EEA5-4DDC-8163-BB80F9374527} => pcalua.exe -a C:\Users\Krzysiek\Downloads\ESETUninstaller.exe -d C:\Users\Krzysiek\Downloads
Task: {3F6B554B-1A50-40FD-B06C-751C3ED1F002} - \764611c9-1b21-4b03-9a30-56eedfd6c6e6-5 No Task File 
Task: {52BFBC77-7024-43B1-A6DF-85610D4B545F} - \143393bc-7f5e-4507-add5-8597bdc84515-1-6 No Task File 
Task: {52CDAA29-A753-4053-8554-986D5FC58025} - \a972f7c5-cd22-40e6-bf2e-f10faa9624f1-5 No Task File 
Task: {548EC38A-0A8E-49AC-B26C-8D5EA9955AB1} - \a972f7c5-cd22-40e6-bf2e-f10faa9624f1-1-7 No Task File 
Task: {56AE6302-9AE9-46D4-ABFB-ECD5BAD131FB} - \{AF566643-A8F2-41BE-9B71-2D7FAA936F35} No Task File 
Task: {5700BE11-E2CE-4BF6-B12D-69B5276B2B4A} - \a972f7c5-cd22-40e6-bf2e-f10faa9624f1-5_user No Task File 
Task: {615353DC-F604-4FC5-B5F3-E4FE25BD13AF} - \143393bc-7f5e-4507-add5-8597bdc84515-5 No Task File 
Task: {681E7993-377A-4951-B6A8-73BA8CA7E335} - \a972f7c5-cd22-40e6-bf2e-f10faa9624f1-10_user No Task File 
Task: {699AF995-A106-4DFA-B49F-83E4AB819224} - \764611c9-1b21-4b03-9a30-56eedfd6c6e6-1-7 No Task File 
Task: {76FF0C5D-E54B-4F47-B13B-A153636C2A92} - \764611c9-1b21-4b03-9a30-56eedfd6c6e6-5_user No Task File 
Task: {7A223541-0310-4B06-ADC7-E7E00B61E08F} - \764611c9-1b21-4b03-9a30-56eedfd6c6e6-4 No Task File 
Task: {7C93458E-0BC5-474D-B839-3D32685AAC12} - System32\Tasks\Ad-Aware Update (Weekly) => C:\Program Files (x86)\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe
Task: {7D986BD1-E6B5-4574-A893-342DB9157A0F} - \143393bc-7f5e-4507-add5-8597bdc84515-5_user No Task File 
Task: {7DCF7C9F-48D2-42AC-BFC8-92CE85FEA65E} - \SPBIW_UpdateTask_Time_3931393933343637392d7837235a576c4a3241345041 No Task File 
Task: {7EBBE296-ABBA-412E-9B8D-BE64F21FAA01} - System32\Tasks\{071D92A4-11B3-4626-9365-3E01A55FF7A5} => pcalua.exe -a C:\Users\Krzysiek\Downloads\agb4s.exe -d C:\Users\Krzysiek\Downloads
Task: {90088F71-408B-4414-B622-F7EF73BFC42A} - System32\Tasks\LCHIEUU => C:\Users\Krzysiek\AppData\Roaming\LCHIEUU.exe 
Task: {92A1E301-EE96-4C22-920D-2DF2E663CCCF} - \a972f7c5-cd22-40e6-bf2e-f10faa9624f1-4 No Task File 
Task: {9B3995F8-636F-4BCB-8892-405C387841A0} - \Installer_iwebar No Task File 
Task: {AB120AF9-8BDF-4E8E-B2DB-6FCC0B5C6A22} - \Microsoft\Windows\Maintenance\SMupdate2 No Task File 
Task: {C71388A9-BFAA-436A-8845-B4A085E8B325} - \a972f7c5-cd22-40e6-bf2e-f10faa9624f1-1-6 No Task File 
Task: {D8454047-2266-4837-A67C-68B3FDA56065} - \143393bc-7f5e-4507-add5-8597bdc84515-4 No Task File 
Task: {D8587A16-08E7-47C3-8CD7-B5A2604854E4} - System32\Tasks\LLUXOFYD => C:\Users\Krzysiek\AppData\Roaming\LLUXOFYD.exe 
Task: {DB3114DE-0370-488C-8AD2-363E71403BCD} - \764611c9-1b21-4b03-9a30-56eedfd6c6e6-1-6 No Task File 
Task: {F845B0B2-0E7A-4282-916E-53FEACC02B8D} - \143393bc-7f5e-4507-add5-8597bdc84515-1-7 No Task File 
Task: C:\Windows\Tasks\LCHIEUU.job => C:\Users\Krzysiek\AppData\Roaming\LCHIEUU.exe 
Task: C:\Windows\Tasks\LLUXOFYD.job => C:\Users\Krzysiek\AppData\Roaming\LLUXOFYD.exe 
U5 AppMgmt; C:\Windows\system32\svchost.exe [27136 2009-07-14] (Microsoft Corporation)
U3 TrueSight; C:\Windows\System32\drivers\TrueSight.sys [35064 2015-01-21] ()
S2 a2AntiMalware; "C:\Program Files (x86)\Emsisoft Anti-Malware\a2service.exe" [X]
S3 a2acc; \??\C:\PROGRAM FILES (X86)\EMSISOFT ANTI-MALWARE\a2accx64.sys [X]
S1 A2DDA; \??\C:\Program Files (x86)\Emsisoft Anti-Malware\a2ddax64.sys [X]
S1 a2injectiondriver; \??\C:\Program Files (x86)\Emsisoft Anti-Malware\a2dix64.sys [X]
S1 a2util; \??\C:\Program Files (x86)\Emsisoft Anti-Malware\a2util64.sys [X]
S3 cleanhlp; \??\C:\Program Files (x86)\Emsisoft Anti-Malware\cleanhlp64.sys [X]
S3 cpuz134; \??\C:\Users\Krzysiek\AppData\Local\Temp\cpuz134\cpuz134_x64.sys [X]
S1 iSafeKrnlMon; \??\C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlMon.sys [X]
BootExecute: autocheck autochk * sh4native Sh4Removal
GroupPolicy: Group Policy on Chrome detected 
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction 
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction 
HKU\S-1-5-21-1836783247-2438984783-1640222506-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction 
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com
SearchScopes: HKLM -> DefaultScope {0191A6B0-1154-4C22-9182-23A95BBE92D9} URL =
FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\.xml [2015-01-17]
C:\aaw7boot.cmd
C:\NPE
C:\Program Files (x86)\1-2-3 Spyware Free
C:\Program Files (x86)\AVG
C:\Program Files (x86)\Lavasoft
C:\Program Files (x86)\Opera
C:\Program Files (x86)\Share link via email
C:\ProgramData\mntemp
C:\ProgramData\SMRResults430.dat
C:\ProgramData\{991eaa45-13ea-fa95-991e-eaa4513ea914}
C:\ProgramData\Lavasoft
C:\ProgramData\MFAData
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AVG
C:\ProgramData\Norton
C:\Users\Krzysiek\AppData\Local\nsf7F33.tmp
C:\Users\Krzysiek\AppData\Local\GGEmpire
C:\Users\Krzysiek\AppData\Local\NPE
C:\Users\Krzysiek\AppData\Local\Opera Software
C:\Users\Krzysiek\AppData\Local\WorldofTanks
C:\Users\Krzysiek\AppData\Roaming\LCHIEUU
C:\Users\Krzysiek\AppData\Roaming\LLUXOFYD
C:\Users\Krzysiek\AppData\Roaming\qnapi.ini
C:\Users\Krzysiek\AppData\Roaming\00000000-1424206206-0000-0000-50E5499D8219
C:\Users\Krzysiek\AppData\Roaming\Avg_Update_1014av
C:\Users\Krzysiek\AppData\Roaming\Opera Software
C:\Users\Krzysiek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Pełne czyszczenie śmieci.lnk
C:\Users\Krzysiek\Desktop\spyhunterS4.exe
C:\Users\Krzysiek\Downloads\*.part
C:\Users\Krzysiek\Downloads\Ad-Aware*.exe
C:\Users\Krzysiek\Downloads\AdwCleaner*.exe
C:\Users\Krzysiek\Downloads\ReimageRepair.exe
C:\Users\Krzysiek\Downloads\Spybot*.exe
C:\Users\Krzysiek\Downloads\SpyHunter*.rar
C:\Users\Krzysiek\Downloads\SpyHunter-installer.exe
C:\Users\Krzysiek\Downloads\SpyHunter 4.17.6.4336
C:\Users\Krzysiek\Downloads\SpyHunter 4.17.6.4336(1)
C:\Users\Krzysiek\Downloads\SpyHunter 4.18.9.4384
C:\Users\Krzysiek\Downloads\SpyHunter.4.18.9.4384(2)
C:\Users\Krzysiek\Downloads\Spy-Hunter-4.1.11.0-+-Crack chyba dpbry
C:\Users\Krzysiek\Downloads\Spy-Hunter-4.1.11.0-+-Crack chyba dpbry(2)
C:\Windows\4FC9DA9DF608454E8191D7EFFDCC5726.TMP
C:\Windows\AF54923662584AC6A0435B5B89C6EB61.TMP
C:\Windows\system32\log
C:\Windows\system32\Drivers\SBREDrv.sys
C:\Windows\System32\drivers\TrueSight.sys
C:\Windows\SysWOW64\sh4native.exe
Reg: reg delete HKCU\Software\Google /f
Reg: reg delete HKLM\SOFTWARE\Google /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\SpyHunter 4 Service" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SpybotSD TeaTimer" /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Napraw niepoprawnie wyczyszczony (przypuszczalnie przez AdwCleaner) specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER:

 

C:\Users\Krzysiek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools

 

Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff

 

4. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. Przypominam: plik mają być podane jako załączniki forum.

Odnośnik do odpowiedzi

kondzior1989, prosiłam byś używał opcję Edytuj, jeśli nikt jeszcze nie odpisał, a chcesz coś poprawić. Znów napisałeś kilka postów pod rząd. Skleiłam.

 

To nie jest Fixlog z moich zaleceń, to inny Fixlog sprzed kilku miesięcy (styczeń). W ogóle nie wykonałeś tego zadania. Powtarzaj punkty 2 do 4 z poprzedniej instrukcji. I na koniec masz dostarczyć dwa pliki FRST: FRST.txt oraz Addition.txt.

Odnośnik do odpowiedzi

Wprawdzie nie dostarczyłeś mi właściwego pliku Fixlog z wynikami, ale nowe raporty FRST wskazują, iż zadania się wykonały. Drobne poprawki na wpisy odpadkowe:

 

Otwórz Notatnik i wklej w nim:

 

BHO-x32: No Name -> {53707962-6F74-2D53-2644-206D7942484F} -> No File
Task: {17516547-FA02-444C-8509-55CA1319D43A} - System32\Tasks\Driver Booster Update => C:\Program Files (x86)\IObit\Driver Booster\AutoUpdate.exe
Task: {451FE3FF-B9E2-4D60-9753-8937A8A3DF0B} - System32\Tasks\{6C52A862-514A-44BB-B1B5-E7DDF6934EE8} => pcalua.exe -a C:\Users\Krzysiek\AppData\Roaming\do-search\UninstallManager.exe -c -ptid=cor
Task: {485B01EC-2A10-44A3-AA66-1FF6BEE285FA} - System32\Tasks\Driver Booster SkipUAC (Krzysiek) => C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe
Task: {D4297FB2-2F20-4EF5-8EBD-1D145C46AF25} - \{A0AC54B8-2A15-41F0-9EC9-1DDD1D077ACC} No Task File 
Task: {ED6AA0A7-59CF-44A6-838C-1F76224BBDCE} - \{7AD5F75F-AB91-4FB7-B080-6B0F8A72A3D8} No Task File 
Task: {F59E574D-340E-49FC-B3AC-468B75FCA368} - System32\Tasks\Driver Booster Scan => C:\Program Files (x86)\IObit\Driver Booster\Scheduler.exe
RemoveDirectory: C:\AdwCleaner
RemoveDirectory: C:\FRST\Quarantine
RemoveDirectory: C:\Program Files (x86)\Enigma Software Group
RemoveDirectory: C:\Program Files (x86)\IObit
RemoveDirectory: C:\Program Files (x86)\Kaspersky Lab
RemoveDirectory: C:\ProgramData\{4f863d1b-3190-3610-4f86-63d1b319f46c}
RemoveDirectory: C:\ProgramData\IObit
RemoveDirectory: C:\ProgramData\Kaspersky Lab
RemoveDirectory: C:\ProgramData\Kaspersky Lab Setup Files
RemoveDirectory: C:\ProgramData\Spybot - Search & Destroy
RemoveDirectory: C:\Users\Krzysiek\AppData\Roaming\00000000-1424462113-0000-0000-50E5499D8219
RemoveDirectory: C:\Users\Krzysiek\AppData\Roaming\IObit
RemoveDirectory: C:\Users\Krzysiek\Downloads\FRST-OlderVersion
RemoveDirectory: C:\Users\Krzysiek\Downloads\Spy-Hunter-4.1.11.0-+-Crack chyba dpbry(1)
CMD: del /q C:\Users\Krzysiek\Documents\fixlist.txt
CMD: del /q C:\Users\Krzysiek\Downloads\avg_remover_stf_x64_2015_5501.exe
CMD: del /q C:\Users\Krzysiek\Downloads\avgremover.log

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt - dołącz w odpowiedzi.

 

Tylko ten Fixlog masz przedstawić. Nowe logi FRST nie są już potrzebne.

Odnośnik do odpowiedzi

Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 11-03-2015
Ran by Krzysiek at 2015-03-22 16:02:31 Run:3
Running from D:\Programy\Frst
Loaded Profiles: Krzysiek (Available profiles: Krzysiek)
Boot Mode: Normal
==============================================

 

Content of fixlist:
*****************

 

*****************

 


==== End of Fixlog 16:02:31 ====

 


jakby juz bylo czysto dziekuje bardzo :)

Odnośnik do odpowiedzi
  • 3 miesiące temu...
  • 3 tygodnie później...
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników przeglądających tę stronę.

×
×
  • Dodaj nową pozycję...