zybo232 Opublikowano 6 Listopada 2015 Zgłoś Udostępnij Opublikowano 6 Listopada 2015 Witam Mam identyczny problem i podejmowałem takie same kroki jak w jak w zacytowanym poście poniżej jedyna różnica to przeglądarka używam nacodzień to firefoxa. W załączeniu pliki z FRST. PS: Będe bardzo wdzięczny za pomoc w usunięciu tego dziadostwa. Pozdrawiam Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 6 Listopada 2015 Zgłoś Udostępnij Opublikowano 6 Listopada 2015 W systemie działa infekcja ładowana metodą AppInit_DLLs: AppInit_DLLs: C:\ProgramData\Itstock\Zamtraxfind.dll => C:\ProgramData\Itstock\Zamtraxfind.dll [883200 2015-09-14] () AppInit_DLLs-x32: C:\ProgramData\Itstock\Lamstock.dll => C:\ProgramData\Itstock\Lamstock.dll [738816 2015-09-14] () Akcje do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: AppInit_DLLs: C:\ProgramData\Itstock\Zamtraxfind.dll => C:\ProgramData\Itstock\Zamtraxfind.dll [883200 2015-09-14] () AppInit_DLLs-x32: C:\ProgramData\Itstock\Lamstock.dll => C:\ProgramData\Itstock\Lamstock.dll [738816 2015-09-14] () ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku ShellIconOverlayIdentifiers: [baiduAntivirusIconLock] -> {0A93904A-BB1E-4a0c-9753-B57B9AE272CC} => Brak pliku SearchScopes: HKLM -> DefaultScope - brak wartości SearchScopes: HKLM-x32 -> DefaultScope - brak wartości BHO-x32: Brak nazwy -> {B69F34DD-F0F9-42DC-9EDD-957187DA688D} -> Brak pliku ProxyServer: [s-1-5-21-2585482010-961294686-2247796360-1000] => cerber:8080 HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-2585482010-961294686-2247796360-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-2585482010-961294686-2247796360-1000\Software\Classes\.exe: exefile => HKU\S-1-5-21-2585482010-961294686-2247796360-1000\Software\Classes\exefile: Task: {D5C06C3A-756F-401D-8E9A-EF3831C2CDFB} - \Desk 365 RunAsStdUser -> Brak pliku Task: {DDFA0D7D-7BC4-43C1-A082-4E0A2BF78D63} - System32\Tasks\060184C3-9766-46a0-B258-F4518A0B2633 => Cscript.exe "C:\ProgramData\Baidu Security\Duplicaterecord.js" Task: {F59E3970-7688-482C-944B-1A8EADEA57C0} - \AmiUpdXp -> Brak pliku S3 cpuz136; \??\C:\Windows\TEMP\cpuz136\cpuz136_x64.sys [X] S1 epp64; \??\C:\EEK\bin\epp64.sys [X] S0 is3srv; SySWOW64\drivers\is3srv64.sys [X] S0 szkg5; SySWOW64\drivers\szkg64.sys [X] C:\Program Files (x86)\360 C:\ProgramData\360Quarant C:\ProgramData\AVAST Software C:\ProgramData\Itstock C:\Windows\system32\log C:\Windows\Tasks\360Disabled Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\annapcpro\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy problem rozwiązany. Odnośnik do komentarza
zybo232 Opublikowano 6 Listopada 2015 Autor Zgłoś Udostępnij Opublikowano 6 Listopada 2015 Bardzo dziekuje !!! Wyglada na to ze wszystko ok w załaczniku pliki. Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 6 Listopada 2015 Zgłoś Udostępnij Opublikowano 6 Listopada 2015 Drobna poprawka, gdyż za późno zedytowałam komendę Reg (brak parametru /f), co powstrzymało dokończenie skryptu. Do Notatnika wklej: Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f EmptyTemp: DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Ma nastąpić restart. Powstanie kolejny fixlog.txt. Przedstaw go. Odnośnik do komentarza
zybo232 Opublikowano 6 Listopada 2015 Autor Zgłoś Udostępnij Opublikowano 6 Listopada 2015 Byl restart ponizej plik Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 6 Listopada 2015 Zgłoś Udostępnij Opublikowano 6 Listopada 2015 Wszystko wykonane. Na zakończenie: 1. Usuń z Pulpitu folder FRST. Następnie zastosuj DelFix. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Zastąp najnowszymi wersjami następujące programy: Adobe Reader 9.5.5 - Polish, Internet Explorer 10, Java 8 Update 60, OpenOffice.org 3.3. Pobieranie również w w/w linku. Odnośnik do komentarza
zybo232 Opublikowano 6 Listopada 2015 Autor Zgłoś Udostępnij Opublikowano 6 Listopada 2015 Zrobione Dziekuje Pozdrawiam. Odnośnik do komentarza
Rekomendowane odpowiedzi