KbS92 Opublikowano 4 Lutego 2014 Zgłoś Udostępnij Opublikowano 4 Lutego 2014 Witam, widzialem sporo takich tematow ale w kazdym sa indywidualne ustawienia to FRST'a dlatego nie moge z nich skorzystac. Pobralem cos z facebooka na komputer po czym niestety kliknalem. Przeskanowalem AVG caly komputer. Wyrzucil do kwarantanny cos(PATRZ SCREEN) pierwszy raz widze cos takiego. Logi i screen: Niestety kiedy probowalem GMER'em zrobic byl blad programu jezeli to nie wystarczy cos pokombinuje. Addition.txt Extras.Txt FRST.txt OTL.Txt Odnośnik do komentarza
muzyk75 Opublikowano 4 Lutego 2014 Zgłoś Udostępnij Opublikowano 4 Lutego 2014 Na chwilę obecną wykonaj to: 1. Otwórz notatnik i wklej: Task: {DF947EBD-7047-446F-B7C9-46C93E08F165} - \AmiUpdXp No Task File HKLM-x32\...\Run: [mobilegeni daemon] - C:\Program Files (x86)\Mobogenie\DaemonProcess.exe HKU\S-1-5-21-3554188659-4125365456-1988714816-1000\...\Run: [AdobeBridge] - [X] HKLM-x32\...\Runonce: [AvgUninstallURL] - cmd.exe /c start http://www.avg.com/ww.special-uninstallation-feedback-app?lic=OQBBAC0AQQA3ADAAOQBXAC0AWAA3ADMAWgBGAC0AMgA2AFEAQwBSAC0AVwBYAFUAUABHAC0AQgBUADYASwA3AA"&"inst=NwA2AC0AMgA5ADYANgAxADAANQA1ADkAMwAtAEQARABUACsAMAAtAEMASQBEADcANwBBAEIAKwA1AC0AQwBJAEQANwA3AFQAKwAxAC0AQwBJAEQANwA3AFQAVAArADEALQBTAFQAOQAwAEEAUABQACsAMQAtAFAATAArADkALQBOADEARAArADEA"&"prod=92"&"ver=9.0.932 [X] HKU\S-1-5-21-3554188659-4125365456-1988714816-1000\...\Run: [NextLive] - C:\Windows\SysWOW64\rundll32.exe "C:\Users\Kuba\AppData\Roaming\newnext.me\nengine.dll",EntryPoint -m l StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe Toolbar: HKLM-x32 - No Name - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No File S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X] S3 tsusbhub; system32\drivers\tsusbhub.sys [X] S3 VGPU; System32\drivers\rdvgkmd.sys [X] U3 pxldqpow; \??\C:\Users\Kuba\AppData\Local\Temp\pxldqpow.sys [X] C:\Users\Kuba\AppData\Local\Akamai C:\Users\Kuba\AppData\Roaming\newnext.me C:\Users\Kuba\AppData\Local\Mobogenie C:\Users\Kuba\Documents\Mobogenie C:\Users\Kuba\AppData\Local\genienext C:\Users\Kuba\AppData\Local\cache C:\Users\Kuba\.android C:\Users\Kuba\daemonprocess.txt C:\Program Files (x86)\Mobogenie CMD: netsh winsock reset Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Reset komputera. Załącz Fixlog. 2. Pobierz: TFC - Temp Cleaner. Naciśnij "start" i rozpocznie się usuwanie plików tymczasowych. 3. Pobierz Eusing Free Registry Cleaner. Uruchom kliknij "Skip" w zakładce "language" zmień na Polski i kliknij skan. Po skanie Napraw. 4. Google Chrome: zresetuj wtyczki. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie włącz. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. 5. Firefox reset wtyczek: kliknij pomarańczowy napis "Firefox"-->"Pomoc"-->"Informacje dla pomocy technicznej'-->"Resetuj program Firefox" Odnośnik do komentarza
KbS92 Opublikowano 5 Lutego 2014 Autor Zgłoś Udostępnij Opublikowano 5 Lutego 2014 Dzieki wielkie juz jest znacznie lepiej. Przestal mi zamulac. Martwi mnie jeszcze jedno nigdy tak nie mialem. Spojrzcie na screena pozaznaczalem ktore mnie zastanawiaja(tzn dlaczego sa powielone skoro w chromie np mam tylko jedna karte otwarta itd.) cos nie zostalo doczyszczone. Czy wstawic jeszcze raz logi? Fixlog.txt Odnośnik do komentarza
muzyk75 Opublikowano 5 Lutego 2014 Zgłoś Udostępnij Opublikowano 5 Lutego 2014 Pobierz Malwarebytes Anti-Malware. W zakładce ustawienia --> ustawienia skanera zaznacz PUP, PUM --> pokazuj i zaznacz przy usuwaniu. Załącz log z MBAM, a to co znajdzie usuń. Odnośnik do komentarza
KbS92 Opublikowano 5 Lutego 2014 Autor Zgłoś Udostępnij Opublikowano 5 Lutego 2014 Ok. Wszystko zrobione. Uzycie procesora spadlo i wacha sie teraz od 0-5% byc moze tyle AVG zzera i program do karty graficznej. Oprocz google chrom zaden proces nie jest powielony. Ja sie na tym nie znam ale moze te wtyczki do chroma to osobne procesy? Ale zainteresowalo mnie cos jeszcze a mianowicie nowy uzytkownik TrustedInstaller.. co to jest ? Wstawiam screen i loga(sorry za duze screeny ale nie wiem jak wrzucic miniaturke). EDIT: I znowu po dluzszym okresie uzytkowania pojawil mi sie proces z ktorego ja nie korzystam(tzn nic nie wlaczalem) i zjada mi polowe procesora... mbam-log-2014-02-05 (12-30-49).txt Odnośnik do komentarza
muzyk75 Opublikowano 5 Lutego 2014 Zgłoś Udostępnij Opublikowano 5 Lutego 2014 TrustedInstaller.. co to jest ? "TrustedInstaller=Instalator modułów systemu Windows - oprócz za Windows Update (instalowanie łat ściśle do systemu) jest on także odpowiedzialny za działanie narzędzia SFC i za instalację/deinstalację dodatków w "Włącz lub wyłacz funkcje systemu Windows'. Oprócz w trakcie pobierania aktualizacji lub uruchamiania narzędzia SFC lub włączania czegokolwiek w aplecie "Włącz lub wyłacz funkcje systemu Windows' TrustedInstaller nie powinien pojawić się na liście procesów - domyślne ustawienie tej usługi to Ręczny (wyłączony)" I znowu po dlyzszym okresie uzytkowania pojawil mi sie proces z ktorego ja nie korzystam( CMD to Wiersz poleceń. Jak chcesz widzieć wszystkie procesy to kliknij przycisk: Pokaż procesy wszystkich użytkowników. Crakujesz Adobe Photoshop CS6 - nieładnie. Odnośnik do komentarza
KbS92 Opublikowano 6 Lutego 2014 Autor Zgłoś Udostępnij Opublikowano 6 Lutego 2014 Zatem rozumiem ze wiecej juz sie nie da pomoc. Wiem ze CMD to wiersz polecen ale sam sie wlacza. Zreszta inne programy tez czyli mam jakiegos syfa ktory sie podszywa. Poprobuje jeszcze cos porobic jak sie nie uda nie pozostaje mi nic innego jak reinstalka systemu Odnośnik do komentarza
picasso Opublikowano 6 Lutego 2014 Zgłoś Udostępnij Opublikowano 6 Lutego 2014 muzyk75, kolejny temat w którym pomijasz wpisy jawnej infekcji. Przecież tu jest infekcja Facebook, w ogóle nie tknięta żadnym dotychczasowym działaniem: ==================== Registry (Whitelisted) ================== Startup: C:\Users\Kuba\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\{259e6fb3-5215-f270-de70-4605259e6fb3}.exe (Synei ) ==================== One Month Created Files and Folders ======== 2014-02-03 22:02 - 2014-02-03 22:02 - 00000000 ____D () C:\Users\Kuba\AppData\Roaming\{259e6fb3-5215-f270-de70-4605259e6fb3} ) KbS92, poproszę o nowy komplet logów FRST. Proszę trzymaj się konfiguracji w przyklejonym temacie, w którym mówię wyraźnie, że sekcje Drivers MD5 oraz List BCD nie mają być zaznaczone. . Odnośnik do komentarza
KbS92 Opublikowano 6 Lutego 2014 Autor Zgłoś Udostępnij Opublikowano 6 Lutego 2014 Wstawiam logi. Ratujcie bo mi sie caly system sypie. Juz sie nie da wgle korzystac. FRST pare razy odmawial calkowitego posluszenstwa wkoncu sie udalo. Addition.txt Extras.Txt FRST.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 6 Lutego 2014 Zgłoś Udostępnij Opublikowano 6 Lutego 2014 Jak mówię, infekcja Facebook w pełnej krasie. Teraz jeszcze doszedł proces Bitcoin Minera (minerd.exe) w Temp. Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: C:\Users\Kuba\AppData\Roaming\*.exe C:\Users\Kuba\AppData\Roaming\{259e6fb3-5215-f270-de70-4605259e6fb3} C:\Users\Kuba\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\{259e6fb3-5215-f270-de70-4605259e6fb3}.exe C:\Users\Administrator\AppData\Roaming\Bitdefender C:\ProgramData\*.bin C:\Windows\SysWow64\unrar.dll C:\Windows\system32\Drivers\48402127.sys URLSearchHook: HKCU - (No Name) - {A3BC75A2-1F87-4686-AA43-5347D756017C} - No File SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = S2 vToolbarUpdater17.3.0; C:\Program Files (x86)\Common Files\AVG Secure Search\vToolbarUpdater\17.3.0\ToolbarUpdater.exe [X] Reg: reg add "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przejdź w Tryb awaryjny Windows. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Uruchom TFC - Temp Cleaner. 3. Przejdź w Tryb normalny Windows. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt. . Odnośnik do komentarza
KbS92 Opublikowano 6 Lutego 2014 Autor Zgłoś Udostępnij Opublikowano 6 Lutego 2014 Zalatwione. Czekam na dalsze instrukcje Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 7 Lutego 2014 Zgłoś Udostępnij Opublikowano 7 Lutego 2014 Infekcja została pomyślnie usunięta. Jak więc zachowuje się teraz system? Przechodzimy do finalizacji: 1. Przez SHIFT+DEL (omija Kosz) skasuj FRST oraz foldery C:\AdwCleaner, C:\FRST. W OTL uruchom Sprzątanie. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Na wszelki wypadek zmień hasło logowania Facebook. 4. Zaktualizuj Internet Explorer i antywirusa. Obecnie posiadasz wersje: Internet Explorer Version 9 ==================== Installed Programs ====================== AVG 9.0 (x32 Version: - AVG Technologies) . Odnośnik do komentarza
KbS92 Opublikowano 7 Lutego 2014 Autor Zgłoś Udostępnij Opublikowano 7 Lutego 2014 Wydaje sie wszystko ok. Zadne procesy sie nie wlaczaja, uzycie procesora normalne tj 0-5%.Dzieki za fachowa pomoc Temat do zamkniecia Odnośnik do komentarza
Rekomendowane odpowiedzi