sadguy Opublikowano 15 Marca 2014 Zgłoś Udostępnij Opublikowano 15 Marca 2014 Ogólnie rzecz biorąc, wydajność laptopa spadła. Niedawno był czyszczony z kurzu, dlatego przegrzewanie wykluczyłem. Częstym zjawiskiem jest wchodzenie wiatraka na wysokie obroty pomimo bezczynności. Dodatkowo, bardzo długo myśli przy niektórych, nawet banalnych, czynnościach, stąd podejrzenia o jakiegoś wirusa. Załączam logi i proszę o kontrolę. Addition.txt Extras.Txt FRST.txt OTL.Txt Shortcut.txt GMER.txt Odnośnik do komentarza
picasso Opublikowano 17 Marca 2014 Zgłoś Udostępnij Opublikowano 17 Marca 2014 System jest zainfekowany. W starcie uruchamia się fałszywy "Cyberlink". Prawdopodobnie jest to rodzaj Botcoin minera, gdyż na dysku są także pliki wskazujące na ten typ. Prócz tego resztki adware. Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: (CyberLink ) C:\Users\Maciej\AppData\Roaming\SubFolderName\FileName.exe HKU\S-1-5-21-2475148013-1230956755-3406740402-1001\...\Run: [Key Name] - C:\Users\Maciej\AppData\Roaming\SubFolderName\FileName.exe [742033 2014-01-21] (CyberLink ) HKU\S-1-5-21-2475148013-1230956755-3406740402-1001\...\Run: [tgb32.exe] - C:\Users\Maciej\AppData\Roaming\SubFolderName\FileName.exe [742033 2014-01-21] (CyberLink ) HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.dosearches.com/web/?utm_source=b&utm_medium=cor&utm_campaign=rg&utm_content=ds&from=cor&uid=ST320LM001XHN-M320MBB_S2URJ9AC732231&ts=1384126033&type=default&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.dosearches.com/web/?utm_source=b&utm_medium=cor&utm_campaign=rg&utm_content=ds&from=cor&uid=ST320LM001XHN-M320MBB_S2URJ9AC732231&ts=1384126033&type=default&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.dosearches.com/web/?utm_source=b&utm_medium=cor&utm_campaign=rg&utm_content=ds&from=cor&uid=ST320LM001XHN-M320MBB_S2URJ9AC732231&ts=1384126033&type=default&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://search.dosearches.com/web/?utm_source=b&utm_medium=cor&utm_campaign=rg&utm_content=ds&from=cor&uid=ST320LM001XHN-M320MBB_S2URJ9AC732231&ts=1384126033&type=default&q={searchTerms} SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.dosearches.com/web/?utm_source=b&utm_medium=cor&utm_campaign=rg&utm_content=ds&from=cor&uid=ST320LM001XHN-M320MBB_S2URJ9AC732231&ts=1384126033&type=default&q={searchTerms} SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.dosearches.com/web/?utm_source=b&utm_medium=cor&utm_campaign=rg&utm_content=ds&from=cor&uid=ST320LM001XHN-M320MBB_S2URJ9AC732231&ts=1384126033&type=default&q={searchTerms} SearchScopes: HKLM-x32 - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.dosearches.com/web/?utm_source=b&utm_medium=cor&utm_campaign=rg&utm_content=ds&from=cor&uid=ST320LM001XHN-M320MBB_S2URJ9AC732231&ts=1384126033&type=default&q={searchTerms} SearchScopes: HKLM-x32 - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.dosearches.com/web/?utm_source=b&utm_medium=cor&utm_campaign=rg&utm_content=ds&from=cor&uid=ST320LM001XHN-M320MBB_S2URJ9AC732231&ts=1384126033&type=default&q={searchTerms} SearchScopes: HKCU - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = S2 Update FindRight; "C:\Program Files (x86)\FindRight\updateFindRight.exe" [X] S3 taphss6; C:\Windows\System32\DRIVERS\taphss6.sys [42184 2013-11-13] (Anchorfree Inc.) S3 atillk64; \??\C:\Program Files (x86)\AMD\System Monitor\atillk64.sys [X] S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X] S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [X] S3 huawei_cdcacm; system32\DRIVERS\ew_jucdcacm.sys [X] S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X] S3 huawei_ext_ctrl; system32\DRIVERS\ew_juextctrl.sys [X] S3 huawei_wwanecm; system32\DRIVERS\ew_juwwanecm.sys [X] C:\ProgramData\Right Soft C:\ProgramData\InstallMate C:\ProgramData\Mozilla C:\Users\Maciej\AppData\Local\CrashDumps C:\Users\Maciej\AppData\Local\Mozilla C:\Users\Maciej\AppData\Roaming\SubFolderName C:\Windows\SysWOW64\scrypt130511Turksglg2tc4032w256l4.bin C:\Windows\SysWOW64\scrypt130511BeaverCreekglg2tc4032w256l4.bin Reboot: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Specjalny skrót Internet Explorer został błędnie naprawiony czymś (utrata specjalnego atrybutu): Shortcut: C:\Users\Maciej\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) W pasku adresów eksploratora wklej ścieżkę C:\Users\Maciej\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 3. Uruchom TFC - Temp Cleaner. 4. Zrób nowy skan FRST (bez Addition i Shortcut). Dołącz plik fixlog.txt. . Odnośnik do komentarza
sadguy Opublikowano 17 Marca 2014 Autor Zgłoś Udostępnij Opublikowano 17 Marca 2014 Działania wykonane. Załączam potrzebne pliki. Dodam jeszcze, że laptop nie przestał wchodzić na wysokie obroty. Przy tym cholernie się tnie. FRST.txt Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 17 Marca 2014 Zgłoś Udostępnij Opublikowano 17 Marca 2014 Poprzednie zadanie wykonane, ale na dysku zregenerowały się pliki Bitcoin minera. Pominęłam przez nieuwagę fałszywy wpis "Google" w Harmonogramie zadań, startujący z folderu .minecraftzyczu. Poprawki: 1. Otwórz Notatnik i wklej w nim: Task: {1CE8C0AF-DCBD-4198-96EE-A1DDB250AC63} - System32\Tasks\GoogleUpdateTaskUserS-1-5-21-1970835742GUI => C:\Users\Maciej\AppData\Roaming\.minecraftzyczu\googleupd.exe [2014-02-25] (Google) C:\Users\Maciej\AppData\Roaming\.minecraftzycz C:\Windows\SysWOW64\scrypt130511Turksglg2tc4032w256l4.bin C:\Windows\SysWOW64\scrypt130511BeaverCreekglg2tc4032w256l4.bin Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Tak jak poprzednio: system zostanie zresetowany i powstanie plik fixlog.txt. 2. Zrób nowy skan FRST, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz plik fixlog.txt. . Odnośnik do komentarza
sadguy Opublikowano 17 Marca 2014 Autor Zgłoś Udostępnij Opublikowano 17 Marca 2014 Ten folder jest mi zwyczajnie niepotrzebny. Czy mogę go po prostu usunąć i nie wykonywać powyższych kroków? Patrząc na ten folder, jest wiele takich, które są stare i w żaden sposób ich nie wykorzystuję, czy można je tak po prostu usunąć? Odnośnik do komentarza
picasso Opublikowano 17 Marca 2014 Zgłoś Udostępnij Opublikowano 17 Marca 2014 Folder .minecraftzycz zawiera infekcję, więc tu nie chodzi o jego "potrzebność". I przecież folder usuwam skryptem, ale nie tylko to. Samo usunięcie folderu nie wystarczy, obiekt infekcji z niego startujący jest zarejestrowany w Harmonogramie zadań i ma powiązane klucze rejestru. Nie dyskutuj tylko wykonaj działania podane wyżej. Natomiast inne foldery to nie wiem do czego zmierzasz i które masz na myśli. . Odnośnik do komentarza
sadguy Opublikowano 23 Marca 2014 Autor Zgłoś Udostępnij Opublikowano 23 Marca 2014 Chodziło mi o pozostałe foldery w folderze Roaming, czy mogę usunąć te, których już nie potrzebuje? Załączam pliki. Addition.txt Fixlog.txt FRST.txt Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się