Fix Opublikowano 15 Grudnia 2010 Zgłoś Udostępnij Opublikowano 15 Grudnia 2010 Witam Ostatnio coś internet wolno chodzi, ślimaczy się strasznie. Moją uwagę przykuła dziwna lokalizacja pliku svchost.exe w Users\xyz\AppData\Roanming :| Logi: - OTL: Extras i Otl - Gmer: Nic nie znalazł - SecurityCheck: log? Proszę o sprawdzenie logów i ewentualną pomoc jeśli jest ona mojemu komputerowi potrzebna. Odnośnik do komentarza
picasso Opublikowano 15 Grudnia 2010 Zgłoś Udostępnij Opublikowano 15 Grudnia 2010 - Gmer: Nic nie znalazł Wyraźnie jest napisane: GMER nie działa na 64-bitowych wersjach Windows. Nic dziwnego, że "nic nie znalazł", bo nie może w ogóle prawidłowo pracować w takim środowisku. Moją uwagę przykuła dziwna lokalizacja pliku svchost.exe w Users\xyz\AppData\Roanming :| Plik startuje z Windows. W zaporze jest autoryzowany jako literówka "Windows Messanger" (co ciekawe, takie zapisy są także na kompilerze .NET): [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]"C:\Windows\Microsoft.NET\Framework\v2.0.50727\vbc.exe" = C:\Windows\Microsoft.NET\Framework\v2.0.50727\vbc.exe:*:Enabled:Windows Messanger -- (Microsoft Corporation)"C:\Users\Dawid\AppData\Roaming\svchost.exe" = C:\Users\Dawid\AppData\Roaming\svchost.exe:*:Enabled:Windows Messanger -- (Microsoft Corporation)"C:\Windows\Microsoft.NET\Framework\v2.0.50727\vbc.exe" = C:\Windows\Microsoft.NET\Framework\v2.0.50727\vbc.exe:*:Enabled:Windows Messanger -- (Microsoft Corporation)"C:\Users\Dawid\AppData\Roaming\svchost.exe" = C:\Users\Dawid\AppData\Roaming\svchost.exe:*:Enabled:Windows Messanger -- (Microsoft Corporation) Wygląda na to, że tu jakiś brzydki crack był w obrotach. Są pliki wskazujące na aktywator Office (AutoKMS.*). Załączę to wszystko na usuwanie razem z drobnymi odpadkami po sofcie sponsorującym. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run: svchost.exe = C:\Users\Dawid\AppData\Roaming\svchost.exe (Microsoft Corporation) [2010-12-15 20:11:55 | 000,001,184 | ---- | M] () -- C:\Windows\SysWow64\secushr.dat [2010-12-15 06:33:30 | 000,021,539 | ---- | M] () -- C:\Users\Dawid\AppData\Roaming\data.dat [2010-12-14 15:48:27 | 000,000,204 | ---- | M] () -- C:\Windows\SysWow64\secustat.dat [2010-12-14 15:38:03 | 000,614,400 | ---- | M] () -- C:\Windows\AutoKMS.exe [2010-12-14 15:38:03 | 000,000,200 | ---- | M] () -- C:\Windows\tasks\AutoKMS.job [2010-12-14 15:38:03 | 000,000,135 | ---- | M] () -- C:\Windows\AutoKMS.ini [2010-11-19 13:21:03 | 000,000,250 | ---- | C] () -- C:\Windows\tasks\Scheduled Update for Ask Toolbar.job [2010-11-11 14:49:45 | 000,071,926 | ---- | C] () -- C:\ProgramData\MercadoLivre.ico [2010-11-11 14:49:45 | 000,025,214 | ---- | C] () -- C:\ProgramData\QuickStores.ico [2010-11-11 14:49:45 | 000,015,086 | ---- | C] () -- C:\ProgramData\Amazon.ico O2 - BHO: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O3 - HKU\S-1-5-21-557982721-2843609310-3700125788-1000\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab" (Reg Error: Key error.) :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\Users\Dawid\AppData\Roaming\svchost.exe"=- "C:\Windows\Microsoft.NET\Framework\v2.0.50727\vbc.exe"=- :Commands [emptyflash] [emptytemp] Uruchom proces przez Wykonaj skrypt. Komputer będzie restartował. Na koniec pokaże się log z tego procesu. 2. W spisie OTL Extras zainstalowanych programów widnieje Ask Toolbar. Wejdź do apletu deinstalacji programów i sprawdź czy to: widać + da się normalnie odinstalować. 3. Przedstaw log uzyskany z usuwania oraz nowy z OTL wygenerowany opcją Skanuj. . Odnośnik do komentarza
Fix Opublikowano 16 Grudnia 2010 Autor Zgłoś Udostępnij Opublikowano 16 Grudnia 2010 Wyraźnie jest napisane: GMER nie działa na 64-bitowych wersjach Windows. Nie doczytałem tego, przepraszam. 1. Log 2. Nie da się normalnie odinstalować 3. Nowe logi OTL: Extras i Otl Odnośnik do komentarza
picasso Opublikowano 16 Grudnia 2010 Zgłoś Udostępnij Opublikowano 16 Grudnia 2010 Zadanie się wykonało. W nowym raporcie nic z tej kolekcji już nie obserwuję. 1. Usuń ręcznie wpis Ask Toolbar. Start > w polu szukania wpisz regedit > i skasuj ten klucz: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{86D4B82A-ABED-442A-BE86-96357B70F4FE} 2. Wywołaj funkcję Sprzątanie w OTL. 3. Dla pewności wykonaj pełny skan via Malwarebytes' Anti-Malware. Pokaż wyniki do weryfikacji. 4. Zaktualizuj 32-bitową wersję Java: INSTRUKCJE. 5. Na koniec wyczyść foldery Przywracania systemu: INSTRUKCJE. I czy są jakieś problemy jeszcze? . Odnośnik do komentarza
Fix Opublikowano 16 Grudnia 2010 Autor Zgłoś Udostępnij Opublikowano 16 Grudnia 2010 Wynik skanowania Anti Malware -click, po usunięciu: click To wszystko ? Jeśli tak to za pomoc BARDZO Dziękuję Ci. Internet chodzi normalnie Odnośnik do komentarza
picasso Opublikowano 16 Grudnia 2010 Zgłoś Udostępnij Opublikowano 16 Grudnia 2010 Wyniki z Malware.Trace usuń. Natomiast te dwa poniższe pomiń, to najwyraźniej instalowane celowo podglądacze haseł, a taki typ zawsze budzi programy anty-malware. c:\program files (x86)\snadboy's revelation v2\revelation.exe (HackTool.Snadboy) -> No action taken.d:\Instalki\Programy\mailpv.exe (PUP.MailPassView) -> No action taken. Odnośnik do komentarza
Fix Opublikowano 16 Grudnia 2010 Autor Zgłoś Udostępnij Opublikowano 16 Grudnia 2010 (edytowane) Wykonane,, wszystko działa jak należy DZIĘKUJĘ (dobrze że nie bierzesz opłat za pomoc bo byśMY się nie wypłacili) Edytowane 16 Grudnia 2010 przez picasso Temat rozwiązany, zamykam. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi