djjackob Opublikowano 22 Sierpnia 2014 Zgłoś Udostępnij Opublikowano 22 Sierpnia 2014 Witam. Ostatnio w menedżerze zadań zauważyłem plik który używa mi ok.70% CPU . Komp w szczytowych momentach się przez to wyłącza. jest to plik o nazwie buaage.exe. Niewiem co robić , antywirus nic nie wykrywa (Norton 2014). Niewiem czy od razu sięgać po ComboFix'a czy co innego użyć. liczę na pomoc Odnośnik do komentarza
picasso Opublikowano 22 Sierpnia 2014 Zgłoś Udostępnij Opublikowano 22 Sierpnia 2014 Proszę przeczytaj zasady działu: KLIK. Nie dostarczyłeś obowiązkowych logów. Proszę dostarcz logi z FRST, OTL i GMER. . Odnośnik do komentarza
djjackob Opublikowano 23 Sierpnia 2014 Autor Zgłoś Udostępnij Opublikowano 23 Sierpnia 2014 przepraszam jak dodac zalacznik? Odnośnik do komentarza
picasso Opublikowano 23 Sierpnia 2014 Zgłoś Udostępnij Opublikowano 23 Sierpnia 2014 W polu szybkiej odpowiedzi na spodzie posta klikasz w "Więcej opcji", co otworzy edytor udostępniający m.in. załączniki plików. Odnośnik do komentarza
djjackob Opublikowano 23 Sierpnia 2014 Autor Zgłoś Udostępnij Opublikowano 23 Sierpnia 2014 loga z gmer nie udalo mi sie zrobic poniewaz podzas skanu nastepuje bluescreen i resetuje sie komputer. probowalem 4 razy. Shortcut.txt Addition.txt Extras.Txt FRST.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 23 Sierpnia 2014 Zgłoś Udostępnij Opublikowano 23 Sierpnia 2014 Skąd pobrałeś FRST? Została uruchomiona stara wersja sprzed miesiąca: Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version:21-07-2014 Jeśli zaś chodzi o GMER, to nie przygotowałeś poprawnego podłoża do uruchomienia: KLIK. W logu jest aktywny emulator napędów wirtualnych SPTD: R0 sptd; C:\WINDOWS\System32\Drivers\sptd.sys [466008 2013-11-25] (Duplex Secure Ltd.) Ostatnio w menedżerze zadań zauważyłem plik który używa mi ok.70% CPU . Komp w szczytowych momentach się przez to wyłącza. jest to plik o nazwie buaage.exe. Niewiem co robić , antywirus nic nie wykrywa (Norton 2014). Tak, ta infekcja jest tu dobrze widoczna. Przeprowadź następujące działania: 1. Pobierz najnowszy FRST, linki są w przyklejonym temacie: KLIK. Otwórz Notatnik i wklej w nim: () C:\Documents and Settings\Kuba\buaage.exe HKU\S-1-5-21-2025429265-261478967-682003330-1003\...\Run: [buaage] => C:\Documents and Settings\Kuba\buaage.exe [138240 2014-05-22] () NETSVC: hsrxlhdnv -> No Registry Path. S3 AndNetDiag; system32\DRIVERS\lgandnetdiag.sys [X] S3 ANDNetModem; system32\DRIVERS\lgandnetmodem.sys [X] S3 andnetndis; system32\DRIVERS\lgandnetndis.sys [X] S3 massfilter; system32\drivers\massfilter.sys [X] S3 ryaatjfr; \??\C:\WINDOWS\system32\01.tmp [X] U2 wuaserv; S3 ZTEusbnet; system32\DRIVERS\ZTEusbnet.sys [X] S3 ZTEusbnmea; system32\DRIVERS\ZTEusbnmea.sys [X] S3 ZTEusbser6k; system32\DRIVERS\ZTEusbser6k.sys [X] Task: C:\WINDOWS\Tasks\At1.job => C:\DOCUME~1\Kuba\DANEAP~1\FoxTab\UPDATE~1\UPDATE~1.EXE Task: C:\WINDOWS\Tasks\Express FilesUpdate.job => C:\Program Files\ExpressFiles\EFUpdater.exe Task: C:\WINDOWS\Tasks\Registry Optimizer_DEFAULT.job => C:\Program Files\WinZip Registry Optimizer\Winzipro.exe Task: C:\WINDOWS\Tasks\Registry Optimizer_UPDATES.job => C:\Program Files\WinZip Registry Optimizer\Winzipro.exe HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.symantec.com/redirects/security_response/fix_homepage/index.jsp?lg=en&pid=NIS&pvid=21.2.0.38 URLSearchHook: HKLM - Default Value = {CCC7B151-1D8C-11E3-B2AD-F3EF3D58318D} SearchScopes: HKCU - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = Toolbar: HKCU - No Name - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No File C:\Documents and Settings\Kuba\*.bat C:\Documents and Settings\Kuba\*.exe C:\Documents and Settings\Kuba\*.lnk C:\Documents and Settings\Kuba\*.scr C:\Documents and Settings\All Users\Dane aplikacji\eSafe C:\Documents and Settings\All Users\Dane aplikacji\Norton C:\Documents and Settings\Kuba\Dane aplikacji\DRPSu C:\Documents and Settings\Kuba\Dane aplikacji\ExpressFiles C:\Documents and Settings\Kuba\Dane aplikacji\FoxTab C:\Documents and Settings\Kuba\Dane aplikacji\newnext.me C:\Documents and Settings\Kuba\Dane aplikacji\SimilarSites C:\Documents and Settings\Kuba\Dane aplikacji\SwvUpdater C:\Documents and Settings\Kuba\Dane aplikacji\Thinstall RemoveDirectory: C:\found.001 Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj zbędnik KMP Service. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut) i zaległy GMER (po deinstalacji lub wyłączeniu SPTD). Dołącz też plik fixlog.txt. . Odnośnik do komentarza
djjackob Opublikowano 24 Sierpnia 2014 Autor Zgłoś Udostępnij Opublikowano 24 Sierpnia 2014 Dołaczam fixlog i frst. zaraz dodam gmer. przepraszam wybrać dysk C czy QuickSkan bo nwm. KMP service nmg odinstalowac gdyz wyskakuje błąd ,ręcznie w program files tez nie da rady. FRST.txt Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 24 Sierpnia 2014 Zgłoś Udostępnij Opublikowano 24 Sierpnia 2014 Infekcja pomyślnie usunięta, nie jest już aktywna. Kolejna porcja czynności poprawkowych: 1. Poprawki. Otwórz Notatnik i wklej w nim: (Pandora.TV) C:\Program Files\PANDORA.TV\PanService\KMPService.exe (PandoraTV) C:\Program Files\PANDORA.TV\PanService\KMPProcess.exe R2 PanService; C:\Program Files\PANDORA.TV\PanService\KMPService.exe [1922600 2013-07-08] (Pandora.TV) HKU\S-1-5-21-2025429265-261478967-682003330-1003\...\Run: [buaage] => C:\Documents and Settings\Kuba\buaage.exe BootExecute: autocheck autochk * sdnclean.exe C:\Documents and Settings\Kuba\Ustawienia lokalne\Dane aplikacji\Google C:\Documents and Settings\Kuba\zzz.dll C:\Program Files\PANDORA.TV Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\4F6D5E84-5826-4394-9F40-3A9A19165651_is1 /f Reg: reg query HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. 2. Czekam na GMER. Wstępnie zaznacz "Quick Scan". Jeśli coś będzie niejasne, poproszę o pełny skan dysku C:\. . Odnośnik do komentarza
djjackob Opublikowano 24 Sierpnia 2014 Autor Zgłoś Udostępnij Opublikowano 24 Sierpnia 2014 Proszę. W GMER pisze coś o Daemonie i lista sie nie zwieksza ale skanuje. dodaje gmer. Fixlog.txt Nowy Dokument tekstowy.txt Odnośnik do komentarza
picasso Opublikowano 24 Sierpnia 2014 Zgłoś Udostępnij Opublikowano 24 Sierpnia 2014 W logu GMER widać stare resztki Confickera w nieaktywnej kopii konfiguracyjnej. Pod tym kątem poprawka. Otwórz Notatnik i wklej w nim: DeleteKey: HKLM\SYSTEM\ControlSet001\Services\hsrxlhdnv CMD: netsh firewall reset Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. . Odnośnik do komentarza
djjackob Opublikowano 24 Sierpnia 2014 Autor Zgłoś Udostępnij Opublikowano 24 Sierpnia 2014 To będzie wszystko? Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 24 Sierpnia 2014 Zgłoś Udostępnij Opublikowano 24 Sierpnia 2014 Akcja wykonana. Kolejne zadania:1. Uruchom DelFix.2. Wyczyść foldery Przywracania systemu: KLIK.3. Wykonaj pełne skanowanie za pomocą Malwarebytes Anti-Malware (przy pytaniu o typ wersji wybierz darmową a nie komercyjną). Jeżeli coś zostanie wykryte, przedstaw raport.. Odnośnik do komentarza
djjackob Opublikowano 25 Sierpnia 2014 Autor Zgłoś Udostępnij Opublikowano 25 Sierpnia 2014 ZROBIONE. W MBA WYKRYLO 17 robakow ktore przekazalem do kwarantanny(raport w nowym dokumencie tekstowym) DelFix.txt Nowy Dokument tekstowy.txt Odnośnik do komentarza
picasso Opublikowano 1 Września 2014 Zgłoś Udostępnij Opublikowano 1 Września 2014 MBAM wykrył szczątki adware i Confickera oraz wyłączone powiadomienia Centrum zabezpieczeń. O ile jeszcze tego nie zrobiłeś, usuń wszystkie wyniki za pomocą programu. Następnie: 1. Powtórz czyszczenie folderów Przywracania systemu. 2. Wymagane aktualizacje oprogramowania: KLIK. Wg listy do deinstalacji wszystko od Adobe i Java, zastąpienie najnowszymi wersjami, oraz aktualizacja IE (nawet jeśli tylko FF używasz): Internet Explorer Version 6 ==================== Installed Programs ====================== Adobe Flash Player 10 ActiveX (HKLM\...\Adobe Flash Player ActiveX) (Version: 10.0.45.2 - Adobe Systems Incorporated) Adobe Flash Player 12 Plugin (HKLM\...\Adobe Flash Player Plugin) (Version: 12.0.0.77 - Adobe Systems Incorporated) Adobe Reader 9.5.5 - Polish (HKLM\...\{AC76BA86-7AD7-1045-7B44-A95000000001}) (Version: 9.5.5 - Adobe Systems Incorporated) Java 7 Update 45 (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F83217045FF}) (Version: 7.0.450 - Oracle) Java SE Runtime Environment 6 (HKLM\...\{3248F0A8-6813-11D6-A77B-00B0D0160000}) (Version: 1.6.0.0 - Sun Microsystems, Inc.) Microsoft Silverlight (HKLM\...\{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}) (Version: 5.1.20513.0 - Microsoft Corporation) 3. System nie posiada żadnego antywirusa - uzupełnij. . Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się