tuli Opublikowano 31 Sierpnia 2014 Zgłoś Udostępnij Opublikowano 31 Sierpnia 2014 ...i do tego zauważyłem, że w drzewie procesów mimo zamknięcia programu (np. z rodziny ms office) dalej widzę ich wystąpienia. Nie jestem na 100% przekonany czy w systemie są jakieś infekcję ale tonący brzytwy się chwyta stąd w załączeniu logi i prośba o ich weryfikację. Pozdrawiam! Grzegorz Addition.txt FRST.txt gmer.txt OTL.Txt Shortcut.txt Odnośnik do komentarza
jessica Opublikowano 31 Sierpnia 2014 Zgłoś Udostępnij Opublikowano 31 Sierpnia 2014 @Picasso na razie nie ma czasu na pomaganie - musi zająć się sprawami organizacyjnymi Forum. Ja w logach nie widzę żadnej infekcji. Kosmetyka: Otwórz Notatnik i wklej w nim: HKLM\...\Run: [] => [X] Reg: reg delete "HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\vProt" Reg: reg delete "HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ROC_roc_ssl_v12" C:\Documents and Settings\OptiPlex GX620\Pulpit\Skrót do Baza.lnk C:\Documents and Settings\OptiPlex GX620\Pulpit\Skrót do baza_MK na baza.lnk C:\Documents and Settings\OptiPlex GX620\NetHood\baza_mk na Baza\target.lnk C:\Documents and Settings\OptiPlex GX620\Dane aplikacji\Microsoft\Office\Niedawny\baza_mk.LNK C:\Documents and Settings\OptiPlex GX620\Dane aplikacji\Microsoft\Office\Niedawny\CVT11E.tmp.LNK C:\Documents and Settings\OptiPlex GX620\Dane aplikacji\Microsoft\Office\Niedawny\CVTE34.tmp.LNK C:\Documents and Settings\OptiPlex GX620\Dane aplikacji\Microsoft\Office\Niedawny\dok. różne.LNK C:\Documents and Settings\OptiPlex GX620\Dane aplikacji\Microsoft\Office\Niedawny\druki różne.LNK C:\Documents and Settings\OptiPlex GX620\Dane aplikacji\Microsoft\Office\Niedawny\GRAFIKI DLA PRACOWNIKOW.LNK Task: C:\WINDOWS\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv.job => C:\WINDOWS\TEMP\{9992EAB1-FE44-4E83-A56C-30F93782E7C2}.exe C:\Program Files\AVG Secure Search Toolbar: HKCU - No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File S3 RT73; system32\DRIVERS\rt73.sys [X] C:\Documents and Settings\OptiPlex GX620\Dane aplikacji\Mozilla\Firefox\Profiles\08catrfr.default\searchplugins\babylon.xml C:\Documents and Settings\All Users\Dane aplikacji\Babylon C:\Documents and Settings\OptiPlex GX620\Dane aplikacji\AVG Secure Search C:\Documents and Settings\OptiPlex GX620\Dane aplikacji\Gyibig EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok FRST. Uruchom FRST i kliknij w Fix. jessi Odnośnik do komentarza
tuli Opublikowano 31 Sierpnia 2014 Autor Zgłoś Udostępnij Opublikowano 31 Sierpnia 2014 Dziękuje za pomoc, działam zgodnie z wytycznymi. Odnośnik do komentarza
picasso Opublikowano 1 Września 2014 Zgłoś Udostępnij Opublikowano 1 Września 2014 jessika Reg: reg delete "HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\vProt" Reg: reg delete "HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ROC_roc_ssl_v12" FRST zatrzyma się na tych wpisach, nie usunie ich i nie przejdzie do dalszej części skryptu. Uruchomiłaś komendy zadające pytanie czy usuwać klucze, a że okno cmd jest ukryte przez FRST, użytkownik nie może tego potwierdzić i FRST sobie może czekać. Brakuje w tych komendach parametru /f, on jest niezbędny. tuli Jeśli już mają być zastosowane jakieś "kosmetyczne" akcje, to w spoilerze: 1. Przeinstaluj TeamViewer, bo aktualnie uruchamia się z TEMP, co nie tylko jest niestosowne, ale i przestanie się uruchamiać po wykonaniu skryptu FRST (katalog tymczasowy będzie czyszczony). 2. Skrypt do FRST (usuwanie odpadków oraz niekompatybilnych elementów Firefox): Task: C:\WINDOWS\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv.job => C:\WINDOWS\TEMP\{9992EAB1-FE44-4E83-A56C-30F93782E7C2}.exe HKLM\...\Run: [] => [X] BootExecute: S3 RT73; system32\DRIVERS\rt73.sys [X] SearchScopes: HKCU - DefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.claro-search.com/?q={searchTerms}&affID=114506&tt=4312_7&babsrc=SP_clro&mntrId=0053670300000000000000123fc16ad5 SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.claro-search.com/?q={searchTerms}&affID=114506&tt=4312_7&babsrc=SP_clro&mntrId=0053670300000000000000123fc16ad5 Toolbar: HKCU - No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension FF HKLM\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 FF HKCU\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 C:\Documents and Settings\All Users\Dane aplikacji\Alwil Software C:\Documents and Settings\All Users\Dane aplikacji\AVG C:\Documents and Settings\All Users\Dane aplikacji\Babylon C:\Documents and Settings\All Users\Dane aplikacji\Common Files C:\Documents and Settings\All Users\Dane aplikacji\{01BD4FC9-2F86-4706-A62E-774BB7E9D308} C:\Documents and Settings\LocalService\Dane aplikacji\AVG C:\Documents and Settings\OptiPlex GX620\Dane aplikacji\AVG C:\Documents and Settings\OptiPlex GX620\Dane aplikacji\AVG Secure Search C:\Documents and Settings\OptiPlex GX620\Dane aplikacji\Gyibig C:\Documents and Settings\OptiPlex GX620\Dane aplikacji\PerformerSoft C:\Documents and Settings\OptiPlex GX620\Dane aplikacji\Vaess C:\Program Files\Mozilla Firefox\extensions C:\Program Files\Mozilla Firefox\plugins C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\vProt" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ROC_roc_ssl_v12" /f EmptyTemp: (A puste skróty w Menu Start pousuwaj ręcznie) 3. Zresetuj Firefox, by usunąć stare preferencje sprzed aktualizacji i śmieci adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 4. Zresetuj cache wtyczek Google Chrome, by usunąć puste wpisy. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. To nie ma jednak znaczenia pod kątem zgłaszanego problemu: Zawieszanie się systemu, wolna praca komputera Sugestie: 1. Był uruchamiany GMER. Zweryfikuj transfer dysku w ustępie Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK. 2. Nie tak dawno był instalowany ESET. Wchodzi w zakres podejrzanych. PS. W GMER wisi wątek "System", którego nie potrafię dopasować. Dla świętego spokoju sprawdź jeszcze co powie Kaspersky TDSSKiller. . Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się