bako22 Opublikowano 20 Kwietnia 2014 Zgłoś Udostępnij Opublikowano 20 Kwietnia 2014 Witam, od pewnego czasu mam problemy z komputerem. Znacznie zmniejszyła się jego wydajność. Niemal wszystkie aplikacje działają wolniej i strasznie się zacinają. Ostatnio doszły problemy z internetem (nie jest to wina internetu bo na innym urządzeniu łączącym się z internetem śmiga bez zarzutu) bywa tak, że zacina mi całe połączenie na jakieś 10-15 minut a potem odpuszcza, przez ten czas nie działa nic, nie da się załadować strony www mimo że połączenie jest aktywne a dane odbierają się i wysyłają. Teraz nie mogę korzystać nawet z komunikatorów typu skype, ponieważ wszystko się zacina, głos nie dochodzi lub dochodzi w częściach kompletnie niezrozumiałych. Przeglądarka działa, ale wolno. Nie wiem czy to ważne, ale poprzez funkcje wyszukaj nie mogę również znaleźć "painta". Czy moglibyście rzucić na to okiem, sprawdzić logi i coś poradzić ? Przypuszczam że to jakiś syf ściągnięty z internetu, ponieważ ostatnio w związku z pracą musiałem pościągać trochę programów z różnych stron i pewnie mam na kompie jakiegoś wirusa. Załączam logi z: OTLa, GMERa, FRSTa. Addition.txt Extras.Txt FRST.txt GMER.txt OTL.Txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 21 Kwietnia 2014 Zgłoś Udostępnij Opublikowano 21 Kwietnia 2014 Log z GMER zrobiony w złych warunkach, przy czynnym sterowniku SPTD: KLIK. R0 sptd; C:\Windows\System32\Drivers\sptd.sys [564824 2012-12-27] (Duplex Secure Ltd.) U3 az89x6jg; C:\Windows\System32\Drivers\az89x6jg.sys [0 ] (Intel Corporation) Ostatnio doszły problemy z internetem (nie jest to wina internetu bo na innym urządzeniu łączącym się z internetem śmiga bez zarzutu) bywa tak, że zacina mi całe połączenie na jakieś 10-15 minut a potem odpuszcza, przez ten czas nie działa nic, nie da się załadować strony www mimo że połączenie jest aktywne a dane odbierają się i wysyłają. Czy w tle działa wtedy uTorrent? Nie wiem czy to ważne, ale poprzez funkcje wyszukaj nie mogę również znaleźć "painta". Wg raportu Shortcut.txt na pewno nie masz skrótu w Menu Start. Brakuje Ci tego: Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Accessories\Paint.lnk -> C:\Windows\System32\mspaint.exe (Microsoft Corporation) Czy jest na dysku plik C:\Windows\system32\mspaint.exe? Widzę tu adware (Blog This in Windows Live v2, SkypEmoticons, SUrof andd, keep i inne odpadki), podejrzaną usługę McxSvc sypiącą błędami w Dzienniku zdarzeń (prawdziwa usługa "Media Center Extender" to Mcx2Svc kierująca na plik C:\Windows\system32\Mcx2Svc.dll) oraz różne odpadkowe wpisy (m.in. od ESET, MBAM). Na początek wyczyść grunt: 1. Otwórz Notatnik i wklej w nim: Reg: reg query "HKLM\SYSTEM\CurrentControlSet\Services\.EsetTrialReset" /s S4 .EsetTrialReset; C:\Windows\SysWOW64\regedt32.exe [9216 2009-07-14] (Microsoft Corporation) S2 McxSvc; C:\Windows\SysWOW64\wbem\msds.exe [3846241 2013-11-23] () S2 MBAMService; "F:\Malwarebytes' Anti-Malware\mbamservice.exe" [X] S2 StarWindServiceAE; f:\Program Files (x86)\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe [X] R3 MBAMProtector; C:\Windows\system32\drivers\mbam.sys [24904 2012-04-04] (Malwarebytes Corporation) S1 StarOpen; C:\Windows\SysWow64\Drivers\StarOpen.sys [5632 2006-07-24] () S3 cpuz136; \??\C:\Windows\TEMP\cpuz136\cpuz136_x64.sys [X] S3 dump_wmimmc; \??\E:\GRY\MU online global\GameGuard\dump_wmimmc.sys [X] S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X] S3 RSUSBSTOR; System32\Drivers\RtsUStor.sys [X] S3 usbbus; system32\DRIVERS\lgx64bus.sys [X] S3 UsbDiag; system32\DRIVERS\lgx64diag.sys [X] S3 USBModem; system32\DRIVERS\lgx64modem.sys [X] U4 WMCoreService; (Akamai Technologies, Inc.) C:\Users\Bartek\AppData\Local\Akamai\netsession_win.exe (Akamai Technologies, Inc.) C:\Users\Bartek\AppData\Local\Akamai\netsession_win.exe HKU\S-1-5-21-1813054588-749713010-1817662991-1000\...\Run: [Akamai NetSession Interface] => C:\Users\Bartek\AppData\Local\Akamai\netsession_win.exe [4672920 2014-03-06] (Akamai Technologies, Inc.) HKLM-x32\...\Run: [mobilegeni daemon] => C:\Program Files (x86)\Mobogenie\DaemonProcess.exe HKU\S-1-5-21-1813054588-749713010-1817662991-1000\...\Run: [sE] => C:\Users\Bartek\AppData\Roaming\SkypEmoticons\SE.exe [5679008 2014-04-04] (SkypEmoticons) HKU\S-1-5-21-1813054588-749713010-1817662991-1000\...\Run: [NextLive] => C:\Windows\SysWOW64\rundll32.exe "C:\Users\Bartek\AppData\Roaming\newnext.me\nengine.dll",EntryPoint -m l Task: {2F17A764-BAF1-4D12-9DAC-F65B1DE800DB} - System32\Tasks\Funmoods => C:\Users\Bartek\AppData\Roaming\Funmoods\UPDATE~1\UPDATE~1.EXE Task: {397CC96C-E6A9-461F-A106-587CAC15BEE6} - System32\Tasks\{7E0CEB6F-0242-45DE-84C4-6F93BF9C3BC0} => Chrome.exe http://www.skype.com/go/downloading?source=installer&ver=6.0.0.126&LastError=-9 Task: {66C9EB6C-4DD2-46E2-BF20-4DB645AC6242} - System32\Tasks\{A14E1A74-5CD1-4F1C-90BA-17E8897D0FF8} => Chrome.exe http://ui.skype.com/ui/0/6.14.0.104/pl/abandoninstall?page=tsMain Task: {9E9AFFF6-85DB-4CA3-BA20-C124EC1B9240} - System32\Tasks\{C54C7D28-3724-4A30-8264-D9F539BE6104} => Chrome.exe http://www.skype.com/go/downloading?source=installer&ver=5.10.0.114&LastError=-9 URLSearchHook: HKCU - (No Name) - {687578b9-7132-4a7a-80e4-30ee31099e03} - No File SearchScopes: HKLM - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM - {77AA745B-F4F8-45DA-9B14-61D2D95054C8} URL = SearchScopes: HKLM-x32 - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKCU - {77AA745B-F4F8-45DA-9B14-61D2D95054C8} URL = http://websearch.search-guide.info/?l=1&q={searchTerms}&pid=233&r=2013/11/12&hid=1136661776475716838&lg=EN&cc=PL&unqvl=40 BHO: SUrof andd, keep - {633FD71E-59EA-E7FA-060A-D391CC7F59F8} - C:\Program Files (x86)\SUrof andd, keep\5ZPtI.x64.dll () BHO-x32: Blog This in Windows Live v2 - {3adefb8e-b923-35e6-86e2-2b7841f5d2a7} - C:\Windows\SysWOW64\mscoree.dll (Microsoft Corporation) BHO-x32: SUrof andd, keep - {633FD71E-59EA-E7FA-060A-D391CC7F59F8} - C:\Program Files (x86)\SUrof andd, keep\5ZPtI.dll () Toolbar: HKCU - No Name - {687578B9-7132-4A7A-80E4-30EE31099E03} - No File FF Plugin-x32: @adobe.com/ShockwavePlayer - C:\Windows\system32\Adobe\Director\np32dsw.dll No File FF Plugin-x32: @pandonetworks.com/PandoWebPlugin - C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll No File FF HKLM-x32\...\Firefox\Extensions: [virtualKeyboard@kaspersky.ru] - F:\Kaspersky antywirus\FFExt\virtualKeyboard@kaspersky.ru FF HKLM-x32\...\Firefox\Extensions: [KavAntiBanner@Kaspersky.ru] - F:\Kaspersky antywirus\FFExt\KavAntiBanner@kaspersky.ru FF HKLM-x32\...\Firefox\Extensions: [linkfilter@kaspersky.ru] - F:\Kaspersky antywirus\FFExt\linkfilter@kaspersky.ru FF HKLM-x32\...\Firefox\Extensions: [hotfix@mozilla.org] - C:\Users\Bartek\AppData\Roaming\Mozilla\Firefox\Extensions\MozillaHotfix FF HKCU\...\Firefox\Extensions: [hotfix@mozilla.org] - C:\Users\Bartek\AppData\Roaming\Mozilla\Firefox\Extensions\MozillaHotfix CHR HKLM\...\Chrome\Extension: [pflphaooapbgpeakohlggbpidpppgdff] - C:\Users\Bartek\AppData\Local\mysearchdial-speeddial.crx [2013-12-18] CHR HKCU\...\Chrome\Extension: [pacgpkgadgmibnhpdidcnfafllnmeomc] - C:\Users\Bartek\AppData\Local\CRE\pacgpkgadgmibnhpdidcnfafllnmeomc.crx [2012-07-15] CHR HKCU\...\Chrome\Extension: [pflphaooapbgpeakohlggbpidpppgdff] - C:\Users\Bartek\AppData\Local\mysearchdial-speeddial.crx [2013-12-18] CHR HKLM-x32\...\Chrome\Extension: [pacgpkgadgmibnhpdidcnfafllnmeomc] - C:\Users\Bartek\AppData\Local\CRE\pacgpkgadgmibnhpdidcnfafllnmeomc.crx [2012-07-15] CHR HKLM-x32\...\Chrome\Extension: [pflphaooapbgpeakohlggbpidpppgdff] - C:\Users\Bartek\AppData\Local\mysearchdial-speeddial.crx [2013-12-18] C:\Program Files (x86)\GUM1C18.tmp C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes' Anti-Malware C:\ProgramData\Microsoft\Windows\Start Menu\Programs\McAfee Security Scan Plus C:\Users\Bartek\AppData\Local\CRE C:\Users\Bartek\AppData\Roaming\iSafe C:\Users\Bartek\AppData\Roaming\Mozilla\Firefox\Extensions\MozillaHotfix C:\Users\Bartek\AppData\Roaming\newnext.me C:\Users\Bartek\AppData\Roaming\SkypEmoticons C:\Users\Bartek\AppData\Roaming\systweak C:\Users\Bartek\AppData\Roaming\WinLive C:\Users\Bartek\Desktop\Jarek\Norton Security Scan.lnk C:\Users\Bartek\Desktop\Jarek\RegClean Pro.lnk C:\Windows\SysWOW64\wbem\msds.exe C:\Windows\SysWow64\Drivers\StarOpen.sys C:\Windows\system32\drivers\mbam.sys Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\.EsetTrialReset" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\EhttpSrv" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\ekrn" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\McComponentHostService" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^McAfee Security Scan Plus.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Watch.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\BEWINTERNET-PLSessionManager" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\egui" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Malwarebytes' Anti-Malware" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\MX Skype Recorder" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched" /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla\Thunderbird /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f CMD: netsh advfirewall reset Reboot: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj: Akamai NetSession Interface (zbędnik), McAfee Security Scan Plus (prawdopodobnie instalacja sponsorowana), MyFreeCodec (zbędnik od Samsung Kies, naruszy go AdwCleaner), SUrof andd, keep (adware) oraz wszystkie wersje Java i wtyczki Adobe (stare). 3. W Firefox: menu Historia > Wyczyść historię przeglądania menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 4. W Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Ustawienia > karta Historia > wyczyść Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 5. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 6. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt i log z AdwCleaner. Podaj czy są jakieś wyraźne zmiany. . Odnośnik do komentarza
bako22 Opublikowano 21 Września 2014 Autor Zgłoś Udostępnij Opublikowano 21 Września 2014 Hej mam prośbę, chciałbym sprawdzić komputer pod kątem wirusów, a w szczególności pod kątem programów łamiących hasła (typu keylogger). czy moglibyście mi podrzucić na to jakiś darmowy program lub sposób? Z góry dziękuje Odnośnik do komentarza
picasso Opublikowano 21 Września 2014 Zgłoś Udostępnij Opublikowano 21 Września 2014 Na początek dostosuj się do zasad działu i dostarcz obowiązkowe raporty (FRST, OTL i GMER): KLIK. Odnośnik do komentarza
bako22 Opublikowano 21 Września 2014 Autor Zgłoś Udostępnij Opublikowano 21 Września 2014 Okej, już dodaje. GMER: http://wklej.to/tjGOc Addition.txt FRST.txt Shortcut.txt Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 22 Września 2014 Zgłoś Udostępnij Opublikowano 22 Września 2014 Nie opisałeś w jakim celu chcesz uruchamiać skany, co się konkretnie dzieje. Poza tym, nie ukończyłeś poprzedniego tematu. Tu nadal w systemie są te same problemy, czyli adware i podejrzana usługa McxSvc oraz różne odpadkowe wpisy (m.in. od ESET, MBAM). Nowy problem to coś co wygląda na infekcję, czyli uruchomienie procesów z folderu C:\Windows\TEMP\pdk-SYSTEM. Ogólnie: śmietnik potężny w systemie. Tym razem nie uciekaj. Wstępne czyszczenie: 1. Przez Panel sterowania odinstaluj stare wersje i zbędne aplikacje: Adobe Flash Player 11 Plugin, Adobe Flash Player 14 ActiveX, Adobe Reader 9.1 - Polish, Adobe Shockwave Player 11.5, Java 7 Update 11, Java 6 Update 20 (64-bit), Java 6 Update 24, McAfee Security Scan Plus, Mozilla Firefox 17.0.1 (x86 en-US), Mozilla Maintenance Service, MyFreeCodec, Tibia MULTI-ip changer Firefox jest stary i mocno zanieczyszczony adware i szkodnikami. Nie opłaca się go czyścić, a i tak zdaje się, że główną przeglądarką jest Google Chrome. Przy deinstalacji potwierdź usuwanie "danych użytkownika". Resztę dokończy poniższy skrypt: 2. Otwórz Notatnik i wklej w nim: CloseProcesses: Reg: reg query "HKLM\SYSTEM\CurrentControlSet\Services\.EsetTrialReset" /s S4 .EsetTrialReset; C:\Windows\system32\regedt32.exe [10240 2009-07-14] (Microsoft Corporation) U2 McxSvc; C:\Windows\SysWOW64\wbem\msds.exe [3846241 2013-11-23] () [File not signed] S2 MBAMService; "F:\Malwarebytes' Anti-Malware\mbamservice.exe" [X] S2 StarWindServiceAE; f:\Program Files (x86)\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe [X] R3 MBAMProtector; C:\Windows\system32\drivers\mbam.sys [24904 2012-04-04] (Malwarebytes Corporation) S1 StarOpen; C:\Windows\SysWow64\Drivers\StarOpen.sys [5632 2006-07-24] () [File not signed] S3 cpuz136; \??\C:\Windows\TEMP\cpuz136\cpuz136_x64.sys [X] S3 dump_wmimmc; \??\E:\GRY\MU online global\GameGuard\dump_wmimmc.sys [X] S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X] S3 LgBttPort; system32\DRIVERS\lgbtpt64.sys [X] S3 lgbusenum; system32\DRIVERS\lgbtbs64.sys [X] S3 LGVMODEM; system32\DRIVERS\lgvmdm64.sys [X] S3 RSUSBSTOR; System32\Drivers\RtsUStor.sys [X] S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X] S3 usbbus; system32\DRIVERS\lgx64bus.sys [X] S3 UsbDiag; system32\DRIVERS\lgx64diag.sys [X] S3 USBModem; system32\DRIVERS\lgx64modem.sys [X] U4 WMCoreService; No ImagePath URLSearchHook: HKCU - (No Name) - {687578b9-7132-4a7a-80e4-30ee31099e03} - No File SearchScopes: HKLM - {77AA745B-F4F8-45DA-9B14-61D2D95054C8} URL = SearchScopes: HKCU - {77AA745B-F4F8-45DA-9B14-61D2D95054C8} URL = http://websearch.search-guide.info/?l=1&q={searchTerms}&pid=233&r=2013/11/12&hid=1136661776475716838&lg=EN&cc=PL&unqvl=40 BHO-x32: Blog This in Windows Live v2 -> {3adefb8e-b923-35e6-86e2-2b7841f5d2a7} -> C:\Windows\SysWOW64\mscoree.dll (Microsoft Corporation) Toolbar: HKCU - No Name - {687578B9-7132-4A7A-80E4-30EE31099E03} - No File CustomCLSID: HKU\S-1-5-21-1813054588-749713010-1817662991-1000_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> C:\Users\Bartek\AppData\Local\Google\Update\1.3.23.9\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-1813054588-749713010-1817662991-1000_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\Bartek\AppData\Local\Google\Update\1.3.24.7\psuser_64.dll No File Task: {2F17A764-BAF1-4D12-9DAC-F65B1DE800DB} - System32\Tasks\Funmoods => C:\Users\Bartek\AppData\Roaming\Funmoods\UPDATE~1\UPDATE~1.EXE Task: {397CC96C-E6A9-461F-A106-587CAC15BEE6} - System32\Tasks\{7E0CEB6F-0242-45DE-84C4-6F93BF9C3BC0} => Chrome.exe http://www.skype.com/go/downloading?source=installer&ver=6.0.0.126&LastError=-9 Task: {66C9EB6C-4DD2-46E2-BF20-4DB645AC6242} - System32\Tasks\{A14E1A74-5CD1-4F1C-90BA-17E8897D0FF8} => Chrome.exe http://ui.skype.com/ui/0/6.14.0.104/pl/abandoninstall?page=tsMain Task: {9E9AFFF6-85DB-4CA3-BA20-C124EC1B9240} - System32\Tasks\{C54C7D28-3724-4A30-8264-D9F539BE6104} => Chrome.exe http://www.skype.com/go/downloading?source=installer&ver=5.10.0.114&LastError=-9 C:\Program Files (x86)\*.tmp C:\ProgramData\TEMP C:\Users\Bartek\AppData\Local\mysearchdial-speeddial.crx C:\Users\Bartek\AppData\Local\CRE C:\Users\Bartek\AppData\Roaming\eCyber C:\Users\Bartek\AppData\Roaming\iSafe C:\Users\Bartek\AppData\Roaming\Mozilla C:\Users\Bartek\AppData\Roaming\newnext.me C:\Users\Bartek\AppData\Roaming\op C:\Users\Bartek\AppData\Roaming\systweak C:\Users\Bartek\AppData\Roaming\WinLive C:\Users\AIM C:\Users\Driver C:\Users\Panel C:\Users\Public\*.exe C:\Windows\pss\*.CommonStartup C:\Windows\pss\*.Startup C:\Windows\SysWOW64\sho*.tmp C:\Windows\SysWOW64\wbem\msds.exe C:\Windows\SysWow64\Drivers\StarOpen.sys C:\Windows\system32\drivers\mbam.sys DeleteKey: HKLM\SYSTEM\CurrentControlSet\services\sptd Reg: reg delete HKCU\Software\Google\Chrome\Extensions /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0DD87F40-D1BF-755F-D6B4-6022A9FE1099}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0DD87F40-D1BF-755F-D6B4-6022A9FE1099}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 5. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition. Dołącz też plik fixlog.txt i log z AdwCleaner. . Odnośnik do komentarza
bako22 Opublikowano 24 Września 2014 Autor Zgłoś Udostępnij Opublikowano 24 Września 2014 W żadnym wypadku to nie była "ucieczka". Wtedy zgłosiłem się do was po pomoc ale niestety w związku z pracą musiałem wyjechać, a potem nie miałem czasu się już tym zająć. Przez ten czas nie ja użytkowałem komputer i w końcu nadszedł czas żeby się nim zająć i trochę go wyczyścić. Przepraszam że wtedy napracowałaś się na darmo nad odpowiedzią. Nie zawsze też mogę odpowiedzieć z dnia na dzień ale będę starał się robic wszystko na bieżąco.Problemu jako takiego nie ma, to co jest sednem sprawy to sprawdzenie czy na kompie nie ma jakiś wirusów, keyloggerów i innego syfu. Poczyściłem chroma te programy wymienione usunąłem, załączam logi. Addition.txt AdwCleanerS0.txt Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 24 Września 2014 Zgłoś Udostępnij Opublikowano 24 Września 2014 Tematy po prostu łączę razem, gdyż właściwie tu jest kontynuacja. Zalecone operacje pomyślnie przetworzone i nie notuję już tych podejrzanych modułów z Temp. Idziemy dalej: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gazeta.pl/0,0.html?p=180&d=20140622 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gazeta.pl/0,0.html?p=180&d=20140622 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.gazeta.pl/0,0.html?p=180&d=20140622 BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre6\bin\jp2ssv.dll No File BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll No File CMD: del /q C:\Users\Bartek\Downloads\938mzrcx.exe CMD: del /q C:\Windows\SysWOW64\sqlite3.dll RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Program Files (x86)\Java RemoveDirectory: C:\Program Files (x86)\MyFree Codec RemoveDirectory: C:\Windows\System32\log RemoveDirectory: C:\Windows\SysWOW64\Adobe RemoveDirectory: C:\Windows\SysWOW64\Macromed DeleteQuarantine: EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. Powstanie kolejny fixlog.txt. Przedstaw go. 2. Zainstaluj najnowszą wersję Malwarebytes Anti-Malware (przy instalacji odznacz trial), wykonaj pełny skan systemu i dostarcz wynikowy log, o ile coś zostanie znalezione. . Odnośnik do komentarza
bako22 Opublikowano 25 Września 2014 Autor Zgłoś Udostępnij Opublikowano 25 Września 2014 Malwarebytes wykrył coś, kliknąłem żeby usunął te pliki. Załączam logi Fixlog.txt Malwarebytes Anti-Malware.txt Odnośnik do komentarza
picasso Opublikowano 25 Września 2014 Zgłoś Udostępnij Opublikowano 25 Września 2014 MBAM wykrył tylko szczątki adware oraz lewe instalatory. Do czytania ten materiał: KLIK. Kolejna porcja czynności: 1. Usuń używane narzędzia za pomocą DelFix. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Zainstaluj wybranego antywirusa, proponuję Avast. Wykonaj nim pełny skan systemu i dostarcz wyniki, o ile cokolwiek zostanie wykryte. . Odnośnik do komentarza
bako22 Opublikowano 27 Września 2014 Autor Zgłoś Udostępnij Opublikowano 27 Września 2014 załączam plik z DelFix'a, wyczyszczone foldery przywracania systemu. Przeskanowane avastem, znalazł jakieś dwa pliki, usunąłem je. Czy jeszcze jakieś dodatkowe skanowanie/logi mam przedstawić? DelFix.txt Odnośnik do komentarza
picasso Opublikowano 30 Września 2014 Zgłoś Udostępnij Opublikowano 30 Września 2014 Przeskanowane avastem, znalazł jakieś dwa pliki, usunąłem je. Pokaż zrzut ekranu z Dziennika / kwarantanny Avast, by było wiadome o czym mowa. Odnośnik do komentarza
bako22 Opublikowano 1 Października 2014 Autor Zgłoś Udostępnij Opublikowano 1 Października 2014 Odnośnik do komentarza
picasso Opublikowano 2 Października 2014 Zgłoś Udostępnij Opublikowano 2 Października 2014 Avast wykrył tylko śmieci w katalogu Pobieranie oraz jakiś plik PHP w folderze wyglądającym jak kopia strony z FTP. Myślę, że możemy kończyć. Temat rozwiązany. Zamykam. Odnośnik do komentarza
Rekomendowane odpowiedzi