bartek1877 Opublikowano 16 Października 2014 Zgłoś Udostępnij Opublikowano 16 Października 2014 Witam poraz kolejny znowu prosze o ratunek niedawno był robiony świezy format wszystko ładnie pięknie lecz po paru dniach wszystko jakos zamuliło i przy starcie wywala błąd RunDll . Dodaje załączniki ze skanami i screen błędu będe bardzo wdzięczny za pomoc. Pozdrawiam. nie mam jakis uprawnien do dodania załącznika GMER dziwne wiec dodaje treść poniżej GMER 2.1.19357 - http://www.gmer.netRootkit scan 2014-10-16 14:47:49Windows 6.1.7601 Service Pack 1 x64 \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-0 Hitachi_HTS545032B9A300 rev.PB3OC60F 298,09GBRunning: gmer.exe; Driver: C:\Users\Andrzej\AppData\Local\Temp\pxldrpoc.sys---- User code sections - GMER 2.1 ----.text C:\Program Files\ESET\ESET NOD32 Antivirus\x86\ekrn.exe[1956] C:\Windows\syswow64\kernel32.dll!SetUnhandledExceptionFilter 00000000767b87c9 4 bytes [C2, 04, 00, 00].text C:\Program Files\ESET\ESET NOD32 Antivirus\x86\ekrn.exe[1956] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69 0000000076f11465 2 bytes [F1, 76].text C:\Program Files\ESET\ESET NOD32 Antivirus\x86\ekrn.exe[1956] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155 0000000076f114bb 2 bytes [F1, 76].text ... * 2---- Processes - GMER 2.1 ----Process C:\Users\Andrzej\AppData\Roaming\HTThread\hb.exe (*** suspicious ***) @ C:\Users\Andrzej\AppData\Roaming\HTThread\hb.exe [1980](2014- 0000000000400000Library C:\Users\Andrzej\AppData\Roaming\HTThread\sub\default.dll (*** suspicious ***) @ C:\Users\Andrzej\AppData\Roaming\HTThread\hb.exe [1980](2014-10-12 14:58:37) 0000000002ce0000---- EOF - GMER 2.1 ---- OTL.Txt Extras.Txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 16 Października 2014 Zgłoś Udostępnij Opublikowano 16 Października 2014 nie mam jakis uprawnien do dodania załącznika GMER dziwne W instrukcji jest napisane, by użyć opcję Kopiuj i zapisać do nowego pliku *.TXT. Ty użyłeś opcję bezpośredniego zapisu raportu, a to tworzy plik o rozszerzeniu *.LOG zabroniony w załącznikach. Na przyszłość: ręczna zmiana nazwy pliku (przy wyłączonej opcji "Ukrywaj rozszerzenia znanych typów plików") lub zapis do nowego pliku. Brakuje plików FRST Addition i Shortcut. A błąd powoduje infekcja w starcie. Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: HKU\S-1-5-21-3681205649-2394694009-2051480217-1000\...\Run: [tsiVideo] => C:\Windows\SysWOW64\rundll32.exe C:\Users\Andrzej\AppData\Local\Temp\\mdi164.dll,asdasd GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe R2 HTService; C:\Users\Andrzej\AppData\Roaming\HTThread\hb.exe [628736 2014-09-25] () [File not signed] S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X] S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [X] S3 huawei_cdcacm; system32\DRIVERS\ew_jucdcacm.sys [X] S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X] S3 huawei_ext_ctrl; system32\DRIVERS\ew_juextctrl.sys [X] S3 huawei_wwanecm; system32\DRIVERS\ew_juwwanecm.sys [X] C:\ProgramData\Xunlei C:\ProgramData\Thunder Network C:\Users\Andrzej\AppData\Roaming\HTThread EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany, a błąd powinien ustąpić. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. W przeglądarkach: - Firefox: Wyczyść z adware poprzez menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. - Google Chrome: Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz 3. Zrób nowy log FRST z opcji Scan, zaznacz pola Addition i Shortcut, by powstały trzy logi. Dołącz też plik fixlog.txt oraz logi z folderu C:\AdwCleaner (był używany). Ponadto, otwórz Google Chrome, w pasku adresów wklep chrome://version i przeklej wersję Google Chrome tam się wyświetlającą. . Odnośnik do komentarza
bartek1877 Opublikowano 17 Października 2014 Autor Zgłoś Udostępnij Opublikowano 17 Października 2014 Błąd tak jak pisałaś znikł i jest lepiej poniżej przesyłam logi. A co do przegladarek to skasowane, została tylko Opera, jednak nie będa potrzebne mysle ze to nie problem. Oczywiście za całokształt będe wdzięczny i jak jest taka możliwość wpłacę nieznaczną sume na konto . Pozrawiam Addition.txt AdwCleanerR0.txt AdwCleanerS0.txt Fixlog.txt FRST.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 17 Października 2014 Zgłoś Udostępnij Opublikowano 17 Października 2014 Log z FRST źle zrobiony, wyłączyłeś opcje Whitelist. Operacja skryptowa pomyślna. I skoro usunąłeś przeglądarki, to będą poprawki na ich szczątki. Kolejne działania: 1. Odinstaluj stare wersje Adobe Reader X (10.1.0), Java 7 Update 3 (64-bit). 2. Specjalny skrót Internet Explorer jest uszkodzony: Shortcut: C:\Users\Andrzej\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) W pasku adresów eksploratora wklej ścieżkę C:\Users\Andrzej\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files (x86)\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 3. Poprawki na szczątki odinstalowanych przeglądarek. Otwórz Notatnik i wklej w nim: CloseProcesses: CHR StartMenuInternet: Google Chrome - "C:\Users\Andrzej\AppData\Local\Google\Chrome\Application\chrome.exe" Task: C:\Windows\Tasks\DriverToolkit Autorun.job => C:\Program Files (x86)\DriverToolkit\DriverToolkit.exe DeleteKey: HKCU\Software\Google DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins RemoveDirectory: C:\ProgramData\Mozilla RemoveDirectory: C:\Users\Andrzej\AppData\Local\Google RemoveDirectory: C:\Users\Andrzej\AppData\Local\Mozilla RemoveDirectory: C:\Users\Andrzej\AppData\Roaming\Mozilla DeleteQuarantine: EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. Dostarcz wynikowy fixlog.txt. Nowy skan FRST nie jest potrzebny. Oczywiście za całokształt będe wdzięczny i jak jest taka możliwość wpłacę nieznaczną sume na konto Dzięki! W mojej sygnaturze są informacje na temat wsparcia dla forum: Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się