Win32/SProtector.D - pamięć operacyjna rundll32.exe

[szfeps]

Witam,

posiadam problem od kilku dni... eset ciągle mi wykrywa  to -

 

A od wczoraj pojawiło się to - 

Wydaję mi się, że powstało to po aktualizacji office które potem usunąłem, ale wciąż to występuję.. Ogólnie jakoś wolniej mi chodzi przez to komputer.

Prosiłbym o pomoc,

pozdrawiam.

Extras.Txt

OTL.Txt

FRST.txt

Addition.txt

Shortcut.txt

gmer.txt

[picasso]

W systemie ładuje się usługa adware "VideoCnv", która uruchamia własny plik DLL za pomocą systemowego procesu rundll32.exe. Akcja:

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
R2 fa6789c5; c:\program files (x86)\VideoCnv\Zet.dll [3752448 2014-10-27] () [File not signed]
S2 AODDriver4.2; \??\C:\Program Files (x86)\GIGABYTE\ET6\amd64\AODDriver2.sys [X]
U3 AppMgmt; No ImagePath
U2 CscService; No ImagePath
S3 ESEADriver2; \??\C:\Users\Milosz\AppData\Local\Temp\ESEADriver2.sys [X]
U3 PeerDistSvc; No ImagePath
Task: {3E558270-F2B8-46C6-A5E1-4489715C591D} - System32\Tasks\Auslogics\BoostSpeed\Start BoostSpeed оn Milosz logon => C:\Program Files (x86)\Auslogics\BoostSpeed\BoostSpeed.exe
Task: {FB07518A-87E5-47FF-9FCF-F97A79985898} - System32\Tasks\MSIAfterburner => C:\Program Files (x86)\MSI Afterburner\MSIAfterburner.exe
HKU\S-1-5-21-2669467967-2915321183-38771872-1000\...\MountPoints2: {92b76c49-4df4-11e3-b21e-94de807a69c1} - F:\setup.exe
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://hao.dashi.com
FF Plugin-x32: @microsoft.com/Lync,version=15.0 -> C:\Program Files (x86)\Mozilla Firefox\plugins\npmeetingjoinpluginoc.dll (Microsoft Corporation)
C:\Program Files (x86)\Mozilla Firefox
C:\Program Files (x86)\VideoCnv
C:\Windows\System32\Tasks\Auslogics
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Skoryguj DNS w Windows, gdyż ten drugi adres nie jest polski. Instrukcje: KLIK.

 

Tcpip\..\Interfaces\{9FE891B3-8212-4F7F-8BB2-09103A011424}: [NameServer] 194.204.159.1,74.82.42.42

 

3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt oraz logi z folderu C:\AdwCleaner (był używany).

 

 

 

 

.

[szfeps]

Witam,

wszystko zrobione, wysyłam logi.

Logów z adwcleanera nie wysyłam, gdyż są one puste - nic nie znaleziono po prostu. Nie wiem czemu nic nie wykrywał.

Pozdrawiam.

FRST2.txt

Fixlog.txt

[picasso]

Wszystko wykonane i tytułowy problem powinien ustąpić, aczkolwiek nagle pojawiła sę jakaś polityka Google Chrome, której uprzednio nie było, są też inne drobne zmiany. Poprawki. Otwórz Notatnik i wklej w nim:

 

Reg: reg query HKLM\SOFTWARE\Policies\Google /s
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction 
FF Plugin-x32: @esn/npbattlelog,version=2.3.1 -> C:\Program Files (x86)\Battlelog Web Plugins\2.3.1\npbattlelog.dll No File
FF Plugin-x32: @microsoft.com/OfficeAuthz,version=14.0 -> C:\Program Files (x86)\MICROS~4\Office14\NPAUTHZ.DLL No File
FF Plugin-x32: @microsoft.com/SharePoint,version=14.0 -> C:\Program Files (x86)\MICROS~4\Office15\NPSPWRAP.DLL No File
BHO-x32: Office Document Cache Handler -> {B4F3A835-0E21-4959-BA22-42B3008E02FF} -> C:\Program Files (x86)\MICROS~4\Office15\URLREDIR.DLL No File
Handler-x32: osf - {D924BDC6-C83A-4BD5-90D0-095128A113D1} - C:\Program Files (x86)\Microsoft Office\Office15\MSOSB.DLL No File
C:\ProgramData\c738455ff494c861
C:\Users\Milosz\AppData\Roaming\appdataFr2.bin
Folder: C:\Windows\system32\GroupPolicy
Folder: C:\Windows\system32\GroupPolicyUsers
Folder: C:\Windows\SysWOW64\GroupPolicy
Folder: C:\Windows\SysWOW64\GroupPolicyUsers
RemoveDirectory: C:\AdwCleaner
RemoveDirectory: C:\FRST\Quarantine
Reboot:

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. Przedstaw wynikowy fixlog.txt.

[szfeps]

Po tym zabiegu mój chrome zmienił się na wersję dev.

Fixlog.txt

[picasso]

Jedyne co było robione, to usuwane polityki Google, które nie są normalne i nie powinno ich być w systemie. Stabilna wersja Google Chrome nie powinna się automatycznie aktualizować do wersji "development", bo to zupełnie inny kanał aktualizacyjny. U Ciebie muszą być dodatkowe okoliczności. Czy na pewno nie wykonałeś ręcznej zmiany kanału? Czy nie ma przypadkiem w rozszerzeniach czegoś co nie występuje w oficjalnym sklepie Chrome We Store? Wersje stabilne mają blokadę takich rozszerzeń, development wręcz przeciwnie - może któreś z rozszerzeń przestawiło kanał?

[szfeps]

Nie instalowałem żadnych rozszerzeń w sumie od większego czasu. Wczoraj to zauważyłem i w rejestrze zmieniłem, aby chrome aktualizował się automatycznie, gdyż prawdopodobnie było to wyłączone.

[picasso]

Jedyna kompletna droga powrotu z wersji dev-m do m (stabilna), to reinstalacja Google Chrome, by nadpisać pliki.

[szfeps]

Coś utracę ?

[picasso]

Przy deinstalacji Chrome nie zaznaczaj opcji Usuń także dane przeglądarki, to zachowa profil przeglądarki. Następnie instalujesz stabilną wersję z tego linka: KLIK. Profil powinien zostać zaakceptowany przez nową instalację. W Ustawienia > karta Rozszerzenia sprawdzasz czy któreś z rozszerzeń nie zostało zablokowane i oznaczone jako pochodzące spoza sklepu Google.

[szfeps]

W takim razie nic więcej nie potrzebuję.

Dziękuję za całą pomoc,

pozdrawiam.

[picasso]

Czy przeprowadziłeś tę akcję z Google Chrome? Na koniec:

 

Zastosuj DelFix, wyczyść foldery Przywracania systemu i zaktualizuj Javę: KLIK.

[szfeps]

Chromem zajmę się jutro,

powyższe rzeczy wykonane,

dzięki.