silverek Opublikowano 18 Listopada 2014 Zgłoś Udostępnij Opublikowano 18 Listopada 2014 Witam. Od jakiegoś czasu, mam problem z uruchamiającym się "po cichu" i działającym w tle iexplore.exe. Próbowałem na własną rękę pozbyć się problemu przeszukując artykuły w google. Niestety programy (Malwarebytes Anti-Malware, Spybot-S&D Start Center, PC Tools Spyware Doctor, Emsisoft Anti-Malware), dawały chwilowy spokój od uciążliwego procesu. Za każdym razem, kiedy usuwałem infekcje, skanowałem jeszcze raz - było czysto. Po jakimś czasie okazuje się, że iexplore.exe ponownie pracuje... Bardzo proszę o pomoc i z góry dziękuję. Dodatkowo załączam screena z ostatniego komunikatu Spyware Doctor oraz log w załącznikach z Malwarebytes Anti-Malware. ScanLog Malwarebytes.txtPobieranie informacji ... GMER.txtPobieranie informacji ... Addition.txtPobieranie informacji ... FRST.txtPobieranie informacji ... Shortcut.txtPobieranie informacji ... Extras.TxtPobieranie informacji ... OTL.TxtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 18 Listopada 2014 Zgłoś Udostępnij Opublikowano 18 Listopada 2014 Cytat Od jakiegoś czasu, mam problem z uruchamiającym się "po cichu" i działającym w tle iexplore.exe. W systemie jest dobry kandydat, czyli instalacja moters aktywnie ładująca w tle moduły określane przez GMER jako "podejrzane". Obiekt powstał w grupie innych elementów adware, których multum szczątków jest w systemie. ---- Processes - GMER 2.1 ---- Library C:\Users\strona ogolna\AppData\Roaming\moters\supna.dll (*** suspicious ***) @ C:\Windows\Explorer.EXE [1652](2014-10-07 20:27:50) 000007fef7310000 Library C:\Users\strona ogolna\AppData\Roaming\moters\supna.dll (*** suspicious ***) @ C:\Program Files\Internet Explorer\IEXPLORE.EXE [7788](2014-10-07 20:27:50) 000007fef7310000 ==================== Loaded Modules (whitelisted) ============= 2014-10-07 21:27 - 2014-10-07 21:27 - 00139264 _____ () C:\Users\strona ogolna\AppData\Roaming\moters\supna.dll 2014-10-07 21:27 - 2014-10-07 21:27 - 00117760 _____ () C:\Users\strona ogolna\AppData\Roaming\moters\mentste.dll ==================== Installed Programs ====================== moters (HKLM-x32\...\{c8730ca5-3f82-41cc-65e2-01b87600cd89}) (Version: 1.0.0 - ningsup) Cytat Niestety programy (Malwarebytes Anti-Malware, Spybot-S&D Start Center, PC Tools Spyware Doctor, Emsisoft Anti-Malware), dawały chwilowy spokój od uciążliwego procesu. Żaden z programów nie wykrył powyższego. MBAM wykrył składnik instalacji PC Tools, czyli BrowserGuard. To nie jest istotne, ale i tak będziemy deinstalować określone skanery, którymi się posługiwałeś, bo to przeżytki / starocie słabo sprawdzające się obecnie. Na przyszłość pomiń instalację skanerów: PC Tools (SpywareDoctor i podobne) oraz SpyBot Search & Destroy. Firma PC Tools (przejęta przez Symantec) wycofała wszystkie produkty typu zabezpieczającego, a to co portale linkują to stare instalacje. Spybot zaś to lata świetności ma za sobą. Przeprowadź następujące działania: 1. Rozpocznij od poprawnych deinstalacji via Panel sterowania: - Ów podejrzany moters oraz posiadający w instalatorze adware YTD Video Downloader 4.8.6. - Stare wersje: Adobe Flash Player 13 ActiveX, Adobe Flash Player 13 Plugin, Browser Guard 4.0, Java 7 Update 67 (64-bit), Java 7 Update 67, PC Tools Spyware Doctor 9.1, Spybot - Search & Destroy. Na razie nie instaluj najnowszych wersji Adobe i Java, to wykonamy na szarym końcu. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: Task: {10ED41E6-56A9-49B8-9B91-DB53D22C0AD0} - \38d6cf61-3374-443f-aafb-f26c369089da-5 No Task File Task: {32506F30-4DF2-4BA1-91B0-747A2F353908} - \5d19c432-b462-4d53-bfa4-1b4553b2919f-11 No Task File Task: {4E2E592B-E7B2-4B99-91BC-49E234BBA825} - \9c23cb06-c33e-43b7-a2df-6662fee6a391-5 No Task File Task: {51BFB665-A53C-40AB-91B6-96222EAA1DE1} - \5d19c432-b462-4d53-bfa4-1b4553b2919f-6 No Task File Task: {51FEC971-21F2-4323-95D8-F48F6FBE34DF} - \5d19c432-b462-4d53-bfa4-1b4553b2919f-5 No Task File Task: {5F2722D0-7134-449D-89DB-46AAC5282BF5} - \5d19c432-b462-4d53-bfa4-1b4553b2919f-1 No Task File Task: {5FEEB01D-A466-47AD-9C61-4AC104575F87} - \ShopperPro No Task File Task: {608AFDFE-45E8-456C-9F9A-14531E66457A} - System32\Tasks\CDCJ => C:\Users\strona ogolna\AppData\Roaming\CDCJ.exe Task: {68C7F1EA-9F7A-49F8-B67F-A0F5B745C04F} - \ShopperProJSUpd No Task File Task: {724C4306-5726-4F41-B0A7-7F9670312D2E} - \38d6cf61-3374-443f-aafb-f26c369089da-7 No Task File Task: {818ADB85-C0A4-49E0-A564-967B362EFEEC} - \38d6cf61-3374-443f-aafb-f26c369089da-6 No Task File Task: {89D19E81-1674-4C95-80E7-DA98CB713002} - \9c23cb06-c33e-43b7-a2df-6662fee6a391-3 No Task File Task: {8B7952A5-3B9A-4AC9-B14E-57478F32ADFC} - \5d19c432-b462-4d53-bfa4-1b4553b2919f-4 No Task File Task: {8D931D4B-EC35-45B3-804C-5C6D58A8EDA7} - \9c23cb06-c33e-43b7-a2df-6662fee6a391-7 No Task File Task: {8E3390E5-D0A7-4109-8FD3-9012CFA57BE4} - System32\Tasks\PLFNMXK => C:\Users\strona ogolna\AppData\Roaming\PLFNMXK.exe Task: {9F488B27-2D51-45FD-A0C4-4962A2DB478C} - \38d6cf61-3374-443f-aafb-f26c369089da-2 No Task File Task: {B86AD45D-AB3F-45D8-8BA2-28835A196D69} - \9c23cb06-c33e-43b7-a2df-6662fee6a391-2 No Task File Task: {B9DD0C6A-5850-4F55-8384-9BD879184A15} - \9c23cb06-c33e-43b7-a2df-6662fee6a391-4 No Task File Task: {C0F8BFF0-C302-4931-89E1-F9D0ECD087DE} - \38d6cf61-3374-443f-aafb-f26c369089da-11 No Task File Task: {C71E5AE4-F1A0-41E2-8544-4C3F0E44F8BE} - \38d6cf61-3374-443f-aafb-f26c369089da-4 No Task File Task: {C93178E7-5C01-48FB-9E8D-D630223D7FDC} - \9c23cb06-c33e-43b7-a2df-6662fee6a391-1 No Task File Task: {CDD07EE8-8C6A-4D7B-9B31-FC314ABF713A} - \9c23cb06-c33e-43b7-a2df-6662fee6a391-6 No Task File Task: {D6117D6A-0C32-4CEE-8AD7-6A2A7B622EAB} - \AmiUpdXp No Task File Task: {DD2DA169-F6FF-4F03-9FE4-C107ABE7C493} - \SPDriver No Task File Task: {DEE42854-D4F4-4514-830A-979D854357A6} - System32\Tasks\AutoKMS => C:\Windows\AutoKMS.exe Task: {E8B88926-A459-470A-8A4E-1A7B52CBA1C1} - \5d19c432-b462-4d53-bfa4-1b4553b2919f-2 No Task File Task: {EE0F5446-CFAF-4319-946B-C5CACEFB129F} - \5d19c432-b462-4d53-bfa4-1b4553b2919f-7 No Task File Task: {F02B92FA-05C4-4024-BE81-723F9761FAB1} - \9c23cb06-c33e-43b7-a2df-6662fee6a391-11 No Task File Task: {FBA692E0-2391-4AD5-9FE7-9043EC3231D3} - \38d6cf61-3374-443f-aafb-f26c369089da-1 No Task File Task: C:\Windows\Tasks\AutoKMS.job => C:\Windows\AutoKMS.exe Task: C:\Windows\Tasks\CDCJ.job => C:\Users\strona ogolna\AppData\Roaming\CDCJ.exe Task: C:\Windows\Tasks\PLFNMXK.job => C:\Users\strona ogolna\AppData\Roaming\PLFNMXK.exe BootExecute: PDBoot.exeautocheck autochk * sdnclean64.exe Toolbar: HKLM - No Name - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] S3 VBoxNetFlt; system32\DRIVERS\VBoxNetFlt.sys [X] C:\Program Files (x86)\globalUpdate C:\ProgramData\Temp C:\Users\strona ogolna\AppData\Local\9522 C:\Users\strona ogolna\AppData\Local\nscB2C.tmp C:\Users\strona ogolna\AppData\Local\globalUpdate C:\Users\strona ogolna\AppData\Roaming\moters Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\PDAgent" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\PDEngine" /f CMD: type "C:\Users\strona ogolna\AppData\Roaming\Mozilla\Firefox\Profiles\u0ejhi95.default\user.js" EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. . Odnośnik do komentarza
silverek Opublikowano 18 Listopada 2014 Autor Zgłoś Udostępnij Opublikowano 18 Listopada 2014 Następne logi. Addition.txtPobieranie informacji ... FRST.txtPobieranie informacji ... Fixlog.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 18 Listopada 2014 Zgłoś Udostępnij Opublikowano 18 Listopada 2014 Czy problem z procesem iexplore.exe ustąpił? Wszystko zrobione. Poprawki: 1. Otwórz Notatnik i wklej w nim: CustomCLSID: HKU\S-1-5-21-1440103629-4270272420-3639045120-1000_Classes\CLSID\{56FDF344-FD6D-11d0-958A-006097C9A090}\InprocServer32 -> C:\Users\strona ogolna\AppData\Roaming\moters\supna.dll No File FF user.js: detected! => C:\Users\strona ogolna\AppData\Roaming\Mozilla\Firefox\Profiles\u0ejhi95.default\user.js C:\Program Files (x86)\PC Tools C:\Program Files (x86)\Spybot - Search & Destroy 2 C:\Program Files\HitmanPro C:\ProgramData\PC Tools C:\ProgramData\Spybot - Search & Destroy C:\Users\strona ogolna\AppData\Roaming\TestApp C:\Users\strona ogolna\Downloads\sdsetup.exe C:\Users\strona ogolna\Downloads\spybot-2.4.exe C:\Windows\system32\Drivers\PCTSD64.sys C:\Windows\System32\Tasks\Safer-Networking Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Dostarcz wynikowe raporty z folderu C:\AdwCleaner. . Odnośnik do komentarza
silverek Opublikowano 19 Listopada 2014 Autor Zgłoś Udostępnij Opublikowano 19 Listopada 2014 Tak, problem z tym procesem ustąpił. Załączam następne logi. Fixlog.txtPobieranie informacji ... AdwCleanerR0.txtPobieranie informacji ... AdwCleanerS0.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 19 Listopada 2014 Zgłoś Udostępnij Opublikowano 19 Listopada 2014 Wszystko wykonane. Kończymy: 1. Usuń ręcznie pobrany GMER oraz folder C:\Users\strona ogolna\Desktop\FRST. Następnie zastosuj DelFix. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Zainstaluj najnowsze wersje Adobe Flash i Java: KLIK. Odnośnik do komentarza
silverek Opublikowano 19 Listopada 2014 Autor Zgłoś Udostępnij Opublikowano 19 Listopada 2014 Wszystko zrobione. Problem zażegnany. Bardzo dziękuję! Odnośnik do komentarza
Rekomendowane odpowiedzi