mattibv Opublikowano 9 Stycznia 2015 Zgłoś Udostępnij Opublikowano 9 Stycznia 2015 Witam. Problem jak w temacie. Załączam logi. Proszę o pomoc Addition.txt Extras.Txt FRST.txt GMER.TXT OTL.Txt SHORTCUT.txt Odnośnik do komentarza
picasso Opublikowano 9 Stycznia 2015 Zgłoś Udostępnij Opublikowano 9 Stycznia 2015 Problem z cichymi procesami iexplore.exe tworzy ten niepożądany szkodnik przejmujący klasę "Task Bar Communication": CustomCLSID: HKU\S-1-5-21-4169363632-389216348-3168489708-1000_Classes\CLSID\{56FDF344-FD6D-11d0-958A-006097C9A090}\InprocServer32 -> C:\Users\ADMIN\AppData\Roaming\tricomfi\tivesen.dll () Ale w systemie jest więcej śmieci. Dodatkowo, widać że pobierałeś z serwisu Komputer Świat, zamiast poprawnych instalatorów "Asystent pobierania" ładujący adware: KLIK. Działania wstępne: 1. Przez Panel sterowaia odinstaluj tricomfi, File Type Advisor 1.4 oraz stare wersje Adobe Flash Player 15 ActiveX, Adobe Flash Player 15 Plugin, Java 7 Update 65. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: CustomCLSID: HKU\S-1-5-21-4169363632-389216348-3168489708-1000_Classes\CLSID\{56FDF344-FD6D-11d0-958A-006097C9A090}\InprocServer32 -> C:\Users\ADMIN\AppData\Roaming\tricomfi\tivesen.dll () Task: {2079F2D4-BEF8-4102-B9F4-626ACA429C6D} - System32\Tasks\FileAdvisorCheck => C:\Program Files (x86)\File Type Advisor\file-type-advisor.exe [2013-09-04] (filetypeadvisor.com ) Task: {9A698E1A-6104-4E03-A3D6-62602202E403} - System32\Tasks\LIZ => C:\Users\ADMIN\AppData\Roaming\LIZ.exe Task: {BA015F6C-CFE8-432A-98A8-D945A005D250} - System32\Tasks\WXITZAAW => C:\Users\ADMIN\AppData\Roaming\WXITZAAW.exe Task: {E069D33C-70F2-413E-B75D-C57545AB6376} - \SPBIW_UpdateTask_Time_323435333333363737312d345b413455412a45235a6c6c No Task File Task: {EA04C184-3A65-48EF-9F43-26275B0DE00B} - System32\Tasks\Microsoft\Windows\Maintenance\SMupdate2 => Rundll32.exe C:\PROGRA~1\COMMON~1\System\SysMenu.dll ,Command701 update2 Task: {EE9A2B25-66C2-4993-A21F-28E05B54A5DE} - System32\Tasks\FileAdvisorUpdate => C:\Program Files (x86)\File Type Advisor\fileadvisor.exe [2013-09-04] (File Type Advisor) Task: {FF84937A-26A2-47E3-8376-D411F6553A51} - System32\Tasks\Microsoft\Windows\Multimedia\SMupdate3 => Rundll32.exe C:\PROGRA~1\COMMON~1\System\SysMenu.dll ,Command701 update3 Task: C:\Windows\Tasks\LIZ.job => C:\Users\ADMIN\AppData\Roaming\LIZ.exe Task: C:\Windows\Tasks\WXITZAAW.job => C:\Users\ADMIN\AppData\Roaming\WXITZAAW.exe HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe FF HKLM-x32\...\Thunderbird\Extensions: [eplgTb@eset.com] - C:\Program Files\ESET\ESET Smart Security\Mozilla Thunderbird S2 YTDUpdt; C:\PROGRA~2\YTDOWN~1\YTDUPD~1.EXE [X] S3 cpuz134; \??\C:\Users\ADMIN\AppData\Local\Temp\cpuz134\cpuz134_x64.sys [X] S3 RtsUIR; system32\DRIVERS\Rts516xIR.sys [X] S2 SPDRIVER_1454.0.0.0; \??\C:\Program Files (x86)\ShopperPro\JSDriver\1454.0.0.0\jsdrv.sys [X] S3 USBCCID; system32\DRIVERS\RtsUCcid.sys [X] C:\Program Files (x86)\0711d11f-90d3-406e-a02a-926cf2c8e3da C:\Program Files (x86)\b04feeea-4f0e-4d40-bebb-7b2fff046cfb C:\Program Files (x86)\pre_installer_pl C:\Users\ADMIN\AppData\Local\GGEmpire C:\Users\ADMIN\AppData\Local\nsaF0FD.tmp C:\Users\ADMIN\AppData\Roaming\ESET C:\Users\ADMIN\AppData\Roaming\gtdaccnp C:\Users\ADMIN\AppData\Roaming\jmfrfemf C:\Users\ADMIN\AppData\Roaming\keljwyem C:\Users\ADMIN\AppData\Roaming\tricomfi C:\Users\ADMIN\AppData\Roaming\ysyvlhzy C:\Users\ADMIN\AppData\Roaming\zjhfyion C:\Users\ADMIN\Desktop\Continue*.lnk C:\Users\ADMIN\Downloads\AdwCleaner*.exe C:\Users\ADMIN\Downloads\FIFA15UltimateTeamHack__11424_il123227.exe C:\Users\ADMIN\Downloads\H3BLADE.EXE C:\Users\ADMIN\Downloads\heroes3*.exe C:\Users\ADMIN\Downloads\Niepotwierdzony*.crdownload C:\Users\ADMIN\Downloads\Odkurzacz 13.4.0.1685.exe C:\Users\ADMIN\Downloads\ReimageRepair.exe C:\Users\ADMIN\Downloads\yet_another_cleaner_sk_108840.exe C:\Windows\system32\log Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files\System" CMD: dir /a "C:\Program Files (x86)\Common Files\System" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\ADMIN\AppData\Local CMD: dir /a C:\Users\ADMIN\AppData\LocalLow CMD: dir /a C:\Users\ADMIN\AppData\Roaming CMD: dir /a C:\Users\ADMIN\Downloads EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Napraw uszkodzony skrót Internet Explorer: Shortcut: C:\Users\ADMIN\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) W pasku adresów eksploratora wklej ścieżkę C:\Users\ADMIN\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files (x86)\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt oraz logi z folderu C:\AdwCleaner (był używany). Odnośnik do komentarza
mattibv Opublikowano 9 Stycznia 2015 Autor Zgłoś Udostępnij Opublikowano 9 Stycznia 2015 Wszystko zgodnie z instrukcją. Adwcleanerem robiłem kilka razy po prostu usuwałem te błędy, które się pojawiały. (Zanim otrzeźwiałem i napisałem na forum). W załączniku wszystkie pliki. Addition.txt Fixlog.txt FRST.txt AdwCleanerR0.txt AdwCleanerS0.txt Odnośnik do komentarza
picasso Opublikowano 9 Stycznia 2015 Zgłoś Udostępnij Opublikowano 9 Stycznia 2015 Czy notujesz w systemie jeszcze jakieś problemy? Wszystko zrobione. Ostatni skrypt do FRST - otwórz Notatnik i wklej w nim: C:\Program Files\Common Files\System\SysMenu.dll C:\Program Files\Common Files\System\SysMenu64.dll C:\Users\ADMIN\AppData\Roaming\LIZ C:\Users\ADMIN\AppData\Roaming\WXITZAAW C:\Users\ADMIN\Downloads\DriversDownloader_for_Audio_Realtek_6.0.1.5648_Vistax64Vistax86XPx86XPx64_A.exe RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files (x86)\Java RemoveDirectory: C:\Program Files (x86)\Temp RemoveDirectory: C:\ProgramData\InstallMate RemoveDirectory: C:\ProgramData\Oracle RemoveDirectory: C:\ProgramData\Sun RemoveDirectory: C:\Users\ADMIN\AppData\Local\ESET RemoveDirectory: C:\Users\ADMIN\AppData\LocalLow\Sun RemoveDirectory: C:\Users\ADMIN\AppData\LocalLow\Temp RemoveDirectory: C:\Users\ADMIN\AppData\Roaming\FileAdvisor RemoveDirectory: C:\Users\ADMIN\AppData\Roaming\Oracle RemoveDirectory: C:\Users\ADMIN\AppData\Roaming\vxpiwcqi Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Zaprezentuj wynikowy fixlog.txt. Odnośnik do komentarza
mattibv Opublikowano 10 Stycznia 2015 Autor Zgłoś Udostępnij Opublikowano 10 Stycznia 2015 Wygląda na to, że system działa bez problemów.Załączam jeszcze log.Bardzo dziękuję za pomoc. Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 10 Stycznia 2015 Zgłoś Udostępnij Opublikowano 10 Stycznia 2015 Usuń folder FRST z Pulpitu. Zastosuj DelFix, wyczyść foldery Przywracania systemu oraz zainstaluj najnowszą wtyczkę Adobe Flash dla Firefox: KLIK. Odnośnik do komentarza
mattibv Opublikowano 10 Stycznia 2015 Autor Zgłoś Udostępnij Opublikowano 10 Stycznia 2015 Zrobione. Wszystko działa jak trzeba. Raz jeszcze dziękuję. DelFix.txt Odnośnik do komentarza
picasso Opublikowano 12 Stycznia 2015 Zgłoś Udostępnij Opublikowano 12 Stycznia 2015 DelFix wykonał co należy (ale pobrany GMER trzeba dokasować ręcznie). Skasuj z dysku raport C:\Delfix.txt. Temat rozwiązany. Zamykam. Odnośnik do komentarza
Rekomendowane odpowiedzi