kondzior1989 Opublikowano 2 Lutego 2015 Zgłoś Udostępnij Opublikowano 2 Lutego 2015 Mam bardzo podejrzny fastbar ktory bardzo Mnie trapi, prosze o pomoc, GMER 2.1.19357 - http://www.gmer.net Rootkit scan 2015-02-02 21:07:15 Windows 6.1.7601 Service Pack 1 x64 \Device\Harddisk1\DR1 -> \Device\Ide\IdeDeviceP0T1L0-3 SAMSUNG_HD322HJ rev.1AC01110 298,09GB Running: gmer.exe; Driver: C:\Users\Krzysiek\AppData\Local\Temp\pgldapow.sys ---- Kernel code sections - GMER 2.1 ---- .text C:\Windows\System32\win32k.sys!W32pServiceTable fffff96000104300 7 bytes [00, A1, F3, FF, 41, B4, F0] .text C:\Windows\System32\win32k.sys!W32pServiceTable + 8 fffff96000104308 3 bytes [00, 07, 02] ---- User code sections - GMER 2.1 ---- .text C:\Program Files (x86)\AVG\AVG2015\avgfws.exe[1416] C:\Windows\syswow64\psapi.dll!GetModuleInformation + 69 0000000075d21465 2 bytes [D2, 75] .text C:\Program Files (x86)\AVG\AVG2015\avgfws.exe[1416] C:\Windows\syswow64\psapi.dll!GetModuleInformation + 155 0000000075d214bb 2 bytes [D2, 75] .text ... * 2 .text C:\Program Files (x86)\Malwarebytes Anti-Malware\mbamscheduler.exe[1924] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69 0000000075d21465 2 bytes [D2, 75] .text C:\Program Files (x86)\Malwarebytes Anti-Malware\mbamscheduler.exe[1924] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155 0000000075d214bb 2 bytes [D2, 75] .text ... * 2 .text C:\Program Files (x86)\NEC Electronics\USB 3.0 Host Controller Driver\Application\nusb3mon.exe[2300] C:\Windows\SysWOW64\ntdll.dll!NtWriteVirtualMemory 000000007749fe14 5 bytes JMP 0000000173321000 .text C:\Program Files (x86)\AVG\AVG2015\avgui.exe[2324] C:\Windows\SysWOW64\ntdll.dll!NtWriteVirtualMemory 000000007749fe14 5 bytes JMP 0000000173321000 .text C:\Program Files (x86)\AVG\AVG2015\avgui.exe[2324] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69 0000000075d21465 2 bytes [D2, 75] .text C:\Program Files (x86)\AVG\AVG2015\avgui.exe[2324] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155 0000000075d214bb 2 bytes [D2, 75] .text ... * 2 .text C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[2336] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory 00000000772f0950 5 bytes JMP 0000000077450018 .text C:\Program Files (x86)\Spybot - Search & Destroy 2\SDTray.exe[2356] C:\Windows\SysWOW64\ntdll.dll!NtWriteVirtualMemory 000000007749fe14 5 bytes JMP 0000000173321000 .text C:\Program Files (x86)\Spybot - Search & Destroy 2\SDTray.exe[2356] C:\Windows\syswow64\psapi.dll!GetModuleInformation + 69 0000000075d21465 2 bytes [D2, 75] .text C:\Program Files (x86)\Spybot - Search & Destroy 2\SDTray.exe[2356] C:\Windows\syswow64\psapi.dll!GetModuleInformation + 155 0000000075d214bb 2 bytes [D2, 75] .text ... * 2 .text C:\Program Files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe[2468] C:\Windows\SysWOW64\ntdll.dll!NtWriteVirtualMemory 000000007749fe14 5 bytes JMP 0000000173321000 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2540] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory 00000000772f0950 5 bytes JMP 0000000077450018 .text C:\Program Files (x86)\Spybot - Search & Destroy 2\SDFSSvc.exe[2636] C:\Windows\SysWOW64\ntdll.dll!NtWriteVirtualMemory 000000007749fe14 5 bytes JMP 0000000173321000 .text C:\Program Files (x86)\Spybot - Search & Destroy 2\SDFSSvc.exe[2636] C:\Windows\syswow64\psapi.dll!GetModuleInformation + 69 0000000075d21465 2 bytes [D2, 75] .text C:\Program Files (x86)\Spybot - Search & Destroy 2\SDFSSvc.exe[2636] C:\Windows\syswow64\psapi.dll!GetModuleInformation + 155 0000000075d214bb 2 bytes [D2, 75] .text ... * 2 .text C:\Program Files (x86)\AVG\AVG2015\avgnsa.exe[2664] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory 00000000772f0950 5 bytes JMP 0000000077450018 .text C:\Program Files (x86)\AVG\AVG2015\avgemca.exe[2728] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory 00000000772f0950 5 bytes JMP 0000000077450018 .text C:\Program Files (x86)\Spybot - Search & Destroy 2\SDUpdSvc.exe[3020] C:\Windows\SysWOW64\ntdll.dll!NtWriteVirtualMemory 000000007749fe14 5 bytes JMP 0000000173321000 .text C:\Windows\system32\svchost.exe[1304] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory 00000000772f0950 5 bytes JMP 0000000077450018 .text C:\Program Files (x86)\Spybot - Search & Destroy 2\SDWSCSvc.exe[2376] C:\Windows\SysWOW64\ntdll.dll!NtWriteVirtualMemory 000000007749fe14 5 bytes JMP 0000000173321000 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[3216] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory 00000000772f0950 5 bytes JMP 0000000077450018 .text C:\Windows\system32\conhost.exe[3224] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory 00000000772f0950 5 bytes JMP 0000000077450018 .text C:\Windows\system32\SearchIndexer.exe[3264] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory 00000000772f0950 5 bytes JMP 0000000077450018 .text C:\Windows\System32\WUDFHost.exe[3820] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory 00000000772f0950 5 bytes JMP 0000000077450018 .text C:\Windows\SysWOW64\ctfmon.exe[3912] C:\Windows\SysWOW64\ntdll.dll!NtWriteVirtualMemory 000000007749fe14 5 bytes JMP 0000000173321000 .text C:\Windows\system32\svchost.exe[4432] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory 00000000772f0950 5 bytes JMP 0000000077450018 .text C:\Windows\system32\svchost.exe[420] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory 00000000772f0950 5 bytes JMP 0000000077450018 .text C:\Windows\system32\taskeng.exe[4560] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory 00000000772f0950 5 bytes JMP 0000000077450018 .text C:\Users\Krzysiek\Downloads\FRST64(3).exe[2804] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory 00000000772f0950 5 bytes JMP 0000000077450018 .text C:\Windows\system32\notepad.exe[4468] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory 00000000772f0950 5 bytes JMP 0000000077450018 .text C:\Windows\system32\notepad.exe[4500] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory 00000000772f0950 5 bytes JMP 0000000077450018 .text C:\Windows\system32\wbem\wmiprvse.exe[4820] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory 00000000772f0950 5 bytes JMP 0000000077450018 .text C:\Program Files\WinRAR\WinRAR.exe[5304] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory 00000000772f0950 5 bytes JMP 0000000077450018 .text C:\Program Files\Internet Explorer\iexplore.exe[5336] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory 00000000772f0950 5 bytes JMP 0000000077450018 .text C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE[5384] C:\Windows\SysWOW64\ntdll.dll!NtWriteVirtualMemory 000000007749fe14 5 bytes JMP 0000000173321000 .text C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE[5384] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69 0000000075d21465 2 bytes [D2, 75] .text C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE[5384] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155 0000000075d214bb 2 bytes [D2, 75] .text ... * 2 .text C:\Users\Krzysiek\AppData\Local\Temp\Temp1_gmer(2).zip\gmer.exe[6112] C:\Windows\SysWOW64\ntdll.dll!NtWriteVirtualMemory 000000007749fe14 5 bytes JMP 0000000173321000 ---- Kernel IAT/EAT - GMER 2.1 ---- IAT C:\Windows\system32\drivers\atapi.sys[ataport.SYS!AtaPortReadPortBufferUshort] [fffff880010c1e94] \SystemRoot\System32\Drivers\sptd.sys [.text] IAT C:\Windows\system32\drivers\atapi.sys[ataport.SYS!AtaPortReadPortUchar] [fffff880010c1c38] \SystemRoot\System32\Drivers\sptd.sys [.text] IAT C:\Windows\system32\drivers\atapi.sys[ataport.SYS!AtaPortWritePortUchar] [fffff880010c2614] \SystemRoot\System32\Drivers\sptd.sys [.text] IAT C:\Windows\system32\drivers\atapi.sys[ataport.SYS!AtaPortWritePortUlong] [fffff880010c2a10] \SystemRoot\System32\Drivers\sptd.sys [.text] IAT C:\Windows\system32\drivers\atapi.sys[ataport.SYS!AtaPortWritePortBufferUshort] [fffff880010c286c] \SystemRoot\System32\Drivers\sptd.sys [.text] ---- Devices - GMER 2.1 ---- Device \Driver\atapi \Device\Ide\IdePort0 fffffa80039a42c0 Device \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-3 fffffa80039a42c0 Device \Driver\atapi \Device\Ide\IdePort1 fffffa80039a42c0 Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-1 fffffa80039a42c0 Device \Driver\atapi \Device\Ide\IdeDeviceP1T1L0-2 fffffa80039a42c0 Device \FileSystem\Ntfs \Ntfs fffffa80039a82c0 Device \Driver\usbuhci \Device\USBFDO-3 fffffa80050e72c0 Device \Driver\usbuhci \Device\USBPDO-1 fffffa80050e72c0 Device \Driver\cdrom \Device\CdRom0 fffffa8004c952c0 Device \Driver\cdrom \Device\CdRom1 fffffa8004c952c0 Device \Driver\dtsoftbus01 \Device\0000005b fffffa8004c9d2c0 Device \Driver\USBSTOR \Device\0000006b fffffa8004cd82c0 Device \Driver\usbehci \Device\USBFDO-4 fffffa80052162c0 Device \Driver\usbuhci \Device\USBPDO-2 fffffa80050e72c0 Device \Driver\usbuhci \Device\USBFDO-0 fffffa80050e72c0 Device \Driver\dtsoftbus01 \Device\DTSoftBusCtl fffffa8004c9d2c0 Device \Driver\usbuhci \Device\USBPDO-3 fffffa80050e72c0 Device \Driver\usbuhci \Device\USBFDO-1 fffffa80050e72c0 Device \Driver\NetBT \Device\NetBT_Tcpip_{C88FADA7-5B45-4EA4-9C68-53587E2F8AE1} fffffa8004cc72c0 Device \Driver\USBSTOR \Device\0000006d fffffa8004cd82c0 Device \Driver\NetBT \Device\NetBt_Wins_Export fffffa8004cc72c0 Device \Driver\usbehci \Device\USBPDO-4 fffffa80052162c0 Device \Driver\usbuhci \Device\USBFDO-2 fffffa80050e72c0 Device \Driver\atapi \Device\ScsiPort0 fffffa80039a42c0 Device \Driver\usbuhci \Device\USBPDO-0 fffffa80050e72c0 Device \Driver\atapi \Device\ScsiPort1 fffffa80039a42c0 ---- Trace I/O - GMER 2.1 ---- Trace ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys >>UNKNOWN [0xfffffa80039a42c0]<< sptd.sys ataport.SYS intelide.sys PCIIDEX.SYS hal.dll atapi.sys fffffa80039a42c0 Trace 1 nt!IofCallDriver -> \Device\Harddisk1\DR1[0xfffffa8004904680] fffffa8004904680 Trace 3 CLASSPNP.SYS[fffff8800143b43f] -> nt!IofCallDriver -> [0xfffffa8003958e40] fffffa8003958e40 Trace 5 ACPI.sys[fffff8800100b7a1] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP0T1L0-3[0xfffffa80043d6680] fffffa80043d6680 Trace \Driver\atapi[0xfffffa8004385d20] -> IRP_MJ_CREATE -> 0xfffffa80039a42c0 fffffa80039a42c0 ---- Processes - GMER 2.1 ---- Process C:\Users\Krzysiek\AppData\Local\Temp\Temp1_gmer(2).zip\gmer.exe (*** suspicious ***) @ C:\Users\Krzysiek\AppData\Local\Temp\Temp1_gmer(2).zip\gmer.exe [6112](2014-01-28 17:36:04) 0000000000400000 ---- EOF - GMER 2.1 ---- Dodatkowo mam dziwne teredo, podejrzewa, ze jestem zainfekowany :/ Odnośnik do komentarza
picasso Opublikowano 3 Lutego 2015 Zgłoś Udostępnij Opublikowano 3 Lutego 2015 Proszę: - Nie wysyłaj do mnie PW z logami. Mam wyraźnie w profilu napisane, że nie rozwiązuję spraw technicznych via PW. - Jeśli nikt jeszcze nie odpisał, zamiast pisać post pod postem korzystaj z opcji Edytuj. Posty sklejone. - Opisz dokładniej problem. Z treści "Mam bardzo podejrzny fastbar" nic nie wynika konkretnego. - Uzupełnij wymagane logi. Był tu podany tylko FRST Addition, a mają być trzy logi FRST (FRST.txt, Addition.txt i Shortcut.txt): KLIK. - Nie wklejaj logów w postach. Oryginalne pliki mają być wstawione jako załączniki. Odnośnik do komentarza
kondzior1989 Opublikowano 20 Lutego 2015 Autor Zgłoś Udostępnij Opublikowano 20 Lutego 2015 Teraz jeszcze mi sie wpierniczyl do tego my start search tp raczej pochodna sweet page ale moglbym, sam sobie z tym poradzic i great total Odnośnik do komentarza
picasso Opublikowano 21 Lutego 2015 Zgłoś Udostępnij Opublikowano 21 Lutego 2015 kondzior1989, proszę podaj raporty z FRST, to się zabiorę za analizę i usuwanie. Instrukcja tworzenia raportów: KLIK. Mają powstać trzy pliki: FRST.txt, Addition.txt i Shortcut.txt. Pliki te należy doczepić w postaci oryginalnej jako załączniki forum, nie wklejać ich w poście. Odnośnik do komentarza
kondzior1989 Opublikowano 7 Marca 2015 Autor Zgłoś Udostępnij Opublikowano 7 Marca 2015 Raporty: Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 18 Marca 2015 Zgłoś Udostępnij Opublikowano 18 Marca 2015 kondzior, w temacie powstał śmietnik, dane podane fatalnie i musiałam wszystko skorygować. Nie tworzy się posta pod postem na każdy log tylko jeden porządny post, a w przypadku pomyłki używa opcję Edytuj. Wszystko sklejone. Pliki przeniosłam do załączników, zbędne dane wycięte z logów. Mówiłam wyraźnie w jaki sposób mają być podane raporty: Pliki te należy doczepić w postaci oryginalnej jako załączniki forum, nie wklejać ich w poście. A Ty narobiłeś serię bezużytecznych postów - wklejanie logów wq postach lub umieszczanie na SpeedyShare. Nie. Oryginalne pliki masz wstawiać jako załączniki forum (tak jak powyżej już zrobiłam), czyli w polu szybkiej odpowiedzi > Więcej opcji > jest funkcja dołączania plików. Log z FRST zrobiony na innych ustawieniach niż zalecane - sekcje "Drivers MD5" i "List BCD" nie miały być zaznaczone. Co widzę w raportach: - Mocno kombinowałeś w międzyczasie, wiele różnych skanerów użyte (w tym wątpliwej reputacji), żadne wyniki nie podane. Na temat używania ComboFix: KLIK. Obecnie są tylko szczątki adware widoczne. - Stosowałeś programy z czarnej listy: 1-2-3 Spyware Free, SpyHunter i YAC. To są lewe programy, których należy unikać! Jak szalony szukałeś scrackowanej wersji SpyHunter, a to program którego nie należy w ogóle instalować. - Niepoprawnie odinstalowany AVG, który ma czynne uruchamiające się sterowniki. Skombinowanie tej wadliwej instalacji z KIS powinno mieć negatywny wpływ na system (zawieszenia, obniżenie wydajności). Działania do przeprowadzenia: 1. Deinstalacje: - Z poziomu Trybu awaryjnego Windows: zastosuj AVG Remover. - Z poziomu Trybu normalnego Windows: przez Panel sterowania odinstaluj Spybot - Search & Destroy, SpyHunter 4, SpyHunter4 wersja 4.18.9.4384, Visual Studio 2012 x64 Redistributables, Visual Studio 2012 x86 Redistributables (te dwie pozycje Visual to szczątki po AVG). 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Hosts: Task: {177FCA84-6E7E-42BD-A355-918A7AACE439} - System32\Tasks\{5DACB18E-7859-419A-ACF7-1CC5D6D1BEFA} => pcalua.exe -a E:\Network\Atheros\setup.exe -d E:\Network\Atheros Task: {26F58CBC-4827-47AB-8BC2-6E609B9FA5A9} - System32\Tasks\Trojan Killer => C:\Program Files\GridinSoft Trojan Killer\trojankiller.exe Task: {29797E6B-13A2-4F4E-BD49-008B27AC9B90} - System32\Tasks\{8EBA598C-6551-4B4E-A58B-EDDBB8B8E33F} => pcalua.exe -a C:\Users\Krzysiek\Downloads\Atheros\setup.exe -d C:\Users\Krzysiek\Downloads\Atheros Task: {36DF7719-0733-4583-AB6C-3CE09161CF33} - \Microsoft\Windows\Multimedia\SMupdate3 No Task File Task: {395F3788-43FE-41FF-BB91-AAB891D992DE} - System32\Tasks\{8C6EB2C5-EEA5-4DDC-8163-BB80F9374527} => pcalua.exe -a C:\Users\Krzysiek\Downloads\ESETUninstaller.exe -d C:\Users\Krzysiek\Downloads Task: {3F6B554B-1A50-40FD-B06C-751C3ED1F002} - \764611c9-1b21-4b03-9a30-56eedfd6c6e6-5 No Task File Task: {52BFBC77-7024-43B1-A6DF-85610D4B545F} - \143393bc-7f5e-4507-add5-8597bdc84515-1-6 No Task File Task: {52CDAA29-A753-4053-8554-986D5FC58025} - \a972f7c5-cd22-40e6-bf2e-f10faa9624f1-5 No Task File Task: {548EC38A-0A8E-49AC-B26C-8D5EA9955AB1} - \a972f7c5-cd22-40e6-bf2e-f10faa9624f1-1-7 No Task File Task: {56AE6302-9AE9-46D4-ABFB-ECD5BAD131FB} - \{AF566643-A8F2-41BE-9B71-2D7FAA936F35} No Task File Task: {5700BE11-E2CE-4BF6-B12D-69B5276B2B4A} - \a972f7c5-cd22-40e6-bf2e-f10faa9624f1-5_user No Task File Task: {615353DC-F604-4FC5-B5F3-E4FE25BD13AF} - \143393bc-7f5e-4507-add5-8597bdc84515-5 No Task File Task: {681E7993-377A-4951-B6A8-73BA8CA7E335} - \a972f7c5-cd22-40e6-bf2e-f10faa9624f1-10_user No Task File Task: {699AF995-A106-4DFA-B49F-83E4AB819224} - \764611c9-1b21-4b03-9a30-56eedfd6c6e6-1-7 No Task File Task: {76FF0C5D-E54B-4F47-B13B-A153636C2A92} - \764611c9-1b21-4b03-9a30-56eedfd6c6e6-5_user No Task File Task: {7A223541-0310-4B06-ADC7-E7E00B61E08F} - \764611c9-1b21-4b03-9a30-56eedfd6c6e6-4 No Task File Task: {7C93458E-0BC5-474D-B839-3D32685AAC12} - System32\Tasks\Ad-Aware Update (Weekly) => C:\Program Files (x86)\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe Task: {7D986BD1-E6B5-4574-A893-342DB9157A0F} - \143393bc-7f5e-4507-add5-8597bdc84515-5_user No Task File Task: {7DCF7C9F-48D2-42AC-BFC8-92CE85FEA65E} - \SPBIW_UpdateTask_Time_3931393933343637392d7837235a576c4a3241345041 No Task File Task: {7EBBE296-ABBA-412E-9B8D-BE64F21FAA01} - System32\Tasks\{071D92A4-11B3-4626-9365-3E01A55FF7A5} => pcalua.exe -a C:\Users\Krzysiek\Downloads\agb4s.exe -d C:\Users\Krzysiek\Downloads Task: {90088F71-408B-4414-B622-F7EF73BFC42A} - System32\Tasks\LCHIEUU => C:\Users\Krzysiek\AppData\Roaming\LCHIEUU.exe Task: {92A1E301-EE96-4C22-920D-2DF2E663CCCF} - \a972f7c5-cd22-40e6-bf2e-f10faa9624f1-4 No Task File Task: {9B3995F8-636F-4BCB-8892-405C387841A0} - \Installer_iwebar No Task File Task: {AB120AF9-8BDF-4E8E-B2DB-6FCC0B5C6A22} - \Microsoft\Windows\Maintenance\SMupdate2 No Task File Task: {C71388A9-BFAA-436A-8845-B4A085E8B325} - \a972f7c5-cd22-40e6-bf2e-f10faa9624f1-1-6 No Task File Task: {D8454047-2266-4837-A67C-68B3FDA56065} - \143393bc-7f5e-4507-add5-8597bdc84515-4 No Task File Task: {D8587A16-08E7-47C3-8CD7-B5A2604854E4} - System32\Tasks\LLUXOFYD => C:\Users\Krzysiek\AppData\Roaming\LLUXOFYD.exe Task: {DB3114DE-0370-488C-8AD2-363E71403BCD} - \764611c9-1b21-4b03-9a30-56eedfd6c6e6-1-6 No Task File Task: {F845B0B2-0E7A-4282-916E-53FEACC02B8D} - \143393bc-7f5e-4507-add5-8597bdc84515-1-7 No Task File Task: C:\Windows\Tasks\LCHIEUU.job => C:\Users\Krzysiek\AppData\Roaming\LCHIEUU.exe Task: C:\Windows\Tasks\LLUXOFYD.job => C:\Users\Krzysiek\AppData\Roaming\LLUXOFYD.exe U5 AppMgmt; C:\Windows\system32\svchost.exe [27136 2009-07-14] (Microsoft Corporation) U3 TrueSight; C:\Windows\System32\drivers\TrueSight.sys [35064 2015-01-21] () S2 a2AntiMalware; "C:\Program Files (x86)\Emsisoft Anti-Malware\a2service.exe" [X] S3 a2acc; \??\C:\PROGRAM FILES (X86)\EMSISOFT ANTI-MALWARE\a2accx64.sys [X] S1 A2DDA; \??\C:\Program Files (x86)\Emsisoft Anti-Malware\a2ddax64.sys [X] S1 a2injectiondriver; \??\C:\Program Files (x86)\Emsisoft Anti-Malware\a2dix64.sys [X] S1 a2util; \??\C:\Program Files (x86)\Emsisoft Anti-Malware\a2util64.sys [X] S3 cleanhlp; \??\C:\Program Files (x86)\Emsisoft Anti-Malware\cleanhlp64.sys [X] S3 cpuz134; \??\C:\Users\Krzysiek\AppData\Local\Temp\cpuz134\cpuz134_x64.sys [X] S1 iSafeKrnlMon; \??\C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlMon.sys [X] BootExecute: autocheck autochk * sh4native Sh4Removal GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-1836783247-2438984783-1640222506-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com SearchScopes: HKLM -> DefaultScope {0191A6B0-1154-4C22-9182-23A95BBE92D9} URL = FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\.xml [2015-01-17] C:\aaw7boot.cmd C:\NPE C:\Program Files (x86)\1-2-3 Spyware Free C:\Program Files (x86)\AVG C:\Program Files (x86)\Lavasoft C:\Program Files (x86)\Opera C:\Program Files (x86)\Share link via email C:\ProgramData\mntemp C:\ProgramData\SMRResults430.dat C:\ProgramData\{991eaa45-13ea-fa95-991e-eaa4513ea914} C:\ProgramData\Lavasoft C:\ProgramData\MFAData C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AVG C:\ProgramData\Norton C:\Users\Krzysiek\AppData\Local\nsf7F33.tmp C:\Users\Krzysiek\AppData\Local\GGEmpire C:\Users\Krzysiek\AppData\Local\NPE C:\Users\Krzysiek\AppData\Local\Opera Software C:\Users\Krzysiek\AppData\Local\WorldofTanks C:\Users\Krzysiek\AppData\Roaming\LCHIEUU C:\Users\Krzysiek\AppData\Roaming\LLUXOFYD C:\Users\Krzysiek\AppData\Roaming\qnapi.ini C:\Users\Krzysiek\AppData\Roaming\00000000-1424206206-0000-0000-50E5499D8219 C:\Users\Krzysiek\AppData\Roaming\Avg_Update_1014av C:\Users\Krzysiek\AppData\Roaming\Opera Software C:\Users\Krzysiek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Pełne czyszczenie śmieci.lnk C:\Users\Krzysiek\Desktop\spyhunterS4.exe C:\Users\Krzysiek\Downloads\*.part C:\Users\Krzysiek\Downloads\Ad-Aware*.exe C:\Users\Krzysiek\Downloads\AdwCleaner*.exe C:\Users\Krzysiek\Downloads\ReimageRepair.exe C:\Users\Krzysiek\Downloads\Spybot*.exe C:\Users\Krzysiek\Downloads\SpyHunter*.rar C:\Users\Krzysiek\Downloads\SpyHunter-installer.exe C:\Users\Krzysiek\Downloads\SpyHunter 4.17.6.4336 C:\Users\Krzysiek\Downloads\SpyHunter 4.17.6.4336(1) C:\Users\Krzysiek\Downloads\SpyHunter 4.18.9.4384 C:\Users\Krzysiek\Downloads\SpyHunter.4.18.9.4384(2) C:\Users\Krzysiek\Downloads\Spy-Hunter-4.1.11.0-+-Crack chyba dpbry C:\Users\Krzysiek\Downloads\Spy-Hunter-4.1.11.0-+-Crack chyba dpbry(2) C:\Windows\4FC9DA9DF608454E8191D7EFFDCC5726.TMP C:\Windows\AF54923662584AC6A0435B5B89C6EB61.TMP C:\Windows\system32\log C:\Windows\system32\Drivers\SBREDrv.sys C:\Windows\System32\drivers\TrueSight.sys C:\Windows\SysWOW64\sh4native.exe Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\SpyHunter 4 Service" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SpybotSD TeaTimer" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Napraw niepoprawnie wyczyszczony (przypuszczalnie przez AdwCleaner) specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Krzysiek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. Przypominam: plik mają być podane jako załączniki forum. Odnośnik do komentarza
kondzior1989 Opublikowano 19 Marca 2015 Autor Zgłoś Udostępnij Opublikowano 19 Marca 2015 Ma Pani racje, stososowalem Adwcleaner. W panelu sterowania nie widze spyhuntera ani spybota, chyba kiedys usuwalem Nie umiem zrobic zalaczenika forum Lubialem Pani Posty na searchenginees logi frst Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 21 Marca 2015 Zgłoś Udostępnij Opublikowano 21 Marca 2015 kondzior1989, prosiłam byś używał opcję Edytuj, jeśli nikt jeszcze nie odpisał, a chcesz coś poprawić. Znów napisałeś kilka postów pod rząd. Skleiłam. To nie jest Fixlog z moich zaleceń, to inny Fixlog sprzed kilku miesięcy (styczeń). W ogóle nie wykonałeś tego zadania. Powtarzaj punkty 2 do 4 z poprzedniej instrukcji. I na koniec masz dostarczyć dwa pliki FRST: FRST.txt oraz Addition.txt. Odnośnik do komentarza
kondzior1989 Opublikowano 21 Marca 2015 Autor Zgłoś Udostępnij Opublikowano 21 Marca 2015 Logi z dzisiaj 21 marca 2015 Addition.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 22 Marca 2015 Zgłoś Udostępnij Opublikowano 22 Marca 2015 Wprawdzie nie dostarczyłeś mi właściwego pliku Fixlog z wynikami, ale nowe raporty FRST wskazują, iż zadania się wykonały. Drobne poprawki na wpisy odpadkowe: Otwórz Notatnik i wklej w nim: BHO-x32: No Name -> {53707962-6F74-2D53-2644-206D7942484F} -> No File Task: {17516547-FA02-444C-8509-55CA1319D43A} - System32\Tasks\Driver Booster Update => C:\Program Files (x86)\IObit\Driver Booster\AutoUpdate.exe Task: {451FE3FF-B9E2-4D60-9753-8937A8A3DF0B} - System32\Tasks\{6C52A862-514A-44BB-B1B5-E7DDF6934EE8} => pcalua.exe -a C:\Users\Krzysiek\AppData\Roaming\do-search\UninstallManager.exe -c -ptid=cor Task: {485B01EC-2A10-44A3-AA66-1FF6BEE285FA} - System32\Tasks\Driver Booster SkipUAC (Krzysiek) => C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe Task: {D4297FB2-2F20-4EF5-8EBD-1D145C46AF25} - \{A0AC54B8-2A15-41F0-9EC9-1DDD1D077ACC} No Task File Task: {ED6AA0A7-59CF-44A6-838C-1F76224BBDCE} - \{7AD5F75F-AB91-4FB7-B080-6B0F8A72A3D8} No Task File Task: {F59E574D-340E-49FC-B3AC-468B75FCA368} - System32\Tasks\Driver Booster Scan => C:\Program Files (x86)\IObit\Driver Booster\Scheduler.exe RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files (x86)\Enigma Software Group RemoveDirectory: C:\Program Files (x86)\IObit RemoveDirectory: C:\Program Files (x86)\Kaspersky Lab RemoveDirectory: C:\ProgramData\{4f863d1b-3190-3610-4f86-63d1b319f46c} RemoveDirectory: C:\ProgramData\IObit RemoveDirectory: C:\ProgramData\Kaspersky Lab RemoveDirectory: C:\ProgramData\Kaspersky Lab Setup Files RemoveDirectory: C:\ProgramData\Spybot - Search & Destroy RemoveDirectory: C:\Users\Krzysiek\AppData\Roaming\00000000-1424462113-0000-0000-50E5499D8219 RemoveDirectory: C:\Users\Krzysiek\AppData\Roaming\IObit RemoveDirectory: C:\Users\Krzysiek\Downloads\FRST-OlderVersion RemoveDirectory: C:\Users\Krzysiek\Downloads\Spy-Hunter-4.1.11.0-+-Crack chyba dpbry(1) CMD: del /q C:\Users\Krzysiek\Documents\fixlist.txt CMD: del /q C:\Users\Krzysiek\Downloads\avg_remover_stf_x64_2015_5501.exe CMD: del /q C:\Users\Krzysiek\Downloads\avgremover.log Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt - dołącz w odpowiedzi. Tylko ten Fixlog masz przedstawić. Nowe logi FRST nie są już potrzebne. Odnośnik do komentarza
kondzior1989 Opublikowano 22 Marca 2015 Autor Zgłoś Udostępnij Opublikowano 22 Marca 2015 Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 11-03-2015Ran by Krzysiek at 2015-03-22 16:02:31 Run:3Running from D:\Programy\FrstLoaded Profiles: Krzysiek (Available profiles: Krzysiek)Boot Mode: Normal============================================== Content of fixlist:***************** ***************** ==== End of Fixlog 16:02:31 ==== jakby juz bylo czysto dziekuje bardzo Odnośnik do komentarza
kondzior1989 Opublikowano 3 Lipca 2015 Autor Zgłoś Udostępnij Opublikowano 3 Lipca 2015 Nie pdooba mi sie ten searchscopes w raporcie, pewnie jakis trojan FRST.txt Shortcut.txt Addition.txt Odnośnik do komentarza
kondzior1989 Opublikowano 22 Lipca 2015 Autor Zgłoś Udostępnij Opublikowano 22 Lipca 2015 znowu nietety ja, zainstalwalem orginalnego Kasperski Internet Security, nie moge obslugiwac google bo brak certyfikatu :/ Odnośnik do komentarza
Rekomendowane odpowiedzi