xvi16 Opublikowano 9 Listopada 2015 Zgłoś Udostępnij Opublikowano 9 Listopada 2015 Witam Przy instalacji Jdownloader2 złapałem kilka infekcji: -istartsurf -Lenovo Reachit i jeszcze jakieś inne z nazwą Lenovo, które pojawiają się menadżerze zadań na moment i potrafią całkowicie zmulić kompa -zainfekowane cookies i kilka innych adware, malware Z większością poradziły sobie polecane programy (HitmanPro, ADWcleaner, Kaspersky TDSSkiller, Rkill i Panda), ale coś musiało zostać bo nadal zdarza się 100% CPU i nawet mój pierwszy od kilku lat BSOD Z góry dziękuję za pomoc Addition.txt FRST.txt gmer.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 9 Listopada 2015 Zgłoś Udostępnij Opublikowano 9 Listopada 2015 Z większością poradziły sobie polecane programy (HitmanPro, ADWcleaner, Kaspersky TDSSkiller, Rkill i Panda), ale coś musiało zostać bo nadal zdarza się 100% CPU i nawet mój pierwszy od kilku lat BSOD Obecnie w raportach nie ma żadnych oznak czynnej infekcji. Do usunięcia potem będą drobne odpadkowe wpisy, ale one nie mają związku z objawami. Tu prędzej jest podejrzana świeżo zainstalowana Panda, multum obiektów startowych i sterowników. Wstępnie: 1. Odinstaluj Driver Booster 3.0 (powody: KLIK) oraz Panda Free Antivirus + Panda Security Toolbar. 2. Zrób nowy log FRST z opcji Skanuj (Scan), włącznie z Addition. Opisz czy jest poprawa w działaniu. Odnośnik do komentarza
xvi16 Opublikowano 9 Listopada 2015 Autor Zgłoś Udostępnij Opublikowano 9 Listopada 2015 ad 1. Odinstalowane wszystko. (Aczkolwiek Driver boostera mam od roku i nie zauważyłem nic dziwnego. Panda od tych 2 tygodni też raczej ok. Problemy zaczęły się jak wczoraj zainstalowałem Jdownloader2) ad 2. Jest lepiej. Wcześniej muliło przy otwieraniu kilku kart w chrome, a teraz testowo 38x youtube na raz i jest ok. Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 10 Listopada 2015 Zgłoś Udostępnij Opublikowano 10 Listopada 2015 Skoro usunięcie Pandy przyniosło pozytywne skutki to wygląda jednak na to, że coś stało się Pandzie podczas tego ataku adware. Teraz drobne poprawki korekcyjne na wpisy szczątkowe oraz usunięcie szczątków po używanych skanerach: 1. Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście ukryty odpadek Lenovo Metric Collection SDK > Dalej. 2. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S3 MBAMSwissArmy; \??\C:\Windows\system32\drivers\MBAMSwissArmy.sys [X] S2 panda_url_filtering; C:\Program Files\Panda Security URL Filtering\Panda_URL_Filteringb.exe -- [X] S3 panda_url_filteringd; \??\C:\Program Files\Panda Security URL Filtering\panda_url_filteringd.sys [X] U0 Partizan; system32\drivers\Partizan.sys [X] S2 PdiService; C:\Program Files (x86)\Common Files\Portrait Displays\Drivers\pdisrvc.exe [X] S4 RAMDiskVE; System32\Drivers\RAMDiskVE.sys [X] S3 WinRing0_1_2_0; \??\C:\Program Files (x86)\BatteryCare\WinRing0x64.sys [X] HKLM-x32\...\Run: [] => [X] HKLM\...\Winlogon: [userinit] C:\Windows\SysWOW64\userinit.exe, Winlogon\Notify\ScCertProp: HKU\S-1-5-21-3455464757-3093656346-2702893615-1000\...\Run: [spybotPostWindows10UpgradeReInstall] => C:\Program Files\Common Files\AV\Spybot - Search and Destroy\Test.exe [1011200 2015-07-28] (Safer-Networking Ltd.) BootExecute: autocheck autochk * sdnclean64.exe Task: {25ED5BC3-10CC-48ED-93CB-F55B7B72108B} - System32\Tasks\{A785BDC3-EA77-4CFB-B446-28129F11A650} => pcalua.exe -a "C:\Users\Administrator\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\D4UPCHB0\sp52211.exe" -d C:\Users\Administrator\Desktop Task: {6795F5F2-457E-45EC-AEE0-81BEC4DE31DE} - System32\Tasks\{97F9A8A6-0A04-4FCB-B979-581D1F680188} => pcalua.exe -a C:\Users\user\Downloads\sp61783.exe -d C:\Users\user\Downloads Task: {68271B30-EB14-41AB-A0A8-CB6C0FEB2BF9} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2015-07-08] (Lenovo) Task: {7C126D02-5C56-4F87-B01F-258C4879A02D} - System32\Tasks\{EE207310-3657-4921-888A-BC1576655CC5} => pcalua.exe -a "C:\Users\Administrator\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\KG5G8L6C\sp55757.exe" -d C:\Users\Administrator\Desktop Task: {7C85F6D7-5A89-4371-87B6-46AC53B18B91} - System32\Tasks\Driver Booster SkipUAC (user) => C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe Task: {9ED8420B-7CE5-4B2A-99B4-F812FF740749} - System32\Tasks\{D5B23B92-5528-49B5-A7AF-4D30BA9F1090} => pcalua.exe -a "C:\Users\Administrator\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\TO44V2D5\sp54614.exe" -d C:\Users\Administrator\Desktop Task: {C9DBB28D-2647-41C4-8EC4-44A94521C598} - System32\Tasks\{4263683A-706B-4A3F-8F63-2D51FA86BC01} => pcalua.exe -a "C:\Users\user\Downloads\dxwebsetup (1).exe" -d C:\Users\user\Downloads Task: {D36D0AA6-3E4E-4F2B-B98C-88F63306A13C} - System32\Tasks\BatteryCareAuto => C:\Program Files (x86)\BatteryCare\BatteryCare.exe Task: {D464F946-6549-4A8B-88FD-B6FEA9C7EAF9} - System32\Tasks\{72FB0EC8-F6F1-4A08-AECA-F3BD82B2B52D} => pcalua.exe -a "C:\Users\Administrator\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\VNQIDYNS\sp54317.exe" -d C:\Users\Administrator\Desktop Task: {EB02381F-D652-4B1C-894A-712498C62C51} - \Microsoft\Windows\MUI\LPRemove -> No File DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Lenovo DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Safer-Networking RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\EEK RemoveDirectory: C:\Program Files\McAfee Security Scan RemoveDirectory: C:\Program Files (x86)\Lenovo\Customer Feedback Program RemoveDirectory: C:\Program Files (x86)\Spybot - Search & Destroy 2 RemoveDirectory: C:\Program Files\Common Files\AV RemoveDirectory: C:\ProgramData\Panda Security RemoveDirectory: C:\ProgramData\panda_url_filtering RemoveDirectory: C:\ProgramData\Spybot - Search & Destroy RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Team17 RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Windows 7 - Codec Pack RemoveDirectory: C:\Users\user\AppData\Roaming\Panda Security RemoveDirectory: C:\Users\user\REACHit RemoveDirectory: C:\Windows\Tasks\ImCleanDisabled RemoveDirectory: C:\Windows\System32\Tasks\Lenovo RemoveDirectory: C:\Windows\System32\Tasks\Safer-Networking Folder: C:\Program Files (x86)\Lenovo Folder: C:\Users\user\AppData\Local\Lenovo CMD: del /q C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat CMD: del /q C:\Users\user\Downloads\*.crdownload CMD: del /q C:\Users\user\Downloads\adwcleaner*.exe CMD: del /q C:\Users\user\Downloads\gmer.zip CMD: del /q C:\Users\user\Downloads\hitmanpro*.exe CMD: del /q C:\Users\user\Downloads\iExplore*.exe CMD: del /q C:\Users\user\Downloads\spybot-2.4.exe CMD: del /q C:\Users\user\Downloads\tdsskiller.exe CMD: del /q "C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\JDownloader 2.lnk" CMD: del /q "C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\KaraFun Player 2.lnk" CMD: del /q "C:\Users\user\Desktop\Start Emsisoft Emergency Kit.lnk" CMD: del /q C:\Windows\system32dbgraw.bmp CMD: netsh advfirewall reset Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\nvsvc" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\nwiz" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\StartCCC" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowe skany FRST nie są mi już potrzebne. Odnośnik do komentarza
xvi16 Opublikowano 10 Listopada 2015 Autor Zgłoś Udostępnij Opublikowano 10 Listopada 2015 fixlog Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 10 Listopada 2015 Zgłoś Udostępnij Opublikowano 10 Listopada 2015 Wszystko zrobione. Jeszcze drobniutka poprawka na dwa foldery Lenovo, jeden jest pusty, a drugi zawiera tylko szczątki odinstalowanego REACHit. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\MATS RemoveDirectory: C:\Program Files (x86)\Lenovo RemoveDirectory: C:\Users\user\AppData\Local\Lenovo Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. Odnośnik do komentarza
xvi16 Opublikowano 10 Listopada 2015 Autor Zgłoś Udostępnij Opublikowano 10 Listopada 2015 fixlog Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 10 Listopada 2015 Zgłoś Udostępnij Opublikowano 10 Listopada 2015 Koniec zmagań. Skasuj folder C:\Users\user\Downloads\gmer z FRST i jego logami. Następnie popraw jeszcze za pomocą DelFix, wyczyść foldery Przywracania systemu i zaktualizuj Adobe Reader: KLIK. Odnośnik do komentarza
xvi16 Opublikowano 11 Listopada 2015 Autor Zgłoś Udostępnij Opublikowano 11 Listopada 2015 Dziękuję jeszcze raz Odnośnik do komentarza
Rekomendowane odpowiedzi