AvatarXs Opublikowano 17 Stycznia 2016 Zgłoś Udostępnij Opublikowano 17 Stycznia 2016 Witam ,Do defektów mojego komputera należą bardzo częste reklamy włączające się w innych kartach podczas przeglądania stron internetowych lub Steam'a . na moim dysku c pojawiły się niezidentyfikowane foldery i pliki nie dające się usunąć jak i nieznanego pochodzenia programy.Zanotowałem spadek wydajności (zmniejszony transfer >może< być winą mojego dostawcy internetu) . Proszę o pomoc i z góry dziękuję. Załączniki:64-bitowy system windows 8.1 Raport z GMER'a jest nie pełny pomimo iż zastosowałem się do instrukcji wyłączając anty-wirusy z zbędne procesy. Przepraszam, zapomniałem wspomnieć że antywirus ciągle daje alerty o wirusach np.adware i malware (niestety nie mogę sobie pozwolić na format) Addition.txt Shortcut.txt FRST.txt gmer.txt Odnośnik do komentarza
picasso Opublikowano 4 Lutego 2016 Zgłoś Udostępnij Opublikowano 4 Lutego 2016 na moim dysku c pojawiły się niezidentyfikowane foldery i pliki nie dające się usunąć jak i nieznanego pochodzenia programy. To co pokazujesz to akurat pliki systemowe, pagefile.sys to kluczowy i niezbędny plik pamięci wirtualnej. Obecne od momentu instalacji Windows, tylko domyślnie ukryte. Teraz przestawiła Ci się opcja "Ukryj chronione pliki systemu operacyjnego", dlatego je widzisz. Natomiast system jest masowo zainfekowany adware, wliczając zmienione serwery DNS oraz zmodyfikowany plik dnsapi.dll. Jest tu również niepoprawnie odinstalowany pakiet McAfee. Akcje wstępne do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: CMD: fltmc detach bsdriver c: bsdriver R1 bsdriver; C:\Windows\system32\drivers\bsdriver.sys [34712 2016-01-12] () R1 cherimoya; C:\Windows\System32\drivers\cherimoya.sys [56728 2016-01-12] (Windows ® Win 7 DDK provider) R1 {3240e2a0-4814-4f5d-9251-29a88a1c9b80}Gw64; C:\Windows\System32\drivers\{3240e2a0-4814-4f5d-9251-29a88a1c9b80}Gw64.sys [48752 2016-01-12] (StdLib) S4 0039231446143227mcinstcleanup; C:\Windows\TEMP\003923~1.EXE [882000 2015-07-23] (McAfee, Inc.) S3 AE6E65ED-A169-406C-a9B2-AA9226370E27; C:\Program Files\groover120120161726\Lhqegj.exe [290688 2016-01-13] () [brak podpisu cyfrowego] S3 csrcc; C:\Program Files\groover120120161726\csrcc.exe [1496960 2016-01-13] () [brak podpisu cyfrowego] S4 globalUpdate; C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe [68608 2015-09-29] (globalUpdate) [brak podpisu cyfrowego] S4 globalUpdatem; C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe [68608 2015-09-29] (globalUpdate) [brak podpisu cyfrowego] S2 groover120120161726 Updater; C:\Program Files\groover120120161726\Gabrujxy.exe [159104 2016-01-12] () S4 ihpmServer; C:\Program Files (x86)\RayDld\ihpmServer.exe [268520 2015-09-25] () S4 IhPul; C:\Users\jan zbylut\AppData\Roaming\TSv\TSvr.exe [396944 2015-09-21] (tsvr.com) S4 NetTcpHandler; C:\Users\jan zbylut\AppData\Roaming\NetService\netservice.exe [173088 2015-07-09] () S4 ServiceUpdater; C:\Windows\SysWOW64\netupdsrv.exe [190976 2015-10-23] () [brak podpisu cyfrowego] R2 WindowsMangerProtect; C:\ProgramData\Tmp0x0x\ProtectWindowsManager.exe [343720 2016-01-12] (Sysinternals process Explorer) S4 winzipersvc; C:\Program Files (x86)\WinZipper\winzipersvc.exe [707760 2015-10-20] (Taiwan Shui Mu Chih Ching Technology Limited) S2 wucotusy; C:\Program Files (x86)\158ACBD8-1452615913-1520-0220-181505000000\hnsu9714.tmp [416256 2016-01-13] () [brak podpisu cyfrowego] S2 zigipyro; C:\Users\jan zbylut\AppData\Local\158ACBD8-1452620144-1520-0220-181505000000\qnszEA29.tmp [158720 2016-01-13] () [brak podpisu cyfrowego] S2 zutuzuni; C:\Program Files (x86)\158ACBD8-1452615913-1520-0220-181505000000\jnsn78FB.tmp [307712 2016-01-13] () [brak podpisu cyfrowego] S2 AppMgr3.32.9611035; "C:\ProgramData\AppMgr3.32.9611035\AppMgr.exe" [X] S2 BrsHelper; C:\PROGRA~2\YTDOWN~1\BROWSE~2.EXE [X] S2 gyvixodu; C:\Program Files (x86)\158ACBD8-1443366342-1520-0220-181505000000\hnss711D.tmp [X] S2 lihitesy; C:\Program Files (x86)\158ACBD8-1443366342-1520-0220-181505000000\knsp89F2.tmp [X] S4 McNaiAnn; "C:\Program Files\Common Files\mcafee\platform\McSvcHost\McSvHost.exe" /McCoreSvc [X] S3 McODS; "C:\ProgramData\McAfee\Update\Installs\pkg_default\Download_Files\default\vso\vso_li_cat\%VSINSTALL_DIR64%\mcods.exe" [X] S1 nethfdrv; \??\C:\Windows\system32\drivers\nethfdrv.sys [X] S2 Qhubuero; "C:\Users\jan zbylut\AppData\Roaming\JowkiUhat\Olyhlat.exe" -cms [X] S1 QMUdisk; \??\C:\Program Files (x86)\Tencent\QQPCMgr\11.0.16779.224\QMUdisk64.sys [X] S2 sbmntr; \??\C:\PROGRA~2\YTDOWN~1\sbmntr.sys [X] S2 seconohozbt; C:\Program Files (x86)\158ACBD8-1452615913-1520-0220-181505000000\knsk57A2.tmpfs [X] S1 wwfd_vw_1_10_0_24; system32\drivers\wwfd_vw_1_10_0_24.sys [X] Task: {019210E3-BDC0-4AB9-8BFC-4A8F5FC4CDB7} - System32\Tasks\ca072e45-2445-4f8b-9bc4-cc60930924ce-1-7 => C:\Program Files (x86)\MyBrowser 1.0.2V28.09\ca072e45-2445-4f8b-9bc4-cc60930924ce-1-7.exe Task: {22B86AC2-4065-46D3-A2E1-6163FD703DED} - System32\Tasks\0da6bfa5-e479-4ed0-b385-40a75e9c742a-4 => C:\Program Files (x86)\iWebar\0da6bfa5-e479-4ed0-b385-40a75e9c742a-4.exe Task: {232B956D-E10B-44AB-BD42-D157DFB81F98} - System32\Tasks\globalUpdateUpdateTaskMachineCore => C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe [2015-09-29] (globalUpdate) Task: {2D529CEF-F28F-4621-A2E0-EF9A8B6E4A10} - System32\Tasks\{F18E81DC-98FB-410B-886E-D0090F5E9BA8} => pcalua.exe -a "C:\Users\jan zbylut\AppData\Roaming\yoursearching\UninstallManager.exe" -c -ptid=face Task: {416E8688-058D-4A68-8D91-16ABF1ACDA14} - System32\Tasks\globalUpdateUpdateTaskMachineUA => C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe [2015-09-29] (globalUpdate) Task: {45D63C47-0FC1-42A5-960D-64FCC354E448} - System32\Tasks\ca072e45-2445-4f8b-9bc4-cc60930924ce-7 => C:\Program Files (x86)\MyBrowser 1.0.2V28.09\ca072e45-2445-4f8b-9bc4-cc60930924ce-7.exe Task: {470F7249-CD9D-4244-8B3B-EFD5F2A987D2} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2015-07-08] (Lenovo) Task: {4C9E03FF-6E46-4380-A113-DB5BFDBA9514} - System32\Tasks\WarThunder sun => Chrome.exe hxxp://mmotraffic.com/catalog/goplay/1000932/MTE3NjYvLy8xMDAwOTMy?click_id=0Dzz0C0Bzz0AtCyDtDtB0B0F0CyB0Bzy2RtBtDtCyCtDtCtCtBtCyBtBtAyDzzzztCyE Task: {55EC6994-4448-49C4-B359-2B9BF53E621D} - System32\Tasks\ba0a975d-fd56-4589-ba28-336d850eb289-4 => C:\Program Files (x86)\Object Browser\ba0a975d-fd56-4589-ba28-336d850eb289-4.exe Task: {6903DFC2-5454-48AD-BC08-84779BF85FBC} - System32\Tasks\{29A30F65-52D2-4E5F-BC5A-B9B92D172210} => pcalua.exe -a "C:\Users\jan zbylut\AppData\Roaming\WarThunder\Uninstaller.exe" -c /Run /ePN:0W1T1C0T1M2Y1G1Q1P1C Task: {84F89C12-4372-4EC4-AE73-0A70B3B79CAD} - System32\Tasks\ca072e45-2445-4f8b-9bc4-cc60930924ce-5 => C:\Program Files (x86)\MyBrowser 1.0.2V28.09\ca072e45-2445-4f8b-9bc4-cc60930924ce-5.exe Task: {86539689-7848-4F7B-BC24-8E9EBE459A9B} - System32\Tasks\B3E61tPtVn47uuZL => C:\Users\jan zbylut\AppData\Roaming\B3E61tPtVn47uuZL.exe Task: {8AB557E2-579C-47A0-96AA-964A940C9246} - System32\Tasks\RegClean Pro_DEFAULT => C:\Program Files (x86)\RCP\RegCleanPro.exe [2015-11-20] () Task: {901D5CBE-C728-4A72-8C3B-FCB5A1DBEB12} - System32\Tasks\RegClean Pro_UPDATES => C:\Program Files (x86)\RCP\RegCleanPro.exe [2015-11-20] () Task: {92AA6B11-D520-4F6B-A9AA-2E1A6B5D8C72} - System32\Tasks\RegClean Pro => C:\Program Files (x86)\RCP\RegCleanPro.exe [2015-11-20] () Task: {97C019D1-409B-4C59-B12C-B977C525D682} - System32\Tasks\dyiW8SkJkHKa3QZVSe5fzW1 => C:\Users\jan zbylut\AppData\Roaming\dyiW8SkJkHKa3QZVSe5fzW1.exe Task: {A7AC412A-FD93-4F1D-91CC-8E556AFA32E9} - System32\Tasks\ca072e45-2445-4f8b-9bc4-cc60930924ce-1-6 => C:\Program Files (x86)\MyBrowser 1.0.2V28.09\ca072e45-2445-4f8b-9bc4-cc60930924ce-1-6.exe Task: {C38C07E1-65A8-4742-A21E-4D31DF769C7C} - System32\Tasks\ca072e45-2445-4f8b-9bc4-cc60930924ce-6 => C:\Program Files (x86)\MyBrowser 1.0.2V28.09\ca072e45-2445-4f8b-9bc4-cc60930924ce-6.exe Task: {C4CDF852-FC3C-47BB-8A8D-AB7D925616E2} - System32\Tasks\ca072e45-2445-4f8b-9bc4-cc60930924ce-11 => C:\Program Files (x86)\MyBrowser 1.0.2V28.09\ca072e45-2445-4f8b-9bc4-cc60930924ce-11.exe Task: {EE6556B7-39C4-4F0E-A624-4D7BD433FF23} - System32\Tasks\ca072e45-2445-4f8b-9bc4-cc60930924ce-10_user => C:\Program Files (x86)\MyBrowser 1.0.2V28.09\ca072e45-2445-4f8b-9bc4-cc60930924ce-10.exe Task: {F39F111E-81E3-4E99-89F9-0EAD37BFE76B} - System32\Tasks\Noeith => C:\Program Files\groover120120161726\Ticfii.bat [2016-01-12] () Task: {F5B9ECB7-A8C6-4615-BCE8-53B8A4BEF65F} - System32\Tasks\ca072e45-2445-4f8b-9bc4-cc60930924ce-5_user => C:\Program Files (x86)\MyBrowser 1.0.2V28.09\ca072e45-2445-4f8b-9bc4-cc60930924ce-5.exe Task: {F84FB133-6AE0-4538-A5AA-627BC4D4C42C} - System32\Tasks\VBxkAOccrKkOKbcgLRqr0w => C:\Users\jan zbylut\AppData\Roaming\VBxkAOccrKkOKbcgLRqr0w.exe Task: {FDC29FCC-2E2C-4922-A03E-97DC04EE4827} - System32\Tasks\ca072e45-2445-4f8b-9bc4-cc60930924ce-3 => C:\Program Files (x86)\MyBrowser 1.0.2V28.09\ca072e45-2445-4f8b-9bc4-cc60930924ce-3.exe Task: {FEF3923C-D4EB-4CAB-8420-278036EE4B9D} - System32\Tasks\ca072e45-2445-4f8b-9bc4-cc60930924ce-4 => C:\Program Files (x86)\MyBrowser 1.0.2V28.09\ca072e45-2445-4f8b-9bc4-cc60930924ce-4.exe Task: C:\Windows\Tasks\0da6bfa5-e479-4ed0-b385-40a75e9c742a-4.job => C:\Program Files (x86)\iWebar\0da6bfa5-e479-4ed0-b385-40a75e9c742a-4.exe Task: C:\Windows\Tasks\B3E61tPtVn47uuZL.job => C:\Users\jan zbylut\AppData\Roaming\B3E61tPtVn47uuZL.exe Task: C:\Windows\Tasks\ba0a975d-fd56-4589-ba28-336d850eb289-4.job => C:\Program Files (x86)\Object Browser\ba0a975d-fd56-4589-ba28-336d850eb289-4.exe Task: C:\Windows\Tasks\ca072e45-2445-4f8b-9bc4-cc60930924ce-1-6.job => C:\Program Files (x86)\MyBrowser 1.0.2V28.09\ca072e45-2445-4f8b-9bc4-cc60930924ce-1-6.exe Task: C:\Windows\Tasks\ca072e45-2445-4f8b-9bc4-cc60930924ce-1-7.job => C:\Program Files (x86)\MyBrowser 1.0.2V28.09\ca072e45-2445-4f8b-9bc4-cc60930924ce-1-7.exe Task: C:\Windows\Tasks\ca072e45-2445-4f8b-9bc4-cc60930924ce-10_user.job => C:\Program Files (x86)\MyBrowser 1.0.2V28.09\ca072e45-2445-4f8b-9bc4-cc60930924ce-10.exe Task: C:\Windows\Tasks\ca072e45-2445-4f8b-9bc4-cc60930924ce-11.job => C:\Program Files (x86)\MyBrowser 1.0.2V28.09\ca072e45-2445-4f8b-9bc4-cc60930924ce-11.exe Task: C:\Windows\Tasks\ca072e45-2445-4f8b-9bc4-cc60930924ce-3.job => C:\Program Files (x86)\MyBrowser 1.0.2V28.09\ca072e45-2445-4f8b-9bc4-cc60930924ce-3.exe Task: C:\Windows\Tasks\ca072e45-2445-4f8b-9bc4-cc60930924ce-4.job => C:\Program Files (x86)\MyBrowser 1.0.2V28.09\ca072e45-2445-4f8b-9bc4-cc60930924ce-4.exe Task: C:\Windows\Tasks\ca072e45-2445-4f8b-9bc4-cc60930924ce-5.job => C:\Program Files (x86)\MyBrowser 1.0.2V28.09\ca072e45-2445-4f8b-9bc4-cc60930924ce-5.exe Task: C:\Windows\Tasks\ca072e45-2445-4f8b-9bc4-cc60930924ce-5_user.job => C:\Program Files (x86)\MyBrowser 1.0.2V28.09\ca072e45-2445-4f8b-9bc4-cc60930924ce-5.exe Task: C:\Windows\Tasks\ca072e45-2445-4f8b-9bc4-cc60930924ce-6.job => C:\Program Files (x86)\MyBrowser 1.0.2V28.09\ca072e45-2445-4f8b-9bc4-cc60930924ce-6.exe Task: C:\Windows\Tasks\ca072e45-2445-4f8b-9bc4-cc60930924ce-7.job => C:\Program Files (x86)\MyBrowser 1.0.2V28.09\ca072e45-2445-4f8b-9bc4-cc60930924ce-7.exe Task: C:\Windows\Tasks\dyiW8SkJkHKa3QZVSe5fzW1.job => C:\Users\jan zbylut\AppData\Roaming\dyiW8SkJkHKa3QZVSe5fzW1.exe Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineCore.job => C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineUA.job => C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe Task: C:\Windows\Tasks\RegClean Pro_DEFAULT.job => C:\Program Files (x86)\RCP\RegCleanPro.exe Task: C:\Windows\Tasks\RegClean Pro_UPDATES.job => C:\Program Files (x86)\RCP\RegCleanPro.exe Task: C:\Windows\Tasks\VBxkAOccrKkOKbcgLRqr0w.job => C:\Users\jan zbylut\AppData\Roaming\VBxkAOccrKkOKbcgLRqr0w.exe HKLM\...\Run: [spaceSoundPro] => "C:\Program Files\SpaceSoundPro\SpaceSoundPro.exe" HKLM-x32\...\Run: [mbot_pl_014010096] => [X] HKLM-x32\...\Run: [YTDownloader] => "C:\Program Files (x86)\YTDownloader\YTDownloader.exe" /boot HKLM-x32\...\Run: [gmsd_pl_005010096] => [X] HKLM-x32\...\Run: [gmsd_pl_005010099] => [X] HKLM-x32\...\Run: [gmsd_pl_005010100] => [X] HKLM-x32\...\Run: [pcmgr] => C:\Program Files (x86)\ppt\Uninst.exe [1571296 2015-12-28] (Tencent) HKLM-x32\...\Run: [gmsd_pl_005010205] => [X] HKLM-x32\...\Run: [rec_en_77] => [X] HKLM-x32\...\Run: [gmsd_pl_005010206] => "C:\Program Files (x86)\gmsd_pl_005010206\gmsd_pl_005010206.exe" HKLM-x32\...\Run: [rec_pl_165] => C:\Program Files (x86)\rec_pl_165\rec_pl_165.exe [3971760 2016-01-12] () HKU\S-1-5-21-3451131124-2045846987-1590504244-1001\...\Run: [YTDownloader] => "C:\Program Files (x86)\YTDownloader\YTDownloader.exe" /boot HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\QQPCRTP => ""="service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\McNaiAnn => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\QQPCRTP => ""="service" Tcpip\..\Interfaces\{851C1639-84A9-464F-A95C-7282616F255D}: [NameServer] 104.197.191.4 Tcpip\..\Interfaces\{8718928D-CBEB-45EA-A621-800A9249001D}: [NameServer] 104.197.191.4 Tcpip\..\Interfaces\{bbed3e08-0b41-11e3-8249-806e6f6e6963}: [NameServer] 104.197.191.4 Tcpip\..\Interfaces\{F3AC42BE-3F0F-499D-97FB-B7A0A5A6EF00}: [NameServer] 104.197.191.4 GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia CHR HomePage: Default -> hxxp://www.yoursearching.com/?type=hp&ts=1452697748&z=97cf28955f2f614ef5b8bf7g8zcw8odqat1m1m6c2c&from=face&uid=ST1000DX001-1CM162_Z1DDFG7HXXXXZ1DDFG7H CHR StartupUrls: Default -> "hxxp://www.yoursearching.com/?type=hp&ts=1452697748&z=97cf28955f2f614ef5b8bf7g8zcw8odqat1m1m6c2c&from=face&uid=ST1000DX001-1CM162_Z1DDFG7HXXXXZ1DDFG7H" CHR DefaultSearchURL: Default -> hxxp://yoursearching.com/web?type=ds&ts=1452697748&z=97cf28955f2f614ef5b8bf7g8zcw8odqat1m1m6c2c&from=face&uid=ST1000DX001-1CM162_Z1DDFG7HXXXXZ1DDFG7H&q={searchTerms} CHR DefaultSearchKeyword: Default -> yoursearching StartMenuInternet: Google Chrome - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe hxxp://www.yoursearching.com/?type=sc&ts=1452616477&z=2db385cea86b3a172d26b44gezdw5o2q6g5qaz4q3c&from=face&uid=ST1000DX001-1CM162_Z1DDFG7HXXXXZ1DDFG7H FF Plugin-x32: @microsoft.com/Lync,version=15.0 -> C:\Program Files (x86)\Mozilla Firefox\plugins\npmeetingjoinpluginoc.dll [2012-10-01] (Microsoft Corporation) FF Plugin-x32: @staging.google.com/globalUpdate Update;version=10 -> C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npglobalupdateUpdate4.dll [2015-09-29] (globalUpdate) FF Plugin-x32: @staging.google.com/globalUpdate Update;version=4 -> C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npglobalupdateUpdate4.dll [2015-09-29] (globalUpdate) FF HKLM\...\Firefox\Extensions: [{D78EE6B5-6E54-4197-89C8-C5122A5EFAC0}] - C:\Program Files\groover120120161726\Firefox\{D78EE6B5-6E54-4197-89C8-C5122A5EFAC0}.xpi FF HKLM-x32\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Users\jan zbylut\AppData\Roaming\Mozilla\Firefox\Profiles\6tjmahkh.default\extensions\deskCutv2@gmail.com FF HKLM-x32\...\Firefox\Extensions: [defsearchp@gmail.com] - C:\Users\jan zbylut\AppData\Roaming\Mozilla\Firefox\Profiles\6tjmahkh.default\extensions\defsearchp@gmail.com => nie znaleziono FF HKLM-x32\...\Firefox\Extensions: [{D78EE6B5-6E54-4197-89C8-C5122A5EFAC0}] - C:\Program Files\groover120120161726\Firefox\{D78EE6B5-6E54-4197-89C8-C5122A5EFAC0}.xpi StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe hxxp://www.yoursearching.com/?type=sc&ts=1452616477&z=2db385cea86b3a172d26b44gezdw5o2q6g5qaz4q3c&from=face&uid=ST1000DX001-1CM162_Z1DDFG7HXXXXZ1DDFG7H HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.istartsurf.com/web/?type=ds&ts=1443365481&z=b0f89b5a33c2dfe676cfcb8g8zfzdc9c2qdw0zbbbg&from=cor&uid=st1000dx001-1cm162_z1ddfg7hxxxxz1ddfg7h&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.istartsurf.com/web/?type=ds&ts=1443365481&z=b0f89b5a33c2dfe676cfcb8g8zfzdc9c2qdw0zbbbg&from=cor&uid=st1000dx001-1cm162_z1ddfg7hxxxxz1ddfg7h&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1443365481&z=b0f89b5a33c2dfe676cfcb8g8zfzdc9c2qdw0zbbbg&from=cor&uid=st1000dx001-1cm162_z1ddfg7hxxxxz1ddfg7h&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1443365481&z=b0f89b5a33c2dfe676cfcb8g8zfzdc9c2qdw0zbbbg&from=cor&uid=st1000dx001-1cm162_z1ddfg7hxxxxz1ddfg7h&q={searchTerms} HKU\S-1-5-21-3451131124-2045846987-1590504244-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.bing.com/search?q={searchTerms} HKU\S-1-5-21-3451131124-2045846987-1590504244-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://www.bing.com/search?q={searchTerms} HKU\S-1-5-21-3451131124-2045846987-1590504244-1001\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://www.bing.com/search?q={searchTerms} HKU\S-1-5-21-3451131124-2045846987-1590504244-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.gazeta.pl/0,0.html?p=182&d=20151206 SearchScopes: HKLM -> DefaultScope - brak wartości SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://www.bing.com/search?q={searchTerms} SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-3451131124-2045846987-1590504244-1001 -> DefaultScope {3672D504-4E65-4A9B-8153-E40B027FA20E} URL = SearchScopes: HKU\S-1-5-21-3451131124-2045846987-1590504244-1001 -> {3672D504-4E65-4A9B-8153-E40B027FA20E} URL = SearchScopes: HKU\S-1-5-21-3451131124-2045846987-1590504244-1001 -> {ielnksrch} URL = hxxp://www.bing.com/search?q={searchTerms} BHO-x32: Treasure Track -> {1ef422df-c387-4f0d-88d1-b75bdfd51013} -> C:\Program Files (x86)\Treasure Track\Extensions\1ef422df-c387-4f0d-88d1-b75bdfd51013.dll => Brak pliku StartMenuInternet: IEXPLORE.EXE - c:\program files\internet explorer\iexplore.exe hxxp://www.yoursearching.com/?type=sc&ts=1452616477&z=2db385cea86b3a172d26b44gezdw5o2q6g5qaz4q3c&from=face&uid=ST1000DX001-1CM162_Z1DDFG7HXXXXZ1DDFG7H DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Lenovo C:\Program Files (x86)\158ACBD8-1452615913-1520-0220-181505000000 C:\Program Files (x86)\ExploreTech C:\Program Files (x86)\globalUpdate C:\Program Files (x86)\iWebar C:\Program Files (x86)\Lenovo C:\Program Files (x86)\MyBrowser 1.0.2V28.09 C:\Program Files (x86)\Object Browser C:\Program Files (x86)\ppt C:\Program Files (x86)\RayDld C:\Program Files (x86)\SFK C:\Program Files (x86)\Tencent C:\Program Files (x86)\YTDownloader C:\Program Files (x86)\Mozilla Firefox\plugins C:\Program Files\Common Files\Tencent C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\ProgramData\kingsoft C:\ProgramData\Tmp0x0x C:\ProgramData\Tencent C:\ProgramData\TXQMPC C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Acer Games.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GAMESDESKTOP C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Metal Gear Solid V The Phantom Pain C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RegClean Pro C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinZipper C:\Users\jan zbylut\AppData\Local\158ACBD8-1452620144-1520-0220-181505000000 C:\Users\jan zbylut\AppData\Local\158ACBD8-1452619562-1520-0220-181505000000 C:\Users\jan zbylut\AppData\Local\9919 C:\Users\jan zbylut\AppData\Local\globalUpdate C:\Users\jan zbylut\AppData\Local\Lenovo C:\Users\jan zbylut\AppData\Local\PPTAssist C:\Users\jan zbylut\AppData\Local\SmartWeb C:\Users\jan zbylut\AppData\Local\Tempfolder C:\Users\jan zbylut\AppData\LocalLow\{D2020D47-707D-4E26-B4D9-739C4F4C2E9A} C:\Users\jan zbylut\AppData\LocalLow\Company C:\Users\jan zbylut\AppData\Roaming\atb C:\Users\jan zbylut\AppData\Roaming\NetService C:\Users\jan zbylut\AppData\Roaming\software C:\Users\jan zbylut\AppData\Roaming\kingsoft C:\Users\jan zbylut\AppData\Roaming\Tencent C:\Users\jan zbylut\AppData\Roaming\TSv C:\Users\jan zbylut\AppData\Roaming\yoursearching C:\Users\jan zbylut\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder.lnk C:\Users\jan zbylut\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ASPackage C:\Users\jan zbylut\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\BeamNG-Techdemo-0.3 C:\Users\jan zbylut\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\YTDownloader C:\Users\jan zbylut\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\腾讯软件 C:\Users\jan zbylut\Desktop\oss\Révoquer la licence.lnk C:\Users\jan zbylut\Downloads\*.crdownload C:\Users\jan zbylut\Downloads\Firmware_Installer [1].exe C:\Users\jan zbylut\Downloads\Setup Installer (Right Click and select extract).rar C:\Users\jan zbylut\Downloads\tp5v88cr.exe C:\Windows\system32\roboot64.exe C:\Windows\system32\teik C:\Windows\system32\Drivers\{3240e2a0-4814-4f5d-9251-29a88a1c9b80}Gw64.sys C:\Windows\system32\Drivers\bsdriver.sys C:\Windows\system32\Drivers\cherimoya.sys C:\Windows\system32\Drivers\TFsFltX64.sys C:\Windows\system32\Tasks\Lenovo C:\Windows\SysWOW64\netupdsrv.exe Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v YTDownloader /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v YTDownloader /f CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Uruchom RepairDNS. Na Pulpicie powstanie log RepairDNS.txt. 3. Deinstalacje: Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj: AnySend, Body Text Feathering, eBay Worldwide, GamesDesktop 008.005010206, Games-desktop Maintenance 008.165, groover, McAfee WebAdvisor, MPC Cleaner, Norton Online Backup, OffersWizard Network System Driver, RegClean Pro, Setup, Software Version Updater, WarThunder, WinZipper. Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpisy globalupdate Helper, Metric Collection SDK, Metric Collection SDK 35 > Dalej. Narzędzie nie umożliwia akcji hurtowej, więc należy je uruchomić trzy razy. Uruchom z poziomu Trybu awaryjnego McAfee Consumer Product Removal Tool. Jeśli coś nie będzie się dało odinstalować, kontynuuj dalej. 4. Wyczyść przeglądarki: Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj Avast SafePrice, SiteAdvisor, AdBlock Pro. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko poza Google. 5. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też pliki fixlog.txt i RepairDNS.txt. Odnośnik do komentarza
AvatarXs Opublikowano 6 Lutego 2016 Autor Zgłoś Udostępnij Opublikowano 6 Lutego 2016 ale właśnie zrobiłem formata'a i na dysku nadal sie znajduja dziwne pliki co mam zrobić teraz ? dawno nie wchodziłem na stronę i nie widziałem odpowiedzi . zamieścić aktualne logi ? Odnośnik do komentarza
picasso Opublikowano 6 Lutego 2016 Zgłoś Udostępnij Opublikowano 6 Lutego 2016 Ale o jakich plikach mówisz? To co mi pokazywałeś wcześniej na obrazkach to pliki systemowe niezbędne do poprawnego działania Windows, a nie infekcja (infekcja była zupełnie gdzie indziej). Widoczne, jeśli w Opcjach folderów jest odznaczona opcja "Ukryj chronione pliki systemu operacyjnego". To co pokazujesz to akurat pliki systemowe, pagefile.sys to kluczowy i niezbędny plik pamięci wirtualnej. Obecne od momentu instalacji Windows, tylko domyślnie ukryte. Teraz przestawiła Ci się opcja "Ukryj chronione pliki systemu operacyjnego", dlatego je widzisz. Odnośnik do komentarza
AvatarXs Opublikowano 6 Lutego 2016 Autor Zgłoś Udostępnij Opublikowano 6 Lutego 2016 W procesach sa jakieś dziwne aplikacje mimo że zrobiłem formata pokki odinstalowałem ale >todo< nie ma nigdzie a jak mogę ukryć te pliki systemowe ? Odnośnik do komentarza
picasso Opublikowano 6 Lutego 2016 Zgłoś Udostępnij Opublikowano 6 Lutego 2016 Wg obrazka wszystko w porządku. "Runtime Broker" i "Store Broker" to natywne procesy systemowe powiązane z aplikacjami modern oraz Sklepem Windows. Pokki to preintegrowane na niektórych laptopach (np. Lenovo) aplikacje, pomijając że są kwestionowalnej jakości. A jeśli chodzi o "TODO" to jest to opis "bez opisu", pobierz właściwości z prawokliku i pokaż jaki jest plik docelowy. a jak mogę ukryć te pliki systemowe ? To co mówiłam wcześniej nie aplikuje się do Menedżera zadań o który Ci teraz chodzi. Odnośnik do komentarza
AvatarXs Opublikowano 6 Lutego 2016 Autor Zgłoś Udostępnij Opublikowano 6 Lutego 2016 zamknąłem proces todo zresetowałem komputer i teraz go nie ma. chciałbym wiedziec gdzie sa opcje folderu bo nie moge znależć Odnośnik do komentarza
picasso Opublikowano 6 Lutego 2016 Zgłoś Udostępnij Opublikowano 6 Lutego 2016 Zamknąłeś, ale nie pobrałeś danych o procesie (do jakiego pliku na dysku się odnosił), więc pewnie on się znowu pojawi podczas uruchamiania określonej aplikacji. Poza tym, takie opowieści na podstawie obrazka są nieprecyzyjne. Do oceny procesów niedomyślnych służą logi FRST. Odnośnik do komentarza
AvatarXs Opublikowano 6 Lutego 2016 Autor Zgłoś Udostępnij Opublikowano 6 Lutego 2016 http://wklej.to/bEEpT - FRST http://wklej.to/L01iw - ADDITION Odnośnik do komentarza
picasso Opublikowano 6 Lutego 2016 Zgłoś Udostępnij Opublikowano 6 Lutego 2016 Jak mówiłam, wszystko w porządku, nie ma żadnych oznak instalacji śmieci. A ten tajemniczy "TODO" to jest proces WildTangent Games preinstalowany na laptopach Acer. Usługa jest ustawiona na Automatycznym, więc będzie się próbowała uruchamiać. S2 GamesAppIntegrationService; C:\Program Files (x86)\WildTangent Games\App\GamesAppIntegrationService.exe [235008 2013-07-16] (TODO: ) [brak podpisu cyfrowego] PS. Twój nośnik instalacyjny Windows nie jest oczywiście "czysty", w rozumieniu, że producent dointegrował masę własnych aplikacji i "format" oznacza zrzucenie Windows już mocno przetworzonego przez producenta. Niektóre aplikacje są niepotrzebne. Np. do deinstalacji stary McAfee. W podsumowaniu, to wszystko można odinstalować (pomijając te aplikacje z których rzeczywiście korzystasz): ==================== Zainstalowane programy ====================== Acer Docs (HKLM-x32\...\{CA4FE8B0-298C-4E5D-A486-F33B126D6A0A}) (Version: 1.01.3006 - Acer Incorporated) Acer Media (HKLM-x32\...\{E9AF1707-3F3A-49E2-8345-4F2D629D0876}) (Version: 2.02.3104.3 - Acer Incorporated) Acer Photo (HKLM-x32\...\{B5AD89F2-03D3-4206-8487-018298007DD0}) (Version: 2.02.3104.6 - Acer Incorporated) Acer Portal (HKLM-x32\...\{A5AD0B17-F34D-49BE-A157-C8B3D52ACD13}) (Version: 2.02.3104 - Acer Incorporated) Acer Remote Files (HKLM\...\{13885028-098C-4799-9B71-27DAC96502D5}) (Version: 1.00.3007 - Acer Incorporated) CyberLink PowerDVD 12 (HKLM-x32\...\InstallShield_{B46BEA36-0B71-4A4E-AE41-87241643FA0A}) (Version: 12.0.3323.57 - CyberLink Corp.) eBay Worldwide (HKLM-x32\...\{91589413-6675-4C27-8AFC-EFB9103B90A5}) (Version: 2.4.0105 - OEM) Identity Card (HKLM-x32\...\{3D9CB654-99AD-4301-89C6-0D12A790767C}) (Version: 2.00.8100 - Acer Incorporated) Live Updater (HKLM-x32\...\{EE26E302-876A-48D9-9058-3129E5B99999}) (Version: 2.00.8100 - Acer Incorporated) McAfee LiveSafe – Internet Security (HKLM-x32\...\MSC) (Version: 12.8.397 - McAfee, Inc.) Microsoft Office (HKLM-x32\...\{90150000-0138-0409-0000-0000000FF1CE}) (Version: 15.0.4454.1510 - Microsoft Corporation) Nero BackItUp 12 Essentials OEM.a01 (HKLM-x32\...\{551AC8F2-FEA2-4B45-ACF7-C98681233CC9}) (Version: 12.5.01200 - Nero AG) Norton Online Backup (HKLM-x32\...\{E625FCA0-E43E-4D3B-92FF-4851308A0366}) (Version: 2.8.0.44 - Symantec Corporation) Office Addin (HKLM-x32\...\{6D2BBE1D-E600-4695-BA37-0B0E605542CC}) (Version: 2.02.2009 - Acer) WildTangent Games (HKLM-x32\...\WildTangent wildgames Master Uninstall) (Version: 1.0.4.0 - WildTangent) Odnośnik do komentarza
AvatarXs Opublikowano 6 Lutego 2016 Autor Zgłoś Udostępnij Opublikowano 6 Lutego 2016 dziękuję za pomoc ( a tak z ciekawości to korzystacie z jakiegoś programu do interpretacji logów ?) Odnośnik do komentarza
picasso Opublikowano 6 Lutego 2016 Zgłoś Udostępnij Opublikowano 6 Lutego 2016 Nie. Do interpretacji logów nie ma programów. Jest niemożliwym skonstruować taki automat. Jest zbyt wiele czynników, które są poddawane analizie i po prostu jest wymagana określona wiedza o Windows i infekcjach. Odnośnik do komentarza
marcin878787 Opublikowano 7 Lutego 2016 Zgłoś Udostępnij Opublikowano 7 Lutego 2016 Picasso ma zupełną rację w tej kwestii. Podczas analizy wymagana jest nie zbędna wiedza, ale także umiejętność pozyskiwania informacji korzystając z wyszukiwarek np. gogle. Jak powszechnie wiadomo ciągle powstają nowe infekcje, a poza tym jest ich ogromnie dużo. Więc nie możliwe jest zapamiętanie wszystkich. Odnośnik do komentarza
Rekomendowane odpowiedzi