wetxxx Opublikowano 17 Lipca 2016 Zgłoś Udostępnij Opublikowano 17 Lipca 2016 Przy okazji instalacji PowerIso zainstalował się SafeFinder i Quotenamron. Zrobiłem uninstall tego pierwszego, ale w rejestrze zostały jego wpisy. Komputer działa dużo wolniej. Proszę o analizę załączonych plików. Dziękuję P. S. podczas skanowania GMER pojawiły się błędy msvcr90.dll. Być może dlatego, że używałem winamp w trakcie skanowania, a on lubi sobie sprawdzić co w bazie Gracenote piszczy P.S. 2 Gmer skanuje dysk C od 11/00. Jak tylko skończy skanować zamieszczę jego loga. P.S. 3 Szlak trafił gmera. Nastąpił blue screen. Zamieszczam gmer quick skan. Proszę o info czy zamieścić jeszcze raport z Gmera z dysku systemowego? p.s. 4 - poddaje się. Po paru minutach od włączenia pełnego skanu Gmera pojawia się bluescreen. Wrzucam go w załącznik Udało mi się zrobić pełny skan GMER (załącznik) Addition.txt FRST.txt Shortcut.txt gmer.txt gmer full.txt Odnośnik do komentarza
picasso Opublikowano 19 Lipca 2016 Zgłoś Udostępnij Opublikowano 19 Lipca 2016 Obecnie w systemie nie widać żadnych aktywnych śladów tej infekcji, do wyczyszczenia tylko jej szczątki w Harmonogramie oraz inne puste / odpadkowe wpisy. Jeśli komputer działa wolniej, przyczyna jest inna niż infekcja. 1. Odinstaluj stare programy Adobe AIR, Ad-Remover par C_XX, Java 7 Update 71, Java 8 Update 31, QuickTime 7, Real Alternative 2.0.2 oraz niepożądany Smart File Advisor 1.1.8. Na temat Smart File Advisor w przyklejonym na spodzie: KLIK. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: Task: {01DE02A2-479B-4F58-88EE-869D24D7B9AB} - System32\Tasks\{224F9687-77B4-41D6-9D6B-D3B810D2D093} => pcalua.exe -a C:\Users\Administrator\Downloads\googlemon.exe -d C:\Users\Administrator\Downloads Task: {ACF5255D-D923-4163-9BE5-AF9A8AFFD964} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program => C:\Program Files\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2015-07-01] (Lenovo) Task: {B1D1E0AB-0551-450A-9A8E-108ABFEB7EAD} - System32\Tasks\Launch HTC Sync Loader => C:\Program Files\HTC\HTC Sync 3.0\htcUPCTLoader.exe Task: {CF1C9176-ECD0-4D89-AC94-75C92FFB3A5F} - System32\Tasks\LaunchCSS => cssauth.exe Task: {D9BCDE26-E076-4B85-8BD8-12B0ED9A6E0F} - System32\Tasks\psv_Cofeco => /c regedit.exe /s "C:\ProgramData\Quotenamron\Stimquadtech.reg" & del "C:\ProgramData\Quotenamron\Stimquadtech.reg" & SCHTASKS /Delete /TN "psv_Cofeco" /F HKLM\...\Run: [smart File Advisor] => C:\Program Files\Smart File Advisor\sfa.exe [282384 2015-03-22] (Filefacts.net) HKLM\...\Run: [Andy] => "C:\Program Files\Andy\HandyAndy.exe" Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Adobe Reader Speed Launch.lnk [2013-02-20] S4 UleadBurningHelper; C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe [61440 2008-01-10] (Ulead Systems, Inc.) [brak podpisu cyfrowego] S3 DUMeterDrv; \??\C:\Program Files\DU Meter\DUMETR32.SYS [X] S2 smihlp2; \??\C:\Program Files\ThinkVantage Fingerprint Software\smihlp.sys [X] S3 VBoxNetFlt; system32\DRIVERS\VBoxNetFlt.sys [X] FF Homepage: FF NewTab: FF HKU\S-1-5-21-4017091599-1580052636-3000737442-500\...\Firefox\Extensions: [{FCF36B88-1BBA-487f-B64B-D2E8980A9293}] - C:\Program Files\Lenovo\Client Security Solution\PWM Firefox Extension => nie znaleziono GroupPolicyScripts: Ograniczenia CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-21-4017091599-1580052636-3000737442-500\Software\Microsoft\Internet Explorer\Main,Default_search_url = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-21-4017091599-1580052636-3000737442-500\Software\Microsoft\Internet Explorer\Main,Default_page_url = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome HKU\S-1-5-21-4017091599-1580052636-3000737442-500\Software\Microsoft\Internet Explorer\Main,Search bar = hxxp://www.bing.com/search?q={searchTerms} HKU\S-1-5-21-4017091599-1580052636-3000737442-500\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.bing.com/search?q={searchTerms} HKU\S-1-5-21-4017091599-1580052636-3000737442-500\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://www.bing.com/search?q={searchTerms} SearchScopes: HKLM -> DefaultScope {ielnksrch} URL = SearchScopes: HKLM -> ielnksrch URL = hxxp://www.bing.com/search?q={searchTerms} SearchScopes: HKLM -> {099F6C17-B399-4A30-B1B4-793D4D4678F2} URL = hxxp://www.bing.com/search?q={searchTerms}&form=LEMDF8&pc=MALC&src=IE-SearchBox SearchScopes: HKU\S-1-5-21-4017091599-1580052636-3000737442-500 -> DefaultScope {ielnksrch} URL = hxxp://www.bing.com/search?q={searchTerms} SearchScopes: HKU\S-1-5-21-4017091599-1580052636-3000737442-500 -> {099F6C17-B399-4A30-B1B4-793D4D4678F2} URL = SearchScopes: HKU\S-1-5-21-4017091599-1580052636-3000737442-500 -> {ielnksrch} URL = hxxp://www.bing.com/search?q={searchTerms} CustomCLSID: HKU\S-1-5-21-4017091599-1580052636-3000737442-500_Classes\CLSID\{039B2CA5-3B41-4D93-AD77-47D3293FC5CB}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-4017091599-1580052636-3000737442-500_Classes\CLSID\{42481700-CF3C-4D05-8EC6-F9A1C57E8DC0}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-4017091599-1580052636-3000737442-500_Classes\CLSID\{D0D38C6E-BF64-4C42-840D-3E0019D9F7A6}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-4017091599-1580052636-3000737442-500_Classes\CLSID\{DB450007-9764-11D6-819E-005056C00008}\localserver32 -> C:\PROGRA~1\DUMETE~1\DUMeter.exe => Brak pliku CustomCLSID: HKU\S-1-5-21-4017091599-1580052636-3000737442-500_Classes\CLSID\{DB450008-9764-11D6-819E-005056C00008}\localserver32 -> C:\Program Files\DU Meter\DUMeterSvc.exe => Brak pliku CustomCLSID: HKU\S-1-5-21-4017091599-1580052636-3000737442-500_Classes\CLSID\{F28C2F70-47DE-4EA5-8F6D-7D1476CD1EF5}\localserver32 -> C:\Users\Administrator\Downloads\oloswit.rar.exe => Brak pliku DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\NAUpdate DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\Sony Ericsson PCCompanion DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DU Meter DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\NBAgent DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\QuickTime Task DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Smart File Advisor DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Sony Ericsson PC Companion DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\VIDA eUpdate Launcher DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\VidaMonitor DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main AlternateDataStreams: C:\Users\Administrator\AppData\Local\desktop.ini:722b2b1c349a06abf0e866180e5a7e63 [1570] C:\Program Files\Mozilla Firefox\defaults\pref\itms.js C:\Program Files\Mozilla Firefox\extensions C:\Program Files\Mozilla Firefox\plugins C:\Program Files\Common Files\Ulead Systems C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Proxy Server Finder C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Wizard Service Tool C:\Users\Administrator\AppData\Local\MSfree Inc C:\Users\Administrator\AppData\Local\Thinstall C:\Users\Administrator\AppData\Roaming\*.* C:\Users\Administrator\AppData\Roaming\Thinstall C:\Users\Administrator\AppData\Roaming\Ulead Systems C:\Users\Administrator\AppData\Roaming\Mozilla\Firefox\Profiles\2xjylglo.default-1462177151737\searchplugins\findit.xml C:\Users\ZZZ\AppData\Roaming\Orbit C:\Users\YYY\Desktop\Wizard Service Tool.lnk C:\Windows\system32\findit.xml Hosts: CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Uruchom Autoruns i w karcie Codecs wyszukaj wszystkie wpisy kierujące do ścieżki Ulead. Znalezione usuń. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
wetxxx Opublikowano 19 Lipca 2016 Autor Zgłoś Udostępnij Opublikowano 19 Lipca 2016 Dziękuję prawie skończyłem. 1) Mam jeszcze prośbę o a) skrypt do usunięcia programu po którym został tylko wpis w dodaj/usuń programy: Finotec Trading Platform b.) Czy w programie autoruns w zakładce np. Codecs wpisy zaznaczone na różowo są do usunięcia? np.wartość: vidc.VSPX Dane wartości: vspxvfw.dll po kliknięciu w properties pojawia się, że plik nieznaleziony. Natomiast w kolejnym różowym wpisie: Haali Video Renderer (Not verified) c:\program files\k-lite codec pack\filters\haali\dxr.dll 2013-04-14 11:59 plik jest dostępny. Czy to jakieś ostrzeżenia? Stary plik, etc? 2. Dołączam obydwa pliki o które prosiłaś. FRST.txt Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 21 Lipca 2016 Zgłoś Udostępnij Opublikowano 21 Lipca 2016 Skrypt FRST wykonany. Mała poprawka. Otwórz Notatnik i wklej w nim: DeleteKey: HKCU\Software\Mozilla\Seamonkey C:\Users\Administrator\AppData\Roaming\c* C:\Windows\system32\java.exe C:\Windows\system32\javaw.exe Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Czy w programie autoruns w zakładce np. Codecs wpisy zaznaczone na różowo są do usunięcia? np.wartość: vidc.VSPX Dane wartości: vspxvfw.dll po kliknięciu w properties pojawia się, że plik nieznaleziony. Natomiast w kolejnym różowym wpisie: Haali Video Renderer (Not verified) c:\program files\k-lite codec pack\filters\haali\dxr.dll 2013-04-14 11:59 plik jest dostępny. Czy to jakieś ostrzeżenia? Stary plik, etc? Czy na pewno oba wpisy są na różowym tle? Rekordy typu "not found" powinny być na żółtym, natomiast pliki nie podpisane cyfrowo na różowym. Odnośnik do komentarza
wetxxx Opublikowano 22 Lipca 2016 Autor Zgłoś Udostępnij Opublikowano 22 Lipca 2016 Bardzo Ci dziękuje Picasso za pomoc Wszystko działa jak trzeba.Dotacja poszła! Odnośnik do komentarza
wetxxx Opublikowano 31 Lipca 2016 Autor Zgłoś Udostępnij Opublikowano 31 Lipca 2016 Czy jeszcze coś powinienem zrobić na koniec? Czyszczenie plików narzędzi naprawczych? Odnośnik do komentarza
picasso Opublikowano 10 Sierpnia 2016 Zgłoś Udostępnij Opublikowano 10 Sierpnia 2016 Tak, oczywiście standardowe kroki końcowe. Przez SHIFT+DEL (omija Kosz) skasuj FRST i jego logi z folderu D:\Logi. Następnie DelFix i czyszczenie folderów Przywracania systemu: KLIK. Odnośnik do komentarza
Rekomendowane odpowiedzi