Logi - proszę o sprawdzenie. Proszę o pomoc bo nie moge uruchomic niektorych programow.

[bigi]

Witam,

Pisze z prośba o pomoc.
Mam Windows 7 i nie mogę sobie poradzić z wirusem [ ]
miałem zainstalowane programy photoshop, jalbum i parę innych, ale po instalacji zarażonego programu coś jest nie tak.
Nie mogę uruchomić programu jalbum. Zawiesza się.
Excel odpala ale jak kliknę na "Plik" to od razu sie wiesza.
Photoshop jak otwieram jakies zdjecie takze sie wiesza.
Jak włączę inny program easy uploader do obsługi allegro to mieli mieli i nic, a w menedżerze zadań w procesach jest jako otwarty i działający.
Nie pomógł Adwcleaner, Ccleaner, Avira itp.

Nie bardzo chce mi się robić formata bo chciałbym zachować dane.

Windows śmiga bez problemow. Parę innych programów tez ale te to tragedia [] Proszę o pomoc, nie wiem co mam jeszcze zrobić.

Dr web CureIT pokazał trojana.

 

Edytowane 24 Grudnia 2016 przez Miszel03
Logi OTL kasuję, post poprawiam. //Miszel03

[Miszel03]

Narzędzie OTL jest przestarzałe i nie posiada wsparcia autora, więc jest już nie używane. Dostarcz zestaw raportów z nowoczesnego narzędzia Farbar Recovery Scan Tool oraz raport z narzędzia GMER.

[bigi]

Logi FRST:

 

http://wklej.org/id/2997380/

http://wklej.org/id/2997378/

 

Reinstalacja programow tez nie pomogla

Total comander dziala

Xnview dziala ale niektore inne sie wieszaja albo uruchomia sie i nie ma w ogole okienka tego programu a w menedżer zadan jest jako otwarty.

[Miszel03]

Brakuje 3 raportu uzupełniającego Shortcut. Uzupełnij go. 

[bigi]

Przesyłam jeszcze raz i uzupełniłem o shortcut i GMER

Addition.txt

FRST.txt

Shortcut.txt

GMER.txt

Edytowane 24 Grudnia 2016 przez Rucek
Łączę posty

[Miszel03]

Dr web CureIT pokazał trojana.

Zapomniałem zapytać wcześniej co w związku z tym zrobiłeś, jaką podjąłeś akcję w programie i czy możesz dostarczyć mi plik z raportem.

 

---

 

W raportach nie widzę infekcji, choć są ślady mogące wskazywać na jej obecność w przeszłości. W skrypcie: kasacja pustych wpisów, ustawień polityk grup oraz szemranych obiektów z harmonogramu zadań. Na wszelki wypadek przeprowadzimy skan programem HitmanPro.

 

1. Otwórz Notatnik w nim wklej:

 

CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-19\Control Panel\Desktop\\SCRNSAVE.EXE -> 
HKU\S-1-5-20\Control Panel\Desktop\\SCRNSAVE.EXE -> 
HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE -> 
ShellExecuteHooks: Brak nazwy - {6477E65A-C5C0-11E6-8017-64006A5CFC35} -  -> Brak pliku
ShellIconOverlayIdentifiers: [GGDriveOverlay1] -> {E68D0A50-3C40-4712-B90D-DCFA93FF2534} =>  -> Brak pliku
ShellIconOverlayIdentifiers: [GGDriveOverlay2] -> {E68D0A51-3C40-4712-B90D-DCFA93FF2534} =>  -> Brak pliku
ShellIconOverlayIdentifiers: [GGDriveOverlay3] -> {E68D0A52-3C40-4712-B90D-DCFA93FF2534} =>  -> Brak pliku
ShellIconOverlayIdentifiers: [GGDriveOverlay4] -> {E68D0A53-3C40-4712-B90D-DCFA93FF2534} =>  -> Brak pliku
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia 
HKU\S-1-5-21-2195184045-3265951034-2981680463-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia 
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = 
SearchScopes: HKU\S-1-5-21-2195184045-3265951034-2981680463-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
BHO-x32: Brak nazwy -> {DF925EF3-7A87-44E4-9CAF-8D7B280BF616} -> Brak pliku
S3 ATP; system32\DRIVERS\cmdatp.sys [X]
S3 dgderdrv; System32\drivers\dgderdrv.sys [X]
S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [X]
S3 huawei_cdcacm; system32\DRIVERS\ew_jucdcacm.sys [X]
S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X]
S3 huawei_ext_ctrl; system32\DRIVERS\ew_juextctrl.sys [X]
S3 huawei_wwanecm; system32\DRIVERS\ew_juwwanecm.sys [X]
S3 pccsmcfd; system32\DRIVERS\pccsmcfdx64.sys [X]
S3 RimUsb; System32\Drivers\RimUsb_AMD64.sys [X]
U3 pxldypow; \??\C:\Users\JAY\AppData\Local\Temp\pxldypow.sys [X]
Task: {D35DA539-1875-480F-9F30-69CBA06AFA9C} - System32\Tasks\{F0E98C12-B005-465F-92E6-40C89BC84D40} => pcalua.exe -a C:\Users\JAY\AppData\Local\Temp\jre-8u101-windows-au.exe -d C:\windows\SysWOW64 -c /installmethod=jau FAMILYUPGRADE=1 
Task: {ED2C5AE2-6937-4083-9A8D-97116CCD1435} - System32\Tasks\280528962d6t6759868 => Rundll32.exe "C:\ProgramData\280528962d6t6759868\280528962d6t6759868.dll",DMT 
AlternateDataStreams: C:\ProgramData\Temp:0A8E2C33 [238]
AlternateDataStreams: C:\ProgramData\Temp:73BDADA8 [234]
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Zrób skan za pomocą Hitman Pro. Jeśli wykryje coś, dostarcz wynikowy log oraz plik Fixlog.txt. Zrób też nowy zestaw raportów. Jeśli natomiast nic nie wykryję to będziemy kończyć, a temat zostanie przeniesiony do działu Windows 7.

[bigi]

Dziękuje za pomoc ! Problem rozwiązany Temat można zamknąć

[Miszel03]

Moment, a jak z pkt. 2? Coś zostało wykryte?