Liczba postów: 5
Liczba wątków: 1
Dołączył: 16.12.2013
Reputacja:
0
Objawy zainfekowania:
Strasznie komputer muli bez powodu. 10minut przed tymi problemami wywalił mi blue screen
Wykonywane działania:
AVG Link Scanner 2014,
Logi:
OTL: [Aby zobaczyć linki, zarejestruj się tutaj]
Extras: [Aby zobaczyć linki, zarejestruj się tutaj]
Addition: [Aby zobaczyć linki, zarejestruj się tutaj]
FRST: [Aby zobaczyć linki, zarejestruj się tutaj]
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
Odinstaluj w trybie awaryjnym.
GPU Monitor
GreyGray
Lollipop
Mobogenie
Do notatnika wklej i zapisz jako fixlist.txt
Kod: () C:\Program Files (x86)\GreyGray\updateGreyGray.exe
() C:\Program Files (x86)\GreyGray\bin\utilGreyGray.exe
() C:\Program Files (x86)\VLC Player GPU+\GPULog.exe
() C:\Users\Mikołaj\AppData\Local\Temp\GPUTemp.exe
() C:\Program Files (x86)\Mobogenie\DaemonProcess.exe
() C:\Program Files (x86)\VLC Player GPU+\GPUMonitor.exe
HKLM-x32\...\Run: [GPULoader] - C:\Program Files (x86)\VLC Player GPU+\GPULog.exe [1303776 2013-12-13] ()
HKLM-x32\...\Run: [GPUTemp] - C:\Users\Mikołaj\AppData\Local\Temp\GPUTemp.exe [1328352 2013-12-13] ()
HKLM-x32\...\Run: [mobilegeni daemon] - C:\Program Files (x86)\Mobogenie\DaemonProcess.exe [738496 2013-10-18] ()
Startup: C:\Users\Mikołaj\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\lollipop_12161429.lnk
ShortcutTarget: lollipop_12161429.lnk -> C:\Users\Mikołaj\AppData\Local\Lollipop\lollipop_12161429.exe (No File)
CHR HKLM-x32\...\Chrome\Extension: [nhogbcndagiknbfomjgdeghehkljalhi] - C:\Program Files (x86)\GreyGray\nhogbcndagiknbfomjgdeghehkljalhi.crx
S3 MSICDSetup; \??\D:\CDriver64.sys [x]
S3 NTIOLib_1_0_C; \??\D:\NTIOLib_X64.sys [x]
C:\Users\Mikołaj\daemonprocess.txt
C:\Users\Mikołaj\AppData\Local\Mobogenie
C:\Users\wangzhisong\AppData\Local\Mobogenie
C:\Users\wangzhisong
C:\Users\Mikołaj\Documents\Mobogenie
C:\Users\Mikołaj\AppData\Local\cache
C:\Users\Mikołaj\AppData\Roaming\TuneUp Software
C:\Windows.old.002
C:\Windows.old.001
C:\Windows.old.000
C:\Windows.old
C:\Program Files (x86)\Shopping Suggestion
C:\Users\Mikołaj\AppData\Local\Temp\devcon64.exe
C:\Users\Mikołaj\AppData\Local\Temp\GoogleSetup.exe
C:\Users\Mikołaj\AppData\Local\Temp\GPUTemp.exe
C:\Users\Mikołaj\AppData\Local\Temp\LollipopInstaller_14633.exe
C:\Users\Mikołaj\AppData\Local\Temp\nvSCPAPI64.dll
C:\Users\Mikołaj\AppData\Local\Temp\nvStereoApiI64.dll
C:\Users\Mikołaj\AppData\Local\Temp\nvStInst.exe
C:\Users\Mikołaj\AppData\Local\Temp\OpenCL.dll
C:\Users\Mikołaj\AppData\Local\Temp\prefetch.exe
C:\Users\Mikołaj\AppData\Local\Temp\presetup.exe
C:\Users\Mikołaj\AppData\Local\Temp\Quarantine.exe
C:\Users\Mikołaj\AppData\Local\Temp\Setup1.exe
C:\Users\Mikołaj\AppData\Local\Temp\sonarinst.exe
Task: {088482FA-65B8-4E17-9ABF-1DCD48E8D373} - System32\Tasks\Microsoft\Windows\Tcpip\IpAddressConflict1 => Rundll32.exe ndfapi.dll,NdfRunDllDuplicateIPOffendingSystem
Task: {09F06BFE-A3C8-40E3-846A-6E6F4000C238} - System32\Tasks\Microsoft\Windows\Tcpip\IpAddressConflict2 => Rundll32.exe ndfapi.dll,NdfRunDllDuplicateIPDefendingSystem
Task: {210F07A2-97FA-45F5-94BD-7A6C71475898} - \AmiUpdXp No Task File
Task: {994C86AD-A929-4B2C-88A0-4E25A107A029} - System32\Tasks\Microsoft\Windows\SystemRestore\SR => Rundll32.exe /d srrstr.dll,ExecuteScheduledSPPCreation
Task: {A7C73732-9F11-4281-8D19-764D4EC9D94D} - System32\Tasks\Microsoft\Windows\Application Experience\ProgramDataUpdater => Rundll32.exe aepdu.dll,AePduRunUpdate
Task: {D7B6E81D-3CF4-432C-84D2-24213F4316E6} - System32\Tasks\Microsoft\Windows\Autochk\Proxy => Rundll32.exe /d acproxy.dll,PerformAutochkOperations
Task: {DC4BE888-7970-4B6A-982B-A176F9050B14} - System32\Tasks\Microsoft\Windows\DiskDiagnostic\Microsoft-Windows-DiskDiagnosticDataCollector => Rundll32.exe dfdts.dll,DfdGetDefaultPolicyAndSMART
Task: {E22A8667-F75B-4BA9-BA46-067ED4429DE8} - System32\Tasks\Microsoft\Windows\Windows Filtering Platform\BfeOnServiceStartTypeChange => Rundll32.exe bfe.dll,BfeOnServiceStartTypeChange
Zapisany skrypt umieść obok ściągniętego programu FRST
Następnie w programie kliknij Fix ,po wykonaniu pokaż raport z tego działania.
W Google Chrome w pasku adresu wklep chrome�//extensionsi wymontuj GreyGray , Shopping Suggestion
Następnie przejdź do ustawień i ustaw wyszukiwarkę na Google .
Po uruchomieniuustaw stronę na jakąś ci znaną,która będzie się otwierać po uruchomieniu przeglądarki,może to być Google.pl
Użyj jeszcze raz AdwCleanerai pokaż raport.
Liczba postów: 5
Liczba wątków: 1
Dołączył: 16.12.2013
Reputacja:
0
Log po Fix: [Aby zobaczyć linki, zarejestruj się tutaj]
Log AdwCleaner: [Aby zobaczyć linki, zarejestruj się tutaj]
W Google Chromie nie miałem Grey Graya i Shopping Suggestion, nie było opcji usunięcia. Po ustawieniu wyszukiwarki na google włącza mi się przy włączeniu Aartemis
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
Zrób nowe skany OTL i FRST
Stronę startową ustawiłeś na inną ?
Liczba postów: 5
Liczba wątków: 1
Dołączył: 16.12.2013
Reputacja:
0
Tak ustawilem strone startowa na inna ale dalej to samo.
Jeszcze chiclaem dodac ze komputer strasznie się obciążał a szczególnie GPU bo podchodziło do 85C ;c
OTL: [Aby zobaczyć linki, zarejestruj się tutaj]
FRST: [Aby zobaczyć linki, zarejestruj się tutaj]
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
W FRST odznacz wszystko i zaznacz Addition.txt i kliknij Scan.
Addition.txt prześlij na forum.
Po pierwszym skrypcie musiałeś nabyć kolejne sponsorskie aplikacje z np. dobreprogramy.pl ,bo część z tego logu w ogóle nie była widoczna w pierwszych logach.
Liczba postów: 5
Liczba wątków: 1
Dołączył: 16.12.2013
Reputacja:
0
Addition: [Aby zobaczyć linki, zarejestruj się tutaj]
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
Do notatnika wklej i zapisz jako fixlist.txt
Kod: (Cherished Technololgy LIMITED) C:\ProgramData\WPM\wprotectmanager.exe
() C:\Program Files (x86)\BrowseSmart\updateBrowseSmart.exe
HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.aartemis.com/web/?type=ds&ts=1387291981&from=cor&uid=ST2000DM001-9YN164_Z2F0CWVMXXXXZ2F0CWVM&q={searchTerms}
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://aartemis.com/?type=hp&ts=1387291981&from=cor&uid=ST2000DM001-9YN164_Z2F0CWVMXXXXZ2F0CWVM
HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.com/ie
HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.aartemis.com/web/?type=ds&ts=1387291981&from=cor&uid=ST2000DM001-9YN164_Z2F0CWVMXXXXZ2F0CWVM&q={searchTerms}
HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://aartemis.com/?type=hp&ts=1387291981&from=cor&uid=ST2000DM001-9YN164_Z2F0CWVMXXXXZ2F0CWVM
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.aartemis.com/web/?type=ds&ts=1387291981&from=cor&uid=ST2000DM001-9YN164_Z2F0CWVMXXXXZ2F0CWVM&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://aartemis.com/?type=hp&ts=1387291981&from=cor&uid=ST2000DM001-9YN164_Z2F0CWVMXXXXZ2F0CWVM
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://aartemis.com/?type=hp&ts=1387291981&from=cor&uid=ST2000DM001-9YN164_Z2F0CWVMXXXXZ2F0CWVM
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.aartemis.com/web/?type=ds&ts=1387291981&from=cor&uid=ST2000DM001-9YN164_Z2F0CWVMXXXXZ2F0CWVM&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.aartemis.com/web/?type=ds&ts=1387291981&from=cor&uid=ST2000DM001-9YN164_Z2F0CWVMXXXXZ2F0CWVM&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://aartemis.com/?type=hp&ts=1387291981&from=cor&uid=ST2000DM001-9YN164_Z2F0CWVMXXXXZ2F0CWVM
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://aartemis.com/?type=hp&ts=1387291981&from=cor&uid=ST2000DM001-9YN164_Z2F0CWVMXXXXZ2F0CWVM
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.aartemis.com/web/?type=ds&ts=1387291981&from=cor&uid=ST2000DM001-9YN164_Z2F0CWVMXXXXZ2F0CWVM&q={searchTerms}
StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe http://aartemis.com/?type=sc&ts=1387291981&from=cor&uid=ST2000DM001-9YN164_Z2F0CWVMXXXXZ2F0CWVM
SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.aartemis.com/web/?type=ds&ts=1387291981&from=cor&uid=ST2000DM001-9YN164_Z2F0CWVMXXXXZ2F0CWVM&q={searchTerms}
SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.aartemis.com/web/?type=ds&ts=1387291981&from=cor&uid=ST2000DM001-9YN164_Z2F0CWVMXXXXZ2F0CWVM&q={searchTerms}
SearchScopes: HKLM-x32 - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.aartemis.com/web/?type=ds&ts=1387291981&from=cor&uid=ST2000DM001-9YN164_Z2F0CWVMXXXXZ2F0CWVM&q={searchTerms}
SearchScopes: HKLM-x32 - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.aartemis.com/web/?type=ds&ts=1387291981&from=cor&uid=ST2000DM001-9YN164_Z2F0CWVMXXXXZ2F0CWVM&q={searchTerms}
SearchScopes: HKCU - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.aartemis.com/web/?type=ds&ts=1387291981&from=cor&uid=ST2000DM001-9YN164_Z2F0CWVMXXXXZ2F0CWVM&q={searchTerms}
SearchScopes: HKCU - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.aartemis.com/web/?type=ds&ts=1387291981&from=cor&uid=ST2000DM001-9YN164_Z2F0CWVMXXXXZ2F0CWVM&q={searchTerms}
CHR HKLM-x32\...\Chrome\Extension: [ifohbjbgfchkkfhphahclmkpgejiplfo] - C:\Users\Mikołaj\AppData\Local\Google\Chrome\User Data\Default\Extensions\newtab.crx
CHR HKLM-x32\...\Chrome\Extension: [ippenodjaoidmkkfdlmdhofiebnpjddb] - C:\Program Files (x86)\BrowseSmart\ippenodjaoidmkkfdlmdhofiebnpjddb.crx
CHR StartMenuInternet: Google Chrome - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe http://aartemis.com/?type=sc&ts=1387291981&from=cor&uid=ST2000DM001-9YN164_Z2F0CWVMXXXXZ2F0CWVM
R2 Update BrowseSmart; C:\Program Files (x86)\BrowseSmart\updateBrowseSmart.exe [66848 2013-12-06] ()
R2 Wpm; C:\ProgramData\WPM\wprotectmanager.exe [499856 2013-12-17] (Cherished Technololgy LIMITED)
C:\Program Files (x86)\Mobogenie
C:\Users\Mikołaj\AppData\Roaming\AVG2014
C:\ProgramData\AVG2014
C:\ProgramData\MFAData
C:\Users\Mikołaj\AppData\Local\Avg2014
C:\Windows\LastGood
C:\Program Files (x86)\GreyGray
C:\Users\Mikołaj\AppData\Local\Cool_Mirage
C:\Windows\Tasks\PutLockerDownloader V6.0-chromeinstaller.job
C:\Windows\Tasks\PutLockerDownloader V6.0-updater.job
C:\Users\Mikołaj\AppData\Local\Temp\sfamcc00001.dll
C:\Users\Mikołaj\AppData\Local\Temp\sfareca00001.dll
C:\Users\Mikołaj\AppData\Local\Temp\sfextra.dll
Task: {6434ECF2-A9CF-47F6-85CB-913F82737A8E} - System32\Tasks\PutLockerDownloader V6.0-updater => C:\Program Files (x86)\PutLockerDownloader V6.0\PutLockerDownloader V6.0-updater.exe
Task: {F41C4F52-5B86-46FB-B610-97A2C23D9557} - System32\Tasks\PutLockerDownloader V6.0-chromeinstaller => C:\Program Files (x86)\PutLockerDownloader V6.0\PutLockerDownloader V6.0-chromeinstaller.exe
Task: C:\Windows\Tasks\PutLockerDownloader V6.0-chromeinstaller.job => C:\Program Files (x86)\PutLockerDownloader V6.0\PutLockerDownloader V6.0-chromeinstaller.exe
Task: C:\Windows\Tasks\PutLockerDownloader V6.0-updater.job => C:\Program Files (x86)\PutLockerDownloader V6.0\PutLockerDownloader V6.0-updater.exe
Zapisany skrypt umieść obok ściągniętego programu FRST
Następnie w programie kliknij Fix ,po wykonaniu pokaż raport z tego działania.
Odinstaluj:
aartemis Browser Protecter
BrowseSmart
BitLord 2.3
BrowseSmart
PutLockerDownloader (x32 Version: 2.1 Build 26473)
PutLockerDownloader V6.0 (x32 Version: 1.31.153.0)
Wykorzystaj ponownie AdwCleanera,po wykonaniu pokaż raport
W google chrome,sprawdź czy jest poprawna wyszukiwarka google i stronę startową też ustaw na jakąś przyjazną.
Liczba postów: 5
Liczba wątków: 1
Dołączył: 16.12.2013
Reputacja:
0
ADW Cleaner : [Aby zobaczyć linki, zarejestruj się tutaj]
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
|
