Zaloguj się

mrjames · 24.09.2014, 20:04

Objawy zainfekowania:
Witam. Mam 2 laptopy do sprawdzenia. Oto temat o pierwszym. Komputer chodzi bardzo wolno, także przeglądarki. Poza tym w kwarantannie jest wiele wirusów, m.in. trojany. Czasem komputer się zawiesza i muszę resetować/. Też problem z Skype - rozmówca ledwo mnie słyszy ale to nie mam pewności czy nie uszkodzenie mikrofonu.
No i podczas wklejania poniższych linków na wklej.org wyskakuje błąd skryptu .

Wykonywane działania:
Posiadam Avast oraz skanuje CCleaner
Logi:
FRST:

[Aby zobaczyć linki, zarejestruj się tutaj]

Addition:

[Aby zobaczyć linki, zarejestruj się tutaj]

OTL:

[Aby zobaczyć linki, zarejestruj się tutaj]

EXTRAS:

[Aby zobaczyć linki, zarejestruj się tutaj]

**tachion** · 24.09.2014, 22:24

Do notatnika wklej i zapisz jako fixlist.txt

Kod:
CloseProcesses:

HKLM\...\Run: [mobilegeni daemon] => C:\Program Files\Mobogenie\DaemonProcess.exe

HKLM\...\Run: [WeatherBlink EPM Support] => C:\Program Files\WeatherBlink\bar\1.bin\gcmedint.exe [12872 2014-08-25] (Mindspark Interactive Network, Inc.)

HKU\S-1-5-21-3513970241-3158803206-395028863-1000\...\Run: [LiveSupport] => "C:\Program Files\LiveSupport\LiveSupport.exe" /noshow /log

AppInit_DLLs: c:\progra~1\settin~1\systemk\syskldr.dll => c:\progra~1\settin~1\systemk\syskldr.dll File Not Found

IFEO\bitguard.exe: [Debugger] tasklist.exe

IFEO\bprotect.exe: [Debugger] tasklist.exe

IFEO\bpsvc.exe: [Debugger] tasklist.exe

IFEO\browserdefender.exe: [Debugger] tasklist.exe

IFEO\browserprotect.exe: [Debugger] tasklist.exe

IFEO\browsersafeguard.exe: [Debugger] tasklist.exe

IFEO\dprotectsvc.exe: [Debugger] tasklist.exe

IFEO\protectedsearch.exe: [Debugger] tasklist.exe

IFEO\searchprotection.exe: [Debugger] tasklist.exe

IFEO\searchprotector.exe: [Debugger] tasklist.exe

IFEO\snapdo.exe: [Debugger] tasklist.exe

IFEO\stinst32.exe: [Debugger] tasklist.exe

IFEO\stinst64.exe: [Debugger] tasklist.exe

IFEO\utiljumpflip.exe: [Debugger] tasklist.exe

HKLM\...\AppCertDlls: [x64] -> c:\program files\settings manager\systemk\x64\sysapcrt.dll

HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.onet.pl/

HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.qone8.com/web/?type=ds&ts=1395513538&from=smt&uid=ST9250315AS_5VCKAW2JXXXX5VCKAW2J&q={searchTerms}

HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp120140825

HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.qone8.com/web/?type=ds&ts=1395513538&from=smt&uid=ST9250315AS_5VCKAW2JXXXX5VCKAW2J&q={searchTerms}

URLSearchHook: HKLM - Default Value = {CCC7B159-1D8C-11E3-B2AD-F3EF3D58318D}

URLSearchHook: HKCU - (No Name) - {D8278076-BC68-4484-9233-6E7F1628B56C} -No File

StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://start.qone8.com/?type=sc&ts=1395513538&from=smt&uid=ST9250315AS_5VCKAW2JXXXX5VCKAW2J

SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.qone8.com/web/?type=ds&ts=1395513538&from=smt&uid=ST9250315AS_5VCKAW2JXXXX5VCKAW2J&q={searchTerms}

SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.qone8.com/web/?type=ds&ts=1395513538&from=smt&uid=ST9250315AS_5VCKAW2JXXXX5VCKAW2J&q={searchTerms}

SearchScopes: HKLM - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2476} URL = http://www.default-search.net/search?sid=476&aid=132&itype=n&ver=11471&tm=308&src=ds&p={searchTerms}

SearchScopes: HKCU - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = 

SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.buenosearch.com/?q={searchTerms}&babsrc=SP_ss&mntrId=B402485D60504770&affID=128491&tsp=5163

SearchScopes: HKCU - {920CC978-788F-41EA-A196-7863FA1C1124} URL = http://www.search.ask.com/web?tpid=FF3-V7C&o=APN11414&pf=V7&p2=%5EBBM%5Ezzz031%5EYY%5EPL&gct=sb&itbv=12.7.0.2211&apn_uid=D9ABEFBB-C44E-4686-B1A2-15D49C4B6254&apn_ptnrs=%5EBBM&apn_dtid=%5Ezzz031%5EYY%5EPL&apn_dbr=ie_8.0.7600.16385&doi=2013-12-20&trgb=IE&q={searchTerms}&psv=

SearchScopes: HKCU - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2476} URL = http://www.default-search.net/search?sid=476&aid=132&itype=n&ver=11471&tm=308&src=ds&p={searchTerms}

Toolbar: HKCU - No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -No File

Toolbar: HKCU - No Name - {4646332D-5637-4300-76A7-7A786E7484D7} -No File

Handler: WSIEChrome - No CLSID Value - R2 WeatherBlinkService; C:\Program Files\WeatherBlink\bar\1.bin\gcbarsvc.exe [88648 2014-08-25] (COMPANYVERS_NAME)

S2 globalUpdate; C:\Program Files\globalUpdate\Update\GoogleUpdate.exe /svc [X]

S3 globalUpdatem; C:\Program Files\globalUpdate\Update\GoogleUpdate.exe /medsvc [X]

S3 gusvc; "C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe" [X]

S3 ipswuio; System32\DRIVERS\ipswuio.sys [X]

S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X]

S3 tsusbhub; system32\drivers\tsusbhub.sys [X]

S3 VGPU; System32\drivers\rdvgkmd.sys [X]

C:\Users\Rysiek\AppData\Roaming\OpenCandy

C:\Program Files\WeatherBlink

C:\ProgramData\Protexis

Task: {10A55404-1EAA-4811-9904-1E26485B340D} - System32\Tasks\{DD81D5CA-BAF8-41F9-9260-ADEC3BD86F0C} => Firefox.exe http://www.skype.com/go/downloading?source=lightinstaller&amp;ver=4.2.0.155&amp;LastError=404

Task: {6953EB19-93A4-437E-9A4A-0F851BCB26E3} - System32\Tasks\globalUpdateUpdateTaskMachineUA => C:\Program Files\globalUpdate\Update\GoogleUpdate.exe <==== ATTENTION

Task: {8FF52C18-BDBB-4DF4-ACF0-8B02E97BA9C5} - System32\Tasks\{037C39DD-BE57-4612-B9A4-61BB1C789949} => Firefox.exe http://www.skype.com/go/downloading?source=lightinstaller&amp;ver=4.2.0.155&amp;LastError=404

Task: {E59D7EAB-D8D3-47E6-8925-677401B5E0E3} - System32\Tasks\globalUpdateUpdateTaskMachineCore => C:\Program Files\globalUpdate\Update\GoogleUpdate.exe <==== ATTENTION

Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineCore.job => C:\Program Files\globalUpdate\Update\GoogleUpdate.exe <==== ATTENTION

Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineUA.job => C:\Program Files\globalUpdate\Update\GoogleUpdate.exe <==== ATTENTION

AlternateDataStreams: C:\ProgramData\TEMP:56E2E879

AlternateDataStreams: C:\ProgramData\TEMP:9E2940E3

Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f

CMD: netsh advfirewall reset

CMD: ipconfig /flushdns

EmptyTemp:

Zapisany skrypt umieść obok ściągniętego programu FRST
Następnie w programie kliknij Fix,po wykonaniu pokaż raport z tego działania.

W przeglądarce Firefox

Otwórz menu w górnym rogu po prawej stronie > otwórz menu pomoc oznaczone czerwoną ramką

[Aby zobaczyć linki, zarejestruj się tutaj]

Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie naruszy zakładek i haseł.

Ściągnij program

[Aby zobaczyć linki, zarejestruj się tutaj]

kliknij Szukaj i następnie Usuń
Pokaż raport z niego.

Wklej na stronę raport z SecurityCheck

[Aby zobaczyć linki, zarejestruj się tutaj]

Uruchom kliknij w dowolny klawisz,poczekaj aż program zakończy działanie.

Zrób nowe logi i przedstaw z FRST.txt > Addition.txt,Shortcut.txt+ OTL ale bez extras

mrjames · 25.09.2014, 11:56

Dziękuje za szybką odpowiedz. Zrobiłem Fix jednak po uruchomieniu ponownym komputera nie wyświetylił się raport. W firefoxie zrobione jak zalecane.
AdwCleaner:

[Aby zobaczyć linki, zarejestruj się tutaj]

SecurityCheck:

[Aby zobaczyć linki, zarejestruj się tutaj]

FRST:

[Aby zobaczyć linki, zarejestruj się tutaj]

ADDITION:

[Aby zobaczyć linki, zarejestruj się tutaj]

SHORTCUT:

[Aby zobaczyć linki, zarejestruj się tutaj]

OTL:

[Aby zobaczyć linki, zarejestruj się tutaj]

**tachion** · 25.09.2014, 18:40

Do notatnika wklej i zapisz jako fixlist.txt

Kod:
FF Plugin: @google.com/npPicasa3,version=3.0.0 -> C:\Program Files\Google\Picasa3\npPicasa3.dll No File

FF Plugin: @WeatherBlink.com/Plugin -> C:\Program Files\WeatherBlink\bar\1.bin\NPgcStub.dll No File

S2 WeatherBlinkService; C:\PROGRA~1\WEATHE~2\bar\1.bin\gcbarsvc.exe [X]

Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f

Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f

Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f

DeleteQuarantine:

Zapisany skrypt umieść obok ściągniętego programu FRST
Następnie w programie kliknij Fix,po wykonaniu pokaż raport z tego działania.

Fixlog.txt został zapisany w miejscu z którego został uruchomiony FRST.

Results of screen317''s Security Check version 0.99.87
Windows 7 Service Pack 1 x86 (UAC is enabled)
Internet Explorer 11
``````````````Antivirus/Firewall Check:``````````````
avast! Antivirus
Antivirus up to date!
`````````Anti-malware/Other Utilities Check:`````````
CCleaner
Adobe Flash Player 12.0.0.44 Flash Player out of Date!
Adobe Reader 9 Adobe Reader out of Date!
Mozilla Firefox (32.0.2)
````````Process Check: objlist.exe by Laurent````````
Multimedia mobilNET OnlineUpdate ouc.exe
AVAST Software Avast AvastSvc.exe
AVAST Software Avast AvastUI.exe
`````````````````System Health check`````````````````
Total Fragmentation on Drive C:
````````````````````End of Log``````````````````````

Pozycje oznaczone na czerwono do aktualizacji.

Wyłącz osłony w programie avast,do póki nie zostanie zakończone działanie poniższego programu:
Ściągnij

[Aby zobaczyć linki, zarejestruj się tutaj]

Zapisz na pulpicie,uruchom i zaznacz Remove disinfection tools,następnie kliknij Run
Program do usuwania wszelkich użytych narzędzi typu OTL.ADW.FRST i innych.

mrjames · 26.09.2014, 12:08

FRST:

[Aby zobaczyć linki, zarejestruj się tutaj]

Czerwone zaktualizowane. Delfix zrobiony

**tachion** · 27.09.2014, 11:55

Wszystko poprawnie wykonane. Występują jeszcze jakieś problemy ?

mrjames · 27.09.2014, 13:14

Nie. Dziękuje bardzo dziś wieczorem wysle raporty z kolejnego laptopa Smile

mrjames · 28.09.2014, 07:46

A jednak jest problem. Wchodząc dziś w przeglądarkę komputer sie na jedenej ze stron zawiesił i nic nie działało: Ani mysz, ani CTRL+ALT+DEL. Nic

Arkovianin · 28.09.2014, 08:38

Nie dziwne jak korzystasz z XP ale to też nie jest regułą a dysk masz zdrowy??

**tachion** · 28.09.2014, 09:11

Akurat w tym wypadku systemem operacyjnym jest Windows 7 Smile

mrjames

Mogą to być różne przyczyny,programowe jak i sprzętowe ciężko powiedzieć.

Zrób jeszcze raz log z FRST.txt+Addition.txt

mrjames · 29.09.2014, 10:50

FRST:

[Aby zobaczyć linki, zarejestruj się tutaj]

Addition:

[Aby zobaczyć linki, zarejestruj się tutaj]

**tachion** · 29.09.2014, 17:43

Rozumiem że po zainstalowaniu opery i odpaleniu,system został zamrożony.

Zauważony nowy PUP,którego wcześniej nie było C:\Users\Rysiek\AppData\Local\Temp\ochelper.exe

Do notatnika wklej i zapisz jako fixlist.txt

Kod:
EmptyTemp:

Zapisany skrypt umieść obok ściągniętego programu FRST
Następnie w programie kliknij Fix,po wykonaniu pokaż raport z tego działania.

Zauważalne błędy związane z Microsoft Visual C++

Odinstaluj wszystkie wersje Microsoft Visual C++ 2008 Redistributable

Zainstaluj na nowo z poniższej strony

[Aby zobaczyć linki, zarejestruj się tutaj]

Zaloguj się
Login:
Hasło:	Nie pamiętam hasła
	Zapamiętaj mnie