Sheut
(Blaszka666)
8 Kwiecień 2015 08:28
#1
Witam, moja historia się zaczyna jak podczas instalacji pewnego programu zainstalowało się bez mojej wiedzy kilka innych. Od razu zauważyłem, że komputer spowolnił, gdy sprawdziłem menadżera zadań pojawiło się ponad 80 procesów w tym kilka posiadających losowe litery i liczby o rozszerzeniu .tmp. Automatycznie zaczęła się też otwierać pewna strona w przeglądarce. Od razu puściłem AdwCleanera, potem Malwarbytes Anti-Malware i Spybota, dziwne programy z dodaj/usuń programy zniknęły, strona startowa powróciła do poprzedniej, przestała sama się otwierać inna stronka, ale pozostały w menadżerze zadań 2 procesy .tmp, które zlokalizowałem w Appdata/Local, posiadały pliki o nazwie Uninstall jednak po uruchomieniu ich nic się nie działo. Żaden program nie wykrywał ich jako złośliwe, ale w końcu wpadłem na pomysł jak je usunać, po prostu zakończyłem te procesy i ręcznie usunąłem ich foldery z Appdata/Local. W związku z tym chciałbym prosić, aby ktoś sprawdził moje logi czy aby na pewno wszystkiego się pozbyłem i mój komputer jest wolny od syfów.
FRST: http://www.wklej.org/id/1682724/
Addition: http://www.wklej.org/id/1682726/
Odinstaluj - C:\Program Files (x86)\Spybot - Search & Destroy 2
Wklej do notatnika i zapisz jako fixlist:
CloseProcesses: HKLM…\Run: [RtHDVCpl] => C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe [10144288 2010-04-07] (Realtek Semiconductor) Winlogon\Notify\SDWinLogon-x32: SDWinLogon.dll [X] HKU\S-1-5-21-425697130-2423384976-1920107721-1000…\Policies\Explorer: [] HKU\S-1-5-21-425697130-2423384976-1920107721-1000…\Winlogon: [shell] C:\Windows\Explorer.exe [2871808 2011-02-25] (Microsoft Corporation) <==== ATTENTION BootExecute: autocheck autochk * sdnclean64.exe SearchScopes: HKU.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = Handler: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - No File FF DefaultSearchEngine,S: FF DefaultSearchUrl: FF SearchEngineOrder.1: FF SearchEngineOrder.1,S: FF SelectedSearchEngine,S: FF Plugin: adobe.com/AdobeAAMDetect -> C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\CCM\Utilities\npAdobeAAMDetect64.dll No File FF Plugin-x32: @pandonetworks.com /PandoWebPlugin -> C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll No File CHR DefaultSearchKeyword: Default -> istartsurf CHR DefaultSearchURL: Default -> http://www.istartsurf.com/web/?type=ds&ts=1428434286&from=obw&uid=WDCXWD5000BEVT-35A0RT0_WD-WX11EA01552115521&q={searchTerms} S2 konureno; C:\Users\Łukasz\AppData\Local\DBEB4974-1428441546-11E0-82EC-3F25E65755D1\cnsu471E.tmp [X] S2 tulusydo; C:\Users\Łukasz\AppData\Local\DBEB4974-1428441566-11E0-82EC-3F25E65755D1\snsu80B2.tmp [X] S3 APR; \ ??\C:\Program Files (x86)\GamersFirst\Knight Online\APR.sys [X] S3 cleanhlp; \ ??\C:\Program Files (x86)\Emsisoft Anti-Malware\cleanhlp64.sys [X] S3 EagleX64; \ ??\C:\Windows\system32\drivers\EagleX64.sys [X] S3 usbbus; system32\DRIVERS\lgx64bus.sys [X] S3 UsbDiag; system32\DRIVERS\lgx64diag.sys [X] S3 USBModem; system32\DRIVERS\lgx64modem.sys [X] 2015-04-07 22:34 - 2015-04-07 22:34 - 00001391 _____ () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Spybot-S&D Start Center.lnk 2015-04-07 22:34 - 2015-04-07 22:34 - 00001379 _____ () C:\Users\Public\Desktop\Spybot-S&D Start Center.lnk 2015-04-07 22:34 - 2015-04-07 22:34 - 00000000 ____D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Spybot - Search & Destroy 2 2015-04-07 22:33 - 2015-04-07 22:37 - 00000000 ____D () C:\Program Files (x86)\Spybot - Search & Destroy 2 2015-04-08 10:02 - 2009-07-14 07:08 - 00000006 ____H () C:\Windows\Tasks\SA.DAT 2015-04-07 22:34 - 2014-09-23 19:33 - 00000000 ____D () C:\ProgramData\Spybot - Search & Destroy HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\CleanHlp => “”=“Driver” HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\CleanHlp.sys => “”=“Driver” HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\CleanHlp => “”=“Driver” HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\CleanHlp.sys => “”=“Driver” EmptyTemp: Umieść fixlist rezem z FRST. Uruchom FRST i wykonaj polecenie FIX. Po restarcie usuń Fixlog, C:\FRST i pozostałe raporty
Sheut
(Blaszka666)
8 Kwiecień 2015 10:56
#3
Zrobione, bardzo dziękuję za pomoc i poświęcenie mi czasu. Rozumiem, że na przyszłość lepiej już nie korzystać ze Spybota?