Wiele procesów explorer.exe*32, element startowy

Dla specjalistów Bezpieczeństwo
#1

Witam, mam podobny problem jak wielu użytkowników, mianowicie złapałem wirusa prawdopodobnie z Facebooka (choć nie wiem jakim sposobem, gdyż w linki “rozsiewające” nie wchodzę, ogólnie zastępuje mi GG). Oczywiście komputer spowolnił swoją pracę, spadło dosłownie wszystko w wydajności. Choć już wiem co to najprawdopodobniej jest,a nawet widzę tego dobitną obecność w Menedżerze Zadań i msconfig, to nie znam się niestety na skryptach OTL. I tutaj właśnie moja prośba, czy mógłby mi ktoś napisać skrypt fixujący i ewentualnie co tam jeszcze byłoby potrzebne do doprowadzenia systemu do porządku. Antywirus (Avast), CCleaner także zostały już użyte. :wink:  

 

Mój sprzęt (choć zauważyłem, że w wynikach skanowania także jest to wypisane):

Windows 7 Ultimate (64 bitowy)

nVidia GeForce GTX 460 GAINWARD 2GB GDDR5

AMD Phenom II X6 1055T 2,8GHz

8,00 GB ram DDR3

 

Dołączam również wyniki skanów OTL (pełne, ze wszystkimi opcjami chyba). Z góry dziękuje za pomoc. :wink:

 

OTL.txt

http://www.sendspace.pl/file/49d61364a2f099ce68b3e56

EXTRAS.txt

http://www.sendspace.pl/file/76ac105023e05f572e942cf

#2

Pobierz Farbar Recovery Scan Tool zgodny z wersją systemu 32-bit lub 64-bit.

Uruchom FRST i kliknij Scan. Pokaż raport FRST i Addition.

Raporty umieść na http://wklej.org/ i podaj link.

#3

Tutaj jest raport FRST:

http://wklej.org/id/1408151/

 

Tutaj raport Addition:

http://wklej.org/id/1408159/

#4

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

HKU\S-1-5-21-3001067418-1818125569-2147443445-1000\...\Run: [svchost] => regsvr32 /s "C:\Temp:089BCB47.dat"
AppInit_DLLs: => File Not Found
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.splashtop.com/asusexpressgate/mb/searchAPI.php?SE=yahoo&QS=http%3A%2F%2Fuk.search.yahoo.com%2Fsearch%3Ffr%3Dfp-devicevm%26type%3DWEB01
StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe
SearchScopes: HKCU - DefaultScope {AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8} URL = http://www.daemon-search.com/search?q={searchTerms}
SearchScopes: HKCU - {1B2417DA-5DEF-430a-A5E5-FFBE0CBF397A} URL = http://uk.search.yahoo.com/search?p={searchTerms}&fr=chr-devicevm&type=EGMB
SearchScopes: HKCU - {AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8} URL = http://www.daemon-search.com/search?q={searchTerms}
Toolbar: HKLM - No Name - {32099AAC-C132-4136-9E9A-4E364A424E17} - No File
Toolbar: HKCU - No Name - {32099AAC-C132-4136-9E9A-4E364A424E17} - No File
S3 TBPanel; No ImagePath
S3 andnetadb; System32\Drivers\lgandnetadb.sys [X]
S3 AndNetDiag; system32\DRIVERS\lgandnetdiag64.sys [X]
S3 ANDNetModem; system32\DRIVERS\lgandnetmodem64.sys [X]
S3 catchme; \??\C:\ComboFix\catchme.sys [X]
S3 dump_wmimmc; \??\D:\Gry\Lineage II\system\GameGuard\dump_wmimmc.sys [X]
S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X]
S3 GGSAFERDriver; \??\E:\Programy\Garena\safedrv.sys [X]
S3 netr7364; system32\DRIVERS\netr7364.sys [X]
S3 usbbus; system32\DRIVERS\lgx64bus.sys [X]
S3 X6va009; \??\C:\Windows\SysWOW64\Drivers\X6va009 [X]
C:\Temp
C:\Users\Grzyb\AppData\Local\Temp\*.dll
C:\Users\Grzyb\AppData\Local\Temp\*.exe
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA" /f
Reboot:

Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.

Kliknij Scan i pokaż nowy raport z FRST bez Addition.

#5

Raport Fixlog:

http://wklej.org/id/1408201/

 

Nowy raport FRST:

http://wklej.org/id/1408204/

#6

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

HKU\S-1-5-21-3001067418-1818125569-2147443445-1000\...\Run: [AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA] => 1
HKU\S-1-5-21-3001067418-1818125569-2147443445-1000\...\Run: [svchost] => regsvr32 /s "C:\Temp:089BCB47.dat"
C:\Temp
Reg: reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows" /v AppInit_DLLs /t REG_SZ /d "" /f

Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.

Kliknij Scan i pokaż nowy raport z FRST bez Addition.

#7

Raport Fixlog:

http://wklej.org/id/1408549/

 

Raport FRST:

http://wklej.org/id/1408553/

#8

Usuń adres splashtop: Otwórz konkretną stronę lub zestaw stron

Skasuj folder C:\FRST

Pobierz TFC - Temp File Cleaner Uruchom TFC i kliknij Start.

Usuń stare punkty przywracania: Aby usunąć wszystkie punkty przywracania

Dysk przeskanuj Malwarebytes Anti-Malware

Podczas instalacji usuń zaznaczenie przy Uruchom okres testowy Malwarebytes Anti-Malware Premium.

http://wstaw.org/m/2014/03/25/2014-03-25_123039.png

Język PL > Settings > General Settings > Language > Polish

Odinstaluj:

Adobe Flash Player 13 Plugin

Adobe Reader X

Java 7 Update 55

Microsoft Silverlight

Zainstaluj:

Java 7 Update 60

Adobe Reader XI 11.0.7

Flash Player 14.0.0.125 Plugin-based browsers

Silverlight 5.1.30214.0

Service Pack 1 x64 (903.2 MB)

Internet Explorer 11