Hej.

Mam problem. Od kilku dni, raz dziennie, obojętnie, co robię, uruchamia mi się Internet Explorer i strona mmotraffic.

Czytałam, że to wirus. Spowolnił mi się internet, strony ładowały się nie do końca, albo byly strasznie rozwalone, aż w końcu dzisiaj przestały się ładować kompletnie. I to zarówno na Chrome, jak i na Maxthonie.

W menu Start znalazłam folder WorldofTanks, a w nim skrót. Gdy wybrałam właściwości, zauważyłam, że jest “podpięty” pod iexplore.exe ze stroną internetową, którą uruchamia codziennie właśnie.

2zqwqhh.png459×515

Jako element docelowy ma: C:\Program Files (x86)\Internet Explorer\iexplore.exe" http://mmotraffic.com/catalog/goplay/1327/MTE3NjYvLy8xMzI3/

Najpierw z Panelu Sterowania wybrałam Odinstalowywanie programów i wywaliłam wszystko, co w ciągu ostatnich tygodni się pojawiło, a czego nie znałam. Przywróciłam ustawienia domyślne w IE. Sprawdziłam wszystkie przeglądarki pod względem zainstalowanych rozszerzeń, ale nic nie było. Potem przeskanowałam komputer antywirusem i wrzuciłam do kwarantanny wszystko, co znalazł. Następnie przeskanowałam jeszcze ADWCleaner, HitmanPro, Malwarebytes Anti-Malware. Wszystko, co te programy znalazły, również usunęłam, lub dałam do kwarantanny. Internet się odblokował, strony się ładują, niby wszystko okej.

Ale ten plik WorldofTanks mnie niepokoi. Nie wiem, jak się go pozbyć. Żaden z programów go nie wykrył, w Odinstalowywaniu programów z Panelu Sterownia tego nie ma, CCleaner też go nie wyświetla. Siłą rzeczy, to tylko skrót. Nie wiem, czy usunięcie go coś by dało. Na razie zostawiłam, bo może to coś poważniejszego i ktoś coś wymyśli. Nie wiem też, czy może usunąć to iexplore.exe, nie wiem, czy mi wolno; słabo się znam, jak widać i wolałabym, żeby ktoś mądrzejszy mi coś poradził, zanim zabiorę się za rzeczy, na ktorych się nie znam, albo sobie rozwalę komputer. Czy np. wyłączenie IE w “Wyłączanie funkcji systemu Windows” coś da? Bardzo chciałabym też uniknąć formata.

Proszę o pomoc.

Raport z FRST:

http://www.wklej.org/id/1421424/

http://www.wklej.org/id/1421425/

OTL:

http://www.wklej.org/id/1421436/

http://www.wklej.org/id/1421438/

Windows 7 64

Odinstaluj Akamai NetSession Interface.

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

HKU\S-1-5-21-1770681232-3153981034-1503030871-1003\...\Run: [Akamai NetSession Interface] => C:\Users\Ada\AppData\Local\Akamai\netsession_win.exe [4672920 2014-04-17] (Akamai Technologies, Inc.)
HKU\S-1-5-21-1770681232-3153981034-1503030871-1003\...\Run: [Yahoo! Search] => C:\Users\Ada\AppData\Local\Pay-By-Ads\Yahoo! Search\1.3.8.2\dsrlte.exe 
HKU\S-1-5-21-1770681232-3153981034-1503030871-1003\...\Run: [ALLUpdate] => "C:\Program Files (x86)\ALLPlayer\ALLUpdate.exe" "sleep" 
StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe
SearchScopes: HKLM-x32 - DefaultScope value is missing.
SearchScopes: HKCU - {8202BF73-DD35-4422-BA99-7AC34329A665} URL = http://rts.dsrlte.com/?q={searchTerms}&r=431
Toolbar: HKCU - No Name - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No File
DPF: HKLM-x32 {68282C51-9459-467B-95BF-3C0E89627E55} http://www.mks.com.pl/skaner/SkanerOnline.cab
CHR HKLM-x32\...\Chrome\Extension: [fealnpfjifonchkodiffbdkfaipmpkhe] - C:\Users\Ada\AppData\Local\Temp\tbch.crx [2011-12-21]
S2 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe -service [X]
S3 catchme; \??\C:\ComboFix\catchme.sys [X]
S3 dump_wmimmc; \??\C:\ijji\ENGLISH\AVA\Binaries\GameGuard\dump_wmimmc.sys [X]
S3 EagleX64; \??\C:\windows\system32\drivers\EagleX64.sys [X]
U2 IviRegMgr; 
U3 RichVideo; 
C:\AdwCleaner
Task: {05275C3C-0B4B-48CC-B575-D1D13CAD207E} - System32\Tasks\RealUpgradeScheduledTaskS-1-5-21-1770681232-3153981034-1503030871-1003 => C:\Program Files (x86)\Real\RealUpgrade\RealUpgrade.exe [2012-06-21] (RealNetworks, Inc.)
Task: {067C7398-FD4F-4FE7-8B67-C0B5E80A7388} - System32\Tasks\{6F924E72-37EF-4F54-BE86-0A6B864DAA80} => D:\Combat Arms EU\CombatArms.exe
Task: {159BB35C-0C3B-4B40-8884-0D2EC5D2980F} - \BitGuard No Task File <==== ATTENTION
Task: {5C93CA6B-DEDA-4A5A-8E26-7780D452CDF1} - System32\Tasks\{DD3FEE9E-CA14-45AE-BAD1-0F4BB29C4180} => D:\Nexon\Combat Arms EU\CombatArms.exe
Task: {876BFDBA-1C88-478D-A197-D63C710EF5FF} - \AdobeFlashPlayerUpdate No Task File <==== ATTENTION
Task: {8808D2E7-1A1A-4BF2-B6C7-E2FB4266F4DF} - \AdobeFlashPlayerUpdate 2 No Task File <==== ATTENTION
Task: {97F6E9CA-0BA4-41C2-B749-B4C0EC35DA85} - System32\Tasks\{EFBE13EF-0DCC-4614-9E29-8DC31C18B902} => C:\Nexon\Combat Arms EU\CombatArms.exe [2014-04-24] (Nexon)
Task: {C7075EE8-610C-4164-BBDC-935FB87265B8} - System32\Tasks\{B135E4A5-3C94-4E6C-AE49-1F6E603FD17E} => D:\Nexon\Combat Arms EU\CombatArms.exe
Task: {D079C6A4-235B-458C-8749-FA7877CBF8CE} - System32\Tasks\{86DE631A-AB11-443F-81C9-BE6737F12471} => D:\Nexon\Combat Arms EU\CombatArms.exe
Task: {D49A7B42-8983-4012-A9F7-1B5957EAF66A} - System32\Tasks\Game_Booster_Startup => C:\Program Files (x86)\IObit\Game Booster\GameBox.exe
Task: {D4AA0C94-CE0B-4353-BC8E-F7BAAE1652C4} - System32\Tasks\Launch HTC Sync Loader => C:\Program Files (x86)\HTC\HTC Sync 3.0\htcUPCTLoader.exe
Task: {F0B64310-95D7-4C54-A58E-01509EFF4772} - \EPUpdater No Task File <==== ATTENTION
Task: {F116E339-9804-4F12-92DD-1D251A0C9A16} - System32\Tasks\Apple\AppleSoftwareUpdate => C:\Program Files (x86)\Apple Software Update\SoftwareUpdate.exe [2011-06-01] (Apple Inc.)
Task: {F29C0095-43A2-40DD-B2B3-46D345F399CA} - System32\Tasks\{87AEB9EC-57EA-48CC-A2C0-B5382AB61F51} => C:\Users\Ada\Desktop\mx4.2.1.1000.exe
Task: {FBEFCF21-A857-4564-A8DE-33CD8A5CDFB6} - System32\Tasks\{8E1E5BB9-7EA2-4149-9E29-FA00D8497C57} => D:\Nexon\Combat Arms EU\CombatArms.exe
Task: {FF137F9B-766B-441D-B924-0B60DFF3531A} - System32\Tasks\RealUpgradeLogonTaskS-1-5-21-1770681232-3153981034-1503030871-1003 => C:\Program Files (x86)\Real\RealUpgrade\RealUpgrade.exe [2012-06-21] (RealNetworks, Inc.)
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MpfService => ""="Service"
C:\Users\Ada\AppData\Roaming\WorldofTanks
C:\Users\Ada\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WorldofTanks
C:\Users\Ada\AppData\Local\WorldofTanks
CMD: del /f /s /q %TEMP%\*.*

Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.

Kliknij Scan i pokaż nowy raport z FRST bez Addition.

Kolega informatyk, tuż przed Twoją odpowiedzią się do mnie odezwał i kazał zrobić podobną rzecz.

Logi, które się wygenerowały po jego “interwencji”:

http://www.wklej.org/id/1421498/

http://www.wklej.org/id/1421520/

Nie widzę nigdzie już Worldoftanks. Pytanie tylko, czy “moved succesfully” to dobrze. Moved to przeniesiony… czy tutaj się to czyta inaczej i zostało to usunięte i nie będzie mnie więcej niepokoić?

W takim razie korzystaj z pomocy kolegi, bo nie wiem w jakim celu założyłaś ten temat.