Notoryczne zamykanie przeglądarki, podejrzenie infekcji

[Greenpower]

Otwórz menedżera zadań i tam w procesach jest jusched.exe od update javy, a nad tym procesem będą fałszywe jusched.exe odpowiedzialne za zamykanie przeglądarek.Oby tylko za zamykanie Fałszywy pliczek wywaliłem ręcznie.

Dostępne tylko dla zarejestrowanych użytkowników

Dostępne tylko dla zarejestrowanych użytkowników

Dostępne tylko dla zarejestrowanych użytkowników

Dostępne tylko dla zarejestrowanych użytkowników

[kominekl]

Otwórz menedżera zadań i tam w procesach jest jusched.exe od update javy, a nad tym procesem będą fałszywe jusched.exe odpowiedzialne za zamykanie przeglądarek.Oby tylko za zamykanie Fałszywy pliczek wywaliłem ręcznie.

Nie wiem czemu tutaj te logi, w ogóle nie wiem o co chodzi... . Jestem zdezorientowany. Jednak logi sprawdzę.

Wejdź w START -> URUCHOM -> Msconfig -> Usługi -> odznacz usługi -> Windows Defender i NVIDIA Update.

Następnie wejdź w Menedżer Urządzeń -> Kontrolery IDE ATA/ATAPI -> Podstawowy kanał IDE -> Ustawienia zaawansowane -> Sprawdź, jak jest ustawiony Bieżący tryb transferu. To samo robisz dla Pomocniczego kanału IDE.

Następnie uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

FF:64bit: - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF64_11_1_102.dll File not found
FF:64bit: - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
[2012-01-10 14:17:59 | 000,000,000 | ---D | M] (Battlefield Heroes Updater) -- C:\Users\Artur\AppData\Roaming\mozilla\Firefox\Profiles\e1nn0xc3.default\extensions\battlefieldheroespatcher@ea.com
[2011-12-17 17:53:55 | 000,000,000 | ---D | M] (Iplex to ALLPlayer) -- C:\Users\Artur\AppData\Roaming\mozilla\Firefox\Profiles\e1nn0xc3.default\extensions\IplextoALL@ALLPlayer.org
O4 - HKCU..\Run: [DTlite] C:\Users\Artur\AppData\Roaming\Microsoft\DTlite.exe ( )
O4 - HKCU..\Run: [Java] C:\Users\Artur\AppData\Roaming\Microsoft\jusched.exe File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
O8:64bit: - Extra context menu item: Add to AMV Converter... - C:\Program Files (x86)\MP3 Player Utilities 4.19\AMVConverter\grab.html ()
O8:64bit: - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://C:\PROGRA~2\MICROS~1\Office12\EXCEL.EXE/3000 File not found
O8 - Extra context menu item: Add to AMV Converter... - C:\Program Files (x86)\MP3 Player Utilities 4.19\AMVConverter\grab.html ()
O8 - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://C:\PROGRA~2\MICROS~1\Office12\EXCEL.EXE/3000 File not found
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} Dostępne tylko dla zarejestrowanych użytkowników (Shockwave Flash Object)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} Dostępne tylko dla zarejestrowanych użytkowników (Shockwave Flash Object)
@Alternate Data Stream - 113 bytes -> C:\ProgramData\TEMP:76650B61

:Files
C:\Users\Artur\AppData\Local\jusched.exe
C:\Users\Artur\AppData\Local\update.exe
C:\Users\Artur\AppData\Local\Setup.exe
C:\Users\Artur\AppData\Local\localstore.rdf
C:\Users\Artur\AppData\Local\Setup.dat
C:\Users\Artur\AppData\Local\DTlite.exe
C:\Users\Artur\AppData\Local\data1.cab
C:\Windows\MTUn175.exe

:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"DT ACR"=-
"NBKeyScan"=-
"PivotSoftware"=-
"WinampAgent"=-
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"ALLUpdate"=-
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"=-
"DAEMON Tools Lite"=-

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz nowe logi z OTL.

[Greenpower]

Przepraszam. Rano sprostuje ten chaos który tu wprowadziłem.


=============================

Tu się robią jaja. Mam nadzieję, że moderatorzy jakoś to uporządkują.

//Jaja uporządkowane.
//greh

[kominekl]

W porządku . wykonaj moje instrukcje z poprzedniego posta.

[Greenpower]

oto logi

z usuwania :

Dostępne tylko dla zarejestrowanych użytkowników

i kolejny OTL

Dostępne tylko dla zarejestrowanych użytkowników

Nie mam pojęcia czemu mój twardy dysk według Windowsa pracował w trybie multiword dma 2 (w biosie ahci). Teraz pracuje w trybie UDMA6.

[kominekl]

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} Dostępne tylko dla zarejestrowanych użytkowników (Shockwave Flash Object)

:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie w OTL -> Sprzątanie.

Odinstaluj starą wersję Java`y -> Java(TM) 6 Update 29 i zainstaluj najnowszą -> Dostępne tylko dla zarejestrowanych użytkowników.
Odinstaluj starą wersję programu do odczytu .PDF -> Adobe Reader 10.1.0 - Polish i zainstaluj najnowszą -> http://www.hotfix.pl/infusions/pro_down ... r-p515.htm.
Odinstaluj starą wersję paczki kodeków K-Lite Codec Pack 7.5.0. Zainstaluj najnowszą wersję K-Lite Codec Pack -> http://www.hotfix.pl/infusions/pro_down ... k-p155.htm.
Odinstaluj starą wersję Skype`a -> Skype™ 5.5 i zainstaluj najnowszą -> http://www.hotfix.pl/infusions/pro_down ... e-p147.htm.
Przeczyść dysk i rejestr CCleaner`em -> http://www.hotfix.pl/infusions/pro_down ... r-p158.htm.
Wykonaj pełne skanowanie Malwarebytes`em Anti-Malware (nie gódź się na wersję testową) -> http://www.hotfix.pl/infusions/pro_down ... e-p164.htm, jeśli coś znajdzie usuń i daj raport.

[Greenpower]

log z usuwania
Dostępne tylko dla zarejestrowanych użytkowników

j/w zainstalowałem najnowsze wersje, przeczyściłem CCleaner'em.

Malwarebytes Anti-Malware coś tam wykrył

Dostępne tylko dla zarejestrowanych użytkowników

[kominekl]

Opróżnij kwarantannę Malwarebytes.

[Greenpower]

Opróżniłem. Dzięki wielkie za poświęcony mi czas.
Pozdrawiam