Wirus URL Mal Proces C:\Windows\explorer.exe

[AgnieszkaT]

Witam serdecznie.

Zwracam się z prośbą o pomoc w usunięciu w/w wirusa z mojego komputera.

Wybrałam to forum, ponieważ widzę tutaj najbardziej przejrzyste i czytelne polecenia dla osób takich jak ja, czyli mało znających się na komputerach.

 

Program Avast co chwilę blokuje niebezpieczną stronę lub plik

 

Zarażenie: URL: Mal

Proces: C:\Windows\explorer.exe

 

W załączniku przesyłam logi.

 

Niestety przy skanowaniu programem GMER pojawiał się komunikat, że program przestał działać.

Addition_06-07-2015_23-49-38.txt

FRST_06-07-2015_23-49-38.txt

Shortcut.txt

[jessica]

1) Odinstaluj
 

FindWide.com (HKU\S-1-5-21-3654260889-3095111008-2617426574-1000\...\{2DC52815-CC42-4808-8BE2-838540194AFB}) (Version:  - FindWide.com) <==== ATTENTION

YAC(Yet Another Cleaner!) (HKLM-x32\...\iSafe) (Version: 6.6.94 - ELEX DO BRASIL PARTICIPAÇÕES LTDA) <==== ATTENTION

 

2)  Użyj >Adw-cleaner
najpierw kliknij na SZUKAJ (SCAN), a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ (CLEANING), to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner\AdwCleaner.txt

 

3) Zrób nowe logi FRST

 

jessi

[AgnieszkaT]

1) Odinstaluj

 

 

2)  Użyj >Adw-cleaner

najpierw kliknij na SZUKAJ (SCAN), a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ (CLEANING), to kliknij na niego.

Pokaż raport z niego C:\AdwCleaner\AdwCleaner.txt

 

3) Zrób nowe logi FRST

 

jessi

Gdy chciałam odinstalowac FindWide pokazal sie komunikat, ze program zostal wczesniej juz usunięty, czy usunąc go z listy. Usunęłam.

AdwCleanerS0.txt

AdwCleanerS1.txt

Addition_07-07-2015_09-45-06.txt

FRST_07-07-2015_09-45-06.txt

Shortcut01.txt

[jessica]

YAC(Yet Another Cleaner!) (HKLM-x32\...\iSafe) (Version: 6.6.94 - ELEX DO BRASIL PARTICIPAÇÕES LTDA) <==== ATTENTION

 

Nie wiem dlaczego to dalej jest na liście Twoich programów.

 

Otwórz Notatnik i wklej w nim:

 

CustomCLSID: HKU\S-1-5-21-3654260889-3095111008-2617426574-1000_Classes\CLSID\{F6BF8414-962C-40FE-90F1-B80A7E72DB9A}\InprocServer32 -> C:\ProgramData\{9A88E103-A20A-4EA5-8636-C73B709A5BF8}\eqossnap.dll (inrrooCoti sfcoprotaM) <==== ATTENTION

C:\ProgramData\{9A88E103-A20A-4EA5-8636-C73B709A5BF8}

C:\Program Files (x86)\Elex-tech

HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION

HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.yac.mx/?utm_source=b&utm_medium=iSafe&from=iSafe&uid=st9320325as_6vd874vtxxxx6vd874vt

HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://search.yac.mx/?utm_source=b&utm_medium=iSafe&from=iSafe&uid=st9320325as_6vd874vtxxxx6vd874vt

Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes" /f

Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f

Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f

Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\iSafe" /f

Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\LanzarP2006" /f

HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://search.yac.mx/?utm_source=b&utm_medium=iSafe&from=iSafe&uid=st9320325as_6vd874vtxxxx6vd874vt

HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://search.yac.mx/?utm_source=b&utm_medium=iSafe&from=iSafe&uid=st9320325as_6vd874vtxxxx6vd874vt

HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.yac.mx/?utm_source=b&utm_medium=iSafe&from=iSafe&uid=st9320325as_6vd874vtxxxx6vd874vt

HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://search.yac.mx/?utm_source=b&utm_medium=iSafe&from=iSafe&uid=st9320325as_6vd874vtxxxx6vd874vt

HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.yac.mx/?utm_source=b&utm_medium=iSafe&from=iSafe&uid=st9320325as_6vd874vtxxxx6vd874vt

HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://search.yac.mx/?utm_source=b&utm_medium=iSafe&from=iSafe&uid=st9320325as_6vd874vtxxxx6vd874vt

HKU\S-1-5-21-3654260889-3095111008-2617426574-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.yac.mx/?utm_source=b&utm_medium=iSafe&from=iSafe&uid=st9320325as_6vd874vtxxxx6vd874vt

HKU\S-1-5-21-3654260889-3095111008-2617426574-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://search.yac.mx/?utm_source=b&utm_medium=iSafe&from=iSafe&uid=st9320325as_6vd874vtxxxx6vd874vt

SearchScopes: HKU\S-1-5-21-3654260889-3095111008-2617426574-1000 -> {D4FB9986-6549-4670-8AEC-1496A47833AF} URL = http://search.yahoo.com/search?p={searchTerms}&fr=tightropetb&type=10809

BHO-x32: Google Dictionary Compression sdch -> {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} -> C:\Program Files (x86)\Google\Google Toolbar\Component\fastsearch_B7C5AC242193BB3E.dll No File

Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} -  No File

Toolbar: HKU\S-1-5-21-3654260889-3095111008-2617426574-1000 -> No Name - {CA39F5ED-8ABA-4897-88B1-5DDE3FB75E34} -  No File

Toolbar: HKU\S-1-5-21-3654260889-3095111008-2617426574-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File

FF Homepage: hxxp://search.yac.mx/?utm_source=b&utm_medium=iSafe&from=iSafe&uid=st9320325as_6vd874vtxxxx6vd874vt

FF NewTab: hxxp://search.yac.mx/?utm_source=b&utm_medium=iSafe&from=iSafe&uid=st9320325as_6vd874vtxxxx6vd874vt

FF Plugin HKU\S-1-5-21-3654260889-3095111008-2617426574-1000: @tnt2ghost.com/Plugin -> C:\Users\Rodzina\AppData\Local\TNT2\2.0.0.1702\npTNT2ghost.dll No File

FF Plugin HKU\S-1-5-21-3654260889-3095111008-2617426574-1000: @tnt2npapi.com/Plugin -> C:\Users\Rodzina\AppData\Local\TNT2\2.0.0.1702\npTNT2.dll No File

R2 iSafeService; C:\Program Files (x86)\Elex-tech\YAC\iSafeSvc.exe [118048 2015-04-16] (Elex do Brasil Participações Ltda)

S2 Update Deal Keeper; "C:\Program Files (x86)\Deal Keeper\updateDealKeeper.exe" [X]

S2 Update Jump Flip; "C:\Program Files (x86)\Jump Flip\updateJumpFlip.exe" [X]

R1 iSafeKrnl; C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnl.sys [260856 2015-05-14] (Elex do Brasil Participações Ltda)

R1 iSafeKrnlKit; C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlKit.sys [108616 2015-04-16] (Elex do Brasil Participações Ltda)

R1 iSafeKrnlMon; C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlMon.sys [50944 2015-04-16] (Elex do Brasil Participações Ltda)

R1 iSafeKrnlR3; C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlR3.sys [103904 2015-07-01] (Elex do Brasil Participações Ltda)

R1 iSafeNetFilter; C:\Windows\System32\DRIVERS\iSafeNetFilter.sys [52392 2015-04-14] (Elex do Brasil Participações Ltda)

C:\Windows\System32\DRIVERS\iSafeNetFilter.sys

C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlR3.sys

S3 iSafeKrnlBoot; system32\DRIVERS\iSafeKrnlBoot.sys [X]

S3 Prot6Flt; system32\DRIVERS\Prot6Flt.sys [X]

C:\Users\Rodzina\AppData\Roaming\Elex-tech

EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe

Uruchom FRST i kliknij przycisk Fix.

Powstanie plik fixlog.txt.

Daj ten log.

 

Zrób nowe logi FRST - już bez Shortcut.

 

jessi