michalprog Opublikowano 1 Sierpnia 2015 Zgłoś Udostępnij Opublikowano 1 Sierpnia 2015 Dzień dobry. Koleżanka poprosiła mnie, abym pomógł jej odwirusować komputer. Jest tu zainstalowany Avira AV, który co chwila wyrzuca komunikat o jakimś wirusie i odmowie dostępu. W przeglądarce chrome, wyświetla się jako strona domowa jakaś dziwna witryna, wyszukiwarka przekierowuje na inne strony, są też reklamy. Podaję logi: FRST: Shortcut, FRST, Addition GMER: http://wklej.org/id/1766575/AdwCleaner: AdwCleaner[R0]OTL: OTL, ExtrasRSIT: log, info Proszę o sprawdzenie, dziękuję i pozdrawiam Michał Pawłowski Odnośnik do komentarza
jessica Opublikowano 1 Sierpnia 2015 Zgłoś Udostępnij Opublikowano 1 Sierpnia 2015 Logi są sprzed tygodnia. 1) Odinstaluj te programy: AnyProtect (HKLM-x32\...\AnyProtect) (Version: 1.0.0.4 - CMI Limited) <==== ATTENTION AVG Security Toolbar (HKLM-x32\...\AVG Secure Search) (Version: 18.7.0.147 - AVG Technologies) BlockAndSurf (HKLM-x32\...\9D200663-F70D-D1AA-E633-EEBDBC95D7E5) (Version: - BlockAndSurf-software) <==== ATTENTION ConvertAd (HKLM-x32\...\ConvertAd) (Version: 1.0.0.0 - ConvertAd) <==== ATTENTION Delta Chrome Toolbar (HKLM-x32\...\Delta Chrome Toolbar) (Version: - Visual Tools) <==== ATTENTION Delta toolbar (HKLM-x32\...\delta) (Version: 1.8.21.5 - Delta) <==== ATTENTION iLivid (HKLM-x32\...\iLivid) (Version: 4.0.0.2624 - Bandoo Media Inc) <==== ATTENTION MagniPic (HKLM\...\{6DE35347-47DF-4DD6-AF3D-0FFDB60071B1}) (Version: 1.0 - ) <==== ATTENTION omiga-plus uninstall (HKLM-x32\...\omiga-plus uninstall) (Version: - omiga-plus) <==== ATTENTION Remote Desktop Access (VuuPC) (HKLM-x32\...\VOPackage) (Version: 1.0.0.0 - CMI Limited) <==== ATTENTION Search Protect (HKLM-x32\...\SearchProtect) (Version: 2.23.60.24 - Client Connect LTD) <==== ATTENTION toolbar on IE and Chrome (HKLM-x32\...\privitize) (Version: 1.8.16.22 - Industriya) Video Download Converter version 1.0.0.0 (HKLM-x32\...\VDC_is1) (Version: 1.0.0.0 - ) <==== ATTENTION webssearches uninstall (HKLM-x32\...\webssearches uninstall) (Version: - webssearches) <==== ATTENTION Picexa (HKLM-x32\...\Picexa) (Version: - Taiwan Shui Mu Chih Ching Technology Limited) 2)) Adw-Cleaner: najpierw kliknij na SZUKAJ (SCAN), a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ (CLEANING), to kliknij na niego. Pokaż raport z niego C:\AdwCleaner\AdwCleaner.txt 3) Zrób nowe logi FRST. jessi Odnośnik do komentarza
michalprog Opublikowano 1 Sierpnia 2015 Autor Zgłoś Udostępnij Opublikowano 1 Sierpnia 2015 Adw: http://wklej.org/id/1766724/ FRST: http://wklej.org/id/1766735/ http://wklej.org/id/1766736/ http://wklej.org/id/1766737/ Jest zdecydowanie lepiej, ale av nadal alarmuje (Snipping tool plus 3.4.1.0 Downloader.exe) Proszę o jakieś wskazówki Odnośnik do komentarza
jessica Opublikowano 1 Sierpnia 2015 Zgłoś Udostępnij Opublikowano 1 Sierpnia 2015 1) Użyj >>RogueKiller (aby pobrać kliknij na obrazek x64 po Lien de téléchargement :)Kliknij w nim SCAN, a po wyszukaniu szkodliwych rzeczy kliknij DELETE. Pokaż oba raporty z niego. 2) Otwórz Notatnik i wklej w nim: C:\Users\Anna\googleupdate.exeC:\Users\Anna\jucheck.exeC:\Users\Anna\notepad.exeC:\Windows\Tasks\{271FC8F2-3068-4517-A5D2-DE0F32FABD26}.jobC:\$Recycle.Bin\S-1-5-21-3596678123-563365736-238587739-1000\$dd68e21f7ab636dd14d9852afa13c41aC:\ProgramData\bddafffffbecbc.cfgC:\ProgramData\birweksqwuqfndlC:\ProgramData\poxfvcupxfporbeC:\ProgramData\umisvraysicuqwxC:\Users\Anna\AppData\Local\nsa478D.tmpC:\ProgramData\InstallMateFF HKLM-x32\...\Firefox\Extensions: [avg@toolbar] - C:\ProgramData\AVG Secure Search\FireFoxExt\17.3.0.49FF HKLM-x32\...\Firefox\Extensions: [8hffxtbr@Allin1Convert_8h.com] - C:\Program Files (x86)\Allin1Convert_8h\bar\1.binFF HKU\S-1-5-21-3596678123-563365736-238587739-1000\...\Firefox\Extensions: [{7FF62C02-5B5D-CE36-F37E-D2B63C8A2E4F}] - C:\Program Files (x86)\ver5BlockAndSurf\187.xpiFF HKLM-x32\...\Firefox\Extensions: [4zffxtbr@VideoDownloadConverter_4z.com] - C:\Program Files (x86)\VideoDownloadConverter_4z\bar\1.binC:\Program Files (x86)\VideoDownloadConverter_4zC:\Program Files (x86)\ver5BlockAndSurfC:\Program Files (x86)\Allin1Convert_8hC:\ProgramData\AVG Secure SearchBHO-x32: Toolbar BHO -> {fbcbc43a-dca9-4192-a4c8-b57fd0f77d4d} -> C:\PROGRA~2\ALLIN1~2\bar\1.bin\8hbar.dll No FileURLSearchHook: HKU\S-1-5-21-3596678123-563365736-238587739-1000 - (No Name) - {5bcf818d-78c8-41b8-ba89-65c5fdac4fc4} - C:\Program Files (x86)\Allin1Convert_8h\bar\1.bin\8hSrcAs.dll No FileHKU\S-1-5-21-3596678123-563365736-238587739-1000\...\Run: [bddafffffbecbc] => "C:\ProgramData\bddafffffbecbc.exe"HKU\S-1-5-21-3596678123-563365736-238587739-1000\...409d6c4515e9\InprocServer32: [Default-shell32] C:\$Recycle.Bin\S-1-5-21-3596678123-563365736-238587739-1000\$dd68e21f7ab636dd14d9852afa13c41a\n.ATTENTION! ====> ZeroAccess?HKU\S-1-5-21-3596678123-563365736-238587739-1000\...\Run: [Adobe CSS5.1 Manager] => C:\Users\Anna\AppData\Local\b56dd0a0-2810-4f80-8f95-f3ffb7e921cbad\bddafffffbecbad.exe <===== ATTENTIONC:\Users\Anna\AppData\Local\b56dd0a0-2810-4f80-8f95-f3ffb7e921cbadReg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes" /fReg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /fReg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /fHKLM\...\Run: [Allin1Convert Home Page Guard 64 bit] => "C:\PROGRA~2\ALLIN1~2\bar\1.bin\AppIntegrator64.exe"Task: C:\Windows\Tasks\{271FC8F2-3068-4517-A5D2-DE0F32FABD26}.job => C:\Users\Anna\AppData\Local\b56dd0a0-2810-4f80-8f95-f3ffb7e921cbad\bddafffffbecbad.exeTask: {0CACD429-9E47-4A1E-A19B-CA909FC3E59E} - System32\Tasks\{271FC8F2-3068-4517-A5D2-DE0F32FABD26} => C:\Users\Anna\AppData\Local\b56dd0a0-2810-4f80-8f95-f3ffb7e921cbad\bddafffffbecbad.exeCustomCLSID: HKU\S-1-5-21-3596678123-563365736-238587739-1000_Classes\CLSID\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InprocServer32 -> C:\$Recycle.Bin ()c:\Users\Anna\AppData\Roaming\Microsoft\Windows\SendTo\Desk 365.lnk ListPermissions: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\NlaSvcListPermissions: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\NlaSvc\ParametersListPermissions: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\NlaSvc\Security File: C:\Windows\System32\nlasvc.dll Reg: reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\NlaSvc" /sReg: reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\NlaSvc\Parameters" /sReg: reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\NlaSvc\Security" /s EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exeUruchom FRST i kliknij przycisk Fix.Powstanie plik fixlog.txt.Daj ten log. 3) Zrób nowe logi FRST. 4) Zrób log z Farbar Service Scanner >http://download.bleepingcomputer.com/farbar/FSS.exe (do skanowania zaznacz wszystko). jessi Odnośnik do komentarza
michalprog Opublikowano 2 Sierpnia 2015 Autor Zgłoś Udostępnij Opublikowano 2 Sierpnia 2015 RogueKiller (tylko jeden log uzyskałem): http://wklej.org/id/1767180/ FRST: fix: http://wklej.org/id/1767184/ reszta: http://wklej.org/id/1767185/ http://wklej.org/id/1767186/ http://wklej.org/id/1767187/ FSS: http://wklej.org/id/1767174/ PS - cały czas AV zgłasza problem z programem Snipping tool plus 3.4.1.0 Downloader.exe Odnośnik do komentarza
jessica Opublikowano 2 Sierpnia 2015 Zgłoś Udostępnij Opublikowano 2 Sierpnia 2015 Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Accessories\Snipping Tool.lnk -> C:\Windows\System32\SnippingTool.exe (Microsoft Corporation) Sprawdź te pliki na --> JOTTI/ albo na VIRUSTOTAL Innych obiektów o tej nazwie w logach nie ma. Otwórz Notatnik i wklej w nim: C:\Windows\Installer\{B8AE7AD1-7534-4AA9-B3D4-886D8C653A47}Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Podatnik.info\Podatnik.info - Widget.lnk C:\Users\Anna\Desktop\Continue Live Installation (2).lnk C:\Users\Anna\Desktop\RÓŻNE\oferta na stronę.lnk C:\Users\Anna\Desktop\RÓŻNE\list motywacyjny Trenkwalder.lnk C:\Users\Anna\Desktop\RÓŻNE\Skype.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Podatnik.info\Podatnik.info - Widget.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Podatnik.info - Widget.lnk EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe Uruchom FRST i kliknij przycisk Fix. Powstanie plik fixlog.txt. Daj ten log. jessi Odnośnik do komentarza
michalprog Opublikowano 2 Sierpnia 2015 Autor Zgłoś Udostępnij Opublikowano 2 Sierpnia 2015 FRST: http://wklej.org/id/1767288/ Plik Snipping... był na pulpicie, skasowałem go ręcznie. Ale zauważyłem, że ta Avira wykrywa wirus nawet w pliku instalacyjnym open office, więc może coś z nią jest (avirą) dzięki Michał Pawłowski Odnośnik do komentarza
jessica Opublikowano 2 Sierpnia 2015 Zgłoś Udostępnij Opublikowano 2 Sierpnia 2015 Ale zauważyłem, że ta Avira wykrywa wirus nawet w pliku instalacyjnym open office, więc może coś z nią jest (avirą) Być może, ale niekoniecznie, bo Antywirusy uważają, że instalatory programów, po ich zainstalowaniu, powinny być usuwane. Otwórz Notatnik i wklej w nim: DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok FRST. Uruchom FRST i kliknij w Fix. przez SHIFT+DEL usuń pozostały folder C:\FRST. W Adw-Cleaner kliknij na przycisk Odinstaluj (UNINSTALL). Roque Killer - usuń ręcznie. FSS - usuń ręcznie. jessi Odnośnik do komentarza
michalprog Opublikowano 3 Sierpnia 2015 Autor Zgłoś Udostępnij Opublikowano 3 Sierpnia 2015 Wielkie dzięki, pozdrawiam! Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się