Harnas12 Opublikowano 1 Stycznia 2016 Zgłoś Udostępnij Opublikowano 1 Stycznia 2016 Witam dzisiejszego poranka dziwne program instalują się bez mojej zgody, co 10 minut instaluje mi się opera, usuwanie i deinstalowanie programów nic nie daje, przeglądarka praktycznie wogóle nie reaguje(sam pisze teraz z laptopa ponieważ na komputerze nie mogę nawet się zalogować na forum). Co kilka minut otwierają mi się dziwne strony o nazwach typu: dfda87fd67f6sd7f7s. AVAST jak szalony krzyczy ciągle że zostało wykryte zagrożenie przy uruchomieniu wyskakuje komunikat o wykryciu rootkit. Próbowałem wykonywać pełne skanowanie po czym usuwałem zarażone pliki ale to nic nie daje. Addition.txt FRST.txt GMER.txt Shortcut.txt Odnośnik do komentarza
jessica Opublikowano 1 Stycznia 2016 Zgłoś Udostępnij Opublikowano 1 Stycznia 2016 1) Znasz ten program: iRoot (HKLM-x32\...\{1295E43F-382A-4CB2-9E0F-079C0D7401BB}_is1) (Version: 1.8.2.13135 - 深圳信壹网络有限公司) 2) Spróbuj odinstalować te programy: GamesDesktop 008.005010193 (HKLM-x32\...\gmsd_pl_005010193_is1) (Version: - GAMESDESKTOP) <==== UWAGA istartpageing uninstall (HKLM-x32\...\istartpageing uninstall) (Version: - istartpageing) <==== UWAGA Setup (HKLM-x32\...\{7ADF667E-E14D-4D2C-827C-B0108F0D93BC}) (Version: - ) <==== UWAGA Style Food (HKU\S-1-5-21-3902127326-1100159256-351901547-1000\...\{A9AA686D-ACCF-AA4F-428D-8F7ADAD8729F}) (Version: 1.9.0 - Image Bubble corp) <==== UWAGA 2) Użyj >Adw-cleanernajpierw kliknij na SZUKAJ (SCAN), a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ (CLEANING), to kliknij na niego.Pokaż raport z niego "C" 3) Otwórz Notatnik i wklej w nim: DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123SoftwareDeleteKey: HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopesDeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopesDeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopesTask: {5B16C921-AF57-4FAA-A43D-CAE47534B13D} - System32\Tasks\Style Food => Rundll32.exe "C:\Users\user\AppData\Local\Style Food\{F4DA5E55-F70D-14E0-89F9-AF39563C79CE}\StyleFood.dll",#1 <==== UWAGAC:\Users\user\AppData\Local\Style FoodTask: {DBCD7E24-33DE-4A63-9D1F-3B3DDBADF64B} - System32\Tasks\{2EEEBC60-A0C5-464D-BEAE-A0CAC0129AE5} => pcalua.exe -a C:\Users\user\AppData\Roaming\istartpageing\UninstallManager.exe -c -ptid=cmiC:\Users\user\AppData\Roaming\istartpageingTask: {DFF9347A-0590-445F-B118-C502EE699355} - System32\Tasks\SmartWeb Upgrade Trigger Task => C:\Users\user\AppData\Local\SmartWeb\SmartWebHelper.exe <==== UWAGAC:\Users\user\AppData\Local\SmartWebTask: {EFA47BDE-65A4-4824-82D2-E433AEDA4C5D} - System32\Tasks\Garnubn => C:\PROGRA~1\GROOVE~1\Inobib.batC:\PROGRA~1\GROOVE~1Task: {F764D172-7009-4DC2-A9EF-BEC8FA42CB89} - System32\Tasks\Style Food2 => Rundll32.exe "C:\Users\user\AppData\Local\Style Food\{F4DA5E55-F70D-14E0-89F9-AF39563C79CE}\uyf.dll",#1 <==== UWAGAC:\Program Files (x86)\FFFFFFFF-1451339953-FFFF-FFFF-FFFFFFFFFFFFC:\Program Files (x86)\gmsd_pl_005010193C:\Users\user\AppData\Local\EhtionC:\ProgramData\BamcofC:\ProgramData\Tmp0x0xC:\Program Files (x86)\SFKHKLM-x32\...\Run: [ospd_us_013010190] => [X]HKLM-x32\...\Run: [gmsd_pl_005010192] => [X]HKLM-x32\...\Run: [gmsd_pl_005010193] => C:\Program Files (x86)\gmsd_pl_005010193\gmsd_pl_005010193.exe [3614896 2015-12-31] ()HKU\S-1-5-21-3902127326-1100159256-351901547-1000\...\Run: [ukmedia] => C:\Windows\SysWOW64\regsvr32.exe C:\Users\user\AppData\Local\Ehtion\frxnyvpt.dllAppInit_DLLs: C:\ProgramData\Bamcof\Zummatone.dll => C:\ProgramData\Bamcof\Zummatone.dll [805376 2015-12-29] ()AppInit_DLLs-x32: C:\ProgramData\Bamcof\Lightcom.dll => C:\ProgramData\Bamcof\Lightcom.dll [257536 2015-12-29] ()Startup: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SmartWeb.lnk [2015-12-31]ShortcutTarget: SmartWeb.lnk -> C:\Users\user\AppData\Local\SmartWeb\SmartWebHelper.exe (Brak pliku)HKU\S-1-5-21-3902127326-1100159256-351901547-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYSttY34mamef947lyuPOB2E6QjqkhGUT3Yy6QtMHcZqJGM4SftFyngTwbPnccpuHIKu1qxH_Ah-vgdy6F6eDcmH_hXEE5z2B-NiKt8moN8g0l3Y99B1OAHQE-6z4ylY2tHQv0lm5paa8N0LF_CzIIp4IFE9IjJwSQ,,&q={searchTerms}HKU\S-1-5-21-3902127326-1100159256-351901547-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRYSttY34mamef947lyuPOB2E6QjqkhGUT3Yy6QtMHcZqJGM4SftFyngTwbPnccpuHIKu1qxH_Ah-vgdy6F6eDcmH_hXEE5z2C6rqsQIVHdroNuI6dk5RJ0UKfbpdZxIGpGbJmGt4olNq5vArR9H2HwkyyUdgvfF-Gw,,HKU\S-1-5-21-3902127326-1100159256-351901547-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYSttY34mamef947lyuPOB2E6QjqkhGUT3Yy6QtMHcZqJGM4SftFyngTwbPnccpuHIKu1qxH_Ah-vgdy6F6eDcmH_hXEE5z2B-NiKt8moN8g0l3Y99B1OAHQE-6z4ylY2tHQv0lm5paa8N0LF_CzIIp4IFE9IjJwSQ,,&q={searchTerms}HKU\S-1-5-21-3902127326-1100159256-351901547-1000\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYSttY34mamef947lyuPOB2E6QjqkhGUT3Yy6QtMHcZqJGM4SftFyngTwbPnccpuHIKu1qxH_Ah-vgdy6F6eDcmH_hXEE5z2B-NiKt8moN8g0l3Y99B1OAHQE-6z4ylY2tHQv0lm5paa8N0LF_CzIIp4IFE9IjJwSQ,,&q={searchTerms}SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL =SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYSttY34mamef947lyuPOB2E6QjqkhGUT3Yy6QtMHcZqJGM4SftFyngTwbPnccpuHIKu1qxH_Ah-vgdy6F6eDcmH_hXEE5z2B-NiKt8moN8g0l3Y99B1OAHQE-6z4ylY2tHQv0lm5paa8N0LF_CzIIp4IFE9IjJwSQ,,&q={searchTerms}StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.istartpageing.com/?type=sc&ts=1451558742&z=3e71ca22bff8bd4d77c1144g1zbw9gcw5web4mdw1o&from=cmi&uid=ST3320620AS_9QFABFGMXXXX9QFABFGMFF NewTab: hxxp://www.istartpageing.com/newtab/?type=nt&ts=1451668310&z=95cb3c8a38d29b0716b21b7gczbw7gcq4q9bac9o5o&from=cmi&uid=ST3320620AS_9QFABFGMXXXX9QFABFGMFF Homepage: hxxp://www.istartpageing.com/?type=hp&ts=1451558742&z=3e71ca22bff8bd4d77c1144g1zbw9gcw5web4mdw1o&from=cmi&uid=ST3320620AS_9QFABFGMXXXX9QFABFGMFF user.js: detected! => C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\sprclry5.default-1449689815806\user.js [2016-01-01]FF SearchPlugin: C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\sprclry5.default-1449689815806\searchplugins\findit.xml [2015-12-29]FF Extension: FirefixTab - C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\sprclry5.default-1449689815806\extensions\deskCutv2@gmail.com [2015-12-31] [brak podpisu cyfrowego]FF Extension: YahooToolsProtected - C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\sprclry5.default-1449689815806\extensions\yahooprotected@gmail.com [2015-12-31] [brak podpisu cyfrowego]FF Extension: Enhanced Steam - C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\sprclry5.default-1449689815806\Extensions\jid1-YdiFiTEkQgInxA@jetpack.xpi [2015-12-24]FF HKLM\...\Firefox\Extensions: [{5BC2BC93-5D7F-40E3-9BBD-056750F1AE78}] - C:\Program Files\groover010120161754\Firefox\{5BC2BC93-5D7F-40E3-9BBD-056750F1AE78}.xpi => nie znalezionoFF HKLM-x32\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\sprclry5.default-1449689815806\extensions\deskCutv2@gmail.comFF HKLM-x32\...\Firefox\Extensions: [yahooprotected@gmail.com] - C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\sprclry5.default-1449689815806\extensions\yahooprotected@gmail.comFF HKLM-x32\...\Firefox\Extensions: [{5BC2BC93-5D7F-40E3-9BBD-056750F1AE78}] - C:\Program Files\groover010120161754\Firefox\{5BC2BC93-5D7F-40E3-9BBD-056750F1AE78}.xpi => nie znalezionoStartMenuInternet: FIREFOX.EXE - D:\Program Files (x86)\Mozilla Firefox\firefox.exe hxxp://www.istartpageing.com/?type=sc&ts=1451558742&z=3e71ca22bff8bd4d77c1144g1zbw9gcw5web4mdw1o&from=cmi&uid=ST3320620AS_9QFABFGMXXXX9QFABFGMCHR HomePage: Profile 1 -> hxxp://www.istartpageing.com/?type=hp&ts=1451558742&z=3e71ca22bff8bd4d77c1144g1zbw9gcw5web4mdw1o&from=cmi&uid=ST3320620AS_9QFABFGMXXXX9QFABFGMCHR StartupUrls: Profile 1 -> "hxxp://www.istartpageing.com/?type=hp&ts=1451558742&z=3e71ca22bff8bd4d77c1144g1zbw9gcw5web4mdw1o&from=cmi&uid=ST3320620AS_9QFABFGMXXXX9QFABFGM"CHR DefaultSearchURL: Profile 1 -> hxxp://istartpageing.com/web?type=ds&ts=1451558742&z=3e71ca22bff8bd4d77c1144g1zbw9gcw5web4mdw1o&from=cmi&uid=ST3320620AS_9QFABFGMXXXX9QFABFGM&q={searchTerms}CHR DefaultSearchKeyword: Profile 1 -> istartpageingCHR Extension: (Style Food) - C:\Users\user\AppData\Local\Style Food\Component [2016-01-01]StartMenuInternet: Google Chrome - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe hxxp://www.istartpageing.com/?type=sc&ts=1451558742&z=3e71ca22bff8bd4d77c1144g1zbw9gcw5web4mdw1o&from=cmi&uid=ST3320620AS_9QFABFGMXXXX9QFABFGMR2 gihifumy; C:\Program Files (x86)\FFFFFFFF-1451339953-FFFF-FFFF-FFFFFFFFFFFF\knsh5FEF.tmp [570368 2015-12-30] () [brak podpisu cyfrowego]R2 SSFK; C:\Program Files (x86)\SFK\SSFK.exe [183968 2016-01-01] (TODO: <公司名>)R2 WindowsMangerProtect; C:\ProgramData\Tmp0x0x\ProtectWindowsManager.exe [343688 2016-01-01] (Sysinternals process Explorer) <==== UWAGAS2 avgsvc; "C:\Program Files (x86)\AVG\Framework\Common\avgsvca.exe" [X]R1 swsedrvr_vt_1_10_0_25; system32\drivers\swsedrvr_vt_1_10_0_25.sys [X]C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GAMESDESKTOP2016-01-01 18:16 - 2016-01-01 18:16 - 00000000 _____ C:\Windows\SysWOW64\Number of results2016-01-01 18:15 - 2016-01-01 18:16 - 00000000 ____D C:\Users\user\AppData\Local\gmsd_pl_0050101932016-01-01 18:15 - 2016-01-01 18:16 - 00000000 ____D C:\Program Files (x86)\gmsd_pl_0050101932016-01-01 16:57 - 2016-01-01 18:17 - 00061336 _____ (Cherimoya Ltd) C:\Windows\system32\Drivers\cherimoya.sys2015-12-31 11:55 - 2016-01-01 17:41 - 00000000 ____D C:\Program Files (x86)\SwiftSearch_1.10.0.252015-12-31 11:46 - 2016-01-01 18:12 - 00000000 ____D C:\Users\user\AppData\Roaming\istartpageing2015-12-31 11:45 - 2016-01-01 18:11 - 00000633 _____ C:\istartpageing.xml2015-12-31 11:45 - 2015-12-31 11:45 - 00004040 _____ C:\Windows\System32\Tasks\SmartWeb Upgrade Trigger Task2015-12-31 11:45 - 2015-12-31 11:45 - 00000000 ____D C:\Users\user\AppData\LocalLow\SmartWeb2015-12-29 16:13 - 2016-01-01 13:03 - 00000000 ____D C:\ProgramData\ohnuze2015-12-29 00:02 - 2016-01-01 13:40 - 00000000 ____D C:\Program Files\Common Files\js3r0p5d2015-12-29 00:02 - 2016-01-01 13:03 - 00000000 ____D C:\ProgramData\Bamcof2015-12-28 23:03 - 2015-12-28 23:03 - 00000000 ____D C:\Users\user\AppData\Roaming\OpenCandy2015-12-28 23:02 - 2016-01-01 11:31 - 00000000 ____D C:\Program Files\amdidx2015-12-28 23:01 - 2015-12-28 23:01 - 00000187 _____ C:\Users\user\AppData\Local\Scotcane.exe.config2015-12-28 23:00 - 2016-01-01 12:37 - 00000000 ____D C:\Users\user\AppData\Local\FFFFFFFF-1451343605-FFFF-FFFF-FFFFFFFFFFFF2015-12-28 22:59 - 2016-01-01 11:31 - 00000000 ____D C:\Program Files (x86)\FFFFFFFF-1451339953-FFFF-FFFF-FFFFFFFFFFFF2015-12-28 22:59 - 2015-12-28 22:59 - 00003152 _____ C:\Windows\System32\Tasks\Style Food2015-12-28 22:59 - 2015-12-28 22:59 - 00003140 _____ C:\Windows\System32\Tasks\Style Food22015-12-28 22:59 - 2015-12-28 22:59 - 00000000 ____D C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\VOPackage2015-12-28 22:59 - 2015-12-28 22:59 - 00000000 ____D C:\Users\user\AppData\Local\Style Food2015-12-28 22:58 - 2016-01-01 12:17 - 00000000 ____D C:\ProgramData\ApplicationHosting2015-12-28 22:58 - 2015-12-29 16:14 - 00002369 _____ C:\Windows\SysWOW64\findit.xml2015-12-28 22:58 - 2015-12-28 22:58 - 00000000 ____D C:\ProgramData\Zoobams2015-12-28 22:57 - 2015-12-28 23:03 - 00000000 ____D C:\Program Files (x86)\Removewat 2.2.7Hosts:EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exeUruchom FRST i kliknij przycisk Fix (NAPRAW).Daj z tego raport. 4) Zrób nowe logi FRST. jessi Odnośnik do komentarza
Harnas12 Opublikowano 1 Stycznia 2016 Autor Zgłoś Udostępnij Opublikowano 1 Stycznia 2016 AdwCleanerC1.txt Odnośnik do komentarza
jessica Opublikowano 1 Stycznia 2016 Zgłoś Udostępnij Opublikowano 1 Stycznia 2016 AdwCleanerC1.txt dopisałam w swoim poprzednim poście Odnośnik do komentarza
Harnas12 Opublikowano 1 Stycznia 2016 Autor Zgłoś Udostępnij Opublikowano 1 Stycznia 2016 Addition.txtFixlog.txtFRST.txtShortcut.txt Odnośnik do komentarza
jessica Opublikowano 1 Stycznia 2016 Zgłoś Udostępnij Opublikowano 1 Stycznia 2016 Otwórz Notatnik i wklej w nim: S1 MPCKpt; system32\DRIVERS\MPCKpt.sys [X]EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exeUruchom FRST i kliknij przycisk Fix (NAPRAW). Potem chyba możemy kończyć: Otwórz Notatnik i wklej w nim: DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok FRST. Uruchom FRST i kliknij w Fix (NAPRAW).przez SHIFT+DEL usuń pozostały folder C:\FRST.W Adw-Cleaner kliknij na przycisk Odinstaluj (UNINSTALL). jessi Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się