ponczekcharlie Opublikowano 17 Września 2016 Zgłoś Udostępnij Opublikowano 17 Września 2016 Cześć, wczoraj komputer zaczął wolniej chodzić, wszedłem do menadżera zadań i znalazłem tych dwóch kolegów - SoSoIm i CfHelp. Zamykane procesu po chwili odpalają się znowu. W sieci znalazłem informację żeby potraktować je programem RegHunter, co niestety wymagało opłaty 40$... ściągnąłem jeszcze avasta ale też to niewiele dało. W sumie to nie wiem czy jeszcze nie pogorszyło wszystko. Skończyłem w trybie awaryjnym kasując z dysku C wszystko, co było zmodyfikowane tego dnia i chyba trochę przedobrzyłem... Szkoda gadać, miałem tu przyjść od razu. Wrzucam logi, proszę o pomoc. Z góry dzięki. Addition.txt FRST.txt Shortcut.txt gmer.txt Odnośnik do komentarza
picasso Opublikowano 17 Września 2016 Zgłoś Udostępnij Opublikowano 17 Września 2016 Cytat wczoraj komputer zaczął wolniej chodzić, wszedłem do menadżera zadań i znalazłem tych dwóch kolegów - SoSoIm i CfHelp. Zamykane procesu po chwili odpalają się znowu. To adware/malware Win32/Suweezy, nabyte z jakiegoś "downloadera". Procesy są uruchamiane poprzez usługi, malware także wyklucza się samoistnie ze skanów. Cytat W sieci znalazłem informację żeby potraktować je programem RegHunter, co niestety wymagało opłaty 40$... ściągnąłem jeszcze avasta ale też to niewiele dało. RegHunter to brat SpyHunter, program niepożądany! Cytat Skończyłem w trybie awaryjnym kasując z dysku C wszystko, co było zmodyfikowane tego dnia i chyba trochę przedobrzyłem... Masz na myśli jakieś skutki uboczne? Z FRST mogę tylko tyle się domyślić, że prawdopodobnie skasowałeś pliki licencji Windows, gdyż są oznaczone jako nowo utworzone: 2016-09-16 19:27 - 2016-09-16 19:52 - 00001184 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0 2016-09-16 19:27 - 2016-09-16 19:52 - 00001184 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0 Działania do przeprowadzenia: 1. Przez Panel sterowania odinstaluj RegHunter. Być może będzie jakiś błąd, gdyż nstalacja już wygląda na naruszoną. Jeśli byłyby jakieś problemy z deinstalacją, wypróbuj Program Install and Uninstall Troubleshooter. Konsekwentnie na liście jest też Ace Stream Media 3.0.12, ale o tym już mówiliśmy wcześniej: KLIK. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 CfHelper33; D:\Program Files\MSUser.Default\Help_3\CfHelp33.exe [190980 2016-09-13] () [Brak podpisu cyfrowego] R2 CfHelper44; D:\Program Files\MSUser.Default\Help_4\CfHelp44.exe [190980 2016-09-13] () [Brak podpisu cyfrowego] R2 CfHelper55; D:\Program Files\MSUser.Default\Help_5\CfHelp55.exe [190980 2016-09-13] () [Brak podpisu cyfrowego] R2 CfHelper66; D:\Program Files\MSUser.Default\Help_6\CfHelp66.exe [190980 2016-09-13] () [Brak podpisu cyfrowego] R2 CleberchponushConfiguration; C:\Program Files (x86)\Phersercultsiergh\GrkDbg.dll [309760 2016-09-13] () [Brak podpisu cyfrowego] R2 SoSoIm3; C:\Program Files (x86)\SoSoIm_3\SoSoIm3.exe [190980 2016-09-13] () [Brak podpisu cyfrowego] R2 SoSoIm4; C:\Program Files (x86)\SoSoIm_4\SoSoIm4.exe [190980 2016-09-13] () [Brak podpisu cyfrowego] R2 SoSoIm5; C:\Program Files (x86)\SoSoIm_5\SoSoIm5.exe [190980 2016-09-13] () [Brak podpisu cyfrowego] R2 SoSoIm6; C:\Program Files (x86)\SoSoIm_6\SoSoIm6.exe [190980 2016-09-13] () [Brak podpisu cyfrowego] R2 winsaber; C:\Program Files (x86)\WinSaber\WinSaber.exe [521496 2016-09-14] () S3 dbx; system32\DRIVERS\dbx.sys [X] Task: {376F02DD-27A5-4FBB-A057-3A3AB5150115} - System32\Tasks\UnregisterNonABICompliantCodeRange => Wscript.exe C:\Program Files (x86)\joasnalx\obkmc.js Task: {4626D902-60FD-4596-B5EE-13B395B22CAA} - System32\Tasks\SafeZone scheduled Autoupdate 1474044924 => C:\Program Files\AVAST Software\SZBrowser\launcher.exe Task: {861C3340-B9CF-47A1-A787-B35A45A9549C} - System32\Tasks\AVAST Software\Avast settings backup => C:\Program Files\Common Files\AV\avast! Antivirus\backup.exe [2016-09-16] (AVAST Software) Task: {C40DE0C9-0534-40BC-9A06-EA01960AF256} - System32\Tasks\RegHunterStartup => C:\Program Files\Enigma Software Group\RegHunter\RegHunter.exe Task: {DCC7DA10-06F7-4826-9AB1-B3334579CEAD} - System32\Tasks\avast! Emergency Update => C:\Program Files\AVAST Software\Avast\AvastEmUpdate.exe Task: {DCD85BC6-3D4D-4852-9386-D9E6A34D5DE4} - System32\Tasks\Cleberchponush Configuration => C:\Program Files (x86)\Phersercultsiergh\cludogh.exe [2016-09-13] (Kunshan Aunbox software co.,Ltd) ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE -> DeleteKey: HKCU\Software\Google\Chrome\Extensions DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\Mozilla\Firefox\Extensions DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Microsoft\Microsoft Antimalware DeleteKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\AVAST Software C:\Program Files\Common Files\AV\avast! Antivirus C:\Program Files (x86)\253ksrvi C:\Program Files (x86)\joasnalx C:\Program Files (x86)\Phersercultsiergh C:\Program Files (x86)\SoSoIm_3 C:\Program Files (x86)\SoSoIm_4 C:\Program Files (x86)\SoSoIm_5 C:\Program Files (x86)\SoSoIm_6 C:\Program Files (x86)\uojtfl8n C:\Program Files (x86)\WinSaber C:\ProgramData\AVAST Software C:\ProgramData\Avg C:\ProgramData\Avira C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinZip C:\Users\Karol\AppData\Local\{E7BEFFDD-3489-42AA-914B-3D8A129A5F89} C:\Users\Karol\AppData\Local\{74A7644F-F837-415B-A597-54A1B7F39AC5} C:\Users\Karol\AppData\Local\ACCCx3_7_5_291.zip.aamdownload C:\Users\Karol\AppData\Local\ACCCx3_7_5_291.zip.aamdownload.aamd C:\Users\Karol\AppData\Local\BITE502.tmp C:\Users\Karol\AppData\Local\BITFA74.tmp C:\Users\Karol\AppData\Roaming\eCyber C:\Users\Karol\AppData\Roaming\Enigma Software Group C:\Users\Karol\AppData\Roaming\WinZiper C:\Users\Karol\AppData\Roaming\Youtube Downloader HD C:\Users\Karol\AppData\Roaming\Mozilla\Firefox\Profiles\hfwuh2et.default-1466016864130\searchplugins\vaidylcl.xml C:\Users\Karol\Desktop\RegHunter.lnk C:\Users\Karol\Downloads\RegHunter-Installer.exe C:\Users\Karol\Start Menu\Programs\RegHunter C:\Windows\Joberphlusisp C:\Windows\System32\Tasks\AVAST Software EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W Google Chrome jest ustawiony jako domyśny profil adware (nazwa na dysku ChromeDefaultData, ale w opcjach prawdopodobnie user0). Wymagana całkowita zmiana profilu. Menu Ustawienia > kata Ustawienia > Osoby > Dodaj nową osobę i uruchom Chrome z poziomu tego profilu, a okno poprzedniego zamknij. Następnie w ustawieniach skasuj poprzedni profil. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition ale już bez Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
ponczekcharlie Opublikowano 18 Września 2016 Autor Zgłoś Udostępnij Opublikowano 18 Września 2016 Cytat Masz na myśli jakieś skutki uboczne? Z FRST mogę tylko tyle się domyślić, że prawdopodobnie skasowałeś pliki licencji Windows Dokładnie, mogę to jakoś odzyskać? Cytat Przez Panel sterowania odinstaluj RegHunter. Być może będzie jakiś błąd, gdyż nstalacja już wygląda na naruszoną. Jeśli byłyby jakieś problemy z deinstalacją, wypróbuj Program Install and Uninstall Troubleshooter Nie chciał się dać odinstalować (w trybie awaryjnym też) więc usunąłem go ręcznie (wrzuciłem do kosza) - myślałem że sam to posprzątam, ale chyba narobiłem więcej bałaganu. Twój program go nie wykrywa i prosi mnie o podanie kodu programu - skąd to wziąć? Cytat Konsekwentnie na liście jest też Ace Stream Media 3.0.12 Jest, ale zaraz wylatuje. Szkoda, bo nie ma lepszej alternatywy. Sopcast nie daje tylu możliwości. Dziękuje jeszcze raz za pomoc. Przesyłam logi. Addition.txt Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 18 Września 2016 Zgłoś Udostępnij Opublikowano 18 Września 2016 (edytowane) Prawie wszystko zrobione, z wyjątkiem: picasso napisał: 3. W Google Chrome jest ustawiony jako domyśny profil adware (nazwa na dysku ChromeDefaultData, ale w opcjach prawdopodobnie user0). Wymagana całkowita zmiana profilu. Menu Ustawienia > kata Ustawienia > Osoby > Dodaj nową osobę i uruchom Chrome z poziomu tego profilu, a okno poprzedniego zamknij. Następnie w ustawieniach skasuj poprzedni profil. Zanim przejdę dalej: Cytat Dokładnie, mogę to jakoś odzyskać? Te pliki się odtworzyły, więc na początek ustalmy czy widzisz problem z aktywacją systemu (błąd o nielegalnym Windows). Edytowane 22 Stycznia 2020 przez picasso Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi