Skocz do zawartości

Pozostałości po wirusach


Rekomendowane odpowiedzi

Witam
Dzisiaj został mój komputer został zainfekowany licznymi (500) wirusami. Postanowiłem szybko usunąć je za pomocą MalwareBytes i AdwCleaner, proces raczej się powiódł bo komputer nie wysyła mi dziwnych stron, wyszukiwarek itp.
Jednak proszę o sprawdzenie logów z FRST64 czy wszystko jest ok. Wirusy pochodziły z fake'owego instalatora i zanim sprawdziłem to już te wirusy czyniły spustoszenie....

Proszę o pomoc
Pozdrawiam

 

 

Przeinstalowałem Chrome'a, jednak coś zostało z tych wirusów, przy włączaniu przeglądarki pojawia się komunikat:
"Błąd podczas ładowania rozszerzenia"
"Nie udało się wczytać rozszerzenia z C:\Users\Komputer\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk. Brak pliku manifestu lub nie można go odczytać".
Po uruchomieniu włącza się strona "fanli90.cn"
EDIT: Niby wirusów Malware nie wykrywa, jednak przy uruchomieniu Chrome'a (po ponownej instalacji): "Błąd podczas ładowania rozszerzenia"
"Nie udało się wczytać rozszerzenia z C:\Users\Komputer\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk. Brak pliku manifestu lub nie można go odczytać".
Po uruchomieniu włącza się strona "fanli90.cn"
Nie wiem czy związane z tym problemem, ale kursor potrafi przyciąć przy ruszaniu myszką.

Edytowane przez Rucek
Czyszczę. Łączę.
Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

W systemie nadal siedzi infekcji i grasuje adware. Szybko to wyleczymy.

 

Do poczytania: KLIK.

 

 

1. Spróbuj uruchomić plik deinstalacyjny (nazwa zbliżona do uninstall.exe) z poziomu tego folderu: C:\Program Files\żěŃą.

 

2. Otwórz Notatnik w nim wklej: 

 

CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-18\...\Run: [] => 0
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku
ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} => -> Brak pliku
Startup: C:\Users\Komputer\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\smycWTeXSeDFCWU.wSf [2016-03-29] ()
GroupPolicy: Ograniczenia 
GroupPolicyScripts: Ograniczenia 
U0 aswVmm; Brak ImagePath
C:\Users\Komputer\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk
WMI_ActiveScriptEventConsumer_ASEC: 
ShortcutWithArgument: C:\Users\Komputer\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Komputer\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://fanli90.cn/
ShortcutWithArgument: C:\Users\Komputer\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome (2).lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Komputer\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://fanli90.cn/
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Komputer\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://fanli90.cn/
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Komputer\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://fanli90.cn/
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Razor 1911\The Elder Scrolls V Skyrim\The Elder Scrolls V Skyrim.lnk
C:\Users\Komputer\Documents\Euro Truck Simulator 2\readme.rtf.lnk
C:\Users\Komputer\Desktop\Programy\Avast Free Antivirus.lnk
C:\Users\Komputer\Desktop\Programy\Malwarebytes Anti-Malware.lnk
C:\Users\Komputer\Desktop\Programy\Mozilla Firefox.lnk
C:\Users\Komputer\AppData\Roaming\Microsoft\Windows\Start Menu\żěŃą.lnk
C:\Program Files\żěŃą
DeleteKey: HKCU\Software\Mozilla\Firefox
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Mozilla\Firefox
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla\Firefox
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\Users\Komputer\AppData\Local\Mozilla\Firefox
C:\Users\Komputer\AppData\Roaming\Mozilla\Firefox
C:\Users\Komputer\AppData\Roaming\Profiles
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

 

2. Wyczyść i zabezpiecz przeglądarkę Google Chrome:

  • Zresetuj synchronizację (o ile włączona): KLIK.
  • Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia.
  • Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
  • Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google.
  • Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.
  • Polecam zainstalować bloker reklam o podłożu nieinfekcyjnym, do tego celu przyda Ci się uBlock Origin.
3. Upewnij się, że program AdwCleaner nie wykrywa już żadnych zagrożeń. Jeśli wykrywa to niczego nie usuwając dostarcz raport.

 

4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Odnośnik do komentarza

Witam

Nie miałem żadnego pliku instalacyjnego w folderze C:\Program Files\żěŃą.

Po skończonym naprawianiu komputer został wyczyszczony z wszystkich plików na pulpicie, a także skrótów. Wszystko zostało przywrócone od początku, nie mam także pliku fixlog.txt jak i samego FRST. Czy jest szansa na odzyskanie tych plików?

 

E.

Jednak wszystko ok, ponownie uruchomiłem komputer i wszystkie pliki, również ustawienia aktywowały się.

 

AdwCleaner wykrył NTUSER.POL

Raport:

Raport ze skanowania FRST:

Plik fixlog.txt

Edytowane przez Aeroe
Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...