Aeroe Opublikowano 2 Lutego 2017 Zgłoś Udostępnij Opublikowano 2 Lutego 2017 (edytowane) WitamDzisiaj został mój komputer został zainfekowany licznymi (500) wirusami. Postanowiłem szybko usunąć je za pomocą MalwareBytes i AdwCleaner, proces raczej się powiódł bo komputer nie wysyła mi dziwnych stron, wyszukiwarek itp.Jednak proszę o sprawdzenie logów z FRST64 czy wszystko jest ok. Wirusy pochodziły z fake'owego instalatora i zanim sprawdziłem to już te wirusy czyniły spustoszenie.... FRST - http://wklej.org/id/3034070/ Addition - http://wklej.org/id/3034072/ Shortcut - http://wklej.org/id/3034074/ GMER - http://wklej.org/id/3034215/ Proszę o pomocPozdrawiam Przeinstalowałem Chrome'a, jednak coś zostało z tych wirusów, przy włączaniu przeglądarki pojawia się komunikat:"Błąd podczas ładowania rozszerzenia""Nie udało się wczytać rozszerzenia z C:\Users\Komputer\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk. Brak pliku manifestu lub nie można go odczytać".Po uruchomieniu włącza się strona "fanli90.cn"EDIT: Niby wirusów Malware nie wykrywa, jednak przy uruchomieniu Chrome'a (po ponownej instalacji): "Błąd podczas ładowania rozszerzenia""Nie udało się wczytać rozszerzenia z C:\Users\Komputer\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk. Brak pliku manifestu lub nie można go odczytać".Po uruchomieniu włącza się strona "fanli90.cn"Nie wiem czy związane z tym problemem, ale kursor potrafi przyciąć przy ruszaniu myszką. Edytowane 3 Lutego 2017 przez Rucek Czyszczę. Łączę. Odnośnik do komentarza
Miszel03 Opublikowano 3 Lutego 2017 Zgłoś Udostępnij Opublikowano 3 Lutego 2017 W systemie nadal siedzi infekcji i grasuje adware. Szybko to wyleczymy. Do poczytania: KLIK. 1. Spróbuj uruchomić plik deinstalacyjny (nazwa zbliżona do uninstall.exe) z poziomu tego folderu: C:\Program Files\żěŃą. 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKU\S-1-5-18\...\Run: [] => 0 ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} => -> Brak pliku Startup: C:\Users\Komputer\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\smycWTeXSeDFCWU.wSf [2016-03-29] () GroupPolicy: Ograniczenia GroupPolicyScripts: Ograniczenia U0 aswVmm; Brak ImagePath C:\Users\Komputer\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk WMI_ActiveScriptEventConsumer_ASEC: ShortcutWithArgument: C:\Users\Komputer\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Komputer\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://fanli90.cn/ ShortcutWithArgument: C:\Users\Komputer\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome (2).lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Komputer\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://fanli90.cn/ ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Komputer\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://fanli90.cn/ ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Komputer\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://fanli90.cn/ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Razor 1911\The Elder Scrolls V Skyrim\The Elder Scrolls V Skyrim.lnk C:\Users\Komputer\Documents\Euro Truck Simulator 2\readme.rtf.lnk C:\Users\Komputer\Desktop\Programy\Avast Free Antivirus.lnk C:\Users\Komputer\Desktop\Programy\Malwarebytes Anti-Malware.lnk C:\Users\Komputer\Desktop\Programy\Mozilla Firefox.lnk C:\Users\Komputer\AppData\Roaming\Microsoft\Windows\Start Menu\żěŃą.lnk C:\Program Files\żěŃą DeleteKey: HKCU\Software\Mozilla\Firefox DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla\Firefox DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla\Firefox DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Komputer\AppData\Local\Mozilla\Firefox C:\Users\Komputer\AppData\Roaming\Mozilla\Firefox C:\Users\Komputer\AppData\Roaming\Profiles EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść i zabezpiecz przeglądarkę Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. Polecam zainstalować bloker reklam o podłożu nieinfekcyjnym, do tego celu przyda Ci się uBlock Origin. 3. Upewnij się, że program AdwCleaner nie wykrywa już żadnych zagrożeń. Jeśli wykrywa to niczego nie usuwając dostarcz raport. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
Aeroe Opublikowano 3 Lutego 2017 Autor Zgłoś Udostępnij Opublikowano 3 Lutego 2017 (edytowane) Witam Nie miałem żadnego pliku instalacyjnego w folderze C:\Program Files\żěŃą. Po skończonym naprawianiu komputer został wyczyszczony z wszystkich plików na pulpicie, a także skrótów. Wszystko zostało przywrócone od początku, nie mam także pliku fixlog.txt jak i samego FRST. Czy jest szansa na odzyskanie tych plików? E. Jednak wszystko ok, ponownie uruchomiłem komputer i wszystkie pliki, również ustawienia aktywowały się. AdwCleaner wykrył NTUSER.POL Raport: http://wklej.org/id/3034325/ Raport ze skanowania FRST: FRST - http://wklej.org/id/3034326/ Addition - http://wklej.org/id/3034327/ Shortcut - http://wklej.org/id/3034328/ Plik fixlog.txt http://wklej.org/id/3034329/ Edytowane 3 Lutego 2017 przez Aeroe Odnośnik do komentarza
Miszel03 Opublikowano 3 Lutego 2017 Zgłoś Udostępnij Opublikowano 3 Lutego 2017 Detekcja AdwCleaner do usunięcia. Reszta wygląda w porządku, jak oceniasz obecną sytuację, problemy ustąpiły? Odnośnik do komentarza
Aeroe Opublikowano 3 Lutego 2017 Autor Zgłoś Udostępnij Opublikowano 3 Lutego 2017 Dziwne, tej detekcji z AdwCleaner'a przy drugim skanowaniu już nie było. Mimo wszystko komputer chodzi bardzo dobrze. Serdecznie dziękuję za udzieloną pomoc, a forum będę polecał każdemu jak zajdzie potrzeba . Jeszcze raz wielkie dzięki. Odnośnik do komentarza
Miszel03 Opublikowano 3 Lutego 2017 Zgłoś Udostępnij Opublikowano 3 Lutego 2017 Kończymy. Usuń narzędzia diagnostyczno / dezynfekcyjne (są często aktualizowane, więc jednorazowe) - KLIK. Odnośnik do komentarza
Aeroe Opublikowano 3 Lutego 2017 Autor Zgłoś Udostępnij Opublikowano 3 Lutego 2017 Log z Delfix'a - http://wklej.org/id/3034562/ Pozdrawiam Odnośnik do komentarza
Miszel03 Opublikowano 3 Lutego 2017 Zgłoś Udostępnij Opublikowano 3 Lutego 2017 Dzięki, log poprawny Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się