Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Zawirusowany komputer

robertop

Przez robertop
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

robertop

robertop

Opublikowano
Opublikowano
Cześć,
 
​Od pewnego czasu mam poważne problemy z komputerem. Działa wolniej niż zwykle, a co więcej Chrome sprawia wrażenie tak zasyfionego, że nie da się na nim nic oglądać - dosłownie, wyrzuca mnie na większości stron. Problem leży tutaj prawdopodobnie po UCGuard, którego usunąć nie potrafię. W załączniku umieszczam wyniki z FRST.
 

​Za pomoc z góry wielkie dzięki

 

 

FRST.txt

Addition.txt

Shortcut.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
Miszel03

Miszel03

Opublikowano
Opublikowano

W systemie znajduję się przeogrmony bałagan, jest zainfekowany przez bardzo zaawansowne i nowoczesne adware. Przykład: Ty w cale nie uruchamiasz przeglądarki Google Chrome, a jej prefabrykowaną i szkodliwą kopię Antper. Mało tego: nie działa Ci również (pewni już zauważyłeś) kompozycja systemu Areo - to sprawka wariantu infekcji Adware.Elex. Jest tu sporo do roboty.

 

Do poczytania: KLIK.

 

1. Włącz przywracania systemu.

 

2. Otwórz Notatnik w nim wklej:

 

CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-3797074174-2719608703-2427757124-1057\...\ChromeHTML: -> C:\Program Files (x86)\Antper\Application\chrome.exe (Google Inc.) 
RemoveDirectory: C:\Program Files (x86)\Antper
RemoveDirectory: C:\Users\rober\AppData\Local\Antper
C:\Users\rober\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\c656566c7b7954ee\Google Chrome.lnk
C:\Users\rober\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\9501e18d7c2ab92e\Google Chrome.lnk
C:\Users\rober\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\360c22b137d62ce9\Google Chrome.lnk
C:\Users\rober\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\225bb61db2f318c1\Google Chrome.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk
C:\Users\Public\Desktop\Google Chrome.lnk
FirewallRules: [{2AE023E4-E0CB-46F4-A920-9C73C83A0DC5}] => C:\Program Files (x86)\Antper\Application\chrome.exe
FirewallRules: [TCP Query User{20B8E752-5263-4905-82B3-9443A2675E55}C:\program files (x86)\amulec3\amule.exe] => C:\program files (x86)\amulec3\amule.exe
FirewallRules: [uDP Query User{755A6761-C64D-4214-A0EF-B7C06DE8D72E}C:\program files (x86)\amulec3\amule.exe] => C:\program files (x86)\amulec3\amule.exe
FirewallRules: [{E3D59A00-E41A-4AE5-AECF-E7AC117FBF83}] => C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe
FirewallRules: [{7FEA26C4-3ECE-4431-8FA1-E9AFE7F3B0DD}] => C:\Program Files (x86)\Firefox\Firefox.exe
RemoveDirectory: C:\program files (x86)\amulec3
RemoveDirectory: C:\Program Files (x86)\Firefox
2017-02-03 11:05 - 2017-02-03 11:05 - 00000000 ____D C:\Users\rober\AppData\Roaming\Firefox
2017-02-03 11:05 - 2017-02-03 11:05 - 00000000 ____D C:\Users\rober\AppData\Local\Firefox
HKLM\...\Providers\o0asda6a: C:\Program Files (x86)\Gipareedese Reports\local64spl.dll [289792 2017-01-22] ()
ShellExecuteHooks: Brak nazwy - {036CBE24-DE3B-11E6-95A0-64006A5CFC23} - C:\Users\rober\AppData\Roaming\Vvuckchvosh\Jujutshnile.dll -> Brak pliku
ShellIconOverlayIdentifiers: [ MEGA (Pending)] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} => C:\Users\xxx\AppData\Local\MEGAsync\ShellExtX64.dll -> Brak pliku
ShellIconOverlayIdentifiers: [ MEGA (Synced)] -> {05B38830-F4E9-4329-978B-1DD28605D202} => C:\Users\xxx\AppData\Local\MEGAsync\ShellExtX64.dll -> Brak pliku
ShellIconOverlayIdentifiers: [ MEGA (Syncing)] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} => C:\Users\xxx\AppData\Local\MEGAsync\ShellExtX64.dll -> Brak pliku
ShellIconOverlayIdentifiers-x32: [ MEGA (Pending)] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} => C:\Users\xxx\AppData\Local\MEGAsync\ShellExtX32.dll -> Brak pliku
ShellIconOverlayIdentifiers-x32: [ MEGA (Synced)] -> {05B38830-F4E9-4329-978B-1DD28605D202} => C:\Users\xxx\AppData\Local\MEGAsync\ShellExtX32.dll -> Brak pliku
ShellIconOverlayIdentifiers-x32: [ MEGA (Syncing)] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} => C:\Users\xxx\AppData\Local\MEGAsync\ShellExtX32.dll -> Brak pliku
ShortcutTarget: MEGAsync.lnk -> C:\Users\rober\AppData\Local\MEGAsync\MEGAsync.exe (Brak pliku)
ShortcutTarget: Slack.lnk -> C:\Users\rober\AppData\Local\slack\Update.exe (Brak pliku)
GroupPolicy: Ograniczenia 
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = 
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = 
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = 
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = 
HKU\S-1-5-21-3797074174-2719608703-2427757124-1057\Software\Microsoft\Internet Explorer\Main,Start Page = 
Edge HomeButtonPage: HKU\S-1-5-21-3797074174-2719608703-2427757124-1057 -> hxxp://www.amisites.com/?type=hp&ts=1486116256&z=16564258075786715ef9645gczcb4q8gcg0qcofw0b&from=che0812&uid=SamsungXSSDX840XSeries_S14ENEACC04114J
R2 Archer; C:\Program Files (x86)\WinArcher\Archer.dll [868352 2017-02-03] (TODO: ) [brak podpisu cyfrowego]
R2 GubedZL; C:\Program Files (x86)\Gubed\GubedZL.dll [117760 2017-02-03] () [brak podpisu cyfrowego]
R2 WinSAPSvc; C:\ProgramData\WinSAPSvc\WinSAP.dll [183808 2017-02-03] () [brak podpisu cyfrowego]
C:\Program Files (x86)\WinArcher
C:\Program Files (x86)\Gubed
C:\ProgramData\WinSAPSvc
R2 Themes; C:\WINDOWS\system32\themeservice.dll [70656 2016-07-16] (Microsoft Corporation) [DependOnService: iThemes5]
S3 dbx; system32\DRIVERS\dbx.sys [X]
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\The Sims 4.lnk
C:\Users\rober\AppData\Roaming\Microsoft\Excel\ClientList305404890454424919\ClientList.csv.lnk
C:\Users\xxx\Links\Filmy.lnk
C:\Users\xxx\Favorites\GG dysk.lnk
C:\Users\xxx\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\MEGAsync.lnk
C:\Users\xxx\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Slack.lnk
C:\Users\xxx\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Slack Technologies\Slack.lnk
C:\Users\xxx\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\MEGAsync\MEGA Website.lnk
C:\Users\xxx\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\MEGAsync\MEGAsync.lnk
C:\Users\xxx\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\MEGAsync\Uninstall.lnk
Reg: reg query HKLM\SYSTEM\CurrentControlSet\Services\Themes /s
EmptyTemp: 

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Skasuj i załóż nowe profile w przeglądarce Google Chrome oraz Mozilla FireFox, - ze względu na aktywność nowoczesnego adware ten krok jest wymagany.

 

----> Otwórz przeglądarkę Google Chrome, następnie Ustawienia > karta Ustawienia > Osoby > Dodaj Osobę > zalogować się na nią, zamknij okno poprzedniego profilu >wjedź ponownie do sekcji Osoby i skasować wszystkie poprzednie pozycje. 

        Ustaw również przeglądarkę Google Chrome jako domyślna (w systemie grasowała podszywka) - KLIK

 

----> Kliknij klawisz Windows oraz klawisz R, następnie wklej komendę C:\Program files (x86)\Mozilla Firefox -p lub C:\Program Files\Mozilla Firefox\firefox.exe -p > załóż nowy profil, wszystkie poprzednie skasuj. 

 

4. Uruchom FRST, w polu Szukaj (Search) wklej poniższą frazę i kliknij w Szukaj w rejestrze (Search Registry).

 

antper

 

Obok FRST powstanie raport SearchReg.txt - zaprezentuj go na forum. 

 

5. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum

 

6. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...