Skocz do zawartości

Nova.Rambler.ru


Rekomendowane odpowiedzi

Witam. 

Kilka dni temu mój komputer został zainfekowany jakimś wirusem. Objawy to porywanie przeglądarki i przekierowywanie jej na tytułową stronę, wyskakujące okienka, dziwne reklamy nawet pomimo zainstalowanego Ublocka.

Skanowanie Antywirusem i programem antymalware zrobione,  niby coś wykryły ale ostatecznie nic nie pomogło.

Proszę o pomoc. 

Pozdrawiam. 

 

FRST.txt

Addition.txt

12.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Brakuje trzeciego obowiązkowego raportu Shortcut genrowanego przez FRST - dołącz go.

 

Wstępnie powiem, że problem powodują infekcję, ale instrukcje podam dopiero wtedy gdy dostarczysz log Shortcut.

 


 

Objawy to porywanie przeglądarki i przekierowywanie jej na tytułową stronę, wyskakujące okienka, dziwne reklamy nawet pomimo zainstalowanego Ublocka.

 

uBlock Origin nie jest w stanie blokować reklam o podłożu infekcyjnym. 

 

Skanowanie Antywirusem i programem antymalware zrobione,  niby coś wykryły ale ostatecznie nic nie pomogło.

W miarę możliwości proszę dostarcz raport z tych skanowań i dezynfekcji.

Odnośnik do komentarza

W systemie widać infekcję adware, czyli m.in szkodliwe proxy, fałszywą przeglądarkę Google Chrome (a właściwie jej klona) i wiele więcej. Raczej szybko się z tym uporamy.

 

Do poczytania: KLIK.  

 

1. Widzę w systemie szczątki po wątpliwym skanerze. Sugeruję zastosować SpyHunterCleaner w celu całkowitej eliminacji go z systemu. 

 

2. Otwórz Notatnik w nim wklej:

 

CloseProcesses:
CreateRestorePoint:
AutoConfigURL: [s-1-5-21-829155955-1858636651-191534281-1000] => hxxp://noblok.net/wpad.dat?c274c3df9e138728d05c7bb48471fdb826555353
ManualProxies: 0hxxp://noblok.net/wpad.dat?c274c3df9e138728d05c7bb48471fdb826555353
SearchScopes: HKU\S-1-5-21-829155955-1858636651-191534281-1000 -> DefaultScope 0633EE93-D776-472f-A0FF-E1416B8B2E3A URL = 
S3 WacHidRouter; system32\DRIVERS\wachidrouter.sys [X]
S3 wacomrouterfilter; system32\DRIVERS\wacomrouterfilter.sys [X]
2017-03-22 19:13 - 2017-03-22 19:14 - 04615856 _____ (Enigma Software Group USA, LLC.) C:\Users\xxx\Desktop\SpyHunter-Installer.exe
ShortcutWithArgument: C:\Users\xxx\AppData\Local\Google\Chrome\User Data\Program uruchamiający aplikacje Chrome.lnk -> C:\Users\xxx\AppData\Local\Google\Chrome\Application\chrome.exe (Google Inc.) -> --show-app-list
C:\Users\xxx\AppData\Local\Google\Chrome\User Data\Program uruchamiający aplikacje Chrome.lnk
C:\Users\xxx\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Google Chrome\Program uruchamiający aplikacje Chrome.lnk
C:\Users\xxx\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Program uruchamiający aplikacje Chrome.lnk
C:\ProgramData\Microsoft\Windows\GameExplorer\SupportTasks\1\Zarejestruj się w sieci.lnk
C:\ProgramData\Microsoft\Windows\GameExplorer\PlayTasks\0\Graj.lnk
C:\Users\Default\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\AmazonAssistant.lnk
C:\Users\xxx\Start Menu\Programs\SpyHunter\SpyHunter.lnk
C:\Users\xxx\Start Menu\Programs\SpyHunter\Uninstall.lnk
C:\Users\xxx\Links\sounddata.lnk
C:\Users\xxx\AppData\Roaming\Microsoft\Windows\GameExplorer\SupportTasks\1\Zarejestruj się w sieci.lnk
C:\Users\xxx\AppData\Roaming\Microsoft\Windows\GameExplorer\PlayTasks\0\Graj.lnk
C:\Users\xxx\AppData\Local\Microsoft\Windows\GameExplorer\{D26B1DCD-44C1-4CDD-87D9-101F94FD78BB}\PlayTasks\0\Zagraj.lnk
C:\Users\xxx\AppData\Local\Microsoft\Windows\GameExplorer\{A98C0F2D-6C20-4049-B3BA-D60F0E9BD570}\PlayTasks\0\Zagraj.lnk
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\Users\xxx\AppData\Local\Mozilla
C:\Users\xxx\AppData\Roaming\Mozilla
C:\Users\xxx\AppData\Roaming\Profiles
RemoveProxy: 
EmptyTemp:

 

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Wyczyść oraz zabezpiecz przeglądarkę Google Chrome:

  • Zresetuj synchronizację (o ile włączona): KLIK.
  • Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia.
  • Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
  • Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google.
  • Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin.
  • Ustaw tą lub inną przeglądarkę jako domyślną, aby cofnąć modyfikacje infekcji. Skromnie sugeruję by wybrać Google Chrome właśnie. 
3. Pobierz AdwCleaner uruchom go i kliknij Skanuj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum.

 

4. Uruchom FRST, w polu Szukaj (Search) wklej poniższą frazę i kliknij w Szukaj w rejestrze (Search Registry).

 

program uruchamiający aplikacje chrome

 

Obok FRST powstanie raport SearchReg.txt - zaprezentuj go na forum. 

 

5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...