Skocz do zawartości

Wirusy Adware


Rekomendowane odpowiedzi

Witam, 

ostatnio formatowałem komputer i nie wiem skąd (zdarzyło Mi się to pierwszy raz) pojawiły się na komputerze i internecie złośliwe oprogramowanie, między innymi default-search oraz jakis VidSquare :/ Proszę o pomoc gdyż nie znam się na tym za dobrze. Używam przeglądarki Google Chrome.

 

W załączniku wstawiam diagnostykę z FRST.

 

Addition.txt

FRST.txt

Shortcut.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Mam pytanie, czy to oryginalny plik Addition.txt wyprodukowany przez FRST (i nie zapisywany ręcznie ponownie)?

 

Działania do przeprowadzenia:

 

1. Przez Panel sterowania odinstaluj adware WindowsTM. Następnie uruchom Program Install and Uninstall Troubleshooter i za jego pomocą usuń wpis Online Application.

 

2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:

 

CloseProcesses:
CreateRestorePoint:
R2 mptpmdxm; C:\Windows\system32\mptpmdxm.dll [479528 2017-06-22] () <==== UWAGA
R2 TMService; C:\Program Files\WindowsTM\TMService.exe [242344 2017-06-22] (Smart Software, Inc.) <==== UWAGA
S2 vVHwNKdxeWi8 Updater; C:\Program Files\vVHwNKdxeWi8 Updater\vVHwNKdxeWi8 Updater.exe [X]
R1 cfidsk; C:\Windows\System32\drivers\cfidsk.sys [179240 2017-06-20] ()
R2 UefGdstor; C:\Windows\system32\drivers\UefGdstor.sys [195104 2016-08-23] () <==== UWAGA
S2 {27AFBEDD-7BFE-45b5-B43B-98DB66D54A2D}; \??\C:\Windows\system32\drivers\TMKernel.sys [X]
HKU\S-1-5-21-3717989512-3116085309-1886057735-1000\...\Run: [{6AED9678-26AA-61FD-3994-F47F0CD7F266}] => C:\Program Files\Windows Loader\438641d2b06cdabf7e056667013abbd6.exe [156191 2017-01-09] ()
HKU\S-1-5-21-3717989512-3116085309-1886057735-1000\...\Run: [YeaDesktop] => C:\Program Files\YeaDesktop\YeaDesktop.exe /autostart <==== UWAGA
HKU\S-1-5-21-3717989512-3116085309-1886057735-1000\...\Run: [85n-7çH5çq.exe] => C:\Program Files\vVHwNKdxeWi8\OTPYQ5I4DKIDPLC36431BACT\85n-7çH5çq.exe [196096 2017-06-22] ()
HKU\S-1-5-21-3717989512-3116085309-1886057735-1000\...\Run: [ARPworks] => C:\Users\Wukong\AppData\Local\ARPworks\438641d2b06cdabf7e056667013abbd6.exe [156191 2017-01-09] ()
Tcpip\..\Interfaces\{692DD529-B8AA-44B8-A325-C4C3521849C6}: [NameServer] 82.163.142.8,95.211.158.136
Task: {946AC8F9-67AB-4868-A841-2264214BDC5D} - System32\Tasks\PPI Update => C:\Windows\explorer.exe "hxxp://insightcdn.online/download/index.php?mn=9995"
Task: {9C30B21D-F168-4102-B1B5-91E00432C238} - System32\Tasks\Updater_Online_Application => C:\Program Files\Microleaves\Online Application\Online Application Updater.exe [2017-04-18] (Microleaves) <==== UWAGA
Task: {A418945D-A61D-4B6A-9B2B-A8C8E9404113} - System32\Tasks\Online Application V2G1 => C:\Program Files\Microleaves\Online Application\Version 2.6.0\Online-Guardian.exe [2017-02-07] (Microleaves LTD) <==== UWAGA
Task: {FCFD761A-B09A-4FF2-8905-EB23126ADB3D} - System32\Tasks\Online Application V2G3 => C:\Program Files\Microleaves\Online Application\Version 2.6.0\Online-Guardian.exe [2017-02-07] (Microleaves LTD) <==== UWAGA
Task: {FF1CAB03-2F77-4719-94F6-BA0CA1C5D6C5} - System32\Tasks\Online Application V2G2 => C:\Program Files\Microleaves\Online Application\Version 2.6.0\Online-Guardian.exe [2017-02-07] (Microleaves LTD) <==== UWAGA
Task: C:\Windows\Tasks\Online Application V2G1.job => C:\Program Files\Microleaves\Online Application\Version 2.6.0\Online-Guardian.exe <==== UWAGA
Task: C:\Windows\Tasks\Online Application V2G2.job => C:\Program Files\Microleaves\Online Application\Version 2.6.0\Online-Guardian.exe <==== UWAGA
Task: C:\Windows\Tasks\Online Application V2G3.job => C:\Program Files\Microleaves\Online Application\Version 2.6.0\Online-Guardian.exe <==== UWAGA
Task: C:\Windows\Tasks\Updater_Online_Application.job => C:\Program Files\Microleaves\Online Application\Online Application Updater.exe <==== UWAGA
WMI_ActiveScriptEventConsumer_ASEC: <==== UWAGA
ShortcutWithArgument: C:\Users\Wukong\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yeadesktop.com/
ShortcutWithArgument: C:\Users\Wukong\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yeadesktop.com/
ShortcutWithArgument: C:\Users\Wukong\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yeadesktop.com/
ShortcutWithArgument: C:\Users\Wukong\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yeadesktop.com/
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yeadesktop.com/
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yeadesktop.com/
ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yeadesktop.com/
ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yeadesktop.com/
C:\Program Files\mgdisk
C:\Program Files\Microleaves
C:\Program Files\Norton Internet Security
C:\Program Files\pccleanplus
C:\Program Files\Temp
C:\Program Files\vVHwNKdxeWi8
C:\Program Files\Windows Loader
C:\Program Files\WindowsTM
C:\Program Files\YeaDesktop
C:\ProgramData\Microleaves
C:\ProgramData\Norton
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\mgdisk
C:\ProgramData\Microsoft\Windows\Start Menu\WindowsTM
C:\Users\Wukong\AppData\Local\AdvinstAnalytics
C:\Users\Wukong\AppData\Local\ARPworks
C:\Users\Wukong\AppData\Local\CrashRpt
C:\Users\Wukong\AppData\Roaming\Microleaves
C:\Users\Wukong\AppData\Roaming\UCChannel
C:\Users\Wukong\AppData\Roaming\vnlgp
C:\Users\Wukong\Downloads\Registry_Activation
C:\Users\Wukong\Downloads\WiperSoft-installer.exe
C:\Users\Wukong\Downloads\WiperSoft-installer (1).exe
C:\Users\Public\Documents\XMUpdate
C:\Windows\system32\*.tmp
C:\Windows\system32\mptpmdxm.dll
C:\Windows\system32\Drivers\cfidsk.sys
StartBatch:
ipconfig /flushdns
netsh advfirewall reset
EndBatch:
Hosts:
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt.

Odnośnik do komentarza

Nie zostały usunięte dwa elementy w usługach / sterownikach. Poprawki:

 

1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:

 

CloseProcesses:
R2 mptpmdxm; C:\Windows\system32\mptpmdxm.dll [479528 2017-06-22] () <==== UWAGA
R2 UefGdstor; C:\Windows\system32\drivers\UefGdstor.sys [195104 2016-08-23] () <==== UWAGA
C:\Users\Public\Documents\XMUpdate
C:\Windows\system32\mptpmdxm.dll
C:\Windows\system32\drivers\UefGdstor.sys

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z klawiatury CTRL+S, by zapisać zmiany. Przejdź w tryb awaryjny Windows. Uruchom FRST i klik w Napraw (Fix). Gdy Fix ukończy pracę, nastąpi restart systemu, opuść tryb awaryjny. Przedstaw wynikowy fixlog.txt.

 

2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Odnośnik do komentarza

Kończymy:

 

1. Zastosuj DelFix, by usunąć narzędzia i ich kwarantanny.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Odinstaluj stare niebezpieczne wersje Adobe, jeśli potrzebne zainstaluj nowe. Link do Adobe Reader również w w/w przyklejonym.

 

==================== Zainstalowane programy ======================

Acrobat.com (HKLM\...\com.adobe.mauby.4875E02D9FB21EE389F73B8D1702B320485DF8CE.1) (Version: 1.1.377 - Adobe Systems Incorporated)
Adobe AIR (HKLM\...\Adobe AIR) (Version: 1.0.4990 - Adobe Systems Inc.)
Adobe Reader 9 (HKLM\...\{AC76BA86-7AD7-1033-7B44-A90000000001}) (Version: 9.0.0 - Adobe Systems Incorporated)

 

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...