Streyker Opublikowano 6 Stycznia 2018 Zgłoś Udostępnij Opublikowano 6 Stycznia 2018 (edytowane) Witam Malwarebyte znalazł sporo przeróżnych wirusów ktore niby zostaly usuniete , ale jestem pewien ze coś po nich zostalo .Bardzo bym prosil o pomoc i ocene załączonych plików .Nie mam pojecia co wkleic do pliku fixlist.txt , więc zwracam sie do ludzi ogarnietych w tych sprawach . Addition.txt FRST.txt Shortcut.txt Edytowane 6 Stycznia 2018 przez Rucek Poprawiam temat Odnośnik do komentarza
Miszel03 Opublikowano 6 Stycznia 2018 Zgłoś Udostępnij Opublikowano 6 Stycznia 2018 W Harmonogramie zadań nadal są obecne infekcje. Resztki po innych instalacjach adware wskazują na to, że musiałby tu wcześniej niezły bałagan. 1. Za pomocą narzędzia Program Install and Uninstall Troubleshooter odinstaluj podejrzane instalacje bez podpisu wydawcy: ph, bl. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: Task: {4A01D667-4F1F-4E2A-84E5-B673CFDF6F3D} - \{7A7D7947-0C0F-0E04-0C11-7D050B0A117E} -> Brak pliku Task: C:\Windows\Tasks\RB.job => C:\Users\Lewandosie\AppData\Roaming\RB.exe Task: C:\Windows\Tasks\RHOWNXEN.job => C:\Users\Lewandosie\AppData\Roaming\RHOWNXEN.exe C:\Users\Lewandosie\AppData\Roaming\RB C:\Users\Lewandosie\AppData\Roaming\RHOWNXEN HKU\S-1-5-21-1873305243-1807652570-931623353-1000\...\Run: [AdobeBridge] => [X] ShellIconOverlayIdentifiers: [.QMDeskTopGCIcon] -> {B7667919-3765-4815-A66D-98A09BE662D6} => Brak pliku ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia SearchScopes: HKLM-x32 -> DefaultScope - brak wartości S3 vmci; \SystemRoot\system32\DRIVERS\vmci.sys [X] S3 VMnetAdapter; system32\DRIVERS\vmnetadapter.sys [X] C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinZip\Uninstall.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Windows 7 - Codec Pack\Uninstall.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Windows 7 - Codec Pack\Helpful Resources\How to play unusual files.lnk C:\Users\Lewandosie\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\HxD.lnk C:\Users\Lewandosie\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk C:\Program Files (x86)\IHeeaWA C:\Program Files (x86)\WinZipper DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Lewandosie\AppData\Local\Mozilla C:\Users\Lewandosie\AppData\Roaming\Mozilla C:\Users\Lewandosie\AppData\Roaming\Profiles CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files\System" CMD: dir /a "C:\Program Files (x86)\Common Files\System" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Lewandosie\AppData\Local CMD: dir /a C:\Users\Lewandosie\AppData\LocalLow CMD: dir /a C:\Users\Lewandosie\AppData\Roaming VirusTotal: C:\Windows\root\WinUpdate.exe Hosts: Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarkę Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj jeden z blokerów reklam (masz dwa, a w ogóle to sugeruję wymienić je na uBlock Origin) oraz wszystkie nieznane i niepotrzebne Ci rozszerzenia. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 4. Ponów skan Malwarebytes, jeśli coś wykryje ponownie to nic nie usuwaj, a dostarcz raport. 5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
Streyker Opublikowano 6 Stycznia 2018 Autor Zgłoś Udostępnij Opublikowano 6 Stycznia 2018 Mój komputer zaczął nagle działać masakra ile może pomóc takie czyszczenie ! Dziękuje bardzo za pomoc !!! Aktualnie zrobiłem wszystko co mogłem tak jak napisałeś i już jestem strasznie zadowolony z efektu Załączam resztę : FRST.txt Addition.txt Odnośnik do komentarza
Miszel03 Opublikowano 6 Stycznia 2018 Zgłoś Udostępnij Opublikowano 6 Stycznia 2018 Rozumiem, że Malwarebytes nic nie wykrył? Gdzie plik Fixlog? Odnośnik do komentarza
Streyker Opublikowano 6 Stycznia 2018 Autor Zgłoś Udostępnij Opublikowano 6 Stycznia 2018 Malware nic nie wykrył a tego fix loga wywalilem na koniec przez przypadek ;/// Odnośnik do komentarza
Miszel03 Opublikowano 7 Stycznia 2018 Zgłoś Udostępnij Opublikowano 7 Stycznia 2018 Tragedia, on mi jest teraz bardzo potrzebny. P.S: Wcześniej zapomniałem zapytać: dlaczego nie wykonałeś pkt. 1? Wykonaj jeszcze raz pkt. 2, ale z poniższą zawartością: CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files\System" CMD: dir /a "C:\Program Files (x86)\Common Files\System" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Lewandosie\AppData\Local CMD: dir /a C:\Users\Lewandosie\AppData\LocalLow CMD: dir /a C:\Users\Lewandosie\AppData\Roaming VirusTotal: C:\Windows\root\WinUpdate.exe ...a następnie koniecznie dostarcz plik Fixlog. Odnośnik do komentarza
Streyker Opublikowano 7 Stycznia 2018 Autor Zgłoś Udostępnij Opublikowano 7 Stycznia 2018 Wybacz zrobilem jeszcze raz ten fixlist ... Ale punktu 1 za nic nie wiem jak wykonac ;/ 1. Za pomocą narzędzia Program Install and Uninstall Troubleshooter odinstaluj podejrzane instalacje bez podpisu wydawcy: ph, bl. Gdzie tu jakis podpis wydawcy jest ? Wyswietla sie tylko opcja " masz problem z odinstalowaniem czy instalowaniem ? " i musze wybrac jedna , pozniej cala lista i nie mam pojecia co odinstalowac , a czego nie . Fixlog : Fixlog.txt Odnośnik do komentarza
Miszel03 Opublikowano 8 Stycznia 2018 Zgłoś Udostępnij Opublikowano 8 Stycznia 2018 Odinstaluj programy ph i bl, przecież jasno jest napisane... Odnośnik do komentarza
Streyker Opublikowano 8 Stycznia 2018 Autor Zgłoś Udostępnij Opublikowano 8 Stycznia 2018 Kompletnie nie zrozumiałem na poczatku o co chodzi ....Programy odinstalowane .... Odnośnik do komentarza
Miszel03 Opublikowano 8 Stycznia 2018 Zgłoś Udostępnij Opublikowano 8 Stycznia 2018 Świetnie, więc teraz poproszę o nowy zestaw raportów FRST (koniecznie za pomocą nowej wersji!) w celu wykonania ostatecznych poprawek. Odnośnik do komentarza
Streyker Opublikowano 9 Stycznia 2018 Autor Zgłoś Udostępnij Opublikowano 9 Stycznia 2018 Nowa wersja pobrana , skan zrobiony , załączam reszte : Addition.txt Shortcut.txt FRST.txt Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się