Streyker Opublikowano 7 Stycznia 2018 Zgłoś Udostępnij Opublikowano 7 Stycznia 2018 (edytowane) Witam ! Ostatnio moj komputer odżył po wizycie na tej stronie wiec postanowilem zrobic rowniez porządek z drugim komputerem ...Malwarebytes pokazal magiczna liczbe zainfekowanych 13.000 + plikow .... usunalem co sie dalo . Załączam logi z FRST'A : Addition.txt FRST.txt Shortcut.txt Edytowane 8 Stycznia 2018 przez Rucek Poprawiono tytuł Odnośnik do komentarza
Miszel03 Opublikowano 8 Stycznia 2018 Zgłoś Udostępnij Opublikowano 8 Stycznia 2018 Widoczne są fałszywe przeglądarki, które podszywają się pod oryginalne. Po za tym kupa innych śmieci adware... 1. Przez Panel Sterowania odinstaluj adware / PUP: WinSnare. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia SearchScopes: HKU\S-1-5-21-1006242395-2345654396-3546285009-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-1006242395-2345654396-3546285009-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-01072018221137668 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-1006242395-2345654396-3546285009-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-01072018221155419 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = BHO: Web Helper BHO Class -> {A23E6775-A971-490B-A91B-1F6F17B3FC2A} -> C:\Users\TOMEK\AppData\Local\Temp\Data1002.cat => Brak pliku S4 MCSvc; C:\ProgramData\Microsoft\Blend\14.0\1033\ResourceCacher.dll [318976 2017-03-03] () [brak podpisu cyfrowego] S2 quztionnodifierkrg.exe; C:\Program Files\Thiphlverther\quztionnodifierkrg.exe [708832 2016-06-29] () [brak podpisu cyfrowego] S2 Refgexnafl; C:\Users\TOMEK\AppData\Roaming\Qumbuck\Qumbuck.exe [170496 2016-06-28] () [brak podpisu cyfrowego] S2 Loogki; "C:\Users\TOMEK\AppData\Roaming\OkycgeXobha\Jehsaty.exe" -cms [X] S2 odtclientsrv; "C:\Program Files\Odtheratezotain\odtclientsrv.html5" {79740E79-A383-47A7-B513-3DF6563D007F} {8C4CE252-7DB2-4F8E-8E76-BAD0E5826A83} [X] C:\ProgramData\Microsoft\Blend\14.0\1033\ResourceCacher.dll C:\Program Files\Thiphlverther C:\Users\TOMEK\AppData\Roaming\Qumbuck C:\Users\TOMEK\AppData\Roaming\OkycgeXobha C:\Program Files\Odtheratezotain S0 ddfkapoe; System32\drivers\iaysrdae.sys [X] 2017-03-03 18:58 - 2017-03-03 18:58 - 000000000 _____ () C:\Program Files\metadata 2018-01-07 19:58 - 2018-01-07 19:58 - 000000040 _____ () C:\Program Files\settings.dat ContextMenuHandlers1: [usbBoxContextMenu] -> {572ECEAD-2541-4C78-AA4B-C5491F0FE714} => -> Brak pliku ContextMenuHandlers1: [WinRAR] -> __{B41DB860-8EE4-11D2-9906-E49FADC173CA} => -> Brak pliku ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Brak pliku ContextMenuHandlers6: [WinRAR] -> __{B41DB860-8EE4-11D2-9906-E49FADC173CA} => -> Brak pliku Task: {9BFFF142-CEF2-4650-BBD8-7F992461648D} - System32\Tasks\{DD97E8BB-7C53-4D6C-B67D-3BFE225E393E} => C:\Windows\system32\pcalua.exe -a "C:\Program Files\Elex-tech\YAC\uninstall.exe" C:\Program Files\Elex-tech C:\Users\TOMEK\Desktop\Google Chrome.lnk C:\Users\TOMEK\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\TOMEK\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk C:\Users\TOMEK\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk C:\Users\TOMEK\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\9501e18d7c2ab92e\Google Chrome.lnk C:\Users\TOMEK\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\4b56f71d541d5c2f\user0 - Chrome.lnk C:\Users\TOMEK\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\710c01fcb5a0f501\Google Chrome.lnk C:\Users\TOMEK\AppData\Roaming\Microsoft\Windows\SendTo\Android (ALLPlayer Pilot).lnk C:\Program Files\Antper C:\Users\TOMEK\AppData\Local\Antper C:\Users\TOMEK\AppData\Roaming\Antper C:\Program Files\Firefox C:\Users\TOMEK\AppData\Local\\Firefox C:\Users\TOMEK\AppData\Roaming\Firefox DeleteKey: HKCU\Software\Antper DeleteKey: HKLM\SOFTWARE\WOW6432Node\Antper DeleteKey: HKCU\Software\Firefox DeleteKey: HKLM\SOFTWARE\WOW6432Node\Firefox DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\TOMEK\AppData\Local\Mozilla C:\Users\TOMEK\AppData\Roaming\Mozilla C:\Users\TOMEK\AppData\Roaming\Profiles CMD: netsh advfirewall reset Hosts: Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Otwórz Google Chrome: Ustawienia > karta Ustawienia > Osoby > Dodaj Osobę > utwórz nową Osobę, zaloguj się na nią > wejdź ponownie do opcji i skasuj wszystkie poprzednie Osoby. 4. Uruchom FRST, w polu Szukaj (Search) wklej poniższą frazę i kliknij w Szukaj w rejestrze (Search Registry). antper;firefox Obok FRST powstanie raport SearchReg.txt - zaprezentuj go na forum. 5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się