Laptop - Windows 7 Ultimate 64b
Laptopik na skutek ściągania przez osobę X różnych rzeczy nabawił się raka. Próbowałem walczyć ale coś mi nie wyszło.
Używałem JTR, AdRemover i na własną rękę próbowałem coś usunąć. (próbowałem jeszcze jednym ale on sam okazał się dziadostwem) Wiem, że zagnieździł się DNSUnlocker(adware) i jeszcze 2 jakieś azjatyckie wirusy(te chyba usunąłem).
Logi:
FRST: Dostępne tylko dla zarejestrowanych użytkowników
Additional: Dostępne tylko dla zarejestrowanych użytkowników
Shortcut: Dostępne tylko dla zarejestrowanych użytkowników
Złośliwe oprogramowanie - Adware i inne raki
-
- Posty: 103
- Rejestracja: 20 sty 2014, 08:37
- djarta
- Posty: 5854
- Rejestracja: 26 gru 2008, 17:15
- Lokalizacja: Białystok
- Kontaktowanie:
Złośliwe oprogramowanie - Adware i inne raki
1. Otwórz notatnik i wklej:
Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.
2. Użyj >Dostępne tylko dla zarejestrowanych użytkowników
najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner\AdwCleaner[S].txt
3. Uruchom Dostępne tylko dla zarejestrowanych użytkowników. Wciśnij dowolny klawisz i czekaj, aż skończy się operacja. (UWAGA: podczas pobierania, programy mogą wskazywać, że to jest zagrożenie, proszę to zignorować). Pokaż raport.
4. Wyczyść Firefox:
5. Wykonaj i wklej nowe logi z FRST.
CloseProcesses:
S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X]
S3 tsusbhub; system32\drivers\tsusbhub.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
FF SearchPlugin: C:\Users\Laptop\AppData\Roaming\Mozilla\Firefox\Profiles\sbulukw1.default\searchplugins\bing-.xml [2015-12-26]
FF SearchPlugin: C:\Users\Laptop\AppData\Roaming\Mozilla\Firefox\Profiles\41A66E7E5EE1\searchplugins\bing-.xml [2015-12-26]
FF SearchPlugin: C:\Users\Laptop\AppData\Roaming\Mozilla\Firefox\Profiles\41A66E7E5EE1\searchplugins\DD1B66D4.xml [2016-02-24]
FF Extension: Bing Search - C:\Users\Laptop\AppData\Roaming\Mozilla\Firefox\Profiles\sbulukw1.default\Extensions\bingsearch.full@microsoft.com.xpi [2015-12-26]
FF Extension: Bing Search - C:\Users\Laptop\AppData\Roaming\Mozilla\Firefox\Profiles\41A66E7E5EE1\Extensions\bingsearch.full@microsoft.com.xpi [2015-12-26]
StartMenuInternet: FIREFOX.EXE - D:\Programy\Firefox\firefox.exe
FF Plugin-x32: @microsoft.com/GENUINE -> disabled [Brak pliku]
FF Plugin: @microsoft.com/GENUINE -> disabled [Brak pliku]
FF NewTab: hxxp://www.yessearches.com/?ts=AHEpBXAo ... ode=ffseng
FF DefaultSearchEngine: yessearches
FF SearchEngineOrder.3: Bing
FF SelectedSearchEngine: yessearches
FF Homepage: hxxp://www.yessearches.com/?ts=AHEpBXAo ... ode=ffseng
FF Keyword.URL: hxxp://www.bing.com/search?FORM=SL5MDF&PC=SL5M&q=
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://fr.msn.com/
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dl ... r=iesearch
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.microsoft.com/isapi/redir.dl ... r=iesearch
HKU\S-1-5-21-1894152858-4054028119-968434116-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://fr.msn.com/
HKU\S-1-5-21-1894152858-4054028119-968434116-1000\Software\Microsoft\Internet Explorer\Main,Default_search_url = hxxp://www.microsoft.com/isapi/redir.dl ... r=iesearch
HKU\S-1-5-21-1894152858-4054028119-968434116-1000\Software\Microsoft\Internet Explorer\Main,Default_page_url = hxxp://www.microsoft.com/isapi/redir.dl ... ar=msnhome
SearchScopes: HKU\S-1-5-21-1894152858-4054028119-968434116-1000 -> ${searchCLSID} URL = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
Tcpip\Parameters: [DhcpNameServer] 91.228.8.5 8.8.8.8
Tcpip\Parameters: [NameServer] 82.163.142.7 95.211.158.134
Tcpip\..\Interfaces\{2E11AC35-5E4A-4129-B498-CA29F8CFE0C5}: [DhcpNameServer] 91.228.8.5 8.8.8.8
Tcpip\..\Interfaces\{F9D6BB46-4302-49F3-8CC2-44594665F200}: [NameServer] 82.163.142.7 95.211.158.134
Tcpip\..\Interfaces\{F9D6BB46-4302-49F3-8CC2-44594665F200}: [DhcpNameServer] 82.163.142.7
GroupPolicy: Ograniczenia - Chrome <======= UWAGA
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA
HKU\S-1-5-21-1894152858-4054028119-968434116-1000\...\Run: [BingSvc] => C:\Users\Laptop\AppData\Local\Microsoft\BingSvc\BingSvc.exe [144008 2015-12-26] (© 2015 Microsoft Corporation)
C:\Users\Laptop\AppData\Local\Microsoft\BingSvc
2016-03-08 22:45 - 2016-03-08 22:54 - 00000000 ____D C:\Program Files (x86)\Ad-Remover
2016-03-08 22:44 - 2016-03-08 22:44 - 01308129 _____ C:\Users\Laptop\Downloads\AD-Remover_2.0.0.2,G_www.instalki{usun}.pl.zip
2016-03-08 22:14 - 2016-03-08 22:14 - 00000000 ____D C:\ProgramData\fa00ffcc-3327-0
2016-03-08 22:14 - 2016-03-08 22:14 - 00000000 ____D C:\ProgramData\fa00ffcc-0851-1
2016-03-08 20:51 - 2016-03-08 20:51 - 00000000 ____D C:\ProgramData\fa00ffcc-6b05-1
2016-03-08 20:51 - 2016-03-08 20:51 - 00000000 ____D C:\ProgramData\fa00ffcc-0c91-0
2016-03-06 13:43 - 2016-03-06 13:44 - 00000000 ____D C:\ProgramData\fa00ffcc-61f5-0
2016-03-06 13:43 - 2016-03-06 13:44 - 00000000 ____D C:\ProgramData\fa00ffcc-30b5-1
2016-03-05 19:06 - 2016-03-05 19:06 - 00000000 ____D C:\ProgramData\fa00ffcc-5f83-0
2016-03-05 19:06 - 2016-03-05 19:06 - 00000000 ____D C:\ProgramData\fa00ffcc-40d5-1
2016-02-27 16:14 - 2016-03-05 19:06 - 00000000 ____D C:\ProgramData\fa00ffcc-1665-0
2016-02-27 16:08 - 2016-03-05 19:06 - 00000000 ____D C:\ProgramData\fa00ffcc-1553-0
2016-02-27 16:08 - 2016-02-27 16:09 - 00003730 _____ C:\Windows\System32\Tasks\{8934468D-9D3E-E851-CDFF-00FA5655FB43}
2016-02-27 16:08 - 2016-02-27 16:08 - 00000000 ____D C:\ProgramData\dddd23cf
2016-02-27 16:08 - 2016-02-27 16:08 - 00000000 ____D C:\ProgramData\{285bb052-212c-1}
2016-02-27 16:08 - 2016-02-27 16:08 - 00000000 ____D C:\ProgramData\{04f8e83c-112c-0}
2016-02-25 17:53 - 2016-03-08 23:07 - 00000000 ____D C:\Users\Laptop\AppData\Roaming\MMFApplications
2016-02-25 17:50 - 2016-02-25 17:52 - 248789302 _____ C:\Users\Laptop\Desktop\FNaF_World.exe
2016-02-24 20:41 - 2016-02-24 20:41 - 00015236 _____ C:\Windows\System32\Tasks\WinTaske
2016-02-24 20:41 - 2016-02-24 20:41 - 00000000 ____D C:\Users\Public\Documents\dmp
2016-02-24 20:41 - 2016-02-24 20:41 - 00000000 ____D C:\Users\Laptop\AppData\Local\F727A298-4DB4-456A-AC54-A93EA5F8554D
2016-02-24 20:41 - 2016-02-24 20:41 - 00000000 ____D C:\Users\Laptop\AppData\Local\3810282D-6C19-47B0-8283-5C6C29A7E108
2016-02-24 20:40 - 2016-02-24 20:40 - 00161472 _____ C:\Users\Laptop\Downloads\Don't Starve.exe
2016-02-18 20:59 - 2016-02-18 20:59 - 03238400 _____ (Toby Fox ) C:\Users\Laptop\Downloads\UNDERTALE.exe
2016-02-18 20:59 - 2016-02-18 20:59 - 03238400 _____ (Toby Fox ) C:\Users\Laptop\Downloads\UNDERTALE(1).exe
2016-02-17 14:48 - 2016-02-17 14:48 - 00000000 ____D C:\ProgramData\Package Cache
2016-02-15 19:07 - 2016-02-15 19:07 - 00000000 ____D C:\Users\Laptop\AppData\Roaming\krita
C:\Windows\system32\Drivers\sfi.dat
2016-02-27 16:10 - 2015-12-26 12:50 - 00000000 ____D C:\ProgramData\c54f82c8-1ea3-0
2016-02-27 16:09 - 2015-12-26 12:50 - 00000000 ____D C:\ProgramData\c54f82c8-7d27-1
C:\Windows\Tasks\{7E0D0447-0F0C-087F-0D11-787F7809110A}.job
Task: C:\Windows\Tasks\Adobe Flash Player PPAPI Notifier.job => C:\Windows\SysWOW64\Macromed\Flash\FlashUtil32_20_0_0_306_pepper.exe
Task: C:\Windows\Tasks\Adobe Flash Player Updater.job => C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe
Task: C:\Windows\Tasks\{7E0D0447-0F0C-087F-0D11-787F7809110A}.job => powershell exe
Task: {0C790A48-9A11-4BC4-AEC2-F9E385FBF261} - System32\Tasks\WinTaske => C:\Program Files (x86)\WinTaske\WinTaske\WinTaske.exe
Task: {0D6774AD-674E-4A58-BC76-8CD22726BE49} - System32\Tasks\Adobe Flash Player PPAPI Notifier => C:\Windows\SysWOW64\Macromed\Flash\FlashUtil32_20_0_0_306_pepper.exe [2016-02-09] (Adobe Systems Incorporated)
Task: {1253526B-9009-4141-82A9-E1585529BA1A} - System32\Tasks\{A26C98A1-1C07-4D57-9C23-655138F9AE41} => pcalua.exe -a C:\Windows\system32\pcwrun.exe -c "C:\Users\Laptop\AppData\Local\Temp\Temp1_Easy Paint tool SAI.zip\Easy Paint tool SAI\PaintToolSAI\sai.exe"
Task: {22A42D84-A562-41A0-91C7-822473752126} - System32\Tasks\Opera scheduled Autoupdate 1451047480 => C:\Program Files (x86)\Opera\launcher.exe [2015-12-15] (Opera Software)
Task: {29A9CCF4-FE31-42B6-A8A5-A9D1A402FB35} - System32\Tasks\COMODO\COMODO Cache Builder {0FB77674-7905-4F34-A362-C5A9A26F8CF9} => D:\Programy\COMODO\COMODO Internet Security\cfpconfg.exe [2015-08-05] (COMODO)
Task: {457A6264-54BD-4141-AFAD-F75C7D6925FC} - System32\Tasks\{4C898BC4-197C-4051-9C00-1B81CCD0A8FF} => C:\Users\Laptop\AppData\Local\Temp\Temp1_Easy Paint tool SAI.zip\Easy Paint tool SAI\PaintToolSAI\sai.exe [2015-12-25] () <==== UWAGA
Task: {8DAC620B-E96C-4101-B811-239388248C0A} - System32\Tasks\Adobe Flash Player Updater => C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2016-03-10] (Adobe Systems Incorporated)
Task: {9A310C34-17FB-4012-92A2-3D894265296E} - System32\Tasks\{506438A9-97E5-4D08-A060-378B9E1BBAA6} => C:\Users\Laptop\AppData\Local\Temp\Temp1_Easy Paint tool SAI.zip\Easy Paint tool SAI\PaintToolSAI\sai.exe [2015-12-25] () <==== UWAGA
Task: {AA0B81C1-8372-4189-BD79-CFAA67BA505E} - System32\Tasks\COMODO\COMODO Signature Update {B9D5C6F9-17D2-4917-8BD0-614BAA1C6A59} => D:\Programy\COMODO\COMODO Internet Security\cfpconfg.exe [2015-08-05] (COMODO)
Task: {AB4646E9-01AB-4100-8F9A-53E0F8C55D9E} - System32\Tasks\{DEE8E61D-61FC-4315-8B43-86CB861DC78A} => pcalua.exe -a "C:\Users\Laptop\AppData\Local\Temp\Temp1_Easy Paint tool SAI.zip\Easy Paint tool SAI\sai-eng-pack-1.0.exe"
Task: {AEA2AB54-129F-47F4-9E91-C1B901BCED44} - System32\Tasks\COMODO\COMODO Scan {F140D794-60B6-4F00-9235-D6457AA25B22} => D:\Programy\COMODO\COMODO Internet Security\cfpconfg.exe [2015-08-05] (COMODO)
Task: {C140E0D0-C8C8-4749-B03E-7C39C0C1ABE3} - System32\Tasks\{7E0D0447-0F0C-087F-0D11-787F7809110A} => powershell.exe -nologo -executionpolicy bypass -noninteractive -windowstyle hidden -EncodedCommand JABFAHIAcgBvAHIAQQBjAHQAaQBvAG4AUAByAGUAZgBlAHIAZQBuAGMAZQA9ACIAcwB0AG8AcAAiADsAJABzAGMAPQAiAFMAaQBsAGUAbgB0AGwAeQBDAG8AbgB0AGkAbgB1AGUAIgA7ACQAVwBhAHIAbgBpAG4AZwBQAHIAZQBmAGUAcgBlAG4AYwBlAD0AJABzAGMAOwAkAFAAcgBvAGcA (dane wartości zawierają 9384 znaków więcej).
Task: {D8B9EC71-810E-47CF-ACE4-7A52C68D083D} - System32\Tasks\LaptopBejeweledWiretapsV2 => Rundll32.exe PluralOffish.dll,main 7 1 <==== UWAGA
Task: {DF6112EE-E106-4FF5-86A3-E43B08FB0F17} - System32\Tasks\{8934468D-9D3E-E851-CDFF-00FA5655FB43} => C:\Windows\system32\regsvr32.exe [2009-07-14] (Microsoft Corporation)
Task: {E858674A-5081-4091-A8B2-1B254D8AAA1D} - System32\Tasks\COMODO\COMODO Update {A6D52E4F-569B-4756-B3D8-DF217313DA85} => D:\Programy\COMODO\COMODO Internet Security\cfpconfg.exe [2015-08-05] (COMODO)
Task: {EF3E8916-D6A8-417C-BB8B-EE7331D7AB26} - System32\Tasks\COMODO\COMODO Autostart {D5EFF3B3-E126-4AF6-BCE9-852A72129E10} => D:\Programy\COMODO\COMODO Internet Security\cistray.exe [2015-08-05] (COMODO)
RemoveProxy:
EmptyTemp:
Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.
2. Użyj >Dostępne tylko dla zarejestrowanych użytkowników
najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner\AdwCleaner[S].txt
3. Uruchom Dostępne tylko dla zarejestrowanych użytkowników. Wciśnij dowolny klawisz i czekaj, aż skończy się operacja. (UWAGA: podczas pobierania, programy mogą wskazywać, że to jest zagrożenie, proszę to zignorować). Pokaż raport.
4. Wyczyść Firefox:
- menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.
- menu Historia > Wyczyść historię przeglądania
5. Wykonaj i wklej nowe logi z FRST.
-
- Posty: 103
- Rejestracja: 20 sty 2014, 08:37
Złośliwe oprogramowanie - Adware i inne raki
Oto logi:
FixLog: Dostępne tylko dla zarejestrowanych użytkowników
JTR: Dostępne tylko dla zarejestrowanych użytkowników
AdwCelaner: Dostępne tylko dla zarejestrowanych użytkowników
FRST: Dostępne tylko dla zarejestrowanych użytkowników
Shortcut: Dostępne tylko dla zarejestrowanych użytkowników
Additiona: Dostępne tylko dla zarejestrowanych użytkowników
FixLog: Dostępne tylko dla zarejestrowanych użytkowników
JTR: Dostępne tylko dla zarejestrowanych użytkowników
AdwCelaner: Dostępne tylko dla zarejestrowanych użytkowników
FRST: Dostępne tylko dla zarejestrowanych użytkowników
Shortcut: Dostępne tylko dla zarejestrowanych użytkowników
Additiona: Dostępne tylko dla zarejestrowanych użytkowników
- djarta
- Posty: 5854
- Rejestracja: 26 gru 2008, 17:15
- Lokalizacja: Białystok
- Kontaktowanie:
Złośliwe oprogramowanie - Adware i inne raki
# Lokalizacja programu : C:\Users\Laptop\Downloads\adwcleaner_5.101_www.instalki{usun}.pl.exe
Czy ja kazałem ściągnąć program z INSTALEK?
Podaje oryginalne źródło pobierania nie dla widzi mi się tylko po to, żeby wersja była prosto od producenta.
W logach już niczego nie widzę.
1. Spróbuj przebudować informacje o licznikach. Start > Uruchom > CMD i wpisz komendę lodctr /R:PerfStringBackup.INI
2. Wykonaj wszystko z tego tematu: Kroki kończące temat. Raport z wynikami skanowania z MBAM do wglądu.
3. Przeprowadź skanowanie za pomocą Dostępne tylko dla zarejestrowanych użytkowników. Jeśli coś znajdzie, nic nie usuwaj, tylko dostarcz raport z wynikami.
-
- Posty: 103
- Rejestracja: 20 sty 2014, 08:37
Złośliwe oprogramowanie - Adware i inne raki
DelFix: Dostępne tylko dla zarejestrowanych użytkowników
Malwarebytes Anti-Malware: Dostępne tylko dla zarejestrowanych użytkowników
Hitman Pro: Dostępne tylko dla zarejestrowanych użytkowników
Hitman nadal coś wykrywa.
Malwarebytes Anti-Malware: Dostępne tylko dla zarejestrowanych użytkowników
Hitman Pro: Dostępne tylko dla zarejestrowanych użytkowników
Hitman nadal coś wykrywa.
- djarta
- Posty: 5854
- Rejestracja: 26 gru 2008, 17:15
- Lokalizacja: Białystok
- Kontaktowanie:
Złośliwe oprogramowanie - Adware i inne raki
Usuń wszystko co wykrył MBAM, tak samo w Hitmanie.
-
- Posty: 103
- Rejestracja: 20 sty 2014, 08:37
Złośliwe oprogramowanie - Adware i inne raki
Wszystko usunięte.
Coś jeszcze do zrobienie, czy już tyle?
Aktualnie problemów nie stwierdzam, wszytko działa bardzo dobrze.
Coś jeszcze do zrobienie, czy już tyle?
Aktualnie problemów nie stwierdzam, wszytko działa bardzo dobrze.
- djarta
- Posty: 5854
- Rejestracja: 26 gru 2008, 17:15
- Lokalizacja: Białystok
- Kontaktowanie:
Złośliwe oprogramowanie - Adware i inne raki
Wydaje mi się, że to już wsio.
-
- Posty: 103
- Rejestracja: 20 sty 2014, 08:37
Złośliwe oprogramowanie - Adware i inne raki
Jeśli tak to temat do zamknięcia.
Dziękuję za pomoc.
Dziękuję za pomoc.
Ostatnio zmieniony 12 mar 2016, 11:15 przez djarta, łącznie zmieniany 1 raz.
Powód: Zamek.
Powód: Zamek.
-
- Reklama
Kto jest online
Użytkownicy przeglądający to forum: Google [Bot] i 20 gości