Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Wirusy - Córka zawirusowała mi całkowicie laptopa

adamos793 18 Kwi 2015 14:37 1065 4
  • #1 18 Kwi 2015 14:37
    adamos793
    Poziom 7  

    Witam

    Córka zawirusowała laptopa. Malwarebytes znalazł ponad 100 zagrożonych obiektów.
    W CCleaner jest w porządku ale co chwila internet mi rozłącza i mimo usuwania w CCleaner niektórych programów one nadal się pojawiają

    Zrobiłem logi programem FRST już po skanowaniu malwarebytes i usunięciu zagrożeń - wysyłam w załączniku.

    0 4
  • Pomocny post
    #2 18 Kwi 2015 14:57
    Acorus 20
    Spec od komputerów

    Odinstaluj Remote Desktop Access (VuuPC). Otwórz notatnik systemowy i wklej:

    Cytat:
    HKU\S-1-5-21-3458858480-4238256194-1966451203-1000\Software\Classes\exefile: <===== ATTENTION!
    GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
    CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
    HKU\S-1-5-21-3458858480-4238256194-1966451203-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts...XHTS545050A7E380_TM8521PY30X44L30X44LX&q={searchTerms}
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&ts=139...id=HGSTXHTS545050A7E380_TM8521PY30X44L30X44LX
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts...XHTS545050A7E380_TM8521PY30X44L30X44LX&q={searchTerms}
    SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts...XHTS545050A7E380_TM8521PY30X44L30X44LX&q={searchTerms}
    SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts...XHTS545050A7E380_TM8521PY30X44L30X44LX&q={searchTerms}
    SearchScopes: HKLM -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2476} URL = http://www.default-search.net/search?sid=476&...=a&ver=13337&tm=403&src=ds&p={searchTerms}
    SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts...XHTS545050A7E380_TM8521PY30X44L30X44LX&q={searchTerms}




    SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts...XHTS545050A7E380_TM8521PY30X44L30X44LX&q={searchTerms}
    SearchScopes: HKLM-x32 -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2476} URL = http://www.default-search.net/search?sid=476&...=a&ver=13337&tm=403&src=ds&p={searchTerms}
    SearchScopes: HKU\S-1-5-21-3458858480-4238256194-1966451203-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts...XHTS545050A7E380_TM8521PY30X44L30X44LX&q={searchTerms}
    SearchScopes: HKU\S-1-5-21-3458858480-4238256194-1966451203-1000 -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2476} URL = http://www.default-search.net/search?sid=476&...=a&ver=13337&tm=403&src=ds&p={searchTerms}
    BHO-x32: No Name -> {c0b1016f-b7e5-46f0-b415-6bf9e55ab00d} -> No File
    BHO-x32: No Name -> {d39539bb-f65e-4088-a9d1-6e5f01a42a3e} -> No File
    FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\default-search.xml [2014-07-15]
    FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\sweet-page.xml [2014-01-24]
    FF HKLM-x32\...\Firefox\Extensions: [lightningnewtab@gmail.com] - C:\Users\-\AppData\Roaming\Mozilla\Firefox\Profiles\4cxwbjpx.default\extensions\lightningnewtab@gmail.com.xpi
    CHR Extension: (browse pulse) - C:\Users\-\AppData\Local\Google\Chrome\User Data\Default\Extensions\aenjcjfefbgcfibhhcdhgcbmkafimedm [2015-04-17]
    CHR HKLM\...\Chrome\Extension: [dbhjdbfgekjfcfkkfjjmlmojhbllhbho] - https://chrome.google.com/webstore/detail/dbhjdbfgekjfcfkkfjjmlmojhbllhbho
    CHR HKLM-x32\...\Chrome\Extension: [dbhjdbfgekjfcfkkfjjmlmojhbllhbho] - https://chrome.google.com/webstore/detail/dbhjdbfgekjfcfkkfjjmlmojhbllhbho
    U3 catchme; \??\C:\ComboFix\catchme.sys [X]
    S2 sbapifs; system32\DRIVERS\sbapifs.sys [X]
    2015-04-18 12:29 - 2015-04-18 14:00 - 00000000 ____D () C:\Qoobox
    2015-04-18 12:29 - 2011-06-26 08:45 - 00256000 _____ () C:\Windows\PEV.exe
    2015-04-18 12:29 - 2010-11-07 19:20 - 00208896 _____ () C:\Windows\MBR.exe
    2015-04-18 12:29 - 2009-04-20 06:56 - 00060416 _____ (NirSoft) C:\Windows\NIRCMD.exe
    2015-04-18 12:29 - 2000-08-31 02:00 - 00518144 _____ (SteelWerX) C:\Windows\SWREG.exe
    2015-04-18 12:29 - 2000-08-31 02:00 - 00406528 _____ (SteelWerX) C:\Windows\SWSC.exe
    2015-04-18 12:29 - 2000-08-31 02:00 - 00098816 _____ () C:\Windows\sed.exe
    2015-04-18 12:29 - 2000-08-31 02:00 - 00080412 _____ () C:\Windows\grep.exe
    2015-04-18 12:29 - 2000-08-31 02:00 - 00068096 _____ () C:\Windows\zip.exe
    2015-04-09 17:15 - 2015-04-09 17:15 - 00738232 _____ (Generic internet ) C:\Users\-\Downloads\GOM-Player(12844)-dp.exe
    2015-04-09 17:11 - 2015-04-09 17:11 - 00738232 _____ (Generic internet ) C:\Users\-\Downloads\Subtitle-Workshop(16737)-dp.exe
    2015-04-05 13:12 - 2015-04-09 17:18 - 00000000 ____D () C:\Users\-\AppData\Roaming\OpenCandy
    EmptyTemp:


    Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.
    Uruchom jako administrator FRST i kliknij w Fix.

    0
  • #3 18 Kwi 2015 15:20
    adamos793
    Poziom 7  

    Mam nadzieję że juz ok. Zrobiłem ponowny skan FRST czy jest wszystko ok? Jesli tak to podziękuję ;)

    Kod: text
    Zaloguj się, aby zobaczyć kod

    0
  • Pomocny post
    #4 18 Kwi 2015 15:33
    Acorus 20
    Spec od komputerów

    Skasuj folder C:\FRST.

    0
  • #5 18 Kwi 2015 15:48
    adamos793
    Poziom 7  

    Mam jeszcze drugiego laptopa. W drugim to ja coś instalowałem i była informacja że zgadzam sie na wykorzystywanie mojego laptopa do kopania bit coinów. Anulowałem to ale mam wrażenie że mimo wszystko mam to zainstalowane. W Malwaresbytes nic nie znalazło ale net mi trochę muli. Dlatego wrzucam logi.

    Dodatkowo mogą być jakieś starocie bo mi dzieciaki te tutaj coś instalowały i musiałem czyszczenie zrobić parę razy

    Kod: text
    Zaloguj się, aby zobaczyć kod



    DRUGI Addition

    Kod: text
    Zaloguj się, aby zobaczyć kod


    Dodano po 4 [minuty]:

    Acorus 20 napisał:
    Skasuj folder C:\FRST.


    a co do tego - to mimo że się loguję jako administrator to nie mogę tego usunąć....

    0