Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Nadal powracające się adware.

Pablos1989 22 Cze 2015 08:07 540 4
  • #1 22 Cze 2015 08:07
    Pablos1989
    Poziom 4  

    Witam

    Mam taki ostatnio dziwny problem, ano coś złapałem tydzień temu po rozmowie z moim kolegą, co lepiej zna się na komputerach i wyszło na jakiegoś adware.


    OK, super - Malwarebytes Anti-Malware wszystko znalazł i usunął, ale nie na zawsze i dziś znów to chce się zainstalować na moim komputerze.

    Działający w tle Malwarebytes Anti-Malware powstrzymał przed działaniem tych rzeczy, tak więc jest w porządku, ale obawiam się że znów te programy Adware znów powrócą gdy je usunę.

    Czy da się to usunąć na stałe bez formata?
    Nadal powracające się adware.

    Jak coś zostawiam screena - oto co znalazł Malwarebytes Anti-Malware.

    0 4
  • #2 22 Cze 2015 08:38
    RADU23
    Moderator - Komputery Serwis

    To pliki "temp".
    Zaznacz je i usuń z kwarantanny.

    Po tym zamieść logi z FRST.

    0
  • #3 22 Cze 2015 11:57
    swiercm
    Moderator na urlopie...

    RADU23 napisał:
    To pliki "temp".
    Zaznacz je i usuń z kwarantanny.

    Po tym zamieść logi z FRST.


    Dodając, warto to zrobić w ten sposób:
    Wykonaj skanowanie i usuń to, co zostało wykryte (dotyczy pkt 1-3):
    1. MBAM: https://www.malwarebytes.org/
    2. ADWCleaner: http://www.bleepingcomputer.com/download/adwcleaner/dl/125/
    3. CCLeaner (opcja czyszczenia plików tymczasowych i opcja naprawy rejestru): http://www.filehippo.com/pl/download_ccleaner/download/78325cb97c23cd95a395335c7a6bc5bd/

    4. Pobierz FRST http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/
    Uruchom skanowanie i wygenerowane logi (frst.txt i addition.txt) zamieść jako załączniki.

    0
  • #4 23 Cze 2015 10:14
    Pablos1989
    Poziom 4  

    Logi z FRST

    Plik FRST
    http://wklej.to/KLb74


    Plik Shortcut
    http://wklej.to/Uqd5k


    Plik Addition
    http://wklej.to/3QzS5



    Przepraszam że jeszcze wczoraj nie odezwałem ale musiałem usunąć to co wyłapał bo nie dało się z przeglądarki korzystać
    Ano się wyłączała i zaraz włączała, i tak non stop. a to oznaka że coś chce zainstalować do mojej przeglądarki ale Malwarebytes powstrzymał przed instalacją.

    Co do ADWCleaner, niestety muszę powiedzieć że ten program odpada gdy wyłączyłem wszystko co było w tle i potem uruchamiam skan to po rozpoczeniu skanu program wyłącza bez powodu, a tak mi jeszcze działał.


    Myślę że coś to ma związek z nową wersją, bo na starej wersji wszystko było dobrze, a gdy się pobrałą nowa, to coś się popsuło.

    0
  • #5 23 Cze 2015 10:33
    Acorus 20
    Spec od komputerów

    Otwórz notatnik systemowy i wklej:

    Cytat:
    CloseProcesses:
    Task: {2E96407A-ACE4-486D-8A34-E9FBFD962DB8} - System32\Tasks\At2 => C:\ProgramData\Wu1251IW.exe <==== ATTENTION
    Task: {3D6DAC1E-FC90-4DC2-97F5-30EF2813027C} - System32\Tasks\At10 => C:\ProgramData\Wu1251IW.exe <==== ATTENTION
    Task: {43F6A681-4A77-4292-A989-76360F1B91D7} - System32\Tasks\At12 => C:\ProgramData\Wu1251IW.exe <==== ATTENTION
    Task: {7ED0B7B3-3313-4957-A7E4-141405B56855} - System32\Tasks\At15 => C:\ProgramData\Wu1251IW.exe <==== ATTENTION
    Task: {90E96F41-85B4-4781-90E5-3481A385DF9F} - System32\Tasks\At1 => C:\ProgramData\Wu1251IW.exe <==== ATTENTION
    Task: {DED829AE-CC73-4204-8344-EDE774C5A070} - \SmartWeb Upgrade Trigger Task No Task File <==== ATTENTION
    Task: {F1E24E79-4A7A-44ED-BE4D-B34918884DEC} - System32\Tasks\At16 => C:\ProgramData\Wu1251IW.exe <==== ATTENTION
    HKLM\...\Run: [RtHDVCpl] => C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe [11369576 2010-08-11] (Realtek Semiconductor)
    HKLM-x32\...\Run: [TkBellExe] => C:\Program Files (x86)\Real\RealPlayer\update\realsched.exe [295512 2013-04-14] (RealNetworks, Inc.)
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
    HKU\S-1-5-21-4150750203-2412511759-842954931-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
    SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
    SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
    SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
    Toolbar: HKU\.DEFAULT -> No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No File
    Toolbar: HKU\S-1-5-21-4150750203-2412511759-842954931-1001 -> No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No File
    Handler: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\Program Files (x86)\Windows Live\Messenger\msgrapp.dll No File
    Handler: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\Program Files (x86)\Windows Live\Messenger\msgrapp.dll No File
    R2 kepylimy; C:\Users\Paweł\AppData\Local\-1431712160---\snsl1E3B.tmp [315904 2015-05-15] () [File not signed]
    R2 pygohyju; C:\Users\Paweł\AppData\Roaming\-1431704763---\jnsp7482.tmp [231424 2015-05-15] () [File not signed]
    R2 tygixyzy; C:\Users\Paweł\AppData\Local\-1431712144---\cnsvE3FB.tmp [226304 2015-05-15] () [File not signed]
    S2 cvhsvc; "C:\Program Files (x86)\Common Files\Microsoft Shared\Virtualization Handler\CVHSVC.EXE" [X]
    R2 dixozidy; C:\Users\Paweł\AppData\Roaming\-1431704763---\nsp28EC.tmpfs [X]
    S3 globalUpdatem; C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe /medsvc [X] <==== ATTENTION
    S2 sftlist; "C:\Program Files (x86)\Microsoft Application Virtualization Client\sftlist.exe" [X]




    S3 sftvsa; "C:\Program Files (x86)\Microsoft Application Virtualization Client\sftvsa.exe" [X]
    S3 catchme; \??\C:\ComboFix\catchme.sys [X]
    S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X]
    S0x01000000 papycpu2; \SystemRoot\System32\DRIVERS\papycpu2.sys [X]
    S0x01000000 papyjoy; \SystemRoot\System32\DRIVERS\papyjoy.sys [X]
    S1 prodrv06; \SystemRoot\System32\drivers\prodrv06.sys [X]
    2015-06-18 09:26 - 2015-06-18 23:43 - 00000000 ____D C:\AdwCleaner
    2015-06-12 21:41 - 2011-06-26 08:45 - 00256000 _____ C:\Windows\PEV.exe
    2015-06-12 21:41 - 2010-11-07 19:20 - 00208896 _____ C:\Windows\MBR.exe
    2015-06-12 21:41 - 2009-04-20 06:56 - 00060416 _____ (NirSoft) C:\Windows\NIRCMD.exe
    2015-06-12 21:41 - 2000-08-31 02:00 - 00518144 _____ (SteelWerX) C:\Windows\SWREG.exe
    2015-06-12 21:41 - 2000-08-31 02:00 - 00406528 _____ (SteelWerX) C:\Windows\SWSC.exe
    2015-06-12 21:41 - 2000-08-31 02:00 - 00098816 _____ C:\Windows\sed.exe
    2015-06-12 21:41 - 2000-08-31 02:00 - 00080412 _____ C:\Windows\grep.exe
    2015-06-12 21:41 - 2000-08-31 02:00 - 00068096 _____ C:\Windows\zip.exe
    2015-06-09 19:12 - 2015-06-10 03:06 - 00000000 ____D C:\Users\Paweł\AppData\Roaming\Noceku
    2015-06-09 19:12 - 2015-06-09 19:12 - 00000000 ____D C:\Users\Paweł\AppData\Roaming\Gukyax
    2015-06-07 03:30 - 2015-06-07 03:30 - 00000000 ____D C:\Users\Paweł\Documents\KoeiTecmo
    2015-06-07 03:27 - 2015-06-22 22:48 - 00000000 ____D C:\Users\Paweł\AppData\Roaming\systweak
    2015-06-07 03:27 - 2015-02-19 13:09 - 00020248 _____ () C:\Windows\system32\roboot64.exe
    2015-06-04 13:47 - 2015-06-13 19:20 - 00000000 ____D C:\Program Files (x86)\globalUpdate
    2015-06-04 13:47 - 2015-06-04 13:47 - 00000000 ____D C:\Users\Paweł\AppData\Local\globalUpdate
    C:\ProgramData\7rM60T2C.dat
    C:\Users\Paweł\microsoft.dat
    C:\Users\Paweł\AppData\Roaming\skype.ini
    EmptyTemp:


    Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.
    Uruchom jako administrator FRST i kliknij w Fix.

    0