Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Firstsputnik.ru jak usunąć?

huberto82 13 Gru 2015 16:51 894 2
  • #1 13 Gru 2015 16:51
    huberto82
    Poziom 9  

    Witam,

    mam problem z wirusem firtsputnik.ru - odinstalowałem wszystkie podejrzane aplikacje, komputer przeskanowany ESET, ADW cleanerem i Malwarebytes. Usunięte wszystko co było podejrzane.

    Jedyne co pozostało to brak możliwości zmiany wyszukiwarki w Chrome - domyślna ustawiona jest na ten firstsputnik a zmiana niemożliwa - komunikat "O tej zmianie decyduje administrator"

    System to W10 Home więc nie ma on gpedit.msc

    Ktoś pomoże?

    W załączeniu logi z FRST

    0 2
  • #2 13 Gru 2015 17:10
    safbot1st
    Poziom 43  

    Widzę, że zaatakował cię również tencent. Poniżej podaję fixlistę:

    GroupPolicy: Ograniczenia - Chrome <======= UWAGA
    GroupPolicy-x32: Ograniczenia - Chrome <======= UWAGA
    CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA
    HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.msn.com/?pc=MSE1
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.999.com/i.html
    HKU\S-1-5-21-2358478632-33526077-2720076436-1002\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.999.com/i.html
    HKU\S-1-5-21-2358478632-33526077-2720076436-1002\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://asus13.msn.com
    URLSearchHook: [S-1-5-21-2358478632-33526077-2720076436-1002] UWAGA => Brak domyślnego URLSearchHook
    SearchScopes: HKU\S-1-5-21-2358478632-33526077-2720076436-1002 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL =
    SearchScopes: HKU\S-1-5-21-2358478632-33526077-2720076436-1002 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
    SearchScopes: HKU\S-1-5-21-2358478632-33526077-2720076436-1002 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL =
    SearchScopes: HKU\S-1-5-21-2358478632-33526077-2720076436-1002 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3D} URL =
    BHO: Brak nazwy -> {D0498E0A-45B7-42AE-A9AA-ABA463DBD3BF} -> Brak pliku
    BHO-x32: Brak nazwy -> {D0498E0A-45B7-42AE-A9AA-ABA463DBD3BF} -> Brak pliku
    S2 hidekoqe; Brak ImagePath
    S2 rizyqibe; Brak ImagePath
    S2 wibiboqu; Brak ImagePath
    S2 woforemu; Brak ImagePath
    2015-12-11 21:34 - 2015-10-31 00:20 - 00000451 _____ C:\WINDOWS\system32\{F33C3B9B-72AF-418A-B3FD-560646F7CDA2}.bat
    2015-12-12 15:07 - 2015-12-12 15:07 - 0005120 _____ () C:\Users\Nati\AppData\Roaming\GiftBag.db
    2013-05-01 12:15 - 2012-09-07 12:40 - 0000256 _____ () C:\ProgramData\SetStretch.cmd
    2013-05-01 12:15 - 2009-07-22 11:04 - 0024576 _____ () C:\ProgramData\SetStretch.exe
    2013-05-01 12:15 - 2012-09-07 12:37 - 0000103 _____ () C:\ProgramData\SetStretch.VBS
    FirewallRules: [{D6AD29B5-4739-434E-8E7A-C5D5FD34D022}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\130\bugreport_xf.exe
    FirewallRules: [{E2BE1234-25E9-4408-A031-65BEB83CEC3A}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\130\tencentdl.exe
    Task: {1C3C5EF6-90BB-4521-98E2-7E1487404B07} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku <==== UWAGA
    Task: {3A7DA639-942C-4DB1-AADA-52863E8B9A68} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku <==== UWAGA
    Task: {587D85AA-8B97-4799-842A-D64695B7924B} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku <==== UWAGA
    Task: {6B9540B8-62C8-4E71-9714-1F38E8083C01} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku <==== UWAGA
    Task: {6CDD396B-33D1-421C-BADF-DAE2CCCFEA84} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku <==== UWAGA
    Task: {90FF87C6-4344-4254-8331-C4F487B15BB0} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku <==== UWAGA
    Task: {C1B3E63F-2350-4850-A975-4EA8C71EE4A3} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku <==== UWAGA
    Task: {C87D1C85-A5B7-47E5-86AD-D9451DCD34AB} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku <==== UWAGA
    Task: {D1B83FC9-740D-4F64-983C-0162FA5C72D0} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku <==== UWAGA
    Task: {E79B490D-D86A-4758-B4B9-DC052B89D000} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku <==== UWAGA
    Task: {FB03FCD7-6754-438A-A588-931374D229BE} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku <==== UWAGA

    Hosts:
    EmptyTemp:

    Wklej do notatnika i zapisz jako fixlist.txt w folderze przy FRST.exe.
    W FRST wybierz "Napraw".
    Katalog C:\program files (x86)\common files\tencent\ ręcznie kasowałem przy takiej infekcji z poza systemu. Sprawdź, czy się nie "odradza".

    0
  • #3 13 Gru 2015 17:28
    Kolobos
    Spec od komputerów

    Do kasacji jeszcze: C:\Users\Nati\Downloads\SpyHunter-Installer.exe

    Tencent nie jest aktywny, nie ma tez po nim sladu.
    Z wyjatkiem wspomniany regul:
    FirewallRules: [{D6AD29B5-4739-434E-8E7A-C5D5FD34D022}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\130\bugreport_xf.exe
    FirewallRules: [{E2BE1234-25E9-4408-A031-65BEB83CEC3A}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\130\tencentdl.exe

    0