Elektroda.pl
Elektroda.pl
X
CControls
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Wirus - prośba o usunięcie szkodliwego programu.

Reynevan95 23 Sty 2016 11:24 1230 18
  • #1 23 Sty 2016 11:24
    Reynevan95
    Poziom 4  

    Witajcie.
    Mam problem z usunięciem szkodliwego programu, z góry dziękuję za zainteresowanie.
    Sprawa wygląda następująco. Wczoraj ściągnąłem pewnien program, jednak dałem się nabrać - to nie było to, co chciałem ściągnąć, lecz jakiś wirus w formacie .exe. Na raz usunąłem programy, które były według daty świeżo zainstalowane, a ja nic o nich nie wiedziałem - zrobiłem to za pomocą "panel sterowania -> dodaj lub usuń programy". Jednak nadal występują następujące problemy:
    - w menedżerze urządzeń (win10), w zakładce "Uruchamianie" widnieje nazwa jednego z tych niechcianych programów (załącznik) - nazywa się "Space sound pro". Zaznaczyłem go na "wyłącz" i niby jest wyłączony, jednak...
    - ...daje o sobie znać poprzez automatyczne przekierowania na strony z reklamami podczas gdy przeglądam internet. Nie jest to kwestia usunięcia pozostałych po usunięciu wirusa jakichś rozszerzeń - w opcjach przeglądarki nie widzę żadnych rozszerzeń, których bym nie chciał.
    - wirus od początku wyłączył mi Defendera, gdy próbuję włączyć tego antywirusa, wyskakuje mi komunikat "Ta aplikacja jest wyłączona przez zasady grupy" (załącznik). Komunikat niby odsyła do "zabezpieczeń i konserwacji", jednak guzik "włącz" jest nieaktywny, szary (załącznik). Jak mogę przynajmniej włączyć Defendera?
    - Na dysku C, w folderze "Program Files (x86)" znajduje się świeżo utworzony folder z paroma małymi plikami. Nie mogę go usunąć, bo wyskakuje komunikat, że folder otwarty jest w innym programie!

    W załączniku zamieszczam screeny z menedżera zadań i komunikatu defendera.

    0 18
  • CControls
  • CControls
  • #4 23 Sty 2016 12:08
    skawusb892
    Poziom 2  

    Spróbuj przeskanowac system antywirusem nagranym na pendrive . Uruchom pc wciśnij f12 lub esc zalezy od pc i uruchom skanowanie. Ściągnij yumi i tam masz możliwość ściągnięcia i zainstalowania antywirusa .

    0
  • #5 23 Sty 2016 12:13
    Kolobos
    Spec od komputerów

    W ustawieniach Chrome usun przywracanie zestawu stron po starcie przegladarki.

    Obok frst.exe utworz plik fixlist.txt z zawartoscia:
    Task: {1580A1C4-0E3C-4E44-86A8-F9354E52567D} - System32\Tasks\Ojykd => C:\PROGRA~1\GROOVE~1\Himkudle.bat
    Task: {BC4CBF0B-9C42-4546-BE1E-1CCC317D3F79} - System32\Tasks\RegistryDr_Popup => C:\Program Files (x86)\Registry Dr\Splash.exe <==== UWAGA
    Task: {E375C172-7AEF-47A3-B198-FFDCC03BC8CE} - System32\Tasks\RegistryDr_Start => C:\Program Files (x86)\Registry Dr\RegistryDr.exe <==== UWAGA
    Hosts:
    HKLM\...\Run: [SpaceSoundPro] => "C:\Program Files\SpaceSoundPro\SpaceSoundPro.exe"
    HKLM-x32\...\Run: [gmsd_pl_005010215] => [X]
    HKLM-x32\...\Run: [rec_en_77] => [X]
    HKU\S-1-5-21-3553964707-248797431-3210508913-1001\...\RunOnce: [Uninstall C:\Users\toshiba\AppData\Local\Microsoft\OneDrive\17.3.5892.0626\amd64] => C:\WINDOWS\system32\cmd.exe /q /c rmdir /s /q "C:\Users\toshiba\AppData\Local\Microsoft\OneDrive\17.3.5892.0626\amd64"
    HKU\S-1-5-21-3553964707-248797431-3210508913-1001\...\RunOnce: [Uninstall C:\Users\toshiba\AppData\Local\Microsoft\OneDrive\17.3.6201.1019\amd64] => C:\WINDOWS\system32\cmd.exe /q /c rmdir /s /q "C:\Users\toshiba\AppData\Local\Microsoft\OneDrive\17.3.6201.1019\amd64"
    HKU\S-1-5-21-3553964707-248797431-3210508913-1001\...\MountPoints2: {556480c0-a64a-11e5-827d-18cf5e6140f6} - "F:\iLinker.exe"
    HKU\S-1-5-21-3553964707-248797431-3210508913-1001\...\MountPoints2: {6d649aa5-1cb3-11e5-8261-18cf5e6140f6} - "E:\AutoRun.exe"
    HKU\S-1-5-21-3553964707-248797431-3210508913-1001\...\MountPoints2: {87fdfcd6-6e91-11e5-826e-18cf5e6140f6} - "F:\AutoRun.exe"
    HKU\S-1-5-21-3553964707-248797431-3210508913-1001\...\MountPoints2: {87fdff35-6e91-11e5-826e-18cf5e6140f6} - "F:\AutoRun.exe"
    GroupPolicy: Ograniczenia - Chrome <======= UWAGA
    CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA5
    AutoConfigURL: [S-1-5-21-3553964707-248797431-3210508913-1001] => hxxp://unstopp.me/wpad.dat?02720e518f695aa3d7e76c9cdc0cf4a04783699
    Tcpip\..\Interfaces\{112da4ed-25c6-4a47-9eb1-e7c255310521}: [NameServer] 104.197.191.4
    Tcpip\..\Interfaces\{1389dd96-d707-46ed-884c-13b61a8f45c0}: [NameServer] 104.197.191.4
    Tcpip\..\Interfaces\{62056efc-9a92-11e5-9b5a-806e6f6e6963}: [NameServer] 104.197.191.4
    Tcpip\..\Interfaces\{8718928d-cbeb-45ea-a621-800a9249001d}: [NameServer] 104.197.191.4
    Tcpip\..\Interfaces\{b161e56b-188b-4397-845d-9f457d0d4413}: [NameServer] 104.197.191.4
    Tcpip\..\Interfaces\{B8293724-8408-49B6-B9CD-263680E7658B}: [NameServer] 104.197.191.4
    Tcpip\..\Interfaces\{bcb05bb6-1c99-4288-a920-40ce57803947}: [NameServer] 104.197.191.4
    Tcpip\..\Interfaces\{cfd03469-691c-4142-8021-8aee440d5366}: [NameServer] 104.197.191.4
    Tcpip\..\Interfaces\{E8DC2E42-5B15-4B3C-844D-54AB8D603132}: [NameServer] 104.197.191.4




    Tcpip\..\Interfaces\{ff0b3b19-e7a2-483f-a0ef-094a9ced4cfa}: [NameServer] 104.197.191.4
    HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.sweet-page.com/?type=hppp&ts=1...p;uid=TOSHIBAXMQ01ABF050_64CSC5SWTXX64CSC5SWT
    HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.sweet-page.com/web/?type=ds&ts...OSHIBAXMQ01ABF050_64CSC5SWTXX64CSC5SWT&q={searchTerms}
    HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.sweet-page.com/?type=hppp&ts=1...p;uid=TOSHIBAXMQ01ABF050_64CSC5SWTXX64CSC5SWT
    HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.sweet-page.com/web/?type=ds&ts...OSHIBAXMQ01ABF050_64CSC5SWTXX64CSC5SWT&q={searchTerms}
    HKU\S-1-5-21-3553964707-248797431-3210508913-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.sweet-page.com/web/?type=dspp&...OSHIBAXMQ01ABF050_64CSC5SWTXX64CSC5SWT&q={searchTerms}
    HKU\S-1-5-21-3553964707-248797431-3210508913-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://www.youtube.com/
    HKU\S-1-5-21-3553964707-248797431-3210508913-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.sweet-page.com/?type=hppp&ts=1...p;uid=TOSHIBAXMQ01ABF050_64CSC5SWTXX64CSC5SWT
    HKU\S-1-5-21-3553964707-248797431-3210508913-1001\Software\Microsoft\Internet Explorer\Main,Default_Secondary_Page_URL = hxxp://mystart.toshiba.com
    HKU\S-1-5-21-3553964707-248797431-3210508913-1001\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.sweet-page.com/web/?type=dspp&...OSHIBAXMQ01ABF050_64CSC5SWTXX64CSC5SWT&q={searchTerms}
    HKU\S-1-5-21-3553964707-248797431-3210508913-1001\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxp://mystart.toshiba.com
    SearchScopes: HKU\S-1-5-21-3553964707-248797431-3210508913-1001 -> DefaultScope {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = hxxp://www.sweet-page.com/web/?utm_source=b&a...SWT&ts=1437031293&type=default&q={searchTerms}
    SearchScopes: HKU\S-1-5-21-3553964707-248797431-3210508913-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.sweet-page.com/web/?utm_source=b&a...SWT&ts=1437031293&type=default&q={searchTerms}
    SearchScopes: HKU\S-1-5-21-3553964707-248797431-3210508913-1001 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = hxxp://www.sweet-page.com/web/?utm_source=b&a...SWT&ts=1437031293&type=default&q={searchTerms}
    SearchScopes: HKU\S-1-5-21-3553964707-248797431-3210508913-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.sweet-page.com/web/?utm_source=b&a...SWT&ts=1437031293&type=default&q={searchTerms}
    SearchScopes: HKU\S-1-5-21-3553964707-248797431-3210508913-1001 -> {9EEEC323-ADD0-42ED-8B86-210AF7A7C639} URL = hxxp://www.sweet-page.com/web/?utm_source=b&a...SWT&ts=1437031293&type=default&q={searchTerms}
    SearchScopes: HKU\S-1-5-21-3553964707-248797431-3210508913-1001 -> {C3D2E8DA-8CB3-4D23-A285-E0DCBAE5D30D} URL = hxxp://www.guard-search.com/Results.aspx?gd=G...409-4747-8492-A0DBE3374FDA&D=IN_DA&q={searchTerms}&SSPV=GB10A
    SearchScopes: HKU\S-1-5-21-3553964707-248797431-3210508913-1001 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = hxxp://www.sweet-page.com/web/?utm_source=b&a...SWT&ts=1437031293&type=default&q={searchTerms}
    BHO-x32: Sale Clipper -> {b18906df-1dfa-4d50-8a1f-7d076a8c87b7} -> C:\Program Files (x86)\Sale Clipper\Extensions\b18906df-1dfa-4d50-8a1f-7d076a8c87b7.dll => Brak pliku
    FF NetworkProxy: "http", "188.113.103.104"
    FF NetworkProxy: "http_port", 56089
    FF NetworkProxy: "socks_remote_dns", true
    FF NetworkProxy: "type", 4
    FF HKLM\...\Firefox\Extensions: [{DB017C65-D124-4396-aD52-958B7F39E71F}] - C:\Program Files\groover220120162212\Firefox\{DB017C65-D124-4396-aD52-958B7F39E71F}.xpi => nie znaleziono
    FF HKLM-x32\...\Firefox\Extensions: [{DB017C65-D124-4396-aD52-958B7F39E71F}] - C:\Program Files\groover220120162212\Firefox\{DB017C65-D124-4396-aD52-958B7F39E71F}.xpi => nie znaleziono
    CHR HomePage: Default -> hxxp://www.sweet-page.com/?type=hp&ts=143...p;uid=TOSHIBAXMQ01ABF050_64CSC5SWTXX64CSC5SWT
    CHR StartupUrls: Default -> "hxxp://www.sweet-page.com/?type=hp&ts=1437031256&z=700c70be79470dd6a803377g8z6c4mde9ccgdo0w0q&from=cor&uid=TOSHIBAXMQ01ABF050_64CSC5SWTXX64CSC5SWT","hxxp://www.sweet-page.com/?type=hppp&ts=1437031276&z=fd4e87132ebd201e73ba3d8gcz6cem0e0c2g2odm2q&from=cor&uid=TOSHIBAXMQ01ABF050_64CSC5SWTXX64CSC5SWT"
    CHR Extension: (Sale Clipper) - C:\Users\toshiba\AppData\Local\Google\Chrome\User Data\Default\Extensions\jnmebibcnmmkgldaljbchompinpencam [2015-07-16] [UpdateUrl: hxxp://cdn.saleclipper.com/update] <==== UWAGA
    S2 Nadaco; "C:\Users\toshiba\AppData\Roaming\PifiDehnew\Miirip.exe" -cms [X]
    R4 cherimoya; C:\Windows\System32\drivers\cherimoya.sys [56728 2016-01-22] (Windows (R) Win 7 DDK provider)
    R1 bsdriver; C:\WINDOWS\system32\drivers\bsdriver.sys [34712 2016-01-22] ()
    2016-01-22 23:38 - 2016-01-22 23:38 - 00000000 ____D C:\WINDOWS\system32\ijai
    2016-01-22 23:11 - 2016-01-22 23:11 - 00000000 ____D C:\Users\toshiba\AppData\Local\Tempfolder
    2016-01-22 23:10 - 2016-01-22 23:10 - 00034712 _____ () C:\WINDOWS\system32\Drivers\bsdriver.sys
    2016-01-22 23:08 - 2016-01-22 23:08 - 00003404 _____ C:\WINDOWS\System32\Tasks\Ojykd
    2016-01-22 23:08 - 2016-01-22 23:08 - 00000000 ____D C:\Users\toshiba\AppData\LocalLow\Company
    2016-01-22 23:07 - 2016-01-22 23:07 - 00000000 _____ C:\WINDOWS\SysWOW64\Number of results
    2016-01-22 21:14 - 2016-01-22 23:08 - 00056728 _____ (Windows (R) Win 7 DDK provider) C:\WINDOWS\system32\Drivers\cherimoya.sys
    2016-01-17 19:22 - 2016-01-17 19:22 - 01106840 _____ (Unity Technologies ApS) C:\Users\toshiba\Downloads\UnityWebPlayer64 (2).exe
    2015-12-25 22:32 - 2015-12-25 22:32 - 00003516 _____ C:\WINDOWS\System32\Tasks\RegistryDr_Popup
    2015-12-25 22:32 - 2015-12-25 22:32 - 00003294 _____ C:\WINDOWS\System32\Tasks\RegistryDr_Start
    2015-12-25 22:25 - 2015-12-25 22:25 - 01020512 _____ (Ask.com) C:\Users\toshiba\Downloads\OffercastInstaller.exe
    2015-12-25 22:25 - 2015-12-25 22:25 - 01020512 _____ (Ask.com) C:\Users\toshiba\Downloads\OffercastInstaller (1).exe
    EmptyTemp:

    W FRST wybierz Napraw.

    Po wykonaniu sprawdz czy adwc juz dziala.


    Zrob pelny skan przy pomocy Mbam i usun to co wykryje:
    http://www.bleepingcomputer.com/download/malwarebytes-anti-malware/
    oraz http://ftp.drweb.com/pub/drweb/cureit/launch.exe

    0
  • #6 23 Sty 2016 12:24
    Acorus 20
    Spec od komputerów

    Otwórz notatnik systemowy i wklej:

    Cytat:
    Task: {1580A1C4-0E3C-4E44-86A8-F9354E52567D} - System32\Tasks\Ojykd => C:\PROGRA~1\GROOVE~1\Himkudle.bat
    Task: {BC4CBF0B-9C42-4546-BE1E-1CCC317D3F79} - System32\Tasks\RegistryDr_Popup => C:\Program Files (x86)\Registry Dr\Splash.exe <==== UWAGA
    Task: {E375C172-7AEF-47A3-B198-FFDCC03BC8CE} - System32\Tasks\RegistryDr_Start => C:\Program Files (x86)\Registry Dr\RegistryDr.exe <==== UWAGA
    HKLM\...\Run: [SpaceSoundPro] => "C:\Program Files\SpaceSoundPro\SpaceSoundPro.exe"
    HKLM-x32\...\Run: [gmsd_pl_005010215] => [X]
    HKLM-x32\...\Run: [rec_en_77] => [X]
    GroupPolicy: Ograniczenia - Chrome <======= UWAGA
    CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA
    AutoConfigURL: [S-1-5-21-3553964707-248797431-3210508913-1001] => hxxp://unstopp.me/wpad.dat?02720e518f695aa3d7e76c9cdc0cf4a04783699
    Hosts:
    HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.sweet-page.com/?type=hppp&ts=1...p;uid=TOSHIBAXMQ01ABF050_64CSC5SWTXX64CSC5SWT
    HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.sweet-page.com/web/?type=ds&ts...OSHIBAXMQ01ABF050_64CSC5SWTXX64CSC5SWT&q={searchTerms}
    HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.sweet-page.com/?type=hppp&ts=1...p;uid=TOSHIBAXMQ01ABF050_64CSC5SWTXX64CSC5SWT
    HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.sweet-page.com/web/?type=ds&ts...OSHIBAXMQ01ABF050_64CSC5SWTXX64CSC5SWT&q={searchTerms}
    HKU\S-1-5-21-3553964707-248797431-3210508913-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.sweet-page.com/web/?type=dspp&...OSHIBAXMQ01ABF050_64CSC5SWTXX64CSC5SWT&q={searchTerms}
    HKU\S-1-5-21-3553964707-248797431-3210508913-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://www.youtube.com/
    HKU\S-1-5-21-3553964707-248797431-3210508913-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.sweet-page.com/?type=hppp&ts=1...p;uid=TOSHIBAXMQ01ABF050_64CSC5SWTXX64CSC5SWT
    HKU\S-1-5-21-3553964707-248797431-3210508913-1001\Software\Microsoft\Internet Explorer\Main,Default_Secondary_Page_URL = hxxp://mystart.toshiba.com
    HKU\S-1-5-21-3553964707-248797431-3210508913-1001\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.sweet-page.com/web/?type=dspp&...OSHIBAXMQ01ABF050_64CSC5SWTXX64CSC5SWT&q={searchTerms}
    HKU\S-1-5-21-3553964707-248797431-3210508913-1001\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxp://mystart.toshiba.com
    SearchScopes: HKU\S-1-5-21-3553964707-248797431-3210508913-1001 -> DefaultScope {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = hxxp://www.sweet-page.com/web/?utm_source=b&a...SWT&ts=1437031293&type=default&q={searchTerms}
    SearchScopes: HKU\S-1-5-21-3553964707-248797431-3210508913-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.sweet-page.com/web/?utm_source=b&a...SWT&ts=1437031293&type=default&q={searchTerms}
    SearchScopes: HKU\S-1-5-21-3553964707-248797431-3210508913-1001 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = hxxp://www.sweet-page.com/web/?utm_source=b&a...SWT&ts=1437031293&type=default&q={searchTerms}
    SearchScopes: HKU\S-1-5-21-3553964707-248797431-3210508913-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.sweet-page.com/web/?utm_source=b&a...SWT&ts=1437031293&type=default&q={searchTerms}
    SearchScopes: HKU\S-1-5-21-3553964707-248797431-3210508913-1001 -> {9EEEC323-ADD0-42ED-8B86-210AF7A7C639} URL = hxxp://www.sweet-page.com/web/?utm_source=b&a...SWT&ts=1437031293&type=default&q={searchTerms}
    SearchScopes: HKU\S-1-5-21-3553964707-248797431-3210508913-1001 -> {C3D2E8DA-8CB3-4D23-A285-E0DCBAE5D30D} URL = hxxp://www.guard-search.com/Results.aspx?gd=G...409-4747-8492-A0DBE3374FDA&D=IN_DA&q={searchTerms}&SSPV=GB10A
    SearchScopes: HKU\S-1-5-21-3553964707-248797431-3210508913-1001 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = hxxp://www.sweet-page.com/web/?utm_source=b&a...SWT&ts=1437031293&type=default&q={searchTerms}
    BHO-x32: Sale Clipper -> {b18906df-1dfa-4d50-8a1f-7d076a8c87b7} -> C:\Program Files (x86)\Sale Clipper\Extensions\b18906df-1dfa-4d50-8a1f-7d076a8c87b7.dll => Brak pliku
    CHR HomePage: Default -> hxxp://www.sweet-page.com/?type=hp&ts=143...p;uid=TOSHIBAXMQ01ABF050_64CSC5SWTXX64CSC5SWT
    CHR StartupUrls: Default -> "hxxp://www.sweet-page.com/?type=hp&ts=1437031256&z=700c70be79470dd6a803377g8z6c4mde9ccgdo0w0q&from=cor&uid=TOSHIBAXMQ01ABF050_64CSC5SWTXX64CSC5SWT","hxxp://www.sweet-page.com/?type=hppp&ts=1437031276&z=fd4e87132ebd201e73ba3d8gcz6cem0e0c2g2odm2q&from=cor&uid=TOSHIBAXMQ01ABF050_64CSC5SWTXX64CSC5SWT"
    CHR Extension: (Sale Clipper) - C:\Users\toshiba\AppData\Local\Google\Chrome\User Data\Default\Extensions\jnmebibcnmmkgldaljbchompinpencam [2015-07-16] [UpdateUrl: hxxp://cdn.saleclipper.com/update] <==== UWAGA
    S2 Nadaco; "C:\Users\toshiba\AppData\Roaming\PifiDehnew\Miirip.exe" -cms [X]
    R4 cherimoya; C:\Windows\System32\drivers\cherimoya.sys [56728 2016-01-22] (Windows (R) Win 7 DDK provider)
    2016-01-23 11:42 - 2016-01-23 11:49 - 00000000 ____D C:\AdwCleaner
    2016-01-22 23:38 - 2016-01-22 23:38 - 00000000 ____D C:\WINDOWS\system32\ijai
    2016-01-22 23:11 - 2016-01-22 23:11 - 00000000 ____D C:\Users\toshiba\AppData\Local\Tempfolder
    2016-01-22 23:10 - 2016-01-22 23:10 - 00034712 _____ () C:\WINDOWS\system32\Drivers\bsdriver.sys
    2016-01-22 23:08 - 2016-01-22 23:08 - 00003404 _____ C:\WINDOWS\System32\Tasks\Ojykd
    2016-01-22 23:08 - 2016-01-22 23:08 - 00000000 ____D C:\Users\toshiba\AppData\LocalLow\Company
    2016-01-22 21:14 - 2016-01-22 23:08 - 00056728 _____ (Windows (R) Win 7 DDK provider) C:\WINDOWS\system32\Drivers\cherimoya.sys
    EmptyTemp:


    Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.
    Uruchom jako administrator FRST i kliknij w Fix/Napraw.

    1
  • #7 23 Sty 2016 16:58
    Reynevan95
    Poziom 4  

    Przeczyściłem za pomocą Malwarebytes oraz Dr.Web, naprawiłem FRST. Każdy program wykrył parę registerhacków i trojanów, pousuwał i pewien postęp jest widoczny. Ani w menedżerze zadań nie ma niepożądanych aplikacji w zakładce "uruchamianie", żadnych świeżych folderów na dysku, jednak pozostały dwa problemy:
    1) Nadal nie mogę włączyć Defendera
    2) W przeglądarce notorycznie pojawiają się reklamy, na każdej da się przeczytać "powered by CoronaBorealis". I te ciągłe przekierowania na strony, z których wyjść mogę tylko za pomocą menedżera zadań. Zanim dostanę się na forum, muszę podjąć kilka prób, dopiero za którymś razem mnie nie przekierowuje.

    W załącznikach przesyłam raport z dr.web i z drugiego programu, nie pamiętam którego.

    Byłbym skłonny zrobić reset systemu. Jak zrobić to a) bezpiecznie i b) aby nie wrócić do win8.1?

    0
  • #8 23 Sty 2016 17:15
    Acorus 20
    Spec od komputerów

    Pokaż nowe logi z FRST.

    0
  • #10 23 Sty 2016 18:41
    Acorus 20
    Spec od komputerów

    To jest log z usuwania. Masz wykonać nowe logi z FRST.

    0
  • #11 23 Sty 2016 19:01
    Reynevan95
    Poziom 4  

    Nie wiem czy o to chodzi - to jest plik utworzony po skanowaniu. Jeśli to nie to - proszę o instrukcję, jak mam to zrobić.

    0
  • #12 23 Sty 2016 19:22
    Acorus 20
    Spec od komputerów

    Otwórz notatnik systemowy i wklej:

    Cytat:
    CHR Extension: (Sale Clipper) - C:\Users\toshiba\AppData\Local\Google\Chrome\User Data\Default\Extensions\jnmebibcnmmkgldaljbchompinpencam [2015-07-16] [UpdateUrl: hxxp://cdn.saleclipper.com/update] <==== UWAGA
    CHR Extension: (Songsterr Downloader) - C:\Users\toshiba\AppData\Local\Google\Chrome\User Data\Default\Extensions\nkenccfmpnhicoaocdeaekfpdpaocapi [2015-07-08]
    2016-01-23 15:15 - 2016-01-23 15:35 - 00000000 ____D C:\Users\toshiba\Doctor Web


    Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.
    Uruchom jako administrator FRST i kliknij w Fix/Napraw.
    Reset Chrome: https://support.google.com/chrome/answer/3296214?hl=pl
    Otwórz Notatnik i wklej w nim:

    Windows Registry Editor Version 5.00

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinDefend]
    "DisplayName"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-103"
    "ErrorControl"=dword:00000001
    "Group"="COM Infrastructure"
    "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
    74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
    00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
    6b,00,20,00,73,00,65,00,63,00,73,00,76,00,63,00,73,00,00,00
    "Start"=dword:00000002
    "Type"=dword:00000020
    "Description"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-3068"
    "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,00,00
    "ObjectName"="LocalSystem"
    "ServiceSidType"=dword:00000001
    "RequiredPrivileges"=hex(7):53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,\
    00,6e,00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,\
    65,00,00,00,53,00,65,00,42,00,61,00,63,00,6b,00,75,00,70,00,50,00,72,00,69,\
    00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,52,00,65,00,73,00,\
    74,00,6f,00,72,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,\
    00,00,00,53,00,65,00,44,00,65,00,62,00,75,00,67,00,50,00,72,00,69,00,76,00,\
    69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,68,00,61,00,6e,00,67,\
    00,65,00,4e,00,6f,00,74,00,69,00,66,00,79,00,50,00,72,00,69,00,76,00,69,00,\
    6c,00,65,00,67,00,65,00,00,00,53,00,65,00,53,00,65,00,63,00,75,00,72,00,69,\
    00,74,00,79,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\
    00,00
    "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\
    00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00,00,00,00,00,00,00,00,00

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinDefend\Parameters]
    "ServiceDllUnloadOnStop"=dword:00000001
    "ServiceDll"=hex(2):25,00,50,00,72,00,6f,00,67,00,72,00,61,00,6d,00,46,00,69,\
    00,6c,00,65,00,73,00,25,00,5c,00,57,00,69,00,6e,00,64,00,6f,00,77,00,73,00,\
    20,00,44,00,65,00,66,00,65,00,6e,00,64,00,65,00,72,00,5c,00,6d,00,70,00,73,\
    00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00

    Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > z prawokliku opcja Scal

    Zresetuj system i sprawdź w services.msc czy usługa Windows Defender wróciła do normy.

    1
  • #13 23 Sty 2016 20:54
    Reynevan95
    Poziom 4  

    Nie pomogło. Zrobiłem nawet odzyskiwanie systemu na stan z 14.01.2016 i też nic nie pomogło.

    0
  • #15 24 Sty 2016 19:22
    Reynevan95
    Poziom 4  

    Wyskakuje mi komunikat, że system nie może znaleźć pliku gpedit.

    Przeskanowałem komputer za pomocą Grind-Soft Anti Malware, wykrył kilka tysięcy szkodliwych plików, jednak a by je usunąć, muszę wykupić licencję (a nie uśmiecha mi się tego robić, kto wie czy te kilka tysięcy wirusów to nie pic dla ściągania kasy). Jednak - dziwna rzecz - podczas skanu nagle odezwał się Defender. Zrobiłem nim pełny skan, wykrył kilka plików, jednak podczas usuwania jednego z nich napotyka problem. Mimo wszystko nie widzę żadnych oznak wirusów. Ale - Grind-Soft nadal wykrywa trzy tysiące złośliwych plików, logi zamieszczam w załączniku.

    Najbardziej zastanawia mnie fakt, że Defender nie może usunąć jednego z wykrytych plików, co o tym myślicie?

    0
  • #16 24 Sty 2016 20:15
    Acorus 20
    Spec od komputerów

    Chyba widzisz,że to wyłudzacz kasy.

    0
  • #17 24 Sty 2016 21:01
    Kolobos
    Spec od komputerów

    @Reynevan95 oczywiscie uruchamiasz gpedit.msc tak?

    0
  • #18 24 Sty 2016 22:00
    Reynevan95
    Poziom 4  

    Tak, wszystko jak na załączonym przez Ciebie filmie.

    Czy przywracanie systemu do stanu początkowego z usunięciem danych nie będzie ode mnie wymagało zainstalowania Windowsa z płyty CD? Nie wiem czy uda mi się znaleźć karton od laptopa.

    0