Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Prośba o analizę logów FRST (simpleFiles).

Bacia18 23 Lut 2016 19:59 711 18
  • #1 23 Lut 2016 19:59
    Bacia18
    Poziom 5  

    Witam. Mam problem z wirusem AQOVD.com i nie mogę tego za nic w świecie usunąć. Występuje we wszystkich przeglądarkach zainstalowanych w kompie: Edge, Google Chrome, Opera. Pomoże ktoś? Jestem nowym forumowiczem próbowałem się podpiąć pod czyjś wątek, ale to chyba w brew zasadom.
    W załączniku FRST - wiem, że potrzebne jest jeszcze Addition - tylko nie wiem jak to utworzyć. :?:

    0 18
  • Pomocny post
    #2 23 Lut 2016 20:01
    Kolobos
    Spec od komputerów

    W FRST zaznacz opcje przy Addition.txt i wykonaj skanowanie.

    0
  • #4 23 Lut 2016 20:19
    Kolobos
    Spec od komputerów

    Obok frst.exe utworz plik fixlist.txt z zawartoscia:
    Task: {15B89999-2BD5-4466-86E8-B634BC93483D} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku <==== UWAGA
    Task: {33B5341C-2350-465A-A795-2CEB7A2C31B6} - \PhraseProfessor Auto Updater 1.10.0.24 Core -> Brak pliku <==== UWAGA
    Task: {368F4E01-9BBC-457F-B195-846B16A74CD9} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku <==== UWAGA
    Task: {46FA7498-86B8-4A0B-AD29-08F38476F340} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku <==== UWAGA
    Task: {60A2F13B-87C0-4897-B69F-9DF70393B74D} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku <==== UWAGA
    Task: {6ECB74D3-69CE-444A-BD63-F331DB963361} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku <==== UWAGA
    Task: {7DBA4603-7BC6-481F-947D-1CB5E9195BEE} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku <==== UWAGA
    Task: {88F75ECA-7837-4EFB-AEBD-99249D5DD59A} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku <==== UWAGA
    Task: {8E26D96B-4DCD-4E8C-AE1A-0BA42D970BF9} - \PhraseProfessor Auto Updater 1.10.0.24 Pending Update -> Brak pliku <==== UWAGA
    Task: {95C37B9A-4171-45A7-8919-9A6C3912C56B} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku <==== UWAGA
    Task: {A0112FA2-BF7C-4C3B-9DE7-29A9076DC60B} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku <==== UWAGA
    Task: {A80026C5-4EC1-4130-BB5B-48D7456D1AB4} - \Crossbrowse -> Brak pliku <==== UWAGA
    Task: {BDED1989-926D-459E-9996-A26BFCCF6F36} - System32\Tasks\{B87A4842-944D-4751-876F-CF500AE5CFEC} => pcalua.exe -a D:\Bacia\Desktop\VAG-COM\VagCom.exe -d D:\Bacia\Desktop\VAG-COM
    Task: {C2A2827E-6EDB-460F-9CA4-733AFB9F4A14} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku <==== UWAGA
    Task: {CDBEEF02-FD26-4FCD-8B9E-B2521D251DE0} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku <==== UWAGA
    ShortcutWithArgument: C:\Users\Bacia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> www.aqovd.com?oem=sunadplv3&uid=635GCMP1T_TOSHIBAMQ01ABF050&tm=1444071172
    ShortcutWithArgument: C:\Users\Bacia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> www.aqovd.com?oem=sunadplv3&uid=635GCMP1T_TOSHIBAMQ01ABF050&tm=1444071172
    ShortcutWithArgument: C:\Users\Bacia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> www.aqovd.com?oem=sunadplv3&uid=635GCMP1T_TOSHIBAMQ01ABF050&tm=1444071172




    ShortcutWithArgument: C:\Users\Bacia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> www.aqovd.com?oem=sunadplv3&uid=635GCMP1T_TOSHIBAMQ01ABF050&tm=1444071172
    CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA
    BHO-x32: Brak nazwy -> {B69F34DD-F0F9-42DC-9EDD-957187DA688D} -> Brak pliku
    CHR HomePage: Default -> www.aqovd.com?oem=sunadplv3&uid=635GCMP1T_TOSHIBAMQ01ABF050&tm=1444070048
    StartMenuInternet: Google Chrome - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe www.aqovd.com?oem=sunadplv3&uid=635GCMP1T_TOSHIBAMQ01ABF050&tm=1444070048
    S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2016-02-18] ()
    2016-01-24 14:27 - 2016-02-21 15:34 - 00000000 ____D C:\Users\Bacia\AppData\Roaming\WinNetSvc
    2015-09-02 20:00 - 2015-10-16 09:11 - 0000102 _____ () C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat
    C:\Users\Bacia\MSO.DLL
    EmptyTemp:

    W FRST wybierz Napraw.

    Usun katalog C:\FRST i to wszystko.

    1
  • #5 23 Lut 2016 20:45
    Bacia18
    Poziom 5  

    Powyższą procedurę wykonałem 2 razy a AQOVD w dalszym ciągu po uruchomieniu przeglądarki odpala się.

    0
  • #6 23 Lut 2016 22:31
    Kolobos
    Spec od komputerów

    Zamiesc nowe logi z FRST ze skanowania, sprawdz tez wlasciwosci skrotow przegladarek i usun z nich dopisane adresy o ile beda.

    0
  • #9 25 Lut 2016 17:41
    Bacia18
    Poziom 5  

    Z Gogle chrome AQOVD zniknęło, natomiast jak usunąć AQOVD z Microsoft Edge - w dalszym ciągu odpala się strona startowa przeglądarki oraz nowa karta z AQOVD.

    0
  • #10 25 Lut 2016 20:06
    Kolobos
    Spec od komputerów

    Chyba wczesniej nie zrozumiales, miales sprawdzic wlasciwosci skrotu ktorym uruchamiasz przegaldarke, napisales:
    > nie ma żadnych skrótów, ani właściwości zawierających AQOVD

    Dlatego zgaduje, ze tego nie zrobiles.

    Kliknij prawym przyciskiem myszy na ikonie eged z ktorej uruchamiasz przegladarke, wybierz wlasciwosci i tam sprawdz czy nie ma dopisanego adresu aqovd.

    0
  • #11 25 Lut 2016 20:35
    Bacia18
    Poziom 5  

    Przeglądarkę Microsoft Edge uruchamiam z paska zadań. Po wciśnięciu prawego przycisku myszy nie ma opcji właściwości, natomiast po utworzeniu skrótu na pulpicie i wybraniu opcji właściwości nie ma nic na temat AQOVD.

    0
  • #12 25 Lut 2016 20:40
    Kolobos
    Spec od komputerów

    Zamiesc log shortcuts z FRST.

    0
  • #14 25 Lut 2016 20:54
    Kolobos
    Spec od komputerów

    Tylko do skrotu Chrome masz dopisana szkodliwa strone.

    Fixlist.txt:
    ShortcutWithArgument: C:\Users\Bacia\AppData\Roaming\shortCutStore\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> www.aqovd.com?oem=sunadplv3&uid=635GCMP1T_TOSHIBAMQ01ABF050&tm=1444071172

    Albo reczna edycja wlasciwosci skrotu C:\Users\Bacia\AppData\Roaming\shortCutStore\Google Chrome.lnk

    Nie widac nic co ma zwiazek z edge, ta atrapa przegladarki nadal nie ma nawet opcji latwego zresetowania...
    Utworz nowy skrot uruchamiajacy przegaldarke i sprawdz czy nadal bedzie otwierac aq.. http://www.tenforums.com/tutorials/7755-microsoft-edge-shortcut-create-windows-10-a.html

    0
  • #15 25 Lut 2016 21:20
    Bacia18
    Poziom 5  

    Rozumiem, że w tym przypadku w temacie edge nie da się nic zrobić, natomiast co zrobić żeby prawidłowo funkcjonowała przeglądarka Gogle Chrome skoro ma dopisaną szkodliwą stronę? - w chwili obecnej działa prawidłowo, a najważniejsze nie wyskakuje AQOVD.

    Dodano po 9 [minuty]:

    Po utworzeniu nowego skrótu nadal wyskakuje AQOVD w nowej karcie:|

    0
  • #16 25 Lut 2016 21:51
    Kolobos
    Spec od komputerów

    Do okna FRST wklej:
    aqovd

    Nacisnij Wyszukaj w rejestrze i zamiesc log, ktory sie utworzy.

    Co do skrotu chrome to juz napisalem co zrobic. Zapewne uruchamiasz z inngo dlatego sie nie wyswietla.

    0
  • Pomocny post
    #18 26 Lut 2016 16:57
    Kolobos
    Spec od komputerów

    Utworz plik fix.reg, wklej do niego:
    Windows Registry Editor Version 5.00

    [HKEY_USERS\S-1-5-21-3534696096-3075329733-2335045751-1001\SOFTWARE\Policies\Microsoft\MicrosoftEdge\Main\SecondaryStartPages]
    ""=-
    [-HKEY_USERS\S-1-5-21-3534696096-3075329733-2335045751-1001\SOFTWARE\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\DOMStorage\aqovd.com]
    [-HKEY_USERS\S-1-5-21-3534696096-3075329733-2335045751-1001\SOFTWARE\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\DOMStorage\www.aqovd.com]
    [-HKEY_USERS\S-1-5-21-3534696096-3075329733-2335045751-1001\SOFTWARE\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\EdpDomStorage\aqovd.com]
    [-HKEY_USERS\S-1-5-21-3534696096-3075329733-2335045751-1001\SOFTWARE\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\EdpDomStorage\www.aqovd.com]
    [-HKEY_USERS\S-1-5-21-3534696096-3075329733-2335045751-1001_Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\DOMStorage\aqovd.com]
    [-HKEY_USERS\S-1-5-21-3534696096-3075329733-2335045751-1001_Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\DOMStorage\www.aqovd.com]
    [-HKEY_USERS\S-1-5-21-3534696096-3075329733-2335045751-1001_Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\EdpDomStorage\aqovd.com]
    [-HKEY_USERS\S-1-5-21-3534696096-3075329733-2335045751-1001_Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\EdpDomStorage\www.aqovd.com]

    Zapisz i uruchom, po wykonaniu sprawdz czy edge nadal otwiera szkodliwa strone.

    0
  • #19 26 Lut 2016 17:09
    Bacia18
    Poziom 5  

    Sukces AQOVD znikło nie odpala się przy uruchamianiu Microsoft EDGE - dziękuje za pomoc - temat uważam za zamknięty

    0