Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

search.so-v.com - przekierowanie malware

leeeon91 22 Mar 2016 08:41 471 3
  • #1 22 Mar 2016 08:41
    leeeon91
    Poziom 2  

    Witam serdecznie użytkowników forum. Mam problem z usunięciem malware'a przekierowującego. Użyłem wszelkich dostępnych programów wymienionych w wątku pomocniczym. Poniżej zamieszczam załączniki z FRST. Z góry dziękuję za pomoc.

    0 3
  • Pomocny post
    #2 22 Mar 2016 08:54
    krzychupar
    Poziom 41  

    Otwórz notatnik systemowy i wklej:
    Task: {08D2D756-3AE4-4ECF-9B5E-F67F42553120} - \AutoPico Daily Restart -> Brak pliku <==== UWAGA
    Hosts:
    HKU\S-1-5-21-1699612114-1914349172-523013276-1001\...\StartupApproved\Run: => "SpybotPostWindows10UpgradeReInstall"
    HKU\S-1-5-21-1699612114-1914349172-523013276-1001\...\Run: [AdobeBridge] => [X]
    HKU\S-1-5-21-1699612114-1914349172-523013276-1001\...\Run: [SpybotPostWindows10UpgradeReInstall] => C:\Program Files\Common Files\AV\Spybot - Search and Destroy\Test.exe [1011200 2015-07-28] (Safer-Networking Ltd.)
    HHKU\S-1-5-21-1699612114-1914349172-523013276-1001\...\MountPoints2: {1f89f952-d643-11e5-9947-801934bdf39d} - "D:\AutoRun.exe"
    HKU\S-1-5-21-1699612114-1914349172-523013276-1001\...\MountPoints2: {40e1603d-cf9e-11e5-9945-801934bdf39d} - "D:\LG_PC_Programs.exe"
    ApShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => Brak pliku
    ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} => Brak pliku
    ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} => Brak pliku
    ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => Brak pliku
    ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => Brak pliku
    GroupPolicy: Ograniczenia - Chrome <======= UWAGA
    CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA
    HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank
    HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page =
    HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL =
    HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL =
    HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page =
    HKU\S-1-5-21-1699612114-1914349172-523013276-1001\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
    S3 AndNetDiag; \SystemRoot\system32\DRIVERS\lgandnetdiag64.sys [X]
    S3 ANDNetModem; \SystemRoot\system32\DRIVERS\lgandnetmodem64.sys [X]
    S3 avchv; \SystemRoot\system32\DRIVERS\avchv.sys [X]
    2016-03-22 06:06 - 2016-03-22 06:06 - 00000000 ____D C:\Program Files (x86)\AdwCleaner
    EmptyTemp:

    Plik zapisz pod nazwą fixlist.txt i umieść w folderze C:\Users\Teleon\Downloads\FRST64.exe
    Uruchom FRST i kliknij w Fix/Napraw.

    0
  • Pomocny post
    #3 22 Mar 2016 09:35
    Kolobos
    Spec od komputerów

    Do podanego wczesniej Fixlist.txt dodaj jeszcze:
    Task: {60C35CD8-A0EF-40FE-9C7C-7B3E27F11056} - System32\Tasks\{3BDC5AD4-D23C-46BC-8499-48CE91267F3E} => pcalua.exe -a "G:\World of Warcraft - 3.3.5a (12340) - enUS (No Install)\Wow.exe" -d "G:\World of Warcraft - 3.3.5a (12340) - enUS (No Install)"
    Task: {A487DB0D-B319-4951-BD6A-A6FA48CF2DEE} - System32\Tasks\{5144C865-21F8-4449-9C10-B31B3AB16EC9} => pcalua.exe -a C:\Users\Teleon\AppData\Local\Temp\Temp1_KBFilter_Win81_64_VER1005.zip\PNPINST64.exe
    Task: {AC664B0E-FF1E-4213-94C9-FD6FACBF9E9B} - System32\Tasks\Celki => C:\PROGRA~1\SHOPPE~1\Vovduvse.bat
    IE trusted site: HKU\.DEFAULT\...\webcompanion.com -> hxxp://webcompanion.com
    IE trusted site: HKU\S-1-5-21-1699612114-1914349172-523013276-1001\...\localhost -> localhost
    IE trusted site: HKU\S-1-5-21-1699612114-1914349172-523013276-1001\...\webcompanion.com -> hxxp://webcompanion.com

    0
  • #4 22 Mar 2016 09:46
    leeeon91
    Poziom 2  

    Dziękuję serdecznie za pomoc. Jak ręką odjął. Temat do zamknięcia.

    0