Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Po starcie systemu otwiera się przeglądarka.

rtoip14 22 Cze 2016 19:08 2352 21
  • Pomocny post
    #2 22 Cze 2016 19:27
    Kolobos
    Spec od komputerów

    Wlacz w msconfig wszystko co wylaczyles (uslugi i autostart), to trzeba usunac, a nie wylaczac.

    Odinstaluj:
    AdBlocker
    cloudfront - Uninstall
    WinZip

    Obok frst.exe utworz plik Fixlist.txt z zawartoscia:
    CustomCLSID: HKU\S-1-5-21-314501420-2261803728-2016192299-1000_Classes\CLSID\{022105BD-948A-40C9-AB42-A3300DDF097F}\localserver32 -> "C:\Users\Neo\AppData\Local\Google\Update\GoogleUpdate.exe" => Brak pliku
    Task: {398DA796-F89D-4AC7-A18B-2B0B804674E6} - System32\Tasks\MailRuUpdater => C:\Users\Neo\AppData\Local\Mail.Ru\MailRuUpdater.exe
    Task: C:\Windows\Tasks\RsDelayLauncher_{8A34248E-7D35-4832-8378-7659E0B0A380}.job => C:\Program Files\Rising\RAV\rsdelaylauncher.exe
    ShortcutWithArgument: C:\Users\Neo\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk -> C:\Windows\explorer.exe (Microsoft Corporation) -> "hxxp://astino.ru/?utm_source=startlink03&utm_content=d38c85d4c8de5aacf86131360bd58d62&utm_term=2AB63D22F49296AF75215BDFE5C6AAFE&utm_d=20160416"
    ShortcutWithArgument: C:\Users\Neo\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk -> C:\Windows\System32\rundll32.exe (Microsoft Corporation) -> url,FileProtocolHandler "hxxp://www.mail.ru/cnt/20775012?gp=811008"
    HKU\S-1-5-21-314501420-2261803728-2016192299-1000\...\Run: [nisauhsnnl] => explorer "hxxp://ovsiwyg.ru/?utm_source=uoua03&utm_content=017d1d1a8d77fa618fbeee79e4a6895b&utm_term=2AB63D22F49296AF75215BDFE5C6AAFE&utm_d=20160416" <===== UWAGA
    HKU\S-1-5-21-314501420-2261803728-2016192299-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://mail.ru/cnt/10445?gp=811013
    FF Homepage: hxxp://mail.ru/cnt/10445?gp=811013
    FF Keyword.URL: hxxp://go.mail.ru/distib/ep/?product_id=%7B27...-A511-477B-9BFE-DB4B9FC8852C%7D&gp=811014
    CHR HomePage: ChromeDefaultData -> mail.ru/cnt/11956636?rciguc__PARAM__
    CHR DefaultSearchURL: ChromeDefaultData -> hxxps://inline.go.mail.ru/search?inline_comp=dse&q={searchTerms}&fr=chxtn12.0.8
    CHR DefaultSearchKeyword: ChromeDefaultData -> mail.ru
    CHR DefaultSuggestURL: ChromeDefaultData -> hxxp://suggests.go.mail.ru/chrome?q={searchTerms}
    CHR HKLM\...\Chrome\Extension: [ahnphcmhmhcjjcjhmnnjjlbmaeljecga] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM\...\Chrome\Extension: [efhdjkbfpoohkmfaldijcpbnmbpefpkb] - hxxps://clients2.google.com/service/update2/crx
    S2 mrupdsrv; "C:\Program Files\Mail.Ru\Update Service\mrupdsrv.exe" --s [X]
    S3 xhunter1; \??\C:\Windows\xhunter1.sys [X]
    U3 apde55tm; Brak ImagePath
    2016-06-22 18:19 - 2016-06-22 18:21 - 00000000 ____D C:\AdwCleaner
    2016-06-01 23:10 - 2016-06-01 23:10 - 0000016 _____ () C:\ProgramData\mntemp
    EmptyTemp:

    W FRST wybierz Napraw.



    Zrob pelny skan przy pomocy Mbam i usun to co wykryje:
    http://www.bleepingcomputer.com/download/malwarebytes-anti-malware/

    Zamiesc nowe logi z FRST, ze skanowania.

    0
  • #4 22 Cze 2016 20:39
    Kolobos
    Spec od komputerów

    Zamiesciles stary addition.txt, miales tez wlaczyc uslugi i wpisy z uruchamiania, ktore wylaczyles w msconfig, zeby mozna bylo je usunac, nie zrobiles tego.

    Nie bede Cie juz meczyl, usun katalog C:\FRST i to wszystko.

    0
  • #6 22 Cze 2016 21:35
    Kolobos
    Spec od komputerów

    Dlaczego nie odinstalowales tego co podalem?

    AdBlocker
    cloudfront - Uninstall
    WinZip

    W addition widac wiecej wpisow!
    Masz wlaczyc te WSZYSTKIE:
    MSCONFIG\Services: bykesute => 2
    MSCONFIG\Services: cucojope => 2
    MSCONFIG\Services: cybusyro => 2
    MSCONFIG\Services: dequzody => 2
    MSCONFIG\Services: dipubibu => 2
    MSCONFIG\Services: gukisode => 2
    MSCONFIG\Services: gyvixodu => 2
    MSCONFIG\Services: helusuty => 2
    MSCONFIG\Services: hidekoqe => 2
    MSCONFIG\Services: hirimoje => 2
    MSCONFIG\Services: insvc_1.10.0.14 => 2
    MSCONFIG\Services: lehicewu => 2
    MSCONFIG\Services: lrcReportsService => 2
    MSCONFIG\Services: mofysilo => 2
    MSCONFIG\Services: muryroju => 2
    MSCONFIG\Services: myfejozi => 2
    MSCONFIG\Services: myroqole => 2
    MSCONFIG\Services: nyxixyzo => 2
    MSCONFIG\Services: rowugoqo => 2
    MSCONFIG\Services: runukijezbt => 2
    MSCONFIG\Services: ryholohu => 2
    MSCONFIG\Services: scsvc_1.10.0.16 => 2
    MSCONFIG\Services: sijemume => 2
    MSCONFIG\Services: swsesrvc_1.10.0.25 => 2
    MSCONFIG\Services: WyanianOawahsid => 2
    MSCONFIG\Services: xoperoze => 2
    MSCONFIG\Services: xowijysy => 2
    MSCONFIG\Services: zedepory => 2
    MSCONFIG\Services: zehygiqo => 2
    MSCONFIG\Services: zomoxedi => 2
    MSCONFIG\Services: zytuzihu => 2
    MSCONFIG\startupfolder: C:^Users^Neo^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^be64217167462ae417d8abe9d43d1e5c.exe =>
    MSCONFIG\startupfolder: C:^Users^Neo^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^SmartWeb.lnk => C:\Windows\pss\SmartWeb.lnk.Startup
    MSCONFIG\startupreg: Advanced SystemCare 8 =>
    MSCONFIG\startupreg: be64217167462ae417d8abe9d43d1e5c =>
    MSCONFIG\startupreg: bpk =>
    MSCONFIG\startupreg: c8c25c9f2310298b572ff8e2f9906425 =>
    MSCONFIG\startupreg: cFosSpeed =>
    MSCONFIG\startupreg: CoupSeek =>
    MSCONFIG\startupreg: CyberGhost =>
    MSCONFIG\startupreg: DIOJ Agent =>
    MSCONFIG\startupreg: Form1 =>
    MSCONFIG\startupreg: gmsd_pl_005010102 =>
    MSCONFIG\startupreg: gmsd_pl_005010105 =>
    MSCONFIG\startupreg: gmsd_pl_005010149 =>
    MSCONFIG\startupreg: GoogleChromeAutoLaunch_D36C64651E3A4EE85332558B1677FF26 =>
    MSCONFIG\startupreg: GoogleChromeAutoLaunch_F8573294E3434E83A053586AD966BDBA =>
    MSCONFIG\startupreg: KometaAutoLaunch_A0C7281936AA65B084E954795C6EC38F =>
    MSCONFIG\startupreg: mbot_pl_014010102 =>
    MSCONFIG\startupreg: Nezavisimo =>
    MSCONFIG\startupreg: RSDTRAY =>
    MSCONFIG\startupreg: tpuzofccbt =>
    MSCONFIG\startupreg: TweakBit =>
    MSCONFIG\startupreg: Web Protector Plus UI =>
    MSCONFIG\startupreg: Wru =>

    A nie tylko pare.





    Nowy Fixlist dla FRST:
    ShortcutWithArgument: C:\Users\Neo\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk -> C:\Windows\explorer.exe (Microsoft Corporation) -> "hxxp://astino.ru/?utm_source=startlink03&utm_content=d38c85d4c8de5aacf86131360bd58d62&utm_term=2AB63D22F49296AF75215BDFE5C6AAFE&utm_d=20160416"
    HKLM\...\Run: [QuickTime Task] => "C:\Program Files\QuickTime\QTTask.exe" -atboottime
    HKLM\...\RunOnce: [AvgUninstallURL] => cmd.exe /c start hxxp://www.avg.com/ww.special-uninstallation-...IAVABWAEgAQQAtAFgANgBEAEYAOAAtAEwANgBQAEEATgA"&"inst=NwA3AC0ANAAzAD (dane wartości zawierają 341 znaków więcej).
    HKU\S-1-5-21-314501420-2261803728-2016192299-1000\...\Run: [zmtevcbxpu] => explorer "hxxp://taxsup.ru/?utm_source=uoua03&utm_content=ed4dd8042135f5854752a91136d0b049&utm_term=2AB63D22F49296AF75215BDFE5C6AAFE&utm_d=20160416" <===== UWAGA
    HKU\S-1-5-21-314501420-2261803728-2016192299-1000\...\Run: [ykgqzxqvws] => explorer "hxxp://opatolo.ru/?utm_source=uoua03&utm_content=53ec9cba11c4c68db945b0faedd19cda&utm_term=2AB63D22F49296AF75215BDFE5C6AAFE&utm_d=20160212" <===== UWAGA
    HKU\S-1-5-21-314501420-2261803728-2016192299-1000\...\Run: [sedenyaxsy] => explorer "hxxp://taxsup.ru/?utm_source=uoua03n&utm_content=ed4dd8042135f5854752a91136d0b049&utm_term=2AB63D22F49296AF75215BDFE5C6AAFE&utm_d=20160416" <===== UWAGA
    HKU\S-1-5-21-314501420-2261803728-2016192299-1000\...\Run: [riyrdemvom] => explorer "hxxp://opatolo.ru/?utm_source=uoua03&utm_content=53ec9cba11c4c68db945b0faedd19cda&utm_term=2AB63D22F49296AF75215BDFE5C6AAFE&utm_d=20160216" <===== UWAGA
    HKU\S-1-5-21-314501420-2261803728-2016192299-1000\...\Run: [paiondzyyr] => explorer "hxxp://iztiwe.ru/?utm_source=uoua03&utm_content=592d0b817c0e6f6ad87b5f9e4e962023&utm_term=2AB63D22F49296AF75215BDFE5C6AAFE&utm_d=20160416" <===== UWAGA
    HKU\S-1-5-21-314501420-2261803728-2016192299-1000\...\Run: [lodygvcjdb] => explorer "hxxp://ovsemko.ru/?utm_source=uoua03&utm_content=cfeed2f9af2791a0a3f0e939247fb028" <===== UWAGA
    HKU\S-1-5-21-314501420-2261803728-2016192299-1000\...\Run: [kawinrhnoq] => explorer "hxxp://taxsup.ru/?utm_source=uoua03n&utm_content=ed4dd8042135f5854752a91136d0b049&utm_term=2AB63D22F49296AF75215BDFE5C6AAFE&utm_d=20160416" <===== UWAGA
    HKU\S-1-5-21-314501420-2261803728-2016192299-1000\...\Run: [jqnwbdlgej] => explorer "hxxp://indetoch.ru/?utm_source=uoua03&utm_content=b43c6e218297c0af7b6ff32628f449df&utm_term=2AB63D22F49296AF75215BDFE5C6AAFE&utm_d=20160416" <===== UWAGA
    HKU\S-1-5-21-314501420-2261803728-2016192299-1000\...\Run: [hcpcsltwug] => explorer "hxxp://lyasino.ru/?utm_source=uoua03n&utm_content=9514c71cc316c8a025d3bf54c5694830&utm_term=2AB63D22F49296AF75215BDFE5C6AAFE" <===== UWAGA
    HKU\S-1-5-21-314501420-2261803728-2016192299-1000\...\Run: [doprkppykx] => explorer "hxxp://exhina.ru/?utm_source=uoua03&utm_content=38ab871d7c305879120f7f6be4cee67b&utm_term=2AB63D22F49296AF75215BDFE5C6AAFE&utm_d=20160402" <===== UWAGA
    HKU\S-1-5-21-314501420-2261803728-2016192299-1000\...\Run: [arrbufxmjm] => explorer "hxxp://lyasino.ru/?utm_source=uoua03n&utm_content=9514c71cc316c8a025d3bf54c5694830&utm_term=2AB63D22F49296AF75215BDFE5C6AAFE&utm_d=20160416" <===== UWAGA
    S3 xhunter1; \??\C:\Windows\xhunter1.sys [X]
    U3 afaytara; Brak ImagePath


    Zamiesc nowe logi, weczesniej odinstaluj to co podalem i wlacz WSZYSTKO.

    0
  • #8 22 Cze 2016 22:30
    Kolobos
    Spec od komputerów

    Widze, ze doinstalowales kolejny szkodliwy program...

    Nadal nie odinstalowales tych programow:
    AdBlocker
    cloudfront - Uninstall
    Reimage Protector
    WinZip

    Czy mozesz wejsc do panelu sterowania -> programy i funkcje i je odinstalowac? Pisze juz o tym trzeci raz i nadal NIC.

    Nie wykonales oczywiscie Fixlist, ktory podalem w poprzednim poscie. Czy mozesz to w koncu zrobic zamiast dawac pare razy te same logi?

    Do tego doszly kolejne wpisy do kasacji, nowy Fixlist.txt:
    2016-06-22 21:37 - 2016-06-22 21:46 - 00000000 ____D C:\Program Files\Reimage
    2016-06-22 21:37 - 2016-06-22 21:37 - 00000000 ____D C:\ProgramData\Reimage Protector
    2016-06-22 21:36 - 2016-06-22 21:38 - 00000140 _____ C:\Windows\Reimage.ini
    Task: {416F5026-A1FE-40D9-B710-747AF150187B} - \ReimageUpdater -> Brak pliku <==== UWAGA


    Uruchom msconfig, przejdz do zakladki uslugi i wlacz te, ktory podalem wczesniej.
    To samo w zakladce uruchamianie. Jezeli nadal masz z tym jakis problem, ktorego nie potrafie zrozumiec to mozesz to pominac o czym pisalem juz wczesniej. Jednak wpisy zostana.

    0
  • #10 22 Cze 2016 22:48
    Kolobos
    Spec od komputerów

    W logach widac, sam zobacz w najnowszym addition, nie sa to wpisy ukryte, dlatego powinny byc widoczne w na liscie. Ale skoro piszesz, ze nie ma to pomin.

    Widze, ze mbam tez nie zainstalowales, zamiast tego sciagnales Zemana AntiMalware i szkodliwy Reimage.

    Moze przeczytaj jeszcze raz caly watek od poczatku i wykonaj WSZYSTKO tak jak podalem, a nie wybiorczo.

    0
  • #12 22 Cze 2016 22:58
    Kolobos
    Spec od komputerów

    Skad Ci przyszlo do glowy takie skojarzenie? Nie, nazwy podalem i maja byc takie jak widzisz. AdBlocker to nie Avast...

    0
  • #14 22 Cze 2016 23:10
    xCandy
    Poziom 15  

    AdBlocker jest w przeglądarce jeśli się nie mylę.
    Oraz usuwa się programy w program files lub pliki programów x86 to takie foldery na dysku (domyślnie) C:
    Bo takie programy (wirusy) nie instalują się do Programy i funkcje ;)

    0
  • #15 22 Cze 2016 23:13
    Kolobos
    Spec od komputerów

    @xCandy nie ma. To i tak tylko pusty wpis, reszte zapewne usunal adwc lub inny program. Wszystko co bylo do usuniecia podalem juz w Fixlist.

    0
  • #17 22 Cze 2016 23:32
    Kolobos
    Spec od komputerów

    Obok frst.exe utworz plik Fixlist.txt z zawartoscia:
    S2 ZAMSvc; "C:\Program Files\Zemana AntiMalware\ZAM.exe" /service [X]
    S1 ZAM; \??\C:\Windows\System32\drivers\zam32.sys [X]
    R1 ZAM_Guard; \??\C:\Windows\System32\drivers\zamguard32.sys [X]
    U3 ak90rvgn; Brak ImagePath
    2016-06-22 21:55 - 2016-06-22 23:13 - 00034434 _____ C:\Windows\ZAM_Guard.krnl.trace
    2016-06-22 21:55 - 2016-06-22 22:44 - 00399343 _____ C:\Windows\ZAM.krnl.trace
    2016-06-22 21:54 - 2016-06-22 22:44 - 00000000 ____D C:\Program Files\Zemana AntiMalware
    2016-06-22 21:54 - 2016-06-22 21:54 - 00000000 ____D C:\Users\Neo\AppData\Local\Zemana
    2016-05-29 10:33 - 2016-05-29 10:33 - 0128512 _____ () C:\Users\Neo\AppData\Roaming\Installer.dat
    ShortcutWithArgument: C:\Users\Neo\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk -> C:\Windows\explorer.exe (Microsoft Corporation) -> "hxxp://astino.ru/?utm_source=startlink03&utm_content=d38c85d4c8de5aacf86131360bd58d62&utm_term=2AB63D22F49296AF75215BDFE5C6AAFE&utm_d=20160416"
    EmptyTemp:

    W FRST wybierz Napraw.

    Po wykonaniu utworzy sie plik Fixlog.txt, zamiesc go w zalaczniku.

    0
  • Pomocny post
    #19 22 Cze 2016 23:52
    Kolobos
    Spec od komputerów

    Usun ten skrot recznie: C:\Users\Neo\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk

    Usun katalog C:\FRST i to wszystko.

    0
  • Pomocny post
    #21 23 Cze 2016 00:04
    Kolobos
    Spec od komputerów

    Wejdz do katalogu C:\Users\Neo\AppData\Local\Microsoft\Start Menu\ i usun plik.

    0