Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Wirusy: Rootkit, Adware-gen, Dropper-gen. Pomocy.

Lena97 30 Gru 2016 14:14 633 4
  • #1 30 Gru 2016 14:14
    Lena97
    Poziom 2  

    Witam mam laptopa Toshiba Satellite A200-1lZ, antywirus Avast.
    od kilku dni walczę z wirusami na laptopie Babci, która trochę o niego nie dbała.
    Wirusy(spisuję z kwarantanny Avasta, gdzie po skanach mam już dużo plików):
    -Win32:Adware-gen,
    -Win32:Malware-gen,
    -JS:Agent-DRN,
    -JS:Agent-DKF,
    -Win32:ConvertAd-BX,
    -Win32:Dropper-gen,
    -Android:kingRoot-Z,
    -JS:Agent-DRW,
    -Inno:Downloader-J,
    -Win32:Rootkit-gen,
    -Other:Malware-gen,
    -Win32:Mobogenie-R,
    -Win32:Trojan-gen,
    -NSIS:NextLive-A,
    -Win32:BrowseFox-HL,
    -Win32:BrowseFox-DZ.
    Skanowałam system kilkoma programami:
    -adwCleaner
    -GlaryUltilities
    -Anti-Malware
    -no i Avast oczywiście
    Czytałam też w innym poście o FRST i mam oba pliki o które proszono w innym poście tak więc odrazu je podaję.
    Proszę bardzo o pomoc :)

    0 4
  • Pomocny post
    #2 30 Gru 2016 14:37
    Kolobos
    Spec od komputerów

    Odinstaluj:
    Adobe Reader 8 - Polish
    Adobe Reader 8.1.2 Security Update 1, zmien na Foxit: http://ninite.com/foxit/
    amuleC
    Java(TM) 6 Update 3 -> zainstaluj http://ninite/java/
    Search App by Ask
    youndoo - Uninstall
    Chrome <- wczesniej mozesz zgrac zakladki.

    Obok frst.exe utworz plik Fixlist.txt z zawartoscia:
    CustomCLSID: HKU\S-1-5-21-515967899-1275210071-839522115-1004_Classes\CLSID\{010833F3-751A-402F-9FCC-C365B6A12E41}\localserver32 -> E:\BESTplayer.exe => Brak pliku
    Task: C:\WINDOWS\Tasks\GlaryInitialize 5.job => C:\Program Files\Glary Utilities 5\Initialize.exe
    Task: C:\WINDOWS\Tasks\Opera scheduled Autoupdate 1482834393.job => C:\Program Files\Opera\launcher.exe
    Task: C:\WINDOWS\Tasks\Powiadomienie o zakończeniu obsługi systemu Microsoft Windows XP — co miesiąc.job => C:\WINDOWS\system32\xp_eos.exe
    Task: C:\WINDOWS\Tasks\Powiadomienie o zakończeniu obsługi systemu Microsoft Windows XP — logowanie.job => C:\WINDOWS\system32\xp_eos.exe
    Task: C:\WINDOWS\Tasks\Zahodom Agent.job => C:\Program Files\Gharoch\plercult.exe
    ShortcutWithArgument: C:\Documents and Settings\Monika\Menu Start\Programy\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.sweet-page.com/?type=sc&ts=138...mp;uid=TOSHIBAXMK2035GSS_97GWTERBTXX97GWTERBT
    ShortcutWithArgument: C:\Documents and Settings\Monika\Menu Start\Programy\Akcesoria\Narzędzia systemowe\Internet Explorer (bez dodatków).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.sweet-page.com/?type=sc&ts=138...mp;uid=TOSHIBAXMK2035GSS_97GWTERBTXX97GWTERBT
    C:\Program Files\Qerwdomhijus Reports\local32spl.dll
    c:\program files\gharoch\
    Winlogon\Notify\dimsntfy: [X]
    HKU\S-1-5-21-515967899-1275210071-839522115-1004\...\Run: [GUDelayStartup] => C:\Program Files\Glary Utilities 5\StartupManager.exe [37152 2015-01-05] (Glarysoft Ltd)
    HKU\S-1-5-18\...\RunOnce: [FlashPlayerUpdate] => C:\WINDOWS\system32\Macromed\Flash\FlashUtil32_17_0_0_134_pepper.exe -update pepperplugin
    HKLM\...\Providers\xzrbpvhr: C:\Program Files\Qerwdomhijus Reports\local32spl.dll [274432 2016-12-26] ()
    BootExecute: autocheck autochk *
    GroupPolicy: Ograniczenia - Chrome <======= UWAGA
    CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA




    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA
    HKU\S-1-5-21-515967899-1275210071-839522115-1004\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA
    HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "" <======= UWAGA
    FF Extension: (OnetToolbar) - C:\Documents and Settings\Monika\Dane aplikacji\Mozilla\Firefox\Profiles\in4hi8s4.default\Extensions\toolbar.addon@onet.pl.xpi [2015-07-23]
    FF SearchPlugin: C:\Documents and Settings\Monika\Dane aplikacji\Mozilla\Firefox\Profiles\in4hi8s4.default\searchplugins\bingp.xml [2015-04-03]
    FF SearchPlugin: C:\Documents and Settings\Monika\Dane aplikacji\Mozilla\Firefox\Profiles\in4hi8s4.default\searchplugins\c6b1id5f.xml [2016-12-26]
    FF SearchPlugin: C:\Documents and Settings\Monika\Dane aplikacji\Mozilla\Firefox\Profiles\in4hi8s4.default\searchplugins\google-avast.xml [2016-12-30]
    FF ExtraCheck: C:\Program Files\mozilla firefox\defaults\pref\channel-prefs.js [2016-12-09]
    CHR DefaultProfile: ChromeDefaultData
    C:\Documents and Settings\Monika\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default
    CHR Extension: (Ask Search) - C:\Documents and Settings\Monika\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\aaaaadgepjkdffhjbkfjgnnffnfcffbg [2015-11-21]
    CHR HKLM\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - hxxps://clients2.google.com/service/update2/crx
    R2 Chipadom; C:\Program Files\Gharoch\rwephckohutherPrv.dll [180224 2016-12-26] () [Brak podpisu cyfrowego]
    S3 a7ca495b; "C:\WINDOWS\system32\rundll32.exe" "c:\docume~1\alluse~1\daneap~1\intere~1\InterenetOptimizerSvc.dll",service
    2016-12-30 12:32 - 2016-12-30 12:49 - 00000000 ____D C:\AdwCleaner
    2016-12-28 11:24 - 2016-12-29 22:25 - 00000000 ____D C:\Documents and Settings\Monika\Dane aplikacji\fibei
    2016-12-28 11:23 - 2016-12-28 11:23 - 00000000 ____D C:\Documents and Settings\Monika\Menu Start\Programy\amuleC
    2016-12-28 11:23 - 2016-12-28 11:23 - 00000000 ____D C:\Documents and Settings\Monika\Dane aplikacji\aMule
    2016-12-26 21:19 - 2016-12-26 21:19 - 00000000 ____D C:\Program Files\Qerwdomhijus Reports
    2016-12-26 21:18 - 2016-12-30 08:19 - 00000402 _____ C:\WINDOWS\Tasks\Zahodom Agent.job
    2016-12-26 21:17 - 2016-12-27 12:45 - 00000000 ____D C:\Program Files\Gharoch
    2016-12-26 21:17 - 2016-12-26 22:12 - 00000000 ____D C:\Documents and Settings\Monika\Ustawienia lokalne\Dane aplikacji\Gefatpiperther
    2009-07-24 13:17 - 2009-09-07 08:11 - 0000000 _____ () C:\Documents and Settings\Monika\Dane aplikacji\bcrypt.html
    C:\Windows\System32\nsprs.dll
    C:\Windows\System32\serauth1.dll
    C:\Windows\System32\serauth2.dll
    C:\Windows\System32\ssprs.dll
    EmptyTemp:

    W FRST wybierz napraw.

    Po wykonaniu zamiesc nowe logi z FRST, ze skanowania.

    0
  • Pomocny post
    #4 30 Gru 2016 15:26
    Kolobos
    Spec od komputerów

    > Nie dało się odinstalować Search by ask.

    Uzyj regedit, wyszukaj 4646332D-5350-006A-76A7-A758B70C2D01 i usun wpis z uninstall.
    (wczesniej zrob kopie rejestru)

    Usun katalog C:\FRST i to wszystko.

    0