Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

cse.google.com - Cwany wirus

zasilaczen 30 Gru 2016 15:05 1665 6
  • #1 30 Gru 2016 15:05
    zasilaczen
    Poziom 8  

    Witam (Win7 Professional N x64)

    Od tygodnia biję się z wirusem cse.google.com
    który objawia się podczas szukania w google, nakładając wynik wyszukiwania swoim urlem cse.google.com
    Najlepsze jest to że żaden antywirus go nie wykrywa.
    Skanowałem Kasperskim, Anti-Malware oraz SpyHunter
    Szukałem równierz w poradnikach na youtube które były poświęcone zwalczaniu tego wirusa ale żaden nie działa (jest to prawdopodobnie jakaś jego nowa wersja)
    Nie ma żadnej nakładki w rozszerzeniu chrome, nie ma go w dodaj i usuń programy.
    Udało mi się go jednak zlokalizować ręcznie w harmonogramie zadań. Dodaje sobie automatyczne uruchomienie. Ale usuwanie jego folderów i zaplanowanych zadań nic nie daje bo wraz z nowym uruchomieniem komputera generuje sobie wszystko na nowo. W procesach kryje się za rundll32.exe ale nie kasowałem tego pliku bo ma etykietkę "systemowy"

    Wygląda to tak: cse.google.com - Cwany wirus

    Chciałbym namierzyć źródło i wywalić go permanentnie ale nie wiem jak do niego dojść :|

    0 6
  • #3 30 Gru 2016 15:27
    zasilaczen
    Poziom 8  

    Przeskanowałem AdwCleaner'em 3 razy
    Wykrywa go, kasuje ale z ponownym uruchomieniem syf pojawia się ponownie.
    Jego log:
    ***** [ Rejestr ] *****

    [-] Usunięto wartość: [x64] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce [Wd]


    W załączniku dwa logi

    0
  • Pomocny post
    #4 30 Gru 2016 15:34
    Kolobos
    Spec od komputerów

    Odinstaluj: Adobe Reader 9.5.0 - Polish, zmien na Foxit: http://ninite.com/foxit/

    Obok frst.exe utworz plik Fixlist.txt z zawartoscia:
    CloseProcesses:
    Task: {0B5E478B-125A-4099-A422-D0D8CD78EC79} - System32\Tasks\5660r423o0m291 => Rundll32.exe "C:\ProgramData\5660r423o0m291\5660r423o0m291.dll",romovr <==== UWAGA
    2016-12-30 14:40 - 2014-03-22 14:48 - 02854400 _____ () C:\ProgramData\5660r423o0m291\5660r423o0m291.dll
    2016-12-29 13:17 - 2016-12-30 14:40 - 00249856 _____ () C:\Windows\TEMP\g9AB9.tmp.exe
    2016-12-26 23:12 - 2016-12-30 14:42 - 03662848 _____ () C:\Windows\TEMP\g7EC3.tmp
    () C:\Windows\Temp\g9AB9.tmp.exe
    HKLM\...\RunOnce: [wd] => C:\Windows\TEMP\g9AB9.tmp.exe [249856 2016-12-30] () <===== UWAGA
    HKU\S-1-5-21-670296354-612676299-35106512-1000\...\Run: [ASRockIES] => [X]
    HKU\S-1-5-21-670296354-612676299-35106512-1000\...\MountPoints2: {6c1f689d-b566-11e6-969c-00252244b924} - X:\StartUp.exe
    AutoConfigURL: [S-1-5-21-670296354-612676299-35106512-1000] => google.pl
    ManualProxies: 0google.pl
    2016-12-30 15:04 - 2016-12-30 15:04 - 00605997 _____ C:\ProgramData\5660r423o0m291.rar
    2016-12-30 14:40 - 2016-12-30 15:12 - 00016704 _____ C:\Windows\System32\Tasks\5660r423o0m291
    2016-12-30 14:40 - 2016-12-30 14:40 - 00000000 ___HD C:\ProgramData\5660r423o0m291
    2016-12-26 23:29 - 2016-12-26 23:29 - 0013904 _____ () C:\Users\Mateusz\AppData\Roaming\Arrowhead — skrót.lnk
    2016-12-30 15:04 - 2016-12-30 15:04 - 0605997 _____ () C:\ProgramData\5660r423o0m291.rar
    EmptyTemp:

    W FRST wybierz Napraw.

    Zrob pelny skan przy pomocy Mbam i usun to co wykryje.

    Zamiesc nowe logi z FRST, ze skanowania po wykonaniu.

    0
  • #6 30 Gru 2016 16:03
    Kolobos
    Spec od komputerów

    Mbam to nie antywirus, wiec kasperski.

    Usun katalog C:\FRST i to wszystko.

    0
  • #7 04 Sty 2017 23:52
    RADU23
    Moderator - Komputery Serwis

    Odblokowuję na prośbę autora.

    0