Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Jak usunąć wirusy żěŃą? -

GigantAnorektyk 29 Sty 2017 14:08 1347 3
  • #1 29 Sty 2017 14:08
    GigantAnorektyk
    Poziom 2  

    Witam,
    przez moją nieuwagę pobrałem plik, który zainstalował na moim komputerze wiele niechcianych programów, na czele z żěŃą. Znalazłem już na tym forum dyskusje na ten temat, że należy się posłużyć programem FRST, żeby się tego badziewia pozbyć. Jednak nie rozumiem do końca, co dokładnie mam wrzucić do pliku fixlist.txt (co ma poprzedzić naciśnięcie NAPRAW), czy mógłbym prosić kogoś o pomoc z tym?
    Załączam dwa pliki utworzone przez FRST. Dziękuję z góry za pomoc.

    0 3
  • Pomocny post
    #2 29 Sty 2017 14:41
    Kolobos
    Spec od komputerów

    Odinstaluj:
    Browser-Security
    McAfee Security Scan Plus
    trotux - Uninstall
    youndoo - Uninstall
    Youtube AdBlock

    Uzyj AdwCleaner, opcja Scan i Clean/Szukaj i Usun: http://www.bleepingcomputer.com/download/adwcleaner/

    Obok frst.exe utworz plik Fixlist.txt z zawartoscia:
    CloseProcesses:
    WMI_ActiveScriptEventConsumer_ASEC: <===== UWAGA
    ShortcutWithArgument: C:\Users\HP\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://fanli90.cn/
    ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://fanli90.cn/
    2017-01-29 12:40 - 2017-01-29 12:40 - 00289792 ____H () C:\Program Files (x86)\Suvocult Update\local64spl.dll
    2017-01-29 12:41 - 2017-01-29 12:41 - 00524696 _____ () C:\Program Files\żěŃą\X64\KZipShell.dll
    2016-09-22 19:07 - 2016-06-20 15:51 - 02548944 _____ () C:\Users\HP\AppData\Roaming\Browser-Security\s768.exe
    2017-01-29 12:41 - 2017-01-29 12:41 - 02072064 _____ () C:\Users\HP\AppData\Local\Temp\00008548\msiql.exe
    2017-01-29 12:40 - 2017-01-29 12:40 - 00302032 _____ () C:\Program Files (x86)\Youtube AdBlock\IEEF\dQvnGQ.exe
    2017-01-29 12:41 - 2017-01-29 12:41 - 00219032 _____ () c:\program files\żěńą\x86\kuaizipupdatechecker.dll
    2017-01-29 12:40 - 2017-01-29 12:40 - 00149504 _____ () c:\program files (x86)\sewasemhient\phhuwardactioncll.dll
    2017-01-29 12:40 - 2017-01-29 12:40 - 00259536 _____ () C:\Program Files (x86)\Youtube AdBlock\IEEF\iYyq2FBZ.dll
    2017-01-29 12:40 - 2017-01-29 12:40 - 00548864 _____ () C:\Program Files (x86)\Youtube AdBlock\IEEF\iWnCXgI.DLL
    () C:\Users\HP\AppData\Roaming\Browser-Security\s768.exe
    () C:\Users\HP\AppData\Local\Temp\00008548\msiql.exe
    (McAfee, Inc.) C:\Program Files\McAfee Security Scan\3.11.474\SSScheduler.exe
    () C:\Program Files (x86)\Youtube AdBlock\IEEF\dQvnGQ.exe
    HKLM\...\Run: [vnlgp] => C:\Users\HP\AppData\Roaming\vnlgp\vnlgp.exe [1546752 2016-12-16] () <===== UWAGA
    HKLM\...\Policies\Explorer: [EnableShellExecuteHooks] 1
    HKU\S-1-5-21-2665428758-2573167998-1261543455-1001\...\Policies\Explorer: []
    HKU\S-1-5-21-2665428758-2573167998-1261543455-1001\...\MountPoints2: {827e9181-8e0e-11e6-9e5e-ac2b6eca37a7} - "H:\WD SmartWare.exe" autoplay=true
    HKLM\...\Providers\2ivem3nh: C:\Program Files (x86)\Suvocult Update\local64spl.dll [289792 2017-01-29] ()
    ShellExecuteHooks: Brak nazwy - {78775F22-DE42-11E6-BCAB-64006A5CFC23} - C:\Program Files (x86)\Fermuge\Lerzay.dll [148480 2017-01-29] ()




    ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku
    ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} => C:\Program Files\żěŃą\X64\KZipShell.dll [2017-01-29] ()
    Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\McAfee Security Scan Plus.lnk [2017-01-05]
    ShortcutTarget: McAfee Security Scan Plus.lnk -> C:\Program Files\McAfee Security Scan\3.11.474\SSScheduler.exe (McAfee, Inc.)
    GroupPolicy: Ograniczenia - Windows Defender <======= UWAGA
    BHO: Youtube AdBlock -> {95E84BD3-3604-4AAC-B2CA-D9AC3E55B64B} -> C:\Program Files (x86)\Youtube AdBlock\IEEF\10M1wX.dll [2017-01-29] ()
    BHO-x32: Youtube AdBlock -> {95E84BD3-3604-4AAC-B2CA-D9AC3E55B64B} -> C:\Program Files (x86)\Youtube AdBlock\IEEF\iYyq2FBZ.dll [2017-01-29] ()
    FF user.js: detected! => C:\Users\HP\AppData\Roaming\Mozilla\Firefox\Profiles\hpszk8lf.default\user.js [2016-09-22]
    FF NewTab: Mozilla\Firefox\Profiles\hpszk8lf.default -> hxxp://www.youndoo.com/?z=6ccecf3e5aa93f01d6a...25050A7E630_RC250A1T02660T02660TX&type=hp
    FF DefaultSearchEngine: Mozilla\Firefox\Profiles\hpszk8lf.default -> youndoo
    FF SelectedSearchEngine: Mozilla\Firefox\Profiles\hpszk8lf.default -> youndoo
    FF Homepage: Mozilla\Firefox\Profiles\hpszk8lf.default -> hxxp://www.youndoo.com/?z=6ccecf3e5aa93f01d6a...25050A7E630_RC250A1T02660T02660TX&type=hp
    FF Extension: (Browser-Security) - C:\Users\HP\AppData\Roaming\Mozilla\Firefox\Profiles\hpszk8lf.default\Extensions\firefox@browser-security.de.xpi [2016-09-23]
    FF Extension: (Adblock Plus) - C:\Users\HP\AppData\Roaming\Mozilla\Firefox\Profiles\hpszk8lf.default\Extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi [2016-11-24]
    FF SearchPlugin: C:\Users\HP\AppData\Roaming\Mozilla\Firefox\Profiles\hpszk8lf.default\searchplugins\2ivem3nh.xml [2017-01-29]
    CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx
    R2 KuaizipUpdateChecker; C:\Program Files\żěŃą\X86\kuaizipUpdateChecker.dll [219032 2017-01-29] ()
    S3 McComponentHostService; C:\Program Files\McAfee Security Scan\3.11.474\McCHSvc.exe [329480 2016-12-14] (McAfee, Inc.)
    R2 Timcultgrrocult; C:\Program Files (x86)\Sewasemhient\phhuwardactioncll.dll [149504 2017-01-29] () [Brak podpisu cyfrowego]
    R2 KuaiZipDrive; C:\WINDOWS\system32\drivers\KuaiZipDrive.sys [92832 2017-01-29] (WinMount International Inc)
    S5 ucdrv; <===== UWAGA: Zablokowana usługa
    2017-01-29 13:32 - 2017-01-29 13:32 - 00000000 ____D C:\Users\HP\AppData\LocalLow\Youtube AdBlock
    2017-01-29 12:52 - 2017-01-29 12:52 - 00000266 __RSH C:\Users\HP\ntuser.pol
    2017-01-29 12:43 - 2017-01-29 12:43 - 00000000 ____D C:\Program Files\8QZ20V8VUT
    2017-01-29 12:41 - 2017-01-29 12:59 - 00000000 ____D C:\Program Files\żěŃą
    2017-01-29 12:41 - 2017-01-29 12:57 - 00000000 ____D C:\Program Files (x86)\UCBrowser
    2017-01-29 12:41 - 2017-01-29 12:41 - 00092832 _____ (WinMount International Inc) C:\WINDOWS\system32\Drivers\KuaiZipDrive.sys
    2017-01-29 12:41 - 2017-01-29 12:41 - 00001167 _____ C:\Users\HP\Desktop\AutoTime.lnk
    2017-01-29 12:41 - 2017-01-29 12:41 - 00000882 _____ C:\Users\HP\AppData\Roaming\Microsoft\Windows\Start Menu\żěŃą.lnk
    2017-01-29 12:41 - 2017-01-29 12:41 - 00000858 _____ C:\Users\HP\Desktop\żěŃą.lnk
    2017-01-29 12:41 - 2017-01-29 12:41 - 00000000 ____D C:\Users\HP\AppData\Roaming\Softlink
    2017-01-29 12:41 - 2017-01-29 12:41 - 00000000 ____D C:\Users\HP\AppData\Roaming\KuaiZip
    2017-01-29 12:41 - 2017-01-29 12:41 - 00000000 ____D C:\Users\HP\AppData\Local\UCBrowser
    2017-01-29 12:40 - 2017-01-29 12:52 - 00000000 ____D C:\Users\HP\AppData\Roaming\Zermasy
    2017-01-29 12:40 - 2017-01-29 12:52 - 00000000 ____D C:\Program Files (x86)\Fermuge
    2017-01-29 12:40 - 2017-01-29 12:45 - 00000000 ____D C:\Program Files (x86)\Suvocult Update
    2017-01-29 12:40 - 2017-01-29 12:45 - 00000000 ____D C:\Program Files (x86)\PublicHotspot
    2017-01-29 12:40 - 2017-01-29 12:45 - 00000000 ____D C:\Program Files (x86)\Mozilla Firefox
    2017-01-29 12:40 - 2017-01-29 12:44 - 00000000 ____D C:\ProgramData\ProductData
    2017-01-29 12:40 - 2017-01-29 12:41 - 00000000 ____D C:\Users\HP\AppData\LocalLow\IObit
    2017-01-29 12:40 - 2017-01-29 12:40 - 00027552 _____ (REALiX(tm)) C:\WINDOWS\SysWOW64\Drivers\HWiNFO64A.SYS
    2017-01-29 12:40 - 2017-01-29 12:40 - 00001034 _____ C:\Users\HP\Desktop\Play WarThunder.lnk
    2017-01-29 12:40 - 2017-01-29 12:40 - 00000000 ____D C:\WINDOWS\IObit
    2017-01-29 12:40 - 2017-01-29 12:40 - 00000000 ____D C:\Users\Public\Thunder Network
    2017-01-29 12:40 - 2017-01-29 12:40 - 00000000 ____D C:\Users\HP\AppData\Roaming\vnlgp
    2017-01-29 12:40 - 2017-01-29 12:40 - 00000000 ____D C:\Users\HP\AppData\Roaming\IObit
    2017-01-29 12:40 - 2017-01-29 12:40 - 00000000 ____D C:\Users\HP\AppData\Local\Hoflyvevigh
    2017-01-29 12:40 - 2017-01-29 12:40 - 00000000 ____D C:\Users\HP\AppData\Local\Ckebuther
    2017-01-29 12:40 - 2017-01-29 12:40 - 00000000 ____D C:\ProgramData\Thunder Network
    2017-01-29 12:40 - 2017-01-29 12:40 - 00000000 ____D C:\ProgramData\IObit
    2017-01-29 12:40 - 2017-01-29 12:40 - 00000000 ____D C:\ProgramData\Avira
    2017-01-29 12:40 - 2017-01-29 12:40 - 00000000 ____D C:\ProgramData\Avg
    2017-01-29 12:40 - 2017-01-29 12:40 - 00000000 ____D C:\Program Files\LYPFKPN4GK
    2017-01-29 12:40 - 2017-01-29 12:40 - 00000000 ____D C:\Program Files\D5MQ28N9IC
    2017-01-29 12:40 - 2017-01-29 12:40 - 00000000 ____D C:\Program Files (x86)\Youtube AdBlock
    2017-01-29 12:40 - 2017-01-29 12:40 - 00000000 ____D C:\Program Files (x86)\Sewasemhient
    2017-01-05 12:46 - 2016-12-15 12:22 - 00002009 _____ C:\Users\Public\Desktop\McAfee Security Scan Plus.lnk
    2017-01-05 12:46 - 2016-12-05 20:50 - 00000000 ____D C:\Program Files\McAfee Security Scan
    C:\Users\HP\AppData\Roaming\vnlgp\vnlgp.exe
    EmptyTemp:

    W FRST wybierz Napraw.

    Zrob pelny skan przy pomocy Mbam i usun to co wykryje:
    http://www.bleepingcomputer.com/download/malwarebytes-anti-malware/
    oraz http://ftp.drweb.com/pub/drweb/cureit/launch.exe

    Po wykonaniu zamiesc nowe logi z FRST, ze skanowania.

    0
  • Pomocny post
    #4 29 Sty 2017 15:33
    Kolobos
    Spec od komputerów

    Nowy Fixlist.txt dla FRST:
    R2 ibtsiva; %SystemRoot%\system32\ibtsiva [X]
    S1 HWiNFO32; \??\C:\WINDOWS\SysWoW64\drivers\HWiNFO64A.SYS [X]
    2017-01-29 14:59 - 2017-01-29 15:02 - 00000000 ____D C:\AdwCleaner
    C:\Users\Public\VOIP.dat

    Po wykonaniu usun katalog C:\FRST i to wszystko.

    0