logo elektroda
logo elektroda
X
logo elektroda
REKLAMA
REKLAMA
Adblock/uBlockOrigin/AdGuard mogą powodować znikanie niektórych postów z powodu nowej reguły.

Jak usunąć stronę startową http://fanli90.cn po infekcji wirusem?

niuniu7 30 Sty 2017 12:49 1029 9
REKLAMA
  • #1 16239399
    niuniu7
    Poziom 17  
    Posty: 344
    Pomógł: 16
    Ocena: 19
    Witam,mam problem z tą stroną http://fanli90.cn ,pojawia mi się jako startowa.
    Miałem wirusa pozbyłem się go a to pozostałości po nim.
    Próbowałem usunąć programami widocznymi na foto ,ale dalej została.
    Miał ktoś już z tym do czynienia i wie jak się tego pozbyć? Jak usunąć stronę startową http://fanli90.cn po infekcji wirusem?
  • REKLAMA
  • REKLAMA
  • #3 16239433
    Kolobos
    Spec od komputerów
    Posty: 85172
    Pomógł: 17169
    Ocena: 10450
    Zamiesc wymagane logi!
  • REKLAMA
  • #4 16240239
    niuniu7
    Poziom 17  
    Posty: 344
    Pomógł: 16
    Ocena: 19
    Proszę powiedz jaki log cię interesuje z jakiego programu i jak mam go inaczej wkleić?
  • #5 16240254
    Kolobos
    Spec od komputerów
    Posty: 85172
    Pomógł: 17169
    Ocena: 10450
    Nie postarales sie...

    Masz zamiescic frst.txt oraz addition.txt w ZALACZNIKU, a nie wklejac w tresci.
  • REKLAMA
  • #6 16242359
    niuniu7
    Poziom 17  
    Posty: 344
    Pomógł: 16
    Ocena: 19
    chyba o to chodziło
    Załączniki:
    • Addition.txt (30.36 KB) Musisz być zalogowany, aby pobrać ten załącznik.
    • FRST.txt (32.93 KB) Musisz być zalogowany, aby pobrać ten załącznik.
  • #7 16242383
    Kolobos
    Spec od komputerów
    Posty: 85172
    Pomógł: 17169
    Ocena: 10450
    Nie uzywaj wiecej combofix oraz innych programow, ktore zainstalowales.

    Odinstaluj:
    Wise Registry Cleaner
    GridinSoft Trojan Killer

    Obok frst.exe utworz plik Fixlist.txt z zawartoscia:
    CloseProcesses:
    WMI_ActiveScriptEventConsumer_ASEC: <===== UWAGA
    ShortcutWithArgument: C:\Users\xxx\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://fanli90.cn/
    ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://fanli90.cn/
    AlternateDataStreams: C:\Windows\system32\drivers:ucdrv-x64.sys [23652]
    AlternateDataStreams: C:\Windows\system32\drivers:x64 [1479458]
    AlternateDataStreams: C:\Windows\system32\drivers:x86 [1205026]
    ShellExecuteHooks: Brak nazwy - {7FBEA058-DE40-11E6-83E9-64006A5CFC23} - -> Brak pliku
    ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku
    BootExecute: autocheck autochk * sh4native Sh4Removal
    GroupPolicy: Ograniczenia - Windows Defender <======= UWAGA
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA
    HKU\S-1-5-21-1590101801-434818764-2386982800-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA
    SearchScopes: HKLM-x32 -> DefaultScope - brak wartości
    CHR HKU\S-1-5-21-1590101801-434818764-2386982800-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [hegneaniplmfjcmohoclabblbahcbjoe] - hxxp://clients2.google.com/service/update2/crx
    R1 HWiNFO32; C:\Windows\SysWOW64\drivers\HWiNFO64A.SYS [27552 2017-01-23] (REALiX(tm))
    S3 TrojanKillerDriver; C:\Windows\System32\DRIVERS\gtkdrv.sys [17568 2015-02-02] (Windows (R) Win 7 DDK provider)
    U0 aswVmm; Brak ImagePath
    U0 Partizan; system32\drivers\Partizan.sys [X]
    2017-01-28 14:19 - 2017-01-28 14:19 - 00000000 _____ C:\autoexec.bat
    2017-01-28 13:02 - 2017-01-28 13:15 - 00000000 ____D C:\ComboFix
    2017-01-28 01:43 - 2017-01-28 01:43 - 00000002 RSHOT C:\Windows\winstart.bat
    2017-01-28 01:43 - 2017-01-28 01:43 - 00000002 RSHOT C:\Windows\SysWOW64\CONFIG.NT
    2017-01-28 01:43 - 2017-01-28 01:43 - 00000002 RSHOT C:\Windows\SysWOW64\AUTOEXEC.NT
    2017-01-27 22:09 - 2017-01-27 21:59 - 00388608 _____ (Trend Micro Inc.) C:\Users\xxx\Desktop\HijackThis_2.0.4.exe
    2017-01-27 21:59 - 2017-01-27 21:59 - 00388608 _____ (Trend Micro Inc.) C:\Users\xxx\Downloads\HijackThis_2.0.4.exe
    2017-01-27 20:07 - 2017-01-27 20:07 - 00000000 ____D C:\Users\xxx\Downloads\Trojan Killer 2.2.6.3 PL wersja 32 i 64 bitowa [Full]
    2017-01-27 20:01 - 2017-01-27 20:02 - 68983708 _____ C:\Users\xxx\Downloads\Trojan Killer 2.2.6.3 PL wersja 32 i 64 bitowa [Full].7z
    2017-01-27 18:56 - 2017-01-28 13:02 - 00000000 ____D C:\Qoobox
    2017-01-27 18:56 - 2017-01-27 18:55 - 05659349 ____R (Swearware) C:\Users\xxx\Desktop\ComboFix.exe
    2017-01-27 18:56 - 2011-06-26 07:45 - 00256000 _____ C:\Windows\PEV.exe
    2017-01-27 18:56 - 2010-11-07 18:20 - 00208896 _____ C:\Windows\MBR.exe
    2017-01-27 18:56 - 2009-04-20 05:56 - 00060416 _____ (NirSoft) C:\Windows\NIRCMD.exe
    2017-01-27 18:56 - 2000-08-31 01:00 - 00518144 _____ (SteelWerX) C:\Windows\SWREG.exe
    2017-01-27 18:56 - 2000-08-31 01:00 - 00406528 _____ (SteelWerX) C:\Windows\SWSC.exe
    2017-01-27 18:56 - 2000-08-31 01:00 - 00098816 _____ C:\Windows\sed.exe
    2017-01-27 18:56 - 2000-08-31 01:00 - 00080412 _____ C:\Windows\grep.exe
    2017-01-27 18:56 - 2000-08-31 01:00 - 00068096 _____ C:\Windows\zip.exe
    2017-01-27 18:55 - 2017-01-27 18:55 - 05659349 _____ (Swearware) C:\Users\xxx\Downloads\ComboFix.exe
    2017-01-27 17:44 - 2017-01-30 12:27 - 00000000 ____D C:\AdwCleaner
    2017-01-27 17:30 - 2017-01-27 17:30 - 00000000 ____H C:\Windows\system32\BIT9C62.tmp
    2017-01-27 17:27 - 2017-01-27 17:27 - 00000000 ____D C:\Users\xxx\AppData\Local\Cuvaydrergiward
    2017-01-27 17:25 - 2017-01-27 19:43 - 00000000 ____D C:\Program Files (x86)\de4e2b90-78a4-479d-9af3-a5e2977d54d11485534354
    2017-01-27 17:24 - 2017-01-28 17:43 - 00000000 ____D C:\ProgramData\AVAST Software
    2017-01-27 17:24 - 2017-01-27 19:44 - 00000000 ____D C:\Users\xxx\AppData\Roaming\Kowelystzother
    2017-01-27 17:24 - 2017-01-27 17:24 - 00000000 ____D C:\Users\xxx\AppData\Local\Sametheranerrerck
    2017-01-27 17:24 - 2017-01-27 17:24 - 00000000 ____D C:\ProgramData\Avira
    2017-01-27 17:24 - 2017-01-27 17:24 - 00000000 ____D C:\ProgramData\Avg
    EmptyTemp:

    Uruchom system w trybie awaryjnym i w FRST wybierz Napraw.

    Po wykonaniu zamiesc nowe logi z FRST, ze skanowania.
  • #8 16242651
    niuniu7
    Poziom 17  
    Posty: 344
    Pomógł: 16
    Ocena: 19
    Wynik końcowy
    Załączniki:
    • Fixlog.txt (9.01 KB) Musisz być zalogowany, aby pobrać ten załącznik.
  • Pomocny post
    #9 16242660
    Kolobos
    Spec od komputerów
    Posty: 85172
    Pomógł: 17169
    Ocena: 10450
    Czytaj ze zrozumieniem:
    > Po wykonaniu zamiesc nowe logi z FRST, ze skanowania.
  • #10 16242698
    niuniu7
    Poziom 17  
    Posty: 344
    Pomógł: 16
    Ocena: 19
    Chyba jest dobrze ,zanim napisałem post kasowałem ręcznie niektóre pliki z pomocą unlokera z różnych folderów w których były te infekcje.Jednak ta ostatnia doprowadziła mnie do szału nie mogłem się jej pozbyć .Dzięki za pomoc Kolobos.
    Załączniki:
    • Jak usunąć stronę startową http://fanli90.cn po infekcji wirusem? Bez tytułu.jpg (96.75 KB) Musisz być zalogowany, aby pobrać ten załącznik.
    • Addition.txt (32.49 KB) Musisz być zalogowany, aby pobrać ten załącznik.
    • FRST.txt (29.67 KB) Musisz być zalogowany, aby pobrać ten załącznik.

Podsumowanie tematu

✨ Użytkownik zgłasza problem z niechcianą stroną startową http://fanli90.cn, która pozostała po infekcji wirusem. Po usunięciu wirusa, strona nadal się pojawia. Użytkownik próbował różnych programów do usunięcia, ale bezskutecznie. W odpowiedziach zasugerowano zamieszczenie logów z programów FRST (Farbar Recovery Scan Tool) oraz odinstalowanie niektórych aplikacji, takich jak Wise Registry Cleaner i GridinSoft Trojan Killer. Użytkownik został również poinstruowany, jak stworzyć plik Fixlist.txt, aby usunąć pozostałości infekcji. Po ręcznym usunięciu niektórych plików, użytkownik zauważył poprawę, ale nadal miał trudności z ostatnią infekcją.
Podsumowanie AI na podstawie dyskusji. Może zawierać błędy.
REKLAMA