Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyj±tek www.elektroda.pl do Adblock.
Dzięki temu, że ogl±dasz reklamy, wspierasz portal i użytkowników.

pozbycie się wirusa "żěѱ" -

Kajoj919 25 Lut 2017 18:28 876 17
  • #3 26 Lut 2017 01:17
    Kajoj919
    Poziom 4  

    Skan ADWcleaner zakończony, tylko mam pytanie. Odznaczać co¶ z listy jaka się utworzyła? Usługi, foldery, rejestr itd.

    961 zagrożeń wykrytych przez MBAM już usun±łem. Co do listy z ADWcleaner dalej nie wiem co zrobić, nie chcę niczego bardziej popsuć.

    0
  • #4 26 Lut 2017 06:02
    krzychupar
    Poziom 40  

    Wyczy¶ć (Clean ) wszystko co wykrył adwcleaner i wykonaj :
    Otwórz notatnik systemowy i wklej:

    Task: {1840DAB2-3928-48DE-9A66-9C76448CE51D} - System32\Tasks\Opera scheduled Autoupdate 1466367950 => D:\gówno z opery\launcher.exe [2017-02-20] (Opera Software)
    Task: {460629EE-E047-4DEF-962F-EB73B450A94A} - System32\Tasks\RunAtStartup => C:\Users\Zahoo\AppData\Roaming\Event Monitor\em.exe <==== UWAGA
    Task: {6519C02C-BFCF-46B3-B6F8-D5452A4DDA9B} - System32\Tasks\SMW_UpdateTask_Time_313532353033313535392d345b413455412a45235a6c6c => Wscript.exe //B "C:\ProgramData\SearchModule\smhe.js" smu.exe /invoke /f:check_services /l:0 <==== UWAGA
    Task: {855A7B9E-AFF6-4E90-B1D8-0DFBBDD61104} - System32\Tasks\KuaiZip_Update => C:\Program Files\88D7~1\X86\Update.exe <==== UWAGA
    Task: {C1CBCB48-5125-4A11-8D9E-D67F97061A63} - System32\Tasks\Fuduwardstalaward => "msiexec" /i hxxp://d2buh1bf1g584w.cloudfront.net/msi/rel....SUNGXHD080HJ_S0ZCJDSP407527&amp;v=2017225 /q <==== UWAGA
    Shortcut: C:\Users\Zahoo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnet Exрlorer.lnk -> C:\Users\Zahoo\AppData\Roaming\Browsers\exe.erolpxei.bat ()
    Shortcut: C:\Users\Zahoo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnеt Exрlorer (Nо Add-ons).lnk -> C:\Users\Zahoo\AppData\Roaming\Browsers\exe.erolpxei.bat ()
    Shortcut: C:\Users\Zahoo\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Gоogle Chrоme.lnk -> C:\Users\Zahoo\AppData\Roaming\Browsers\exe.emorhc.bat ()
    Shortcut: C:\Users\Zahoo\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Lаunch Internet Eхрlоrer Вrоwsеr.lnk -> C:\Users\Zahoo\AppData\Roaming\Browsers\exe.erolpxei.bat ()
    Shortcut: C:\Users\Zahoo\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Ореrа (2).lnk -> C:\Users\Zahoo\AppData\Roaming\Browsers\exe.rehcnual.bat ()
    Shortcut: C:\Users\Zahoo\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Ореrа.lnk -> C:\Users\Zahoo\AppData\Roaming\Browsers\exe.rehcnual.bat ()
    Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gооgle Сhromе.lnk -> C:\Users\Zahoo\AppData\Roaming\Browsers\exe.emorhc.bat ()
    Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Оpera.lnk -> C:\Users\Zahoo\AppData\Roaming\Browsers\exe.rehcnual.bat ()
    Shortcut: C:\Users\Public\Desktop\Орerа.lnk -> C:\Users\Zahoo\AppData\Roaming\Browsers\exe.rehcnual.bat ()
    ShortcutWithArgument: C:\Users\Zahoo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://qtipr.com/




    ShortcutWithArgument: C:\Users\Zahoo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www%2dsearching.com/?prd=set_epf&s...cnbl1au,e53fc766-09a0-4064-8f1b-6cf1dbc9e75e,,
    ShortcutWithArgument: C:\Users\Zahoo\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Zahoo\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/
    ShortcutWithArgument: C:\Users\Zahoo\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet-Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://qtipr.com/
    ShortcutWithArgument: C:\Users\Zahoo\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\360c22b137d62ce9\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www%2dsearching.com/?prd=set_epf&s...cnbl1au,e53fc766-09a0-4064-8f1b-6cf1dbc9e75e,,
    ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Zahoo\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/
    Hosts:
    HKU\S-1-5-21-2894850176-4034129973-1690062403-1000\...\Run: [-1AJsl4AqX.exe] => C:\Users\Zahoo\AppData\Local\Temp\{dfd-68-5f-804b3-b5897-b62e-31d5f}\-1AJsl4AqX.exe [406016 2017-02-25] (Applicaforyou) <===== UWAGA
    HKU\S-1-5-21-2894850176-4034129973-1690062403-1000\...\Run: [5caa9982-cf54-447d-a718-3dc95a47f35b] => "C:\Program Files\29CC9314IY\29CC9314I.exe"
    HKU\S-1-5-21-2894850176-4034129973-1690062403-1000\...\Run: [3bb39a79-5f78-4e32-a058-f4f269177096] => "C:\Program Files\PubHotspot\YUQQZ.exe"
    HKU\S-1-5-21-2894850176-4034129973-1690062403-1000\...\Run: [a55ed0bd-3da4-4146-a6d6-2448ca017e6e] => "C:\Program Files\M1UWPA743H\K006XJ1TK.exe"
    HKU\S-1-5-21-2894850176-4034129973-1690062403-1000\...\Run: [backwindow132] => C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-196818750\backwindow132.exe
    HKU\S-1-5-21-2894850176-4034129973-1690062403-1000\...\Policies\Explorer\Run: [dlr] => C:\Users\Zahoo\AppData\Roaming\Microsoft\rjcwcidv\tajdresd.exe [148275 2015-01-12] ()
    HKU\S-1-5-21-2894850176-4034129973-1690062403-1000\...\Policies\Explorer\Run: [Opera Software] => C:\Users\Zahoo\AppData\Roaming\Microsoft\ijiuafie\tajdresd.exe
    HKU\S-1-5-21-2894850176-4034129973-1690062403-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www-searching.com/?pid=s&s=H2Pzbcn...4-8f1b-6cf1dbc9e75e,&vp=ch&prd=set_ie
    SearchScopes: HKU\S-1-5-21-2894850176-4034129973-1690062403-1000 -> {DC6AF919-C89D-4C07-B513-1060114D85B6} URL = hxxp://www-searching.com/s.ashx?prd=opensearch&q={searchTerms}&s=H2Pzbcnbl1AU,e53fc766-09a0-4064-8f1b-6cf1dbc9e75e,
    FF ProfilePath: C:\Users\Zahoo\AppData\Roaming\Mozilla\Firefox\naweriweentcofise\Profiles\3r28br6u.default-1477685928451\Profiles\3r28br6u.default-1477685928451 [nie znaleziono]
    FF NewTab: Mozilla\Firefox\Profiles\3r28br6u.default-1477685928451 -> hxxp://www.youndoo.com/?z=8a32f9d6452c499cde7...id=SAMSUNGXHD080HJ_S0ZCJDSP407527&type=hp
    FF DefaultSearchEngine: Mozilla\Firefox\Profiles\3r28br6u.default-1477685928451 -> youndoo
    FF SelectedSearchEngine: Mozilla\Firefox\Profiles\3r28br6u.default-1477685928451 -> youndoo
    FF Homepage: Mozilla\Firefox\Profiles\3r28br6u.default-1477685928451 -> hxxp://www.youndoo.com/?z=8a32f9d6452c499cde7...id=SAMSUNGXHD080HJ_S0ZCJDSP407527&type=hp
    CHR HomePage: ChromeDefaultData -> hxxp://www-searching.com/?pid=s&s=H2Pzbcnbl1AU,e53fc766-09a0-4064-8f1b-6cf1dbc9e75e,,
    CHR StartupUrls: ChromeDefaultData -> "hxxp://www-searching.com/?pid=s&s=H2Pzbcnbl1AU,e53fc766-09a0-4064-8f1b-6cf1dbc9e75e,"
    CHR DefaultSearchURL: ChromeDefaultData -> hxxp://www-searching.com/search.aspx?site=shdefault1&prd=smw&pid=s&shr=d&q={searchTerms}&s=H2Pzbcnbl1AU,e53fc766-09a0-4064-8f1b-6cf1dbc9e75e,
    CHR DefaultSearchKeyword: ChromeDefaultData -> www-searching.com
    CHR DefaultSuggestURL: ChromeDefaultData -> hxxp://api.searchpredict.com/api/?rqtype=ffplugin&siteID=8661&dbCode=1&command={searchTerms}
    CHR Profile: C:\Users\Zahoo\AppData\Local\Google\Chrome\User Data\ChromeDefaultData [2017-02-25] <==== UWAGA
    S2 GoogleChromeUpService; C:\ProgramData\service.exe /s GoogleChromeUpService /uid:51495 /local:br [X] <==== UWAGA
    2017-02-25 17:17 - 2017-02-25 17:17 - 55566792 _____ (Malwarebytes ) C:\Users\Zahoo\Desktop\mb3-setup-1878.1878-3.0.6.1469.exe
    2017-02-25 15:57 - 2017-02-25 15:57 - 00000000 ____D C:\Users\Zahoo\AppData\Roaming\AVAST Software
    2017-02-25 15:57 - 2017-02-25 15:57 - 00000000 ____D C:\ProgramData\SWCUTemp
    2017-02-25 15:49 - 2017-02-25 15:49 - 06654960 _____ (AVAST Software) C:\Users\Zahoo\Desktop\avast_free_antivirus_setup_online.exe
    2017-02-25 14:04 - 2017-02-25 14:10 - 00000000 ____D C:\Program Files\UCBrowser
    2017-02-25 14:01 - 2017-02-25 16:26 - 00000000 ____D C:\Users\Zahoo\AppData\Roaming\KuaiZip
    2017-02-25 14:01 - 2017-02-25 14:26 - 00000000 ____D C:\Program Files\M1UWPA743H
    2017-02-25 14:01 - 2017-02-25 14:06 - 00000000 ____D C:\Users\Zahoo\AppData\Local\Jularystowch
    2017-02-25 14:01 - 2017-02-25 14:02 - 00000000 ____D C:\Users\Zahoo\AppData\Roaming\UCChannel
    2017-02-25 14:01 - 2017-02-25 14:01 - 00068128 _____ (WinMount International Inc) C:\Windows\system32\Drivers\KuaiZipDrive.sys
    2017-02-25 14:01 - 2017-02-25 14:01 - 00000998 _____ C:\Users\Zahoo\AppData\Roaming\Microsoft\Windows\Start Menu\żěѱ.lnk
    2017-02-25 14:01 - 2017-02-25 14:01 - 00000974 _____ C:\Users\Zahoo\Desktop\żěѱ.lnk
    2017-02-25 14:01 - 2017-02-25 14:01 - 00000000 __SHD C:\Users\Zahoo\AppData\Local\svchost
    2017-02-25 14:01 - 2017-02-25 14:01 - 00000000 ____D C:\Users\Zahoo\AppData\Roaming\Softlink
    2017-02-25 14:01 - 2017-02-25 14:01 - 00000000 ____D C:\Program Files\żěѱ
    2017-02-25 14:01 - 2017-02-25 14:01 - 00000000 ____D C:\Program Files\Grurecult
    2017-02-25 13:59 - 2017-02-25 13:59 - 00000000 ____D C:\Users\Zahoo\AppData\Roaming\win-svc
    2017-02-25 13:59 - 2017-02-25 13:59 - 00000000 ____D C:\Users\Zahoo\AppData\Roaming\SPI
    2017-02-25 13:59 - 2017-02-25 13:59 - 00000000 ____D C:\Users\Zahoo\AppData\Roaming\Browsers
    2017-02-25 16:15 - 2016-04-29 17:21 - 00000000 ____D C:\Users\Zahoo
    2016-08-12 21:17 - 2016-08-12 21:17 - 0001590 _____ () C:\Users\Zahoo\AppData\Local\recently-used.xbel
    2016-05-21 14:27 - 2016-05-21 14:40 - 0007664 _____ () C:\Users\Zahoo\AppData\Local\Resmon.ResmonCfg
    C:\Users\Zahoo\AppData\Local\Temp\{dfd-68-5f-804b3-b5897-b62e-31d5f}\-1AJsl4AqX.exe
    EmptyTemp:

    Plik zapisz pod nazw± fixlist.txt i umie¶ć obok FRST w tym samym folderze.
    Uruchom FRST i kliknij w Fix/Napraw.
    Po wykonaniu zamie¶ć nowe logi z FRST.

    0
  • #5 26 Lut 2017 06:46
    Kajoj919
    Poziom 4  

    Plik mam zapisać dokładnie w dysku C -> FRST?
    Spróbowałem tam i przy zapisywaniu wyskoczył mi komunikat (widoczny na screenie):
    pozbycie się wirusa "żěѱ" -

    Poprawiłem sposób zamieszczenia grafiki. RADU23

    0
  • #6 26 Lut 2017 07:34
    krzychupar
    Poziom 40  

    Przy zapisywaniu zmień kodowanie z ANSI na Unicode.

    0
  • #8 26 Lut 2017 08:44
    krzychupar
    Poziom 40  

    Masz zamie¶cić nowe logi ze skanowania FRST.

    0
  • #10 26 Lut 2017 08:58
    krzychupar
    Poziom 40  

    Ja napisałem zamie¶ć nowy log czy nowe logi ?.

    0
  • #11 26 Lut 2017 09:06
    Kajoj919
    Poziom 4  

    O jakie dokładnie chodzi? Wybacz, małe obeznanie w temacie z mojej strony + brak snu.

    0
  • Pomocny post
    #12 26 Lut 2017 09:10
    krzychupar
    Poziom 40  

    Uruchom FRST wł±cz skanowanie i zamie¶ć wygenerowane logi. Tak± krótk± pamięć masz, że nie możesz powtórzyć operacji któr± już robiłe¶.

    0
  • Pomocny post
    #13 26 Lut 2017 09:20
    Kolobos
    Spec od komputerów

    Jeszcze nowy addition.txt, ale zamiesc go juz po wykonaniu tego co podalem.

    Odinstaluj
    Google Toolbar for Internet Explorer

    Wykonaj nowy Fixlist.txt dla FRST:
    Task: {0AB8E182-F591-4F14-A9EC-A6AD184CDA41} - System32\Tasks\Opera scheduled Autoupdate 1463196989 => D:\launcher.exe
    Task: {BF3628F6-1369-4BAF-BE13-DBD508A7FE3B} - System32\Tasks\cFos\Registration Tasks\Open Browser => Chrome.exe "hxxp://localhost:1487/cfosspeed/console.htm"
    Task: {EFF1F2E0-B114-433D-85DA-1D9E376F88D3} - System32\Tasks\Vuriiedphifesp Helper => C:\Program Files\Grurecult\gherjetain.exe
    AlternateDataStreams: C:\Users\Zahoo\Local Settings:init [1492097]
    HKLM\...\Providers\weiblwbm: C:\Program Files\Vuriiedphifesp Helper\local32spl.dll
    CHR DefaultProfile: ChromeDefaultData
    CHR HKLM\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] - hxxps://clients2.google.com/service/update2/crx
    2017-02-26 08:30 - 2017-02-26 08:30 - 00000000 ____D C:\ProgramData\SWCUTemp
    2017-02-25 17:55 - 2017-02-26 06:29 - 00000000 ____D C:\AdwCleaner
    2017-02-25 14:05 - 2017-02-25 14:05 - 00000000 ____D C:\Users\Zahoo\AppData\Roaming\Tarleckotoly
    2017-02-25 14:05 - 2017-02-25 14:05 - 00000000 ____D C:\Users\Zahoo\AppData\Local\Chromium
    2017-02-25 14:05 - 2017-02-25 14:05 - 00000000 ____D C:\Users\Zahoo\AppData\Local\CEF
    2017-02-25 14:00 - 2017-02-26 02:32 - 00000000 ____D C:\Program Files\PubHotspot
    2017-02-25 14:00 - 2017-02-26 02:32 - 00000000 ____D C:\Program Files\29CC9314IY

    0
  • Pomocny post
    #15 26 Lut 2017 09:31
    Kolobos
    Spec od komputerów

    @Kajoj919 wykonaj to co podalem. Po wykonaniu usun katalog C:\FRST i to wszystko.

    0
  • Pomocny post
    #17 26 Lut 2017 09:47
    Kolobos
    Spec od komputerów

    Zbedne. Tak jak podalem wczesniej -> Po wykonaniu usun katalog C:\FRST i to wszystko.

    0
  • #18 26 Lut 2017 09:56
    Kajoj919
    Poziom 4  

    Zrobione. Bardzo dziękuję panom za pomoc! Temat zamykam, życzę miłego dnia i dobrej nocy, już tak wyjdę w przyszło¶ć. ;d

    0