Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Pozostałości po wirusie Kometa

MrBanana 15 Wrz 2017 15:04 687 9
  • #1 15 Wrz 2017 15:04
    MrBanana
    Poziom 3  

    Witam,
    Dziś miałem do czynienia z wirusem 'mail.ru' (Kometa). Udało mi się go usunąć przy pomocy 'Zemana AntiMalware'. Jednakże pozostał jego ślad w 'Odinstaluj lub zmień program' Pozostałości po wirusie Kometa . Kiedy chce to odinstalować to wyskakuje takie coś Pozostałości po wirusie Kometa . Próbowałem też ręcznie wyszukać tych pozostałości. Znalazłem je i usunąłem przy pomocy 'Zemana AntiMalware'. Jednakże wirus bądź jego skrót (pozostałość) nadal pozostał w 'Odinstaluj lub zmień program'.
    Teraz moje pytanie, czy jest to nadal zagrożenie dla mojego komputera? A jeśli tak to jak się tego pozbyć? Powiem szczerze że mało znam się na komputerach więc proszę o wyrozumiałość.
    Pozdrawiam.

    0 9
  • Pomocny post
    #4 15 Wrz 2017 15:53
    krzychupar
    Poziom 40  

    Otwórz notatnik systemowy i wklej:

    Task: {F2E7E7AE-EA65-4C5A-80B9-FAFB0743634F} - \MailRuUpdater -> Brak pliku <==== UWAGA
    GroupPolicy: Ograniczenia <==== UWAGA
    GroupPolicy\User: Ograniczenia <==== UWAGA
    SearchScopes: HKLM -> DefaultScope - brak wartości
    SearchScopes: HKU\S-1-5-21-2835868538-2060088916-642261255-1001 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL =
    BHO-x32: Search(malpa)Mail.Ru -> {8E8F97CD-60B5-456F-A201-73065652D099} -> C:\Users\Admin\AppData\Local\Mail.Ru\Sputnik\ie_addon_dll.dll => Brak pliku
    FF DefaultSearchEngine: Mozilla\Firefox\Profiles\t2mcd8ip.default -> Поиск@Mail.Ru
    FF SelectedSearchEngine: Mozilla\Firefox\Profiles\t2mcd8ip.default -> Поиск@Mail.Ru
    FF Homepage: Mozilla\Firefox\Profiles\t2mcd8ip.default -> about:home
    FF Keyword.URL: Mozilla\Firefox\Profiles\t2mcd8ip.default -> hxxp://go.mail.ru/distib/ep/?fr=ntg&produ...-E5CB-47E8-AE68-68A1AF4A1E03%7D&gp=811010
    CHR HKLM-x32\...\Chrome\Extension: [bhjhnafpiilpffhglajcaepjbnbjemci] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [epgjfmblhacacphaljkdcjllkomdcjpc] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [hcadgijmedbfgciegjomfpjcdchlhnif] - hxxps://clients2.google.com/service/update2/crx
    S3 cleanhlp; \??\C:\Program Files (x86)\Emsisoft Anti-Malware\cleanhlp64.sys [X]
    EmptyTemp:

    Plik zapisz pod nazwą fixlist.txt i umieść w folderze obok FRST.exe.
    Uruchom FRST i kliknij w Fix/Napraw.

    0
  • #5 15 Wrz 2017 16:10
    MrBanana
    Poziom 3  

    Zrobiłem tak jak napisałeś, niestety w 'Odinstaluj lub zmień program' nadal widnieją te wirusy. Załączam 'Fixlog'

    0
  • #6 15 Wrz 2017 17:16
    Kolobos
    Spec od komputerów

    Zamiesc nowe logi z FRST, ze skanowania.

    0
  • Pomocny post
    #8 15 Wrz 2017 18:02
    Kolobos
    Spec od komputerów

    Odinstaluj:
    Kometa
    Боковая панель - Комета
    Кнопка Пуск — Комета

    Jezeli bedzie problem z deinstalacja (to juz tylko puste wpisy) to usun je przy pomocy regedit z klucza uninstall. Wczesniej zrob kopie rejestru.

    Wykonaj Fixlist.txt dla FRST:
    CustomCLSID: HKU\S-1-5-21-2835868538-2060088916-642261255-1001_Classes\CLSID\{1BF42E4C-4AF4-4CFD-A1A0-CF2960B8F63E}\InprocServer32 -> C:\Users\Admin\AppData\Local\Microsoft\OneDrive\17.3.6943.0625\amd64\FileSyncShell64.dll => Brak pliku
    CustomCLSID: HKU\S-1-5-21-2835868538-2060088916-642261255-1001_Classes\CLSID\{7AFDFDDB-F914-11E4-8377-6C3BE50D980C}\InprocServer32 -> C:\Users\Admin\AppData\Local\Microsoft\OneDrive\17.3.6943.0625\amd64\FileSyncShell64.dll => Brak pliku
    CustomCLSID: HKU\S-1-5-21-2835868538-2060088916-642261255-1001_Classes\CLSID\{82CA8DE3-01AD-4CEA-9D75-BE4C51810A9E}\InprocServer32 -> C:\Users\Admin\AppData\Local\Microsoft\OneDrive\17.3.6943.0625\amd64\FileSyncShell64.dll => Brak pliku
    Task: {513E6E35-A5D5-4FC5-B146-2210FFBF7DD8} - System32\Tasks\SlimCleaner Plus (Scheduled Scan - Admin) => C:\Program Files\SlimCleaner Plus\SlimCleanerPlus.exe
    Task: {59FAA987-C8CE-408D-9CF2-A71022666ADF} - System32\Tasks\klcp_update => C:\Program Files (x86)\K-Lite Codec Pack\Tools\CodecTweakTool.exe [2017-07-20] ()
    Task: C:\WINDOWS\Tasks\CreateExplorerShellUnelevatedTask.job => C:\WINDOWS\explorer.exe
    Task: C:\WINDOWS\Tasks\SlimCleaner Plus (Scheduled Scan - Admin).job => C:\Program Files\SlimCleaner Plus\SlimCleanerPlus.exe
    HKLM\...\Winlogon: [Userinit] C:\Users\Admin\AppData\Local\Kometa\StartButton\kometastartvx64.exe,C:\Windows\system32\userinit.exe,
    CHR HomePage: Default -> hxxp:\/\/www.symbaloo.com\/
    CHR NewTab: Default -> Active:"chrome-extension:\/\/epgjfmblhacacphaljkdcjllkomdcjpc\/visual-bookmarks.html"
    S3 cleanhlp; \??\C:\Program Files (x86)\Emsisoft Anti-Malware\cleanhlp64.sys [X]

    0
  • #9 15 Wrz 2017 18:49
    MrBanana
    Poziom 3  

    W załączniku zamieszczam fixlog. Co do regedit, podziałało, wykasowałem pliki które znalazłem i 'kometa' znikła. Dziękuje wam za pomoc :)

    0
  • #10 15 Wrz 2017 18:58
    Kolobos
    Spec od komputerów

    Usun katalog C:\FRST i to wszystko.

    0