qamil3
(Kamil Wodecki)
#1
Witam,
proszę o pomoc w oczyszczeniu laptopa z ADWARE.
System przeskanowany AdwCleaner’em, Malwarebytes, CCleaner’em.
Usunięte wszystkie miejsca przywracania systemu.
Odinstalowane wszelkie widoczne w “Programy i funkcje” dodatki.
Reset ustawień w Google Chrome.
A SavePass 2.2 jak się wyświetlał, tak nadal się wyświetla…
Linki do scan’ów
http://wklej.to/RusT5
http://wklej.to/ZJKKO
http://wklej.to/6oBJQ
Czekam niecierpliwie na ewentualną odpowiedź.
Dziękuję!
Acorus
(Acorus)
#2
Otwórz notatnik systemowy i wklej:
Task: {18AB90EC-BC3A-4907-8026-66A52EAF01C3} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-3021909274-175403271-38815368-1000Core = C:\Users\Asus\AppData\Local\Facebook\Update\FacebookUpdate.exe [2014-01-10] (Facebook Inc.)
Task: {EBE70FAF-C799-4983-BA46-0A955992640C} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-3021909274-175403271-38815368-1000UA = C:\Users\Asus\AppData\Local\Facebook\Update\FacebookUpdate.exe [2014-01-10] (Facebook Inc.)
Task: C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-3021909274-175403271-38815368-1000Core.job = C:\Users\Asus\AppData\Local\Facebook\Update\FacebookUpdate.exe
Task: C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-3021909274-175403271-38815368-1000UA.job = C:\Users\Asus\AppData\Local\Facebook\Update\FacebookUpdate.exe
GroupPolicy: Group Policy on Chrome detected ======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction ======= ATTENTION
SearchScopes: HKU\.DEFAULT - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-19 - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-20 - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
S3 morpsgaa; No ImagePath
2015-07-07 15:34 - 2015-07-07 16:27 - 00000000 ____ D C:\AdwCleaner
C:\Users\Asus\AppData\Local\Temp*.html
EmptyTemp:
Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.
Odinstaluj Chrome zaznaczając usunięcie danych przeglądania.
qamil3
(Kamil Wodecki)
#3
Nowe scan’y:
http://wklej.to/3UPAE
http://wklej.to/KEU5i
http://wklej.to/McbiQ
Reklam na razie nie widzę! Dziękuję.
Druga sprawa - jeśli można od razu w tym temacie.
Chodzi o dwa procesy - csrss.exe i winlogon.exe.
Jak każdego procesu mogę sprawdzić ścieżkę/lokalizację, tak do tych dwóch nie mogę się dostać.
Wiem, że robaki lubią się “zagnieżdżać” w csrss, zmieniając jego właściwości.
Na “pieszo”, znalazłem dwa takie pliki w C:/Windows/System32.
Jak mogę je sprawdzić, przeskanować czy nie są zainfekowane?
EDIT. dodam, że procesy te, jako jedyne, nie są wykonywane przez użytkownika oraz nie mają opisu.
Acorus
(Acorus)
#4
Jakby były zainfekowane to FRST by to wykazał.Otwórz notatnik systemowy i wklej:
DeleteQuarantine:
Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.
qamil3
(Kamil Wodecki)
#5
Okej, wszystko już wiem! Wielkie dzięki za pomoc.