Witam,
proszę o pomoc w oczyszczeniu laptopa z ADWARE.
System przeskanowany AdwCleaner’em, Malwarebytes, CCleaner’em.
Usunięte wszystkie miejsca przywracania systemu.
Odinstalowane wszelkie widoczne w “Programy i funkcje” dodatki.
Reset ustawień w Google Chrome.
A SavePass 2.2 jak się wyświetlał, tak nadal się wyświetla…
Linki do scan’ów
Czekam niecierpliwie na ewentualną odpowiedź.
Dziękuję!
Otwórz notatnik systemowy i wklej:
Task: {18AB90EC-BC3A-4907-8026-66A52EAF01C3} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-3021909274-175403271-38815368-1000Core = C:\Users\Asus\AppData\Local\Facebook\Update\FacebookUpdate.exe [2014-01-10] (Facebook Inc.)
Task: {EBE70FAF-C799-4983-BA46-0A955992640C} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-3021909274-175403271-38815368-1000UA = C:\Users\Asus\AppData\Local\Facebook\Update\FacebookUpdate.exe [2014-01-10] (Facebook Inc.)
Task: C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-3021909274-175403271-38815368-1000Core.job = C:\Users\Asus\AppData\Local\Facebook\Update\FacebookUpdate.exe
Task: C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-3021909274-175403271-38815368-1000UA.job = C:\Users\Asus\AppData\Local\Facebook\Update\FacebookUpdate.exe
GroupPolicy: Group Policy on Chrome detected ======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction ======= ATTENTION
SearchScopes: HKU\.DEFAULT - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-19 - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-20 - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
S3 morpsgaa; No ImagePath
2015-07-07 15:34 - 2015-07-07 16:27 - 00000000 ____ D C:\AdwCleaner
C:\Users\Asus\AppData\Local\Temp*.html
EmptyTemp:
Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.
Odinstaluj Chrome zaznaczając usunięcie danych przeglądania.
Nowe scan’y:
Reklam na razie nie widzę! Dziękuję.
Druga sprawa - jeśli można od razu w tym temacie.
Chodzi o dwa procesy - csrss.exe i winlogon.exe.
Jak każdego procesu mogę sprawdzić ścieżkę/lokalizację, tak do tych dwóch nie mogę się dostać.
Wiem, że robaki lubią się “zagnieżdżać” w csrss, zmieniając jego właściwości.
Na “pieszo”, znalazłem dwa takie pliki w C:/Windows/System32.
Jak mogę je sprawdzić, przeskanować czy nie są zainfekowane?
EDIT. dodam, że procesy te, jako jedyne, nie są wykonywane przez użytkownika oraz nie mają opisu.
Jakby były zainfekowane to FRST by to wykazał.Otwórz notatnik systemowy i wklej:
DeleteQuarantine:
Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.
Okej, wszystko już wiem! Wielkie dzięki za pomoc.