HackTool:Win32/Keygen jak usunąć?


(Agata Daszkiewicz) #1

Próbowałam już wielu rzeczy, ale nic nie działa, proszę bardzo o pomoc i informację jak pozbyć się tego na zawsze.


(Dimatheus) #2

Hej,

Wykonaj logi programem Farbar Recovery Scan Tool - informacje o tym, jak dokładnie ustawić program i gdzie zamieścić logi znajdziesz w temacie: http://forum.dobreprogramy.pl/farbar-recovery-scan-tool-raport-obowi%C4%85zkowy-t478727/.

Pozdrawiam,

Dimatheus


(Agata Daszkiewicz) #3

http://www.wklej.org/id/1765529/ 

http://www.wklej.org/id/1765530/

http://www.wklej.org/id/1765532/


(Atis) #4

Gdzie wykrywa tego wirusa?

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

Winlogon\Notify\ScCertProp: wlnotify.dll [X]
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
FF Extension: Default NewTab - C:\Users\aggata\AppData\Roaming\Mozilla\Firefox\Profiles\adym79bq.default-1429888477941\Extensions\default_newtabff@gmail.com [2015-07-17]
CHR Extension: (Chrome Web Store Payments) - C:\Users\aggata\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2014-12-19]
CHR HKU\S-1-5-21-4072986896-1562098523-856022949-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [lmjegmlicamnimmfhcmpkclmigmmcbeh] - https://clients2.google.com/service/update2/crx
S0 kmoiozv; C:\Windows\SysWOW64\drivers\oztbpyez.sys [61440 2015-07-27] () [File not signed]
S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X]
2015-07-29 01:12 - 2015-07-29 01:12 - 00000000 ____ D C:\Users\aggata\AppData\Local\CEF
2015-07-27 13:49 - 2015-07-27 13:49 - 00061440 _____ C:\Windows\SysWOW64\Drivers\oztbpyez.sys
2015-07-27 13:49 - 2015-07-27 13:49 - 00000366 _____ C:\Windows\vsjjdcwh.txt
2015-07-05 20:21 - 2015-07-05 20:21 - 02244096 _____ C:\Users\aggata\Downloads\AdwCleaner_www.INSTALKI.pl.exe
2015-07-05 19:07 - 2015-07-05 19:07 - 03237248 _____ (Enigma Software Group USA, LLC.) C:\Users\aggata\Downloads\SpyHunter-Installer.exe
Task: {32E757C7-DA73-43B5-A4E5-E0FBB157D96E} - System32\Tasks\{3C74B748-10C5-41C0-A77F-CD5150390175} => pcalua.exe -a "C:\Program Files (x86)\Picexa\uninstall.exe"
Task: {5A9E833C-819D-42C5-975F-EB373F480975} - System32\Tasks\{EE5F7701-3401-4AAA-B9D5-DEB099B26D69} => pcalua.exe -a D:\autorun.exe -d D:\
Task: {724F5952-C977-4837-9C77-B196D445D8E9} - System32\Tasks\{CD6A4A98-5179-43D8-91B0-6FB977AD2CE2} => pcalua.exe -a E:\Setup.exe -d E:\
Task: {C89D2756-7DBC-408F-A3EE-A187A7280C2A} - System32\Tasks\{B6F05868-6BC9-4CA6-B5FF-A513877BD321} => pcalua.exe -a "C:\Program Files (x86)\EA GAMES\The Sims 2\EAUninstall.exe"
EmptyTemp:

Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.

Kliknij Scan i pokaż nowy raport z FRST bez Addition i Shortcut.


(Acorus) #5

Otwórz notatnik systemowy i wklej:

CloseProcesses:
Task: {32E757C7-DA73-43B5-A4E5-E0FBB157D96E} - System32\Tasks\{3C74B748-10C5-41C0-A77F-CD5150390175} => pcalua.exe -a "C:\Program Files (x86)\Picexa\uninstall.exe"
Winlogon\Notify\ScCertProp: wlnotify.dll [X]
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKU\S-1-5-21-4072986896-1562098523-856022949-1000\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = http://www.msn.com/pl-pl/?ocid=iehp
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
FF SelectedSearchEngine: delta-homes
CHR HKU\S-1-5-21-4072986896-1562098523-856022949-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [lmjegmlicamnimmfhcmpkclmigmmcbeh] - https://clients2.google.com/service/update2/crx
S0 kmoiozv; C:\Windows\SysWOW64\drivers\oztbpyez.sys [61440 2015-07-27] () [File not signed]
S3 EagleX64; \\C:\Windows\system32\drivers\EagleX64.sys [X]
2015-07-27 13:49 - 2015-07-27 13:49 - 00061440 _____ C:\Windows\SysWOW64\Drivers\oztbpyez.sys
2015-07-27 13:49 - 2015-07-27 13:49 - 00000366 _____ C:\Windows\vsjjdcwh.txt
2015-07-05 19:07 - 2015-07-05 19:07 - 03237248 _____ (Enigma Software Group USA, LLC.) C:\Users\aggata\Downloads\SpyHunter-Installer.exe
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.

Przeskanuj programem Malwarebytes Anti-Malware https://www.malwarebytes.org/downloads/


(Agata Daszkiewicz) #6

Raport z usuwania:

http://www.wklej.org/id/1765781/

 

Był restart i znowu program Microsoft Security Essentials po nim wykazał mi HackTool’a…

 

Po skanowaniu ponownym:

http://www.wklej.org/id/1765783/


(Atis) #7

Masz napisać gdzie wykywa, bo tutaj nie ma wróżek.

Postaraj się i wklej cały log.