Jak usunąć wirusowe przeglądarki?

gantetokounmpo · 4 Luty 2017 19:18

Witam, mam taki problem, pojawiły się dziwne przeglądarki typu Funny collection etc.

Próbowałem AdwCleanerem, ale zbytnio nie pomogło… zrobiłem logi FRST. Bardzo proszę o pomoc.Addition.txt (20,0 KB)
FRST.txt (24,7 KB)
Shortcut.txt (38,2 KB)

Z góry dziękuję za pomoc i pozdrawiam!

Acorus · 4 Luty 2017 19:37

Wykonaj w trybie awaryjnym http://support.eset.pl/kb2268/?viewlocale=pl_PL
Otwórz notatnik systemowy i wklej:

Task: {0194D94A-D03B-4EDE-9B48-8203F890715F} - System32\Tasks\66691f65967l28963z1 => Rundll32.exe “C:\ProgramData\66691f65967l28963z1\66691f65967l28963z1.dll”,ftqflz <==== UWAGA
Task: {0C210338-4830-4B13-AFB1-010B22110B93} - System32\Tasks\78936f51967l30180z7 => Rundll32.exe “C:\ProgramData\78936f51967l30180z7\78936f51967l30180z7.dll”,ftqflz <==== UWAGA
Task: {16699DAD-ABC0-44F5-B7F6-5651F53ADF01} - System32\Tasks\1315g30d7c270 => Rundll32.exe “C:\ProgramData\1315g30d7c270\1315g30d7c270.dll”,gdcsih <==== UWAGA
Task: {2E30690D-748F-42A1-A336-4E32F9339A64} - System32\Tasks\Qoerchvilily Log => C:\Program Files (x86)\Droyshocish\puzise.exe
Task: {6BAAAAE6-D9A6-4988-8C4D-CAE51ACC189D} - System32\Tasks\3544o11c70w1690 => Rundll32.exe “C:\ProgramData\3544o11c70w1690\3544o11c70w1690.dll”,ocwfus <==== UWAGA
Task: {7C37EFFD-DEAB-4B23-AA94-6B0C5698429E} - System32\Tasks\Zazshzerfertain => /i hxxp://d2buh1bf1g584w.cloudfront.net/msi/rel.php?u=HitachiXHTS723232A7A364_E38345631G5XGN1G5XGNX&v=201724 /q
Task: {867BBD2B-EC84-4244-A82F-BB6F8CC5D353} - System32\Tasks\3879o95c92w2671 => Rundll32.exe “C:\ProgramData\3879o95c92w2671\3879o95c92w2671.dll”,ocwfus <==== UWAGA
WMI_ActiveScriptEventConsumer_ASEC: <===== UWAGA
ShortcutWithArgument: C:\Users\Dell\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension=“C:\Users\Dell\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk” hxxp://fanli90.cn/
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension=“C:\Users\Dell\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk” hxxp://fanli90.cn/
ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension=“C:\Users\Dell\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk” hxxp://fanli90.cn/
AlternateDataStreams: C:\Windows\system32\drivers:ucdrv-x64.sys [23652]
AlternateDataStreams: C:\Windows\system32\drivers:x64 [1479458]
AlternateDataStreams: C:\Windows\system32\drivers:x86 [1205026]
HKLM…\Providers\dcd88c8o: C:\Program Files (x86)\Qoerchvilily Log\local64spl.dll
ShellExecuteHooks: Brak nazwy - {21E0FCA4-DE4A-11E6-844B-64006A5CFC23} - C:\Users\Dell\AppData\Roaming\Vonepy\Sugophghilither.dll -> Brak pliku
ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} => C:\Program Files\żěŃą\X64\KZipShell.dll [2017-02-04] ()
BHO: Youtube AdBlock -> {95E84BD3-3604-4AAC-B2CA-D9AC3E55B64B} -> C:\Program Files (x86)\Youtube AdBlock\IEEF\nMM7P6ii.dll => Brak pliku
S2 Ralerly; C:\Program Files (x86)\Droyshocish\TerqutCmm.dll [X]
R1 ucdrv; C:\Program Files (x86)\UCBrowser\Security:ucdrv-x64.sys [23652 ] (UC Web Inc.) <==== UWAGA
S3 intaud_WaveExtensible; \SystemRoot\system32\drivers\intelaud.sys [X]
S3 iwdbus; \SystemRoot\System32\drivers\iwdbus.sys [X]
2017-02-04 15:56 - 2017-02-04 15:56 - 00016804 _____ C:\Windows\System32\Tasks\1315g30d7c270
2017-02-04 15:56 - 2017-02-04 15:56 - 00000000 ___HD C:\ProgramData\1315g30d7c270
2017-02-04 13:41 - 2017-02-04 16:02 - 00000000 ___HD C:\ProgramData\3879o95c92w2671
2017-02-04 13:41 - 2017-02-04 15:56 - 00000000 ___HD C:\ProgramData\78936f51967l30180z7
2017-02-04 13:41 - 2017-02-04 15:56 - 00000000 ___HD C:\ProgramData\66691f65967l28963z1
2017-02-04 13:41 - 2017-02-04 15:56 - 00000000 ___HD C:\ProgramData\3544o11c70w1690
2017-02-04 13:41 - 2017-02-04 13:41 - 00016840 _____ C:\Windows\System32\Tasks\78936f51967l30180z7
2017-02-04 13:41 - 2017-02-04 13:41 - 00016840 _____ C:\Windows\System32\Tasks\66691f65967l28963z1
2017-02-04 13:41 - 2017-02-04 13:41 - 00016816 _____ C:\Windows\System32\Tasks\3879o95c92w2671
2017-02-04 13:41 - 2017-02-04 13:41 - 00016816 _____ C:\Windows\System32\Tasks\3544o11c70w1690
2017-02-04 13:28 - 2017-02-04 17:59 - 00000000 ____D C:\AdwCleaner
2017-02-04 13:25 - 2017-02-04 13:36 - 00000000 ____D C:\Program Files\żěŃą
2017-02-04 13:24 - 2017-02-04 14:50 - 00000000 ____D C:\Program Files (x86)\UCBrowser
2017-02-04 13:24 - 2017-02-04 13:24 - 00000000 ____D C:\Users\Dell\AppData\Local\UCBrowser
2017-02-04 13:23 - 2017-02-04 15:56 - 00000000 ____D C:\Program Files\8W1WMRC6CS
2017-02-04 13:22 - 2017-02-04 16:02 - 00000000 ____D C:\Program Files (x86)\Qoerchvilily Log
2017-02-04 13:22 - 2017-02-04 16:02 - 00000000 ____D C:\Program Files (x86)\Droyshocish
2017-02-04 13:22 - 2017-02-04 15:56 - 00000000 ___HD C:\Users\Dell\AppData\Roaming\com
2017-02-04 13:22 - 2017-02-04 13:33 - 00000000 ____D C:\Users\Dell\AppData\Roaming\Vonepy
2017-02-04 13:22 - 2017-02-04 13:22 - 00006114 _____ C:\Windows\System32\Tasks\Qoerchvilily Log
2017-02-04 13:22 - 2017-02-04 13:22 - 00003800 _____ C:\Windows\System32\Tasks\Zazshzerfertain
2017-02-04 13:22 - 2017-02-04 13:22 - 00000000 ____D C:\Users\Dell\AppData\Local\Kiseatiweght
2017-02-04 13:22 - 2017-02-04 13:22 - 00000000 ____D C:\ProgramData\Avira
2017-02-04 13:22 - 2017-02-04 13:22 - 00000000 ____D C:\ProgramData\Avg
2017-02-04 13:22 - 2017-02-04 13:22 - 00000000 ____D C:\ProgramData\AVAST Software
EmptyTemp

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.
Uruchom jako administrator FRST i kliknij w Fix/Napraw.

gantetokounmpo · 4 Luty 2017 19:56

Pomogło z usunięciem tej koszmarnej wyszukiwarki (strony startowej), ale co zrobić by pozbyć się google custom search?

Acorus · 4 Luty 2017 20:00

Reset Chrome: https://support.google.com/chrome/answer/3296214?hl=pl
Pokaż nowe logi z FRST.

gantetokounmpo · 4 Luty 2017 20:09

FRST.txt (22,2 KB)
Addition.txt (19,0 KB)

Nowe logi

Acorus · 4 Luty 2017 20:24

Otwórz notatnik systemowy i wklej:

CloseProcesses:
Task: {73197515-A67F-4053-8958-3D8C47255D54} - System32\Tasks\4422g39d95c7686 => Rundll32.exe “C:\ProgramData\4422g39d95c7686\4422g39d95c7686.dll”,gdcsih <==== UWAGA
HKLM…\RunOnce: [wd] => C:\Windows\TEMP\g48AE.tmp.exe [240640 2017-02-04] () <===== UWAGA
HKU\S-1-5-21-2874896175-1111033834-2599420357-1003…\Run: [comrepl] => C:\Users\Dell\AppData\Roaming\com\comrepl.exe
HKLM…\Providers\dcd88c8o: C:\Program Files (x86)\Qoerchvilily Log\local64spl.dll
R1 ucdrv; C:\Program Files (x86)\UCBrowser\Security:ucdrv-x64.sys [23652 ] (UC Web Inc.) <==== UWAGA
2017-02-04 20:42 - 2017-02-04 20:43 - 00000000 ____D C:\AdwCleaner
2017-02-04 20:41 - 2017-02-04 20:41 - 00016816 _____ C:\Windows\System32\Tasks\4422g39d95c7686
2017-02-04 20:41 - 2017-02-04 20:41 - 00000000 ___HD C:\ProgramData\4422g39d95c7686
2017-02-04 13:24 - 2017-02-04 14:50 - 00000000 ____D C:\Program Files (x86)\UCBrowser
C:\Windows\TEMP\g48AE.tmp.exe
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.
Uruchom jako administrator FRST i kliknij w Fix/Napraw.