witam, problem jak wyżej, to jakiś wirus? nie wiem z czego ;o może z tych stron xxx, które się codziennie otwiera XD
a tak serio skanowałem malware, adwcleanerem, combofixem nie mogę, bo mam 8.1…
dołączam skany z FRST
http://www.wklej.org/id/1696999/
http://www.wklej.org/id/1696997/
http://www.wklej.org/id/1696996/
dziękuję za pomoc
Acorus
(Acorus)
26 Kwiecień 2015 12:39
#2
Otwórz notatnik systemowy i wklej:
Task: {18CB3CA6-CA18-4592-85EB-6391C8A2AF5C} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-3896375726-339828994-593666928-1001UA = C:\Users\a\AppData\Local\Facebook\Update\FacebookUpdate.exe
Task: {69E12EEA-C57F-4623-A43D-C11C90BE2E85} - System32\Tasks\{82F64277-2FAB-4A6B-B344-0E7B23AF07A1} = pcalua.exe -a C:\Users\a\AppData\Roaming\qone8\UninstallManager.exe -c -ptid=smt
Task: {C77C08C1-CB23-45A4-85CF-89B846488A3B} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-3896375726-339828994-593666928-1001Core = C:\Users\a\AppData\Local\Facebook\Update\FacebookUpdate.exe
Task: C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-3896375726-339828994-593666928-1001Core.job = C:\Users\a\AppData\Local\Facebook\Update\FacebookUpdate.exe
Task: C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-3896375726-339828994-593666928-1001UA.job = C:\Users\a\AppData\Local\Facebook\Update\FacebookUpdate.exe
HKU\S-1-5-21-3896375726-339828994-593666928-1001\Software\Classes\exefile: ===== ATTENTION!
HKU\S-1-5-21-3896375726-339828994-593666928-1001\...\Run: [AdobeBridge] = [X]
HKU\S-1-5-21-3896375726-339828994-593666928-1001\...\Run: [SpybotSD TeaTimer] = C:\Program Files (x86)\Spybot - Search Destroy\TeaTimer.exe [2144088 2009-01-26] (Safer Networking Limited)
HKU\S-1-5-21-3896375726-339828994-593666928-1001\...\Run: [AVG-Secure-Search-Update_0215av] = C:\Users\a\AppData\Roaming\Avg_Update_0215av\AVG-Secure-Search-Update_0215av.exe /PROMPT /mid=9c8915d0d3ba47d2a10a0574380bd99d-460cd23af100584c831c15b3e086a786d4b1c00a /CMPID=0215av
HKU\S-1-5-21-3896375726-339828994-593666928-1001\...\MountPoints2: {1ce49d61-6f32-11e3-826d-d43d7eef306e} - "G:\vs_professional.exe"
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction ======= ATTENTION
HKU\S-1-5-21-3896375726-339828994-593666928-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction ======= ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page =
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKU\S-1-5-21-3896375726-339828994-593666928-1001\Software\Microsoft\Internet Explorer\Main,Start Page =
SearchScopes: HKU\.DEFAULT - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-19 - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-20 - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
BHO-x32: Spybot-SD IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files (x86)\Spybot - Search Destroy\SDHelper.dll [2009-01-26] (Safer Networking Limited)
CHR StartupUrls: Default - "hxxp://mysearch.avg.com?cid={09F7A7FA-0F8A-41B2-A4FE-ADF94A5597DC}mid=9c8915d0d3ba47d2a10a0574380bd99d-460cd23af100584c831c15b3e086a786d4b1c00alang=plds=AVGcoid=avgtbavgcmpid=pr=frd=2014-06-19 12:03:07v=18.1.0.443pid=safeguardsg=sap=hp", "hxxp://mysearch.avg.com?cid={09F7A7FA-0F8A-41B2-A4FE-ADF94A5597DC}mid=9c8915d0d3ba47d2a10a0574380bd99d-460cd23af100584c831c15b3e086a786d4b1c00alang=plds=AVGcoid=avgtbavgcmpid=pr=frd=2014-06-19 12:03:07v=18.1.7.598pid=safeguardsg=sap=hp", "https://mysearch.avg.com?cid={09F7A7FA-0F8A-41B2-A4FE-ADF94A5597DC}mid=9c8915d0d3ba47d2a10a0574380bd99d-460cd23af100584c831c15b3e086a786d4b1c00alang=plds=AVGcoid=avgtbavgcmpid=pr=frd=2014-06-19 12:03:07v=18.1.9.786pid=safeguardsg=sap=hp", "https://mysearch.avg.com?cid={09F7A7FA-0F8A-41B2-A4FE-ADF94A5597DC}mid=9c8915d0d3ba47d2a10a0574380bd99d-460cd23af100584c831c15b3e086a786d4b1c00alang=plds=AVGcoid=avgtbavgcmpid=pr=frd=2014-06-19 12:03:07v=18.1.9.799pid=safeguardsg=sap=hp"
CHR Extension: (Bookmark Manager) - C:\Users\a\AppData\Local\Google\Chrome\User Data\Default\Extensions\gmlllbghnfkpflemihljekbapjopfjik [2015-04-21]
S3 EagleX64; \\C:\Windows\system32\drivers\EagleX64.sys [X]
S3 MSICDSetup; \\D:\CDriver64.sys [X]
S3 NTIOLib_1_0_C; \\D:\NTIOLib_X64.sys [X]
S3 OSFMount; \\C:\Program Files\OSFMount\OSFMount.sys [X]
S2 sbapifs; system32\DRIVERS\sbapifs.sys [X]
S3 X6va016; \\C:\Windows\SysWOW64\Drivers\X6va016 [X]
2015-04-25 23:01 - 2015-04-26 13:55 - 00000000 ____ D () C:\AdwCleaner
EmptyTemp:
Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.
zrobiłem, ale dalej jest to samo ._.
Acorus
(Acorus)
26 Kwiecień 2015 14:20
#4
Reset Chrome: https://support.google.com/chrome/answer/3296214?hl=pl
W pasek adresu wpisz: about:support Kliknij Odśwież program Firefox.
wykonałem i dalej to samo ;c
Piesek64
(Piesek64)
26 Kwiecień 2015 14:39
#6
One More Step jest dodatkowym krokiem sprawdzającym bezpieczeństwie po wykryciu znanego IP, które zachowywało się w szkodliwy sposób dla strony. Nie jest to nic groźnego.
ale skąd się to wzięło? plus jest irytujące?
Piesek64
(Piesek64)
26 Kwiecień 2015 16:34
#8
IP są przydzielane losowo po każdym restarcie routera. Jest szansa, że trafi ci się używane IP, które znalazło się na czarnych listach (np. z powodu, że generowano z nich duży ruch) przez co potrzebna jest kontrola czy nie jesteś programem komputerowym mającym za zadanie zaatakować stronę.