Pozostałości po infekcji wirusem


(Tomolisek) #1

Witam,

Wczoraj zainfekowałem na własne życzenie komputer, czymś, co było umieszczone pod fałszywą stroną z nieaktualnym flash`em. Pozostałości po zainfekowaniu i usunięciu ponad 30 wirusów (szybkie te paskudy)  są objawy: samoczynne zamykaniem się aktualnie używanych aplikacji, chrome, photoshop, corel, Word, gry.

Po prostu coś robię i nagle program sam znika / zamyka się. Czasem podczas uruchamiania usługi poczty w windows live owa poczta pyta mnie, czy przejść w tryb online.


(Atis) #2

Pobierz Farbar Recovery Scan Tool 32-Bit Version

Uruchom FRST i kliknij Scan. Pokaż raport FRST i Addition.


(Tomolisek) #3

Raporty:


(Atis) #4

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

HKU\S-1-5-21-2355713827-1538540259-765802729-1001\...\Run: [AdobeBridge] => [X]
HKU\S-1-5-21-2355713827-1538540259-765802729-1001\...\Run: [poyn.exe] => C:\Users\Tomek\AppData\Roaming\Etlis\poyn.exe [259072 2013-12-13] ()
SearchScopes: HKLM - DefaultScope value is missing.
FF DefaultSearchEngine: AOL Search
FF SelectedSearchEngine: AOL Search
FF SearchPlugin: C:\Users\Tomek\AppData\Roaming\Mozilla\Firefox\Profiles\wt7pv6ow.default\searchplugins\aol-search.xml
FF Extension: Winamp Toolbar - C:\Users\Tomek\AppData\Roaming\Mozilla\Firefox\Profiles\wt7pv6ow.default\Extensions\{8b9fe9be-f7dd-451e-ac96-0e568e0ecc10} [2013-04-28]
FF Extension: vshare Add-On - C:\Users\Tomek\AppData\Roaming\Mozilla\Firefox\Profiles\wt7pv6ow.default\Extensions\{dd05fd3d-18df-4ce4-ae53-e795339c5f01}.xpi [2013-04-27]
FF StartMenuInternet: FIREFOX.EXE - D:\Program Files\Mozilla Firefox\firefox.exe
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
CHR HKCU\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
S3 amdiox86; system32\DRIVERS\amdiox86.sys [X]
S3 BTCFilterService; system32\DRIVERS\motfilt.sys [X]
S3 motandroidusb; System32\Drivers\motoandroid.sys [X]
S3 motccgp; system32\DRIVERS\motccgp.sys [X]
S3 motccgpfl; system32\DRIVERS\motccgpfl.sys [X]
S3 MotDev; system32\DRIVERS\motodrv.sys [X]
S3 motmodem; system32\DRIVERS\motmodem.sys [X]
S3 MotoSwitchService; system32\DRIVERS\motswch.sys [X]
S3 Motousbnet; system32\DRIVERS\Motousbnet.sys [X]
S3 motusbdevice; system32\DRIVERS\motusbdevice.sys [X]
C:\Users\Tomek\AppData\Roaming\Gaiko
C:\Users\Tomek\AppData\Roaming\Etlis
C:\AdwCleaner
C:\Users\Tomek\AppData\Local\Temp\*.exe
C:\Users\Tomek\AppData\Local\Temp\*.dll
Reboot:

Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.

Kliknij Scan i pokaż nowy raport z FRST bez Addition.


(Tomolisek) #5

Zrobione :slight_smile:


(Atis) #6

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

HKU\S-1-5-21-2355713827-1538540259-765802729-1001\...\Run: [poyn.exe] => C:\Users\Tomek\AppData\Roaming\Etlis\poyn.exe
C:\Users\Tomek\AppData\Roaming\Etlis

Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.

Kliknij Scan i pokaż nowy raport z FRST bez Addition.


(Tomolisek) #7

fixlog: http://www.wklej.org/id/1357742/


(Atis) #8

Skasuj folder C:\FRST

Usuń stare punkty przywracania: Aby usunąć wszystkie punkty przywracania

Uruchom SecurityCheck i aktualizuj programy oznaczone jako Out of date

Dysk przeskanuj Malwarebytes Anti-Malware

Podczas instalacji usuń zaznaczenie przy Uruchom okres testowy Malwarebytes Anti-Malware Premium.

Język PL > Settings > General Settings > Language > Polish


(Tomolisek) #9

Folder skasowany, SP1 zainstalowany, dyski przeskanowane i nie wykryto żadnych szkodliwych elementów :slight_smile: