Sprawdzenie rejestrów (rosyjskie strony... regedit out)


(Reszek12) #1

Witam, czy mógłby ktoś sprawdzić moje skany z programu FRST (reg edit jak i cc nie działa) FRST też nie chciaił się uruchomić ale po przez wiele przeczytanych tematów udało mi się go uruchomić po poprzez zmianę nazwy. Po uruchomieniu się systemu jak można się domyśleć włącza się rosyjska strona. Był bym bardzo wdzięczny za pomoc tutaj moje skany:

Addition:http://wklej.org/id/1732513/

FRST:http://wklej.org/id/1732514/

Z góry dziękuje za pomoc i pozdrawiam.


(Atis) #2

W panelu sterowania odinstaluj LiveUpdateWPP, Web Protector IE, Web Protector Plus.

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

CloseProcesses:
HKLM-x32\...\Run: [CMD] => cmd.exe /c start http://zivlingamer.org && exit
IFEO\adwcleaner_4.204.exe: [Debugger] svchost.exe
IFEO\AnVir.exe: [Debugger] svchost.exe
IFEO\AutoLogger.exe: [Debugger] svchost.exe
IFEO\avz.exe: [Debugger] svchost.exe
IFEO\CCleaner.exe: [Debugger] svchost.exe
IFEO\CCleaner64.exe: [Debugger] svchost.exe
IFEO\FRST.exe: [Debugger] svchost.exe
IFEO\FRST64.exe: [Debugger] svchost.exe
IFEO\HiJackThis.exe: [Debugger] svchost.exe
IFEO\regedit.exe: [Debugger] svchost.exe
IFEO\RegWorks.exe: [Debugger] svchost.exe
IFEO\RSIT.exe: [Debugger] svchost.exe
IFEO\RSITx64.exe: [Debugger] svchost.exe
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://do-search.com/web/?type=ds&ts=1431723122&z=fc3ed0a14ed2f7f92a9cdc3g4z4ceg2m4o7cegdc8o&from=cor&uid=ST1000LM024XHN-M101MBB_S2RQJ9FD301140&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://do-search.com/web/?type=ds&ts=1431723122&z=fc3ed0a14ed2f7f92a9cdc3g4z4ceg2m4o7cegdc8o&from=cor&uid=ST1000LM024XHN-M101MBB_S2RQJ9FD301140&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://do-search.com/web/?type=ds&ts=1431723122&z=fc3ed0a14ed2f7f92a9cdc3g4z4ceg2m4o7cegdc8o&from=cor&uid=ST1000LM024XHN-M101MBB_S2RQJ9FD301140&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://do-search.com/web/?type=ds&ts=1431723122&z=fc3ed0a14ed2f7f92a9cdc3g4z4ceg2m4o7cegdc8o&from=cor&uid=ST1000LM024XHN-M101MBB_S2RQJ9FD301140&q={searchTerms}
URLSearchHook: HKLM-x32 - WebProtector - {CCC7B151-1D8C-11E3-B2AD-F3EF3D58318D} - C:\Program Files (x86)\WebProtector\WebProtector.dll (Web Protector)
Toolbar: HKLM-x32 - WebProtector - {CCC7B151-1D8C-11E3-B2AD-F3EF3D58318D} - C:\Program Files (x86)\WebProtector\WebProtector.dll [2015-05-15] (Web Protector)
CHR Extension: (Bookmark Manager) - C:\Users\Reszek\AppData\Local\Google\Chrome\User Data\Default\Extensions\gmlllbghnfkpflemihljekbapjopfjik [2015-04-16]
CHR Extension: (Web Protector - Reliable Phishing Protection) - C:\Users\Reszek\AppData\Local\Google\Chrome\User Data\Default\Extensions\kfecnpmgnlnbmipaogfhoacoioifjgko [2015-05-15]
CHR HKLM-x32\...\Chrome\Extension: [kfecnpmgnlnbmipaogfhoacoioifjgko] - http://clients2.google.com/service/update2/crx
R2 LiveUpdateWPP Manager; C:\Program Files (x86)\LiveUpdateWPP\LiveUpdateWPP.exe [453632 2015-04-29] (LiveWPPUpdate) [File not signed]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
S3 X6va028; \??\C:\Windows\SysWOW64\Drivers\X6va028 [X]
S3 X6va029; \??\C:\Windows\SysWOW64\Drivers\X6va029 [X]
2015-05-15 22:52 - 2015-05-15 22:54 - 00000000 ____ D C:\Users\Reszek\AppData\Roaming\MailUpdate
2015-05-15 22:52 - 2015-05-15 22:54 - 00000000 ____ D C:\ProgramData\WindowsMangerProtect
2015-05-15 22:52 - 2015-05-15 22:54 - 00000000 ____ D C:\Program Files (x86)\XTab
2015-05-15 22:52 - 2015-05-15 22:52 - 00000000 ____ D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Web Protector Plus
2015-05-15 22:52 - 2015-05-15 22:52 - 00000000 ____ D C:\ProgramData\MailUpdate
2015-05-15 22:52 - 2015-05-15 22:52 - 00000000 ____ D C:\ProgramData\IHProtectUpDate
2015-05-15 22:51 - 2015-05-15 22:52 - 00000000 ____ D C:\Program Files (x86)\WebProtectorPlus
2015-05-15 22:51 - 2015-05-15 22:52 - 00000000 ____ D C:\Program Files (x86)\WebProtector
2015-05-15 22:51 - 2015-05-15 22:51 - 00000000 ____ D C:\Users\Reszek\AppData\Roaming\WebExtend
2015-05-15 22:51 - 2015-05-15 22:51 - 00000000 ____ D C:\Program Files (x86)\LiveUpdateWPP
Task: {51B5760D-B800-4686-A4F0-FB9BE391F3E2} - System32\Tasks\{D69E0B56-0531-4007-BC15-70C393E7A60C} => pcalua.exe -a C:\Users\Reszek\Downloads\QCA_WLAN_Driver_1.0.0.1\setup.exe -d C:\Users\Reszek\Downloads\QCA_WLAN_Driver_1.0.0.1
Task: {D8183FF8-D17E-4A8C-98AB-029BE4437A25} - System32\Tasks\{BFA20349-BB2D-4D82-9C58-8993A99FC9AF} => pcalua.exe -a C:\Users\Reszek\AppData\Local\Temp\Temp1_LAN_WXP_5.798.523.2012.ZIP\setup.exe
Task: {DFEBF2DF-538E-4EB4-B3DE-1C75DB835909} - System32\Tasks\{DABB5D29-99E1-4DE9-927C-97CC3BC39A17} => pcalua.exe -a C:\Users\Reszek\Downloads\vcredist_x86.exe -d C:\Users\Reszek\Downloads
Task: {ECAC8D9A-A66C-4800-8206-BDD6F4748EA9} - System32\Tasks\Web Protector Plus => C:\Program Files (x86)\WebProtectorPlus\WebProtectorPlus.exe [2015-02-19] ()
Task: {15D1D9D8-09ED-47E5-A92F-2AAE315BE957} - System32\Tasks\Web Protector Plus Server => C:\Program Files (x86)\WebProtectorPlus\server64\WebProtectorPlusServer.exe
EmptyTemp:

Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.

Pobierz i uruchom AdwCleaner Kliknij Skanuj i później Usuń.

Kliknij Scan i pokaż nowy raport z FRST bez Addition i Shortcut.