Wanka
(Wanka)
27 Październik 2014 16:14
#1
Proszę o pomoc w usunięciu trojana JS/kryptik. I . Po otwarciu każdej strony internetowej NOD informuje o tymże trojanie i wskazuje że zainfekowana jest strona http:/utlis.similargroup.com.js/amedia/js. i dodaje do kwarantanny.
Przeskanowałam komputer ale NoD go nie znalazł. Ale przy otwarciu dowolnej strony problem się pojawia.
Wanka
(Wanka)
27 Październik 2014 16:36
#3
Załączam loga z FRSTFRST.txt Addition.txt
Atis
(Atis)
27 Październik 2014 16:40
#4
W panelu sterowania odinstaluj DealPly i McAfee Security Scan Plus.
Pobierz i uruchom AdwCleaner Kliknij Szukaj i później Usuń.
Kliknij Scan i pokaż nowy raport z FRST bez Addition.
Atis
(Atis)
27 Październik 2014 17:46
#6
Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :
HKLM-x32\...\Run: [] => [X]
HKU\S-1-5-21-567990695-10395333-1909589036-1002\...\Run: [Google Update] => "C:\Users\paweł\AppData\Local\Google\Update\GoogleUpdate.exe" /c
FF Extension: WebSite Recommendation - C:\Users\paweł\AppData\Roaming\Mozilla\Firefox\Profiles\f97nxq7c.default\Extensions\WebSiteRecommendation@weliketheweb.com [2013-08-05]
CHR Extension: (No Name) - C:\Users\paweł\AppData\Local\Google\Chrome\User Data\Default\Extensions\olakgnkoldmagdblaalodobkmeokmgjj [2013-08-05]
S3 ewusbnet; system32\DRIVERS\ewusbnet.sys [X]
S3 hwusbdev; system32\DRIVERS\ewusbdev.sys [X]
C:\AdwCleaner
CustomCLSID: HKU\S-1-5-21-567990695-10395333-1909589036-1002_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\paweł\AppData\Local\Google\Update\1.3.24.15\psuser_64.dll No File
Task: {2A98AE53-0FA6-418D-B5BA-438A8DE3F016} - System32\Tasks\DealPlyLiveUpdateTaskMachineCore => C:\Program Files (x86)\DealPlyLive\Update\DealPlyLive.exe <==== ATTENTION
Task: {B4D826D0-0B3C-4A75-9E8A-4FA1B420F7EA} - System32\Tasks\DealPlyUpdate => C:\Program <==== ATTENTION
Task: C:\Windows\Tasks\DealPlyLiveUpdateTaskMachineCore.job => C:\Program Files (x86)\DealPlyLive\Update\DealPlyLive.exe <==== ATTENTION
Task: C:\Windows\Tasks\DealPlyLiveUpdateTaskMachineUA.job => C:\Program Files (x86)\DealPlyLive\Update\DealPlyLive.exe <==== ATTENTION
EmptyTemp:
Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.
Kliknij Scan i pokaż nowy raport z FRST bez Addition.
Wanka
(Wanka)
27 Październik 2014 18:28
#7
Załączam raport z usuwania Fixlog oraz nowy raport z FRST FRST.txt Fixlog.txt
Atis
(Atis)
27 Październik 2014 19:07
#8
Skasuj folder C:\FRST
Usuń stare punkty przywracania: Aby usunąć wszystkie punkty przywracania
Dysk przeskanuj Malwarebytes Anti-Malware
Podczas instalacji usuń zaznaczenie przy Uruchom okres testowy Malwarebytes Anti-Malware Premium.
http://wstaw.org/m/2014/03/25/2014-03-25_123039.png
Język PL > Settings > General Settings > Language > Polish
Przeczytaj w jaki sposób należy instalować programy: KLIK - KLIK - KLIK - KLIK
Wanka
(Wanka)
27 Październik 2014 20:03
#9
Skasowałam folder C:\FRST ale już po usunięciu punków przywracania systemu i po przeskanowaniu Malwarebytes Anti-Malware . Ten wykrył 159 obiektów. Sa w kwarantannie. Czy można je z niej usunąć?
Atis
(Atis)
27 Październik 2014 22:15
#10
Pokaż raport:
Historia > Raporty aplikacji > Pokaż > Skopiuj do schowka
Wanka
(Wanka)
28 Październik 2014 07:31
#11
Przepraszam, ale nie potrafię sobie z tym poradzić. Wydaje się , że okno skopiuj do schowka jest nieaktywne. przynajmnie jnie ma komunikatu, ze skopiowano. a schowka znaleź nie mogę. Mam Windows 7.Pokazuje się kpomunikat że Windows nie może odnależć clipbrd. Ale w j Malwarebytes Anti-Malware jest okno Eksportuj. Może w ten sposób?
Atis
(Atis)
28 Październik 2014 10:25
#12
Skopiowane do schowka można wkleić do systemowego notatnika lub na http://wklej.org/
Poza tym można wyeksportować do pliku tekstowego.
Wanka
(Wanka)
28 Październik 2014 13:04
#13
Atis
(Atis)
28 Październik 2014 20:01
#14
Możesz wszystko usunąć z kwarantanny.
Wanka
(Wanka)
29 Październik 2014 16:08
#15
Dziękuję za pomoc. Bardzo. Rozumiem, że to wszystko. Problem się nie pojawia.
Atis
(Atis)
29 Październik 2014 21:09
#16
Do niektórych systemowych plików nie ma dostępu, bo są używane przez system.
W raporcie nie ma żadnych szkodliwych plików.
Obecnie do instalatorów darmowych programów często dodawane są dodatki Adware.
Musisz dokładnie czytać informację podczas instalacji programów i nie wyrażać zgody na instalację Adware.
Wanka
(Wanka)
29 Październik 2014 21:51
#17
Jeszcze raz bardzo dziekuję za pomoc.