Wirus, komp tylko tryb awaryjny

karra21 · 12 Grudzień 2017 21:10

Witam, Komputer się włącza tylko w trybie awaryjnym. Nie wiem jaki były wcześniejsze symptomu, komputer nie jest mój. Co najdziwniejsze od kilku dni na innych komputerach jak korzystamy z wyszukiwarki google pojawia sie strona z informacja o duzym ruchu w naszej sieci i z zapytaniem czy nie jestem botem. Załaczam logi:
http://www.wklej.org/id/3321073/
http://www.wklej.org/id/3321077/
http://www.wklej.org/id/3321079/

Atis · 12 Grudzień 2017 23:48

Odinstaluj jeden program antywirusowy, Avira lub Avast.
Odinstaluj McAfee WebAdvisor.
Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist:

Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\FAH.lnk [2016-04-01]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Update Notifier.lnk [2016-04-01]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\WinZip Preloader.lnk [2016-04-01]
GroupPolicy: Ograniczenia ? <==== UWAGA
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <==== UWAGA
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.istartsurf.com/web/?type=ds&ts=1434627444&z=4aad5ca51ecb6733228494dgbz4c1zcqeoamdzfz2z&from=cor&uid=ST9250410AS_5VGCKF8EXXXX5VGCKF8E&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.istartsurf.com/?type=hppp&ts=1434627461&z=a5a52f09a1763bb5dcbffe5g3z3c3z5q0o0mezbq7g&from=cor&uid=ST9250410AS_5VGCKF8EXXXX5VGCKF8E
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1434627444&z=4aad5ca51ecb6733228494dgbz4c1zcqeoamdzfz2z&from=cor&uid=ST9250410AS_5VGCKF8EXXXX5VGCKF8E&q={searchTerms}
HKU\S-1-5-21-264256895-1350238094-2669663457-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.istartsurf.com/web/?type=dspp&ts=1434627461&z=a5a52f09a1763bb5dcbffe5g3z3c3z5q0o0mezbq7g&from=cor&uid=ST9250410AS_5VGCKF8EXXXX5VGCKF8E&q={searchTerms}
HKU\S-1-5-21-264256895-1350238094-2669663457-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.istartsurf.com/?type=hppp&ts=1434627461&z=a5a52f09a1763bb5dcbffe5g3z3c3z5q0o0mezbq7g&from=cor&uid=ST9250410AS_5VGCKF8EXXXX5VGCKF8E
HKU\S-1-5-21-264256895-1350238094-2669663457-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.istartsurf.com/web/?type=dspp&ts=1434627461&z=a5a52f09a1763bb5dcbffe5g3z3c3z5q0o0mezbq7g&from=cor&uid=ST9250410AS_5VGCKF8EXXXX5VGCKF8E&q={searchTerms}
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = 
SearchScopes: HKU\S-1-5-21-264256895-1350238094-2669663457-1000 -> {d4fee3d1-1014-4db8-a824-573bf9ab51c7} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST9250410AS_5VGCKF8EXXXX5VGCKF8E&ts=1434627470&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-264256895-1350238094-2669663457-1000 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST9250410AS_5VGCKF8EXXXX5VGCKF8E&ts=1434627470&type=default&q={searchTerms}
BHO: Brak nazwy -> {51D26BB4-4D2C-4AE4-9873-5FF41B6DED1F} -> Brak pliku
CHR HKLM\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [kfecnpmgnlnbmipaogfhoacoioifjgko] - hxxp://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-264256895-1350238094-2669663457-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [bmkckgpgekmanipelfidlhmkfcjicion] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-264256895-1350238094-2669663457-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [kfecnpmgnlnbmipaogfhoacoioifjgko] - hxxp://clients2.google.com/service/update2/crx
S2 0316791513111016mcinstcleanup; C:\Users\Admin\AppData\Local\Temp\031679~1.EXE [883024 2017-12-12] (McAfee, Inc.) <==== UWAGA
U3 aswbdisk; Brak ImagePath
S1 wafd_1_10_0_18; system32\drivers\wafd_1_10_0_18.sys [X]
2008-02-05 13:28 - 2008-02-05 13:28 - 000000051 _____ () C:\Users\Admin\AppData\Local\setup.txt
Task: {6D308CAD-0C12-4EFE-BC51-F6D8F5C6E11C} - \Web Protector Plus Server -> Brak pliku <==== UWAGA
Task: {E1F688E5-45A4-4233-8FF8-03A2DE7A2CA2} - \Web Protector Plus -> Brak pliku <==== UWAGA
EmptyTemp:

Uruchom FRST i kliknij Napraw (Fix). Pokaż raport z usuwania Fixlog.
Kliknij Skanuj (Scan) i pokaż nowy raport z FRST bez Addition i Shortcut.

karra21 · 13 Grudzień 2017 21:34

Avast nie chciał sie odinstalować, Avira tak, opór sprawiały dodatki do przeglądarki. Wstawiam logi:
http://wklej.org/id/3322038/

http://wklej.org/id/3322042/

Komputer juz się włączył, działa. Czy wiadomo co to za paskudztwo było i przy oakzji czego zostało zainstalowane? BArdzo dziękuje za pomoc. Czekam na info czy komputer jest czysty

Atis · 14 Grudzień 2017 20:04

Nie wiadomo jaka była przyczyna problemu, bo nie było aktywnej infekcji tylko pozostałość po adware.
W razie problemów z Avastem należy w trybie awaryjnym użyć avastclear

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist:

SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
FF Extension: (Avira Browser Safety) - C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\ojXd4PuL.default\Extensions\abs@avira.com [2015-06-18] [Przestarzałe] [Brak podpisu cyfrowego]
S2 0251341513199321mcinstcleanup; C:\Users\Admin\AppData\Local\Temp\025134~1.EXE -cleanup -nolog [X] <==== UWAGA
S3 cpuz135; \??\C:\Users\Admin\AppData\Local\Temp\HBCD\PCWizard\pcwiz_x32.sys [X]
2017-12-13 22:21 - 2017-12-13 22:21 - 000000000 ____D C:\ProgramData\SWCUTemp
2017-12-12 21:36 - 2017-12-13 21:54 - 000000000 ____D C:\Program Files\McAfee
2017-12-12 21:36 - 2017-12-12 21:36 - 000000000 ____D C:\Program Files\Common Files\McAfee
2017-12-06 21:56 - 2017-12-12 21:28 - 000000000 ____D C:\Users\Admin\Doctor Web
2017-12-06 21:56 - 2017-12-06 21:56 - 000000000 ____D C:\ProgramData\Doctor Web
2017-12-13 22:21 - 2015-06-18 11:43 - 000000000 ____D C:\Program Files\Avira
2017-12-13 22:16 - 2015-11-26 18:54 - 000000000 ____D C:\Users\Admin\AppData\LocalLow\Temp
2017-12-12 21:35 - 2016-03-11 21:32 - 000000000 ____D C:\ProgramData\McAfee
DeleteQuarantine:

Uruchom FRST i kliknij Napraw (Fix). Później skasuj folder C:\FRST