Wirus przeglądarki "To ustawienie może zmienić tylko administrator"

JaPk0 · 27 Wrzesień 2015 15:36

Witam,

Ostatnio coś pobrałem nawet nie wiem co,ale dzięki temu wkradł się wirus.Mianowicie chodzi o wirusa,który nie pozwala na zmienienie strony startowej,tyko przekierowuje na jakieś ruskie przeglądarki .Czytałem o tym 2 dni i wiem jakieś podstawy.Zrobiłem raporty przez FRST,tylko dalej to musicie Wy mi pomóc.

Pozdrawiam!

Addition-http://www.wklej.org/id/1804946/

FRST-http://www.wklej.org/id/1804949/

Atis · 27 Wrzesień 2015 15:57

Nie żartuj w ten sposób:

http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/

JaPk0 · 27 Wrzesień 2015 16:13

To była jedyna wersja,która nie budziła mi anty wirusa

Atis · 27 Wrzesień 2015 16:27

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

CloseProcesses:
HKLM\...\Run: [gpuminer] => C:\Users\Kamil\AppData\Roaming\cpuminer\sgminer\start.cmd
HKLM\...\Run: [cpuminer] => C:\Windows\system32\cpm.exe [1406240 2015-09-09] ()
HKLM-x32\...\Run: [SFAUpdater] => C:\Program Files (x86)\Smart File Advisor\SFAUpdater.exe [656144 2015-03-18] (Filefacts.net)
HKU\S-1-5-21-3193885208-400305719-1061190882-1000\...\Run: [C] => C:\Windows\system32\GroupPolicy\Machine\Registry.pol [782 2015-09-26] ()
ShellIconOverlayIdentifiers: [GDriveSharedOverlay] -> {81539FE6-33C7-4CE7-90C7-1C7B8F2F2D43} => Brak pliku
GroupPolicy: Ograniczenia - Chrome <======= UWAGA
GroupPolicy-x32: Ograniczenia - Chrome <======= UWAGA
GroupPolicyScripts\User: Ograniczenia <======= UWAGA
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA
CHR HKU\S-1-5-21-3193885208-400305719-1061190882-1000\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA
CHR HKLM\...\Chrome\Extension: [iikflkcanblccfahdhdonehdalibjnif] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [iikflkcanblccfahdhdonehdalibjnif] - hxxps://clients2.google.com/service/update2/crx
S2 swsesrvc_1.10.0.25; "C:\Program Files (x86)\SwiftSearch_1.10.0.25\Service\swsesrvc.exe" [X]
R1 swsedrvr_vt_1_10_0_25; C:\Windows\System32\drivers\swsedrvr_vt_1_10_0_25.sys [61304 2015-09-22] (SS)
S3 ALSysIO; \??\C:\Users\Kamil\AppData\Local\Temp\ALSysIO64.sys [X]
S3 gdrv; \??\C:\Windows\gdrv.sys [X]
S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X]
S3 tsusbhub; system32\drivers\tsusbhub.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
C:\Users\Kamil\AppData\Roaming\cpuminer
2015-09-22 23:41 - 2015-09-22 23:41 - 00061304 _____ (SS) C:\Windows\system32\Drivers\swsedrvr_vt_1_10_0_25.sys
2015-09-22 23:41 - 2015-09-22 23:41 - 00057720 _____ (SS) C:\Windows\system32\Drivers\swsedrvr_vw_1_10_0_25.sys
2015-09-30 20:13 - 2015-09-27 13:40 - 00000000 ____ D C:\AdwCleaner
2015-09-30 15:21 - 2015-09-30 15:30 - 00000000 ____ D C:\Users\Kamil\AppData\Local\3E8D3569-D2C6-4EA0-962-574FC1FD0B3
2015-09-30 15:20 - 2015-09-30 15:33 - 00000000 ____ D C:\Program Files (x86)\c7d7dd19-9990-4ca4-ba57-a64130cd4348
2015-09-30 15:20 - 2015-09-30 15:27 - 00000004 _____ C:\Windows\SysWOW64\029B560A371F4E00AB32838EBC01B9E7
2015-09-10 17:33 - 2015-09-27 14:54 - 00000000 ____ D C:\Program Files (x86)\Smart File Advisor
2015-09-10 17:33 - 2015-09-10 17:33 - 00000000 ____ D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Smart File Advisor
2015-09-30 15:20 - 2015-09-30 15:20 - 00000000 ____ D C:\Program Files (x86)\1c122b68-422f-4bfe-a978-e44ce85b6dd6
2015-09-30 15:19 - 2009-06-10 23:00 - 00000824 _____ C:\Windows\system32\Drivers\etc\hp.bak
2015-09-14 22:12 - 2015-09-14 22:12 - 00000102 _____ C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat
2015-09-09 14:47 - 2015-09-09 14:47 - 01406240 _____ C:\Windows\system32\cpm.exe
C:\Program Files (x86)\GUT*.tmp
Task: {892E036C-756B-46F5-B15E-E126A4FE2417} - System32\Tasks\3E8D3569-D2C6-4EA0-962-574FC1FD0B3 => C:\Users\Kamil\AppData\Local\3E8D3569-D2C6-4EA0-962-574FC1FD0B3\3E8D3569-D2C6-4EA0-962-574FC1FD0B3.exe <==== UWAGA
Task: {B161E2F5-EEE0-488F-9EF2-F6C4B4DC27F7} - System32\Tasks\RestoreSearch => cmd.exe /c @echo Set objShell = WScript.CreateObject("WScript.Shell") &gt; %TEMP%\R.vbs
Task: {C2556269-CF27-401B-98EC-7196CE90520B} - \SPBIW_UpdateTask_Time_313135313435393836392d4a5b5b345a417845455a376c -> Brak pliku <==== UWAGA
EmptyTemp:

Uruchom FRST i kliknij Napraw (Fix). Pokaż raport z usuwania Fixlog.

Kliknij Skanuj (Scan) i pokaż nowy raport z FRST bez Addition i Shortcut.

JaPk0 · 27 Wrzesień 2015 18:06

Raport usuwania-http://www.wklej.org/id/1805058/

Skan-http://www.wklej.org/id/1805061/

Atis · 27 Wrzesień 2015 18:50

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

HKLM-x32\...\Run: [Smart File Advisor] => "C:\Program Files (x86)\Smart File Advisor\sfa.exe" /checkassoc
DeleteQuarantine:

Uruchom FRST i kliknij Napraw (Fix). Skasuj folder C:\FRST

Usuń stare punkty przywracania: Aby usunąć wszystkie punkty przywracania

Dysk przeskanuj Malwarebytes Anti-Malware

Podczas instalacji usuń zaznaczenie przy Uruchom okres testowy Malwarebytes Anti-Malware Premium.

http://wstaw.org/m/2014/03/25/2014-03-25_123039.png

Język PL > Settings > General Settings > Language > Polish

Przeczytaj w jaki sposób należy instalować programy: KLIK - KLIK - KLIK

JaPk0 · 27 Wrzesień 2015 19:55

Jeszcze raz wielkie dzięki