estima27
(Mateusz 62)
18 Maj 2015 21:00
#1
Witam. Zwaracam sie z prosba o pomoc w usunieciu tego wirusa z kompuera. Mam na kompie frst i olt wiec zaraz wstawie to co wyskoczylo po skanowaniu. Prosze o szybko odpowiedz…
Wstawiam Log-i raporty z OTL I FRST.
OTL: http://wklej.org/id/1715387/
FRST: http://wklej.org/id/1715390/
P.S
Jeśli to zły dział proszę Admina aby przeniósł temat w dobre miejsce.
OTL : http://wklej.org/id/1715396/
estima27
(Mateusz 62)
19 Maj 2015 13:06
#3
Acorus:
Brak loga Addition.txt
już dodaję
Jest i Addition - http://wklej.org/id/1715828/
Pomocy
Acorus
(Acorus)
19 Maj 2015 13:27
#4
Odinstaluj Norton Internet Security.Otwórz notatnik systemowy i wklej:
Task: {7EE75E8D-8E9E-44F4-91B4-D2C9F62FCE17} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-3099691929-597136357-677967994-1001Core = C:\Users\Mateusz\AppData\Local\Facebook\Update\FacebookUpdate.exe [2013-01-26] (Facebook Inc.)
Task: {C10BECE1-70BC-47A9-969D-05B1814020E7} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-3099691929-597136357-677967994-1001UA = C:\Users\Mateusz\AppData\Local\Facebook\Update\FacebookUpdate.exe [2013-01-26] (Facebook Inc.)
Task: C:\windows\Tasks\FacebookUpdateTaskUserS-1-5-21-3099691929-597136357-677967994-1001Core.job = C:\Users\Mateusz\AppData\Local\Facebook\Update\FacebookUpdate.exe
Task: C:\windows\Tasks\FacebookUpdateTaskUserS-1-5-21-3099691929-597136357-677967994-1001UA.job = C:\Users\Mateusz\AppData\Local\Facebook\Update\FacebookUpdate.exe
HKLM\...\Run: [RtHDVCpl] = C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe [11855976 2011-05-19] (Realtek Semiconductor)
HKLM-x32\...\Run: [GrooveMonitor] = C:\Program Files (x86)\Microsoft Office\Office12\GrooveMonitor.exe [30040 2009-02-26] (Microsoft Corporation)
HKLM-x32\...\Run: [Adobe ARM] = C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [959904 2013-11-21] (Adobe Systems Incorporated)
HKU\S-1-5-21-3099691929-597136357-677967994-1000\...\Run: [AVG-Secure-Search-Update_JUNE2013_TB] = "C:\Program Files (x86)\AVG Secure Search\AVG-Secure-Search-Update_JUNE2013_TB.exe" /PROMPT /CMPID=JUNE2013_TB
HKU\S-1-5-21-3099691929-597136357-677967994-1000\...\Run: [AVG-Secure-Search-Update_JUNE2013_HP] = "C:\Program Files (x86)\AVG Secure Search\AVG-Secure-Search-Update_JUNE2013_HP.exe" /PROMPT /CMPID=JUNE2013_HP
HKU\S-1-5-21-3099691929-597136357-677967994-1001\...\Run: [ALLUpdate] = "D:\ALLPlayer\ALLUpdate.exe" "sleep"
HKU\S-1-5-21-3099691929-597136357-677967994-1001\...\Run: [Facebook Update] = C:\Users\Mateusz\AppData\Local\Facebook\Update\FacebookUpdate.exe [138096 2013-01-26] (Facebook Inc.)
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction ======= ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page =
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL =
HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page =
SearchScopes: HKU\.DEFAULT - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-19 - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-20 - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-21-3099691929-597136357-677967994-1000 - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
BHO: Doownload keepuer - {4A6E8FF7-9080-59E2-813D-ED6ED10B6B25} - C:\Program Files (x86)\Doownload keepuer\e3ED3w5K.x64.dll No File
BHO: YoutubeAdblocker - {868835A9-3C09-E250-4739-A704341799D5} - C:\Program Files (x86)\YoutubeAdblocker\IrFuuma.x64.dll No File
FF Extension: Crazy Score - C:\Users\Mateusz\AppData\Roaming\Mozilla\Firefox\Profiles\qw2z4izt.default\Extensions\{0852afcc-4115-420d-937a-41c379b83c30}.xpi [2015-05-18]
FF HKLM-x32\...\Firefox\Extensions: [{BBDA0591-3099-440a-AA10-41764D9DB4DB}] - C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_18.5.0.125\IPSFFPlgn
FF Extension: No Name - C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_18.5.0.125\IPSFFPlgn [2012-06-21]
FF HKLM-x32\...\Firefox\Extensions: [{2D3F3651-74B9-4795-BDEC-6DA2F431CB62}] - C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_18.5.0.125\coFFPlgn
FF Extension: Norton Toolbar - C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_18.5.0.125\coFFPlgn [2011-06-24]
CHR Extension: (Bookmark Manager) - C:\Users\Mateusz\AppData\Local\Google\Chrome\User Data\Default\Extensions\gmlllbghnfkpflemihljekbapjopfjik [2015-05-13]
S2 Update Mgr CrazyScore; C:\Program Files (x86)\Common Files\68f7eaff-0da4-47f4-8262-425ca2a087dd\updater.exe [478984 2015-05-18] ()
R1 avgtp; C:\windows\system32\drivers\avgtpx64.sys [49952 2014-03-20] (AVG Technologies)
S3 massfilter; system32\drivers\massfilter.sys [X]
S3 ZTEusbnet; system32\DRIVERS\ZTEusbnet.sys [X]
S3 ZTEusbnmea; system32\DRIVERS\ZTEusbnmea.sys [X]
S3 ZTEusbser6k; system32\DRIVERS\ZTEusbser6k.sys [X]
2015-05-18 21:40 - 2015-05-18 21:41 - 00000000 ____ D () C:\Program Files (x86)\Crazy Score
EmptyTemp:
Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.
estima27
(Mateusz 62)
19 Maj 2015 23:14
#5
Dzięki. Zrobiłem Jak kazałeś.
Wstawiam FIXLOG: http://wklej.org/id/1716373/
oraz takiego screena, ponieważ gdy skanuje AVAST-em to pokazuje mi się dziwny przetwarzany plik.
Screen : http://postimg.org/image/9wwpt6qcz/
Proszę o odpowiedź czy wszystko gra i o co chodzi.
Atis
(Atis)
19 Maj 2015 23:37
#6
estima27
(Mateusz 62)
20 Maj 2015 08:54
#7
Podczas instalacji tego avast wykrywa mi to jako zagrożenie cały czas.
Atis
(Atis)
20 Maj 2015 09:39
#8
Kto Ci kazał coś instalować?
Na stronie masz informację o pliku.
Przestań wreszcie bezmyślnie klikać i wszystko instalować.
estima27
(Mateusz 62)
20 Maj 2015 09:45
#9
Ok. i co mam zrobić z tą informacją ?
P.s
W tym ss chodziło mi o to, iż po Przetwarzane Pliki jest najpierw SVC a dopiero potem C:\
estima27
(Mateusz 62)
21 Maj 2015 18:25
#10
Wstawiam nowe raporty z OTL i FRST . Da ktoś znać czy wszystko ok i jeśli coś jest to co do zrobienia ?
OTL: http://wklej.org/id/1717876/
Extras: http://wklej.org/id/1717880/
FRST: http://wklej.org/id/1717882/
Addition: http://wklej.org/id/1717883/
Pozdrawiam !
Uruchomiło się narzędzie chkdsk, efekt
Wklej do notatnika:
CloseProcesses:
C:\found.0*
C:\AdwCleaner
C:\ProgramData\Norton
EmptyTemp:
Plik zapisz jako fixlist.txt i umieść w tym samym katalogu co FRST Uruchom FRST klikasz Fix Raport z usuwania pokaż na forum.
Do sprawdzenia dysk twardy CrystalDiskInfo
estima27
(Mateusz 62)
21 Maj 2015 20:25
#12
Wklej do notatnika:
CloseProcesses:
C:\found.001
C:\found.000
EmptyTemp:
Plik zapisz jako fixlist.txt i umieść w tym samym katalogu co FRST Uruchom FRST klikasz Fix Raport z usuwania pokaż na forum. Usuń folder C:\FRST
estima27
(Mateusz 62)
21 Maj 2015 21:14
#14
Raport z usuwania: http://wklej.org/id/1718041/
Folder usunięty.
Pytanko już ostatnie czy to wszystko, wirus został usunięty ?