Zawirusowany komputer, Logi

kargulec10 · 9 Marzec 2015 22:06

Od razu się przyznam, że cały syf powstał z lewego aktywatora systemu Główne objawy to zablokowany internet i lewa strona startowa przeglądarki, z tym już się uporałem, ale mogło coś pozstać. Prosiłbym o przejżenie i ew. pomoc. Z góry dziękuję

Farbar Recovery:

Additional: http://www.wklej.org/id/1658671/

FRST: http://www.wklej.org/id/1658672/

OTL: http://www.wklej.org/id/1658654/

Extras:http://www.wklej.org/id/1658656/

CCC: http://www.wklej.org/id/1658652/

Malwarebytes: http://www.wklej.org/id/1658650/

Mój antywirus: 360 Internet Security:

http://www.wklej.org/id/1658640/

http://www.wklej.org/id/1658641/

http://www.wklej.org/id/1658644/

Kaspersky Rescue Disk: http://www.wklej.org/id/1658633/

Kaspersky TDSS Killer: http://www.wklej.org/id/1658630/

krzych5610 · 10 Marzec 2015 08:37

Wklej do systemowego notatnika i zapisz jako fixlist:

CloseProcesses: HKLM-x32…\Run: [WinCheck] => C:\Users\Karol\AppData\Local\03000200-1425829228-0500-0006-000700080009\bnsgAD73.exe HKLM-x32…\Run: [] => [X] CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION StartMenuInternet: IEXPLORE.EXE - iexplore.exe FF Homepage: about:home FF Extension: No Name - C:\Users\Karol\AppData\Roaming\Mozilla\Firefox\Profiles\qt8dsr87.default\extensions\webshield@360safe.com [Not Found] FF Extension: No Name - C:\Users\Karol\AppData\Roaming\Mozilla\Firefox\Profiles\qt8dsr87.default\extensions{5b303874-c8e2-3c24-9789-b44b0ecc7ba9} [Not Found] CHR dev: Chrome dev build detected! <======= ATTENTION S2 BasementDuster; No ImagePath S2 gopojeli; No ImagePath S2 leqeliwy; No ImagePath S2 moquwope; C:\Users\Karol\AppData\Roaming\03000200-1425825582-0500-0006-000700080009\jnsn4176.tmp [X] S2 niropugi; C:\Users\Karol\AppData\Roaming\03000200-1425825582-0500-0006-000700080009\nsj1148.tmpfs [X] S2 soneleri; C:\Users\Karol\AppData\Local\03000200-1425829368-0500-0006-000700080009\cnsiD4D8.tmp [X] 2015-03-08 22:18 - 2015-03-08 22:18 - 00000000 ____D () C:\CCE_Quarantine 2015-03-08 16:11 - 2015-03-08 16:11 - 00000004 _____ () C:\Windows\SysWOW64\029B560A371F4E00AB32838EBC01B9E7 2015-03-08 16:10 - 2015-03-08 16:10 - 00000000 ____D () C:\Windows\LastGood.Tmp 2015-03-08 16:07 - 2015-03-09 19:05 - 00001346 _____ () C:\Windows\Tasks\KTNQIN.job 2015-03-08 16:07 - 2015-03-09 19:05 - 00001342 _____ () C:\Windows\Tasks\TGCB.job 2015-03-08 15:59 - 2015-03-08 16:59 - 00000000 ____D () C:\ProgramData{6f35d918-d76a-0795-6f35-5d918d766463} 2015-03-08 15:59 - 2015-03-08 16:50 - 00000000 ____D () C:\ProgramData{29c97903-7ae7-02b1-29c9-979037aee40d} 2015-03-08 15:52 - 2015-03-08 16:59 - 00000000 ____D () C:\Users\Karol\AppData\Local\SmartWeb 2015-03-08 15:40 - 2015-03-09 22:00 - 00001342 _____ () C:\Windows\Tasks\CFTQ.job 2015-03-08 15:40 - 2015-03-09 19:05 - 00001340 _____ () C:\Windows\Tasks\JMM.job 2015-03-08 15:39 - 2015-03-08 20:21 - 00000000 ____D () C:\Users\Karol\AppData\Roaming\03000200-1425825582-0500-0006-000700080009 2015-03-08 14:24 - 2015-03-09 22:29 - 00001054 _____ () C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job 2015-03-08 14:24 - 2015-03-09 19:05 - 00001050 _____ () C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job 2015-03-08 14:24 - 2015-03-08 14:24 - 00004026 _____ () C:\Windows\System32\Tasks\GoogleUpdateTaskMachineUA 2015-03-08 14:24 - 2015-03-08 14:24 - 00003790 _____ () C:\Windows\System32\Tasks\GoogleUpdateTaskMachineCore 2015-03-08 13:14 - 2015-03-08 13:14 - 00000000 ____D () C:\ProgramData{BAF091CA-86C4-4627-ADA1-897E2621C1B0} Hosts: Task: {045C2B79-D4A8-417B-96DA-C487B0502EAB} - \SmartWeb Upgrade Trigger Task No Task File <==== ATTENTION Task: {11879034-D50C-4DA8-A7A8-882496706CBF} - \RegClean Pro No Task File <==== ATTENTION Task: {38CC1484-671D-4976-B910-6393D06AB563} - \TGCB No Task File <==== ATTENTION Task: {59336FD5-BF14-487E-96C7-85F8119F34B6} - \temp_6bb851e6-3b61-4e85-aa59-158a1dd414ec-1-6 No Task File <==== ATTENTION Task: {A19C6BF6-49C1-46BE-8363-33C80B67665B} - \KTNQIN No Task File <==== ATTENTION Task: {C4E9B967-69EC-4021-BCF8-2242248655B8} - \temp_1351914c-bd99-4429-a881-cfcb35b1d2e4-1-6 No Task File <==== ATTENTION Task: {CCCC23B7-C08F-415D-A649-5E943D3877BE} - \CFTQ No Task File <==== ATTENTION Task: {DEBC29EA-8E0D-43FA-9286-67AD661C9A8B} - \JMM No Task File <==== ATTENTION Task: {E1304710-8FD9-40C4-94A6-B5F9409B9E62} - \temp_463c19fd-6932-460c-bce9-230a19ad9ddd-1-6 No Task File <==== ATTENTION Task: C:\Windows\Tasks\CFTQ.job => C:\Users\Karol\AppData\Roaming\CFTQ.exe <==== ATTENTION Task: C:\Windows\Tasks\JMM.job => C:\Users\Karol\AppData\Roaming\JMM.exe <==== ATTENTION Task: C:\Windows\Tasks\KTNQIN.job => C:\Users\Karol\AppData\Roaming\KTNQIN.exe <==== ATTENTION Task: C:\Windows\Tasks\TGCB.job => C:\Users\Karol\AppData\Roaming\TGCB.exe <==== ATTENTION HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\65411535.sys => “”=“Driver” HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\94112183.sys => “”=“Driver” HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\CleanHlp => “”=“Driver” HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\CleanHlp.sys => “”=“Driver” HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\65411535.sys => “”=“Driver” HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\94112183.sys => “”=“Driver” HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\BasementDuster => “”=“service” HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\CleanHlp => “”=“Driver” HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\CleanHlp.sys => “”=“Driver” HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\str => “”=“service” EmptyTemp: Plik fixlist.txt umieść razem ze skanerem FRST. Uruchom skaner i wykonaj polecenie FIX. Po restarcie pokaż fixlog i aktualny FRST.

kargulec10 · 10 Marzec 2015 09:22

Fixlog: http://wklej.to/uIN3i

FRST: http://wklej.to/dPy6i

krzych5610 · 10 Marzec 2015 12:32

Za pomocą IObit Uninstaller odinstaluj:

kargulec10 · 10 Marzec 2015 13:10

Ok. Wszystko zrobiłem, niepoki mnie tylko jeden program, który nadal widnieje na liście w iobit uinstaller. Mianowicie HQCinema Pro, podczas skanowania ten program był wiele razy usuwany i teraz jak chcę go odinstalować to iobit uinstaller się wyłącza. Nw. czy to wina tego, że programu już nie ma, czy wina tego, że on blokuje dezinstalacje.

krzych5610 · 10 Marzec 2015 14:55

Odinstaluj HQCinema Pro za pomocą dodaj / usuń programy Windows

Zresetuj ustawienia przeglądarek: IE, Firefox i Chrome.

W przypadku Firefox reset wykonasz -> Otwórz menu / Pomoc (?) / Informacje dla pomocy technicznej // Odświerz Firefox ( zostanią przywrócone ustawienia startowe )

Podobnie należy postąpić w przypadku pozostałych przeglądarek.

Przeskanuj za pomocą Malwarebytes - http://www.dobreprogramy.pl/Malwarebytes-AntiMalware,Program,Windows,13117.html

i HitmanPro.- http://www.dobreprogramy.pl/HitmanPro,Program,Windows,30968.html

Uruchom ponownie instalator Iobit. W trakcie uruchamiania odznacz pozycję dotyczącą instalowania dodatków.

Powinien się zainstalować tylko Iobit Uninstaller.

Pokaż ponownie aktualne raporty FRST.

kargulec10 · 19 Kwiecień 2015 09:36

Nie robiłem już nic dalej oprócz resetu przeglądarek i ponownego skanu jakiś miesiąc temu, skany nic nie wykryły. Ostatnio antywirus przyblokował jakieś infekcje, dzisiaj nie mogłem uruchomić systemu i potrzebne było przywracanie. W związku z tym nie jestem pewny czy nie mam jakiegoś syfu. HQCinema nie da się usunąć, prawdopodobnie usunął go antywirus lecz nadal w widnieje na liście zainstalowanych. Prosiłbym o przejrzenie, za ewentualną pomoc z góry dzięki

Addition: http://www.wklej.org/id/1691502/

Shortcut: http://www.wklej.org/id/1691503/

FRST: http://www.wklej.org/id/1691504/

Extras: http://www.wklej.org/id/1691507/

OTL: http://www.wklej.org/id/1691508/

Acorus · 19 Kwiecień 2015 10:14

Otwórz notatnik systemowy i wklej:

Task: {7BAB6A97-0B8B-4095-96FB-6725CD12010F} - \GoogleUpdateTaskMachineUA No Task File ==== ATTENTION
Task: {B71EF803-CBEF-413F-9A8D-36F0DDE11009} - \GoogleUpdateTaskMachineCore No Task File ==== ATTENTION
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfehidk = ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfehidk.sys = ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfetdi2k = ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfetdi2k.sys = ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfevtp = ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\str = ""="service"
HKLM\...\Run: [RtHDVCpl] = C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe [13774040 2015-03-08] (Realtek Semiconductor)
SearchScopes: HKU\S-1-5-21-735639597-2849891065-2761791792-1001 - {8FF01CBF-2DB1-4368-A1E6-5468203C1E1F} URL = https://search.yahoo.com/search?fr=chr-greentree_ieei=utf-8ilc=12type=227087p={searchTerms}
FF SearchPlugin: C:\Users\Karol\AppData\Roaming\Mozilla\Firefox\Profiles\qt8dsr87.default\searchplugins\yahoo_ff.xml [2015-03-29]
CHR Extension: (Bookmark Manager) - C:\Users\Karol\AppData\Local\Google\Chrome\User Data\Default\Extensions\gmlllbghnfkpflemihljekbapjopfjik [2015-04-08]
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.

kargulec10 · 19 Kwiecień 2015 10:32

Fixlog: http://www.wklej.org/id/1691545/

Acorus · 19 Kwiecień 2015 10:38

Skasuj folder C:\FRST.

kargulec10 · 19 Kwiecień 2015 10:40

Ok. Dzięki za pomoc