Skocz do zawartości

Avira wykrywa crypt.cfi.56/staser A.A 2


Rekomendowane odpowiedzi

Witam,

 

Avira wykryła u mnie wirusy  crypt.cfi.56,  staser A.A 2 oraz InstallCore gen 7

dodatkowo jako domyślna wyszukiwarka w chromie ustawiona jest hxxp://search.globososo.com/web?hl=pl&q=test w pasku zakładek pojawił się też" lightningnewtab" - odnośnik nie prowadzi do żadnej strony 

 

Zamieszczam logi. Z góry dziękuje za pomoc!

OTL.Txt

Extras.Txt

log.txt

FRST.txt

Addition.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

1. Przez Panel sterowania odinstaluj adware DProtect. W Google Chrome odinstaluj w Rozszerzeniach Lightning Newtab, skoro mówisz, że pojawił się "samodzielnie".

 

2. Pobierz od nowa FRST (jest nowsza wersja). Otwórz Notatnik i wklej w nim:

 

HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.qvo6.com/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=hp&from=cor&uid=HitachiXHTS543225L9SA00_080826FB0F00LLGK189BX&ts=1380038773
HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.qvo6.com/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=hp&from=cor&uid=HitachiXHTS543225L9SA00_080826FB0F00LLGK189BX&ts=1380038773
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.qvo6.com/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=hp&from=cor&uid=HitachiXHTS543225L9SA00_080826FB0F00LLGK189BX&ts=1380038773
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.qvo6.com/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=hp&from=cor&uid=HitachiXHTS543225L9SA00_080826FB0F00LLGK189BX&ts=1380038773
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.qvo6.com/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=sc&from=cor&uid=HitachiXHTS543225L9SA00_080826FB0F00LLGK189BX&ts=1380038773
SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.qvo6.com/web/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=ds&from=cor&uid=HitachiXHTS543225L9SA00_080826FB0F00LLGK189BX&ts=1380038779&type=default&q={searchTerms}
SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.qvo6.com/web/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=ds&from=cor&uid=HitachiXHTS543225L9SA00_080826FB0F00LLGK189BX&ts=1380038779&type=default&q={searchTerms}
SearchScopes: HKCU - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.qvo6.com/web/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=ds&from=cor&uid=HitachiXHTS543225L9SA00_080826FB0F00LLGK189BX&ts=1380038779&type=default&q={searchTerms}
SearchScopes: HKCU - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.qvo6.com/web/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=ds&from=cor&uid=HitachiXHTS543225L9SA00_080826FB0F00LLGK189BX&ts=1380038779&type=default&q={searchTerms}
Toolbar: HKCU - No Name - {41564952-412D-5637-00A7-7A786E7484D7} - No File
CHR StartMenuInternet: Google Chrome - C:\Program Files\Google\Chrome\Application\chrome.exe http://www.qvo6.com/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=sc&from=cor&uid=HitachiXHTS543225L9SA00_080826FB0F00LLGK189BX&ts=1380043353
2013-09-24 18:06 - 2013-09-24 19:29 - 00000000 ____D C:\Users\slimosolo\AppData\Local\DProtect
2013-09-24 18:05 - 2013-09-24 18:05 - 00581488 _____ C:\Users\slimosolo\Downloads\SharePod 3.9.9_isdmgr.exe

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

3. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania.

 

4. Uruchom TFC - Temp Cleaner.

 

5. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt i log z AdwCleaner.

 

 

 

 

.

Odnośnik do komentarza

Usuwane adware DProtect jest nadal w logu, tak jakby pojawiło się ponownie.

 

1. Odinstaluj DProtect (o ile widoczne na liście).

 

2. Wyczyść Google Chrome:

  • Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie włącz.
  • Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > na liście ustaw Google jako domyślną, po tym skasuj z listy qvo6.
  • Ustawienia > karta Historia > wyczyść
3. Zastosuj ponownie AdwCleaner.

 

4. Zrób nowy skan FRST (bez Addition). Dołącz nowy log AdwCleaner.

 

 

 

.

Odnośnik do komentarza

Trzeba dokończyć to ręcznie.

 

1. Otwórz Notatnik i wklej w nim:

 

C:\Users\slimosolo\AppData\Local\DProtect
AppInit_DLLs: C:\Users\SLIMOS~1\AppData\Local\DProtect\eBP.dll,C:\Users\SLIMOS~1\AppData\Local\DProtect\eBPSD.dll [ 2013-08-13] ()
SearchScopes: HKLM - DefaultScope value is missing.
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
CMD: for /d %f in (C:\Users\slimosolo\AppData\Local\{*}) do rd /s /q "%f"

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt.

 

 

 

.

Odnośnik do komentarza

Zakończ sprawy:

 

1. Drobna poprawka na dostawcę wyszukiwania w IE (widać ustawione Google z "urwanym" URL): Opcje internetowe > Programy > Zarządzanie dodatkami > Dostawcy wyszukiwania > ustaw jako domyślny np. Bing, a to poszkodowane Google usuń z listy.

 

2. Porządki po narzędziach: przez SHIFT+DEL skasuj folder C:\FRST, w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Porównaj co wymaga aktualizacji, ostatni Addition jest już relatywnie stary (pokazywał m.in. starą Java): KLIK.

 

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...