Skocz do zawartości
XeRoX

Groźny syf

Rekomendowane odpowiedzi

Ehh... Nabawiłem się niezłego syfu. Jeden plik .exe z nieznanego źródła i mam takie problemy ;//

Na moim komputerze zainstalowało się chyba z 15 różnych programów typu "Przyśpiesz PC", "VuuVoo(czy jakoś tak)" i inne duperele... Od razu wiedziałem, że ostro zawirusowałem lapka, ale to mało, to co się stało z chromem to jakaś masakra, tyle wtyczek się zainstalowało, że aż głowa mała, ciągle otwierają się jakieś niechciane strony z toolbarami, chrome ciągle crashuje ale to jeszcze nic... Wirus odinstalował mi firefoxa i maxthona czyli moje pozostałe dwie przeglądarki... Nie wiem co to za wirus i kto go napisał ale jest wyjątkowo upierdliwy. Przy pierwszym skanowaniu Malwarebytsem miałem ok. 350 wirusów, wszystkie usunąłem (niestety nie mam logu), teraz gdy skanuję to jest ich kilka, ale po każdym restarcie komputera one wracają. Gdy używam AdwCleaner jest to samo.. Usuwa wirusy, ale po restarcie one już są na nowo. W dodatku ciągle w menedżerze zadań wyskakują mi jakieś nieporządane procesy i ciągle jakiś syf mi się próbuje instalować (okienka wyskakują z instalacją). Najbardziej uciążliwym gównem jest "NixSrv.exe", procesu nie da się zakończyć, folderu w którym znajduje się owy plik nie da się skasować. To musi gdzieś głęboko w rejestrze siedzieć. Oto wszystkie najnowsze logi:

 


FRST (i addition): http://wklej.to/cc5Lq


Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Otwórz Notatnik i wklej w nim:

 

C:\ProgramData\dell.dll
C:\ProgramData\mup.exe
C:\ProgramData\Setup.exe
C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat
 C:\Program Files\NixSrv\NixSrv.exe
globalupdate Helper (x32 Version: 1.3.25.0 - globalupdate Inc.) Hidden <==== ATTENTION
C:\Windows\SysWOW64\029B560A371F4E00AB32838EBC01B9E7
C:\ProgramData\update
C:\Program Files\NixSrv
S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X]
S3 tsusbhub; system32\drivers\tsusbhub.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
R2 NixSrv; C:\Program Files\NixSrv\NixSrv.exe [379392 2015-08-25] () [File not signed]
Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
GroupPolicyScripts: Group Policy detected <======= ATTENTION
C:\Users\Cystersi\AppData\Roaming\3euHbylEk
C:\Users\Cystersi\AppData\Roaming\MI9vkyyT5oqhIv6pY4
HKU\S-1-5-18\...\Run: [] => [X]
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix.
Powstanie plik fixlog.txt.
Daj ten log.

 

Odinstaluj program globalupdate Helper

 

Zrób nowe logi FRST.

 

jessi

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Gorące podziękowania!! Nie ma już niechcianych procesów przy starcie systemu i nie wyskakuje żadne adware z instalacją toolbarów natomiast po restarcie lapka znika mi ikonka Google Chrome z paska szybkiego urachamiania, strona startowa zmienia mi się na jakąś pseudo-wyszukiwarke.

Oto fixlog:

Fix result of Farbar Recovery Scan Tool (x64) Version:25-08-2015 02
Ran by Cystersi (2015-08-26 17:22:13) Run:1
Running from C:\Users\Cystersi\Desktop
Loaded Profiles: Cystersi (Available Profiles: Cystersi)
Boot Mode: Normal
==============================================

fixlist content:
*****************
C:\ProgramData\dell.dll
C:\ProgramData\mup.exe
C:\ProgramData\Setup.exe
C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat
 C:\Program Files\NixSrv\NixSrv.exe
globalupdate Helper (x32 Version: 1.3.25.0 - globalupdate Inc.) Hidden <==== ATTENTION
C:\Windows\SysWOW64\029B560A371F4E00AB32838EBC01B9E7
C:\ProgramData\update
C:\Program Files\NixSrv
S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X]
S3 tsusbhub; system32\drivers\tsusbhub.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
R2 NixSrv; C:\Program Files\NixSrv\NixSrv.exe [379392 2015-08-25] () [File not signed]
Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
GroupPolicyScripts: Group Policy detected <======= ATTENTION
C:\Users\Cystersi\AppData\Roaming\3euHbylEk
C:\Users\Cystersi\AppData\Roaming\MI9vkyyT5oqhIv6pY4
HKU\S-1-5-18\...\Run: [] => [X]
EmptyTemp:
*****************

C:\ProgramData\dell.dll => moved successfully
C:\ProgramData\mup.exe => moved successfully
C:\ProgramData\Setup.exe => moved successfully
C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat => moved successfully
C:\Program Files\NixSrv\NixSrv.exe => moved successfully
HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}\\SystemComponent => value removed successfully
C:\Windows\SysWOW64\029B560A371F4E00AB32838EBC01B9E7 => moved successfully
C:\ProgramData\update => moved successfully
C:\Program Files\NixSrv => moved successfully
Synth3dVsc => service removed successfully
tsusbhub => service removed successfully
VGPU => service removed successfully
NixSrv => Unable to stop service.
NixSrv => service removed successfully

========= reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes" /f =========

Operacja ukoäczona pomylnie.



========= End of Reg: =========


========= reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f =========

Operacja ukoäczona pomylnie.



========= End of Reg: =========


========= reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f =========

Operacja ukoäczona pomylnie.



========= End of Reg: =========

C:\Windows\system32\GroupPolicy\Machine => moved successfully
C:\Windows\system32\GroupPolicy\GPT.ini => moved successfully
"C:\Windows\system32\GroupPolicy\Machine" => File/Folder not found.
C:\Users\Cystersi\AppData\Roaming\3euHbylEk => moved successfully
C:\Users\Cystersi\AppData\Roaming\MI9vkyyT5oqhIv6pY4 => moved successfully
HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run\\ => value removed successfully
EmptyTemp: => 232.1 MB temporary data Removed.


The system needed a reboot.. 

==== End of Fixlog 17:22:22 ====

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Adw-Cleaner:

najpierw kliknij na SZUKAJ (SCAN), a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ (CLEANING), to kliknij na niego.

 

strona startowa zmienia mi się na jakąś pseudo-wyszukiwarke.

 

jeśli to dalej aktualne, to zrób nowe logi FRST.

i napisz, w której przeglądarce tak się dzieje

 

jessi

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Wiem, tak przecież, po restarcie lapka skanuję i znów jest to samo.

Problemy z Google Chrome póki co ustąpiły jednak ADW Cleaner pokazuje wirusa w owej przeglądarce.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
jednak ADW Cleaner pokazuje wirusa w owej przeglądarce.

 

Nie zwracaj na to uwagi, to tylko jakieś bzdury stworzone przez Adw-Cleaner.

 

jessi

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Witajcie, właśnie zaaplikowałem sobie to samo cholerstwo :( (część draństwa już wykarczowałem) ale  "NixSrv.exe" trzyma się mocno i zapycha mi procesy... niestety nie jestem tak ogarnięty żeby dłubać w logach jak mój przedmówca wiec potrzebowałbym pomocy jak dla " niepełnosprawnego"... :) krok po kroczku ... ktoś sie podejmie przeprowadzić starego dziadka przez to wszystko  ???

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się

  • Ostatnio przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników przeglądających tę stronę.

×
×
  • Dodaj nową pozycję...