Skocz do zawartości

Czerwona kropka Facebook


Suerav

Rekomendowane odpowiedzi

Witam,

komputer został zainfekowany przez taką złowieszczą kropkę http://scr.hu/0qca1/5ahss

prawdopodobnie chodzi o to
 
Po ręcznym usunięciu wszystkich rozszerzeń jedno wraca po każdym uruchomieniu facebooka
 
skanowałem komputer poprzez

AdwCleaner - wykrył kilka pup - usunięte

MBAM - komunikat: http://scr.hu/0qca1/1agkm więc spróbowałem MBAR

MBAR - jednak nic nie wykrył wróciłem do MBAM - nic nie wykrył

 

Addition.txt

FRST.txt

Shortcut.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Poradnikiem z DP proszę się nie sugerować, nie wiadomo jak infekcje integruję w przeglądarce - instalacja rozszerzenia to może być zmiana zewnętrzna, a za nią może iść szereg innych zmian. Wymagana jest kompleksowa deinstalacja przeglądarki i postawienie jej na nowo. Oprócz tego system będzie sprzątany z resztek po odinstalowanym wcześniej oprogramowaniu. 

 

Rozumiem, że MBAM uruchamia się bez przeszkód? 

 

1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:

 

CloseProcesses:
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia 
HKU\S-1-5-21-3323102121-1666990563-3921265713-1000\Software\Microsoft\Internet Explorer\Main,Start Page =
S3 Disc Soft Lite Bus Service; "d:\Program Files\DAEMON Tools Lite\DiscSoftBusService.exe" [X]
ShellIconOverlayIdentifiers: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Brak pliku
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Windows Kits\Windows Software Development Kit\Documentation for Desktop Apps.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Windows Kits\Windows Software Development Kit\Documentation for Windows Store Apps.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Windows Kits\Windows Software Development Kit\Samples for Desktop Apps.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Windows Kits\Windows Software Development Kit\Samples for Windows Store Apps.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Windows Kits\Windows Software Development Kit\Tools for Desktop Apps.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Windows Kits\Windows Software Development Kit\Tools for Windows Store Apps.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes Anti-Malware\Deinstalacja programu Malwarebytes Anti-Malware.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes Anti-Malware\Malwarebytes Anti-Malware.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes Anti-Malware\Tools\Malwarebytes Anti-Malware Chameleon.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\JetBrains\IntelliJ IDEA Community Edition 2016.2.5.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AVG Zen\AVG.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Atlassian\SourceTree\Check For Updates.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Atlassian\SourceTree\SourceTree.lnk
C:\Users\Dominika\Links\studia-pk-mp-lab-projekt.lnk
C:\Users\Dominika\AppData\Roaming\Microsoft\Word\MIMJESTFAJNENO1306241710545687213\MIMJESTFAJNENO1.doc.lnk
C:\Users\Dominika\AppData\Roaming\Microsoft\Office\Niedawny\15d1c012fddd7e815df3eb7c5c4b0435.LNK
C:\Users\Dominika\AppData\Roaming\Microsoft\Office\Niedawny\790ca457c73f73a91368711f4278c749.LNK
C:\Users\Dominika\AppData\Roaming\Microsoft\Office\Niedawny\exe_wd_1.LNK
C:\Users\Dominika\AppData\Roaming\Microsoft\Office\Niedawny\Formularz zgloszenia kandydata - I stopien.LNK
C:\Users\Dominika\AppData\Roaming\Microsoft\Office\Niedawny\info (1).LNK
C:\Users\Dominika\AppData\Roaming\Microsoft\Office\Niedawny\info.LNK
C:\Users\Dominika\AppData\Roaming\Microsoft\Office\Niedawny\plakat-na-inaugurację.LNK
C:\Users\Dominika\AppData\Roaming\Microsoft\Office\Niedawny\plan lekcji.LNK
C:\Users\Dominika\AppData\Roaming\Microsoft\Office\Niedawny\Test1.LNK
C:\Users\Dominika\AppData\Roaming\Microsoft\Office\Niedawny\wz13.LNK
C:\Users\Dominika\AppData\Roaming\Microsoft\Office\Niedawny\wz5.LNK
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\Users\Dominika\AppData\Local\Mozilla
C:\Users\Dominika\AppData\Roaming\Mozilla
C:\Users\Dominika\AppData\Roaming\Profiles
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt

 

2. Kompleksowo przeinstaluj przeglądarkę Google Chrome:

  • Upewnij się, że nie masz włączonej synchronizacji, która załaduje złe ustawienia z serwera po reinstalacji przeglądarki: KLIK.
  • Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML.
  • Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki.
  • Zainstaluj najnowszą stabilną wersję Google Chrome: KLIK.
3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt. Sprawdź również czy infekcja ustąpiła.
Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...