Pozostałości po usuniętym syfie
#1
5 lat temu uratowaliście mnie przed zrobieniem formata. Liczę, że poratujecie mnie jeszcze raz.
Złapałem jakiegoś chamskiego wirusa: od razu zaczął instalować kilka śmieci, tu jakaś gównogierka, tam jakiś toolbar, w dodatku ciągle próbował wejść na jakąś stronę (na szczęście antywirus to zablokował). Ręcznie to wszystko usunąłem, a następnie przeleciałem kilka razy Malwarebytesem, ADWcleanerem, ,roguekillerem, spybotem i windows defenderem i zresetowałem plik hosts (bo ważył z 8 MB, a wcześniej go nie edytowałem). Wydawałoby się, że już po wszystkim, gdyby nie to, że na niektórych stronach mam reklamy (podczas gdy na tych stronach nie ma normalnie reklam). Reklamy te kierują na stronę feed.exssmith.com/coś tam coś tam. Podejrzewam, że nie udało mi się usunąć tego g**** do końca.

Logi:
FRST - http://pastebin.pl/view/9521c541
Addition - http://pastebin.pl/view/5efede93
Shortcut - http://pastebin.pl/view/b7d3dc11

EDIT: Aha, i SpyBot ciągle mi znajduje kilka rzeczy. Usuwam je, a w kolejnych skanowaniu znowu je wykrywa.
EDIT2: Rozwiązałem problem z reklamami. Okazało się, że wirus zainstalował dwie wtyczki do przeglądarki. Ta druga, która odpowiadała za reklamy, była ukryta, przez co skupiłem się tylko na tej nieukrytej. Mimo to prosiłbym o sprawdzenie logów.
Odpowiedz
#2
Wszystko te dodatki wywal:

OPR Extension: (AdBlocker for Facebook) - C:\Users\Mido\AppData\Roaming\Opera Software\Opera Stable\Extensions\aajjigceanbgcbcdlemoheclaealfgkm [2018-06-14]
OPR Extension: (AdBlocker for Facebook) - C:\Users\Mido\AppData\Roaming\Opera Software\Opera Stable\Extensions\ccbdoklfbpcifppcfahmmpmbkfdjjccm [2018-06-14]
OPR Extension: (AdBlocker for Facebook) - C:\Users\Mido\AppData\Roaming\Opera Software\Opera Stable\Extensions\ccnckbpmaceehanjmeomladnmlffdjgn [2018-06-14]
OPR Extension: (AdBlocker for Facebook) - C:\Users\Mido\AppData\Roaming\Opera Software\Opera Stable\Extensions\djdmadneanknadilpjiknlnanaolmbfk [2018-06-14]
OPR Extension: (Tab Auto Refresh) - C:\Users\Mido\AppData\Roaming\Opera Software\Opera Stable\Extensions\filddmgeklidnenaibigmjeopkaccljm [2018-06-14]
OPR Extension: (System Table) - C:\Users\Mido\AppData\Roaming\Opera Software\Opera Stable\Extensions\fklnhhlgonmaiddgllfeppnpdpohkilk [2018-06-14]
OPR Extension: (Stop AutoPlay Next for YouTube) - C:\Users\Mido\AppData\Roaming\Opera Software\Opera Stable\Extensions\gapabmkpmidbcacmidoiheaanbbpdbjk [2018-06-14]
OPR Extension: (SmoothScroll) - C:\Users\Mido\AppData\Roaming\Opera Software\Opera Stable\Extensions\giapppmfepkcnkmphikjdibgekehlfhj [2018-06-14]
OPR Extension: (AdBlocker for Facebook) - C:\Users\Mido\AppData\Roaming\Opera Software\Opera Stable\Extensions\gjpihpkhgfngnbhhfdehlcmgfahbciip [2018-06-14]
OPR Extension: (I don't care about cookies) - C:\Users\Mido\AppData\Roaming\Opera Software\Opera Stable\Extensions\iambaeepkgdclnmbfdnnohkjjpdglbeo [2018-06-14]
OPR Extension: (AdF.ly Skipper 2015) - C:\Users\Mido\AppData\Roaming\Opera Software\Opera Stable\Extensions\ihbiepdchiclpglbpelcmjdkpogcgjco [2018-06-14]
OPR Extension: (Disable HTML5 Autoplay) - C:\Users\Mido\AppData\Roaming\Opera Software\Opera Stable\Extensions\jbinbhipioellbajhbkjlpioadehpfdj [2018-06-14]
OPR Extension: (User-Agent Switcher) - C:\Users\Mido\AppData\Roaming\Opera Software\Opera Stable\Extensions\jikibpedldihacokaanimbcjipghbloo [2018-06-14]
OPR Extension: (AdBlocker for Facebook) - C:\Users\Mido\AppData\Roaming\Opera Software\Opera Stable\Extensions\keoanijiealjeplfaflkcgijnnflaine [2018-06-14]
OPR Extension: (Tampermonkey) - C:\Users\Mido\AppData\Roaming\Opera Software\Opera Stable\Extensions\mfdhdgbonjidekjkjmjaneanmdmpmidf [2018-06-14]
OPR Extension: (Flash Video Downloader (FVD)) - C:\Users\Mido\AppData\Roaming\Opera Software\Opera Stable\Extensions\neacgcjokggofibnbfapeaejhclmpple [2018-06-14]
OPR Extension: (Your Quality for YouTube) - C:\Users\Mido\AppData\Roaming\Opera Software\Opera Stable\Extensions\nfcilgimggemnogfigihdkmapdhhlbph [2018-06-14]
OPR Extension: (IP Address and Domain Information) - C:\Users\Mido\AppData\Roaming\Opera Software\Opera Stable\Extensions\nihdkclnhikkafmhcdfenecgbabjjfmg [2018-06-14]

Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:

Kod:
CreateRestorePoint:
Winlogon\Notify\SDWinLogon-x32: SDWinLogon.dll [X]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\$McRebootA5E6DEAA56$.lnk [2018-06-13]
ShortcutTarget: $McRebootA5E6DEAA56$.lnk ->  (Brak pliku)
BootExecute: autocheck autochk * sdnclean64.exe
HKU\S-1-5-21-2383447445-620778322-3345763141-1002\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://dell17win10.msn.com/?pc=DCTE
SearchScopes: HKU\S-1-5-21-2383447445-620778322-3345763141-1002 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
Handler: WSKVAllmytubechrome - Brak wartosci CLSID
S3 HfAudio; \SystemRoot\system32\DRIVERS\HfAudio.sys [X]
S3 ScrHIDDriver; \SystemRoot\system32\DRIVERS\ScrHIDDriver.sys [X]
C:\Users\Mido\AppData\Roaming\w4cpowpedrc
C:\Users\Mido\AppData\Roaming\vtvnzj2de0i
C:\Users\Mido\AppData\Roaming\13ve3dgkwgc
C:\ProgramData\Arkei-703a78bc-2678-480e-b83b-8f0e65801582
C:\Users\Mido\AppData\Roaming\p02dnkoeuf5
C:\Users\Mido\AppData\Roaming\kw5unohkjfd
C:\Program Files\DXP5YQL0H4
C:\Program Files\8HU722WRE8
C:\Program Files (x86)\eCCFSA
CustomCLSID: HKU\S-1-5-21-2383447445-620778322-3345763141-1002_Classes\CLSID\{0E270DAA-1BE6-48F2-AC49-4D90DC8C3BD0}\InprocServer32 -> %%systemroot%%\system32\shell32.dll => Brak pliku
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> Brak pliku
Task: {0F7B7482-4A9B-4C26-9509-FB26E4909965} - System32\Tasks\AdobeAAMUpdater-1.0-MIDO-Mido => C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe [2018-04-11] (Adobe Systems Incorporated)
Task: {11EF78D9-CC73-4E11-9153-CFCC5322EE3A} - System32\Tasks\Safer-Networking\Spybot - Search and Destroy\Check for updates => C:\Program Files (x86)\Spybot - Search & Destroy 2\SDUpdate.exe [2018-04-20] (Safer-Networking Ltd.)
Task: {E6BBC0FE-EE34-477F-8A6A-EE82B3A72E20} - System32\Tasks\Dell SupportAssistAgent AutoUpdate => C:\Program Files\Dell\SupportAssistAgent\bin\SupportAssistInstaller.exe [2018-06-05] (Dell Inc.)
EmptyTemp:

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt przedstaw go.
Odpowiedz
#3
Mam usunąć prawie wszystkie moje wtyczki? A mogę je później zainstalować ponownie?
Odpowiedz
#4
Tak usuń je a potem jak chcesz to dobierz je starannie z oryginalnego źródła. Po za tym tyle wtyczek generować może różne problemy.
Odpowiedz
#5
"Z oryginalnego źródła"? Wszystkie pobrałem z oficjalnych repozytoriów opery/chrome. Na drugim komputerze używam ich od lat. Co z nimi jest nie tak?
Odpowiedz
#6
Możesz pokazać choćby jedno źródło z tych usuniętych ?
Odpowiedz
#7
https://addons.opera.com/pl/extensions/d...hscroll-3/
Odpowiedz
#8
Poczekaj to posegreguje to jeszcze raz bo po nazwie to nic nie znaczy, akurat to jest ok, ale google nic nie znajduje.
Odpowiedz
#9
Spoko Tongue
Póki co jeszcze nic nie zrobiłem.
Odpowiedz
#10
Nie wiem dlaczego wylistowane dodatki:
OPR Extension: (AdBlocker for Facebook) - C:\Users\Mido\AppData\Roaming\Opera Software\Opera Stable\Extensions\ccbdoklfbpcifppcfahmmpmbkfdjjccm [2018-06-14]
OPR Extension: (AdBlocker for Facebook) - C:\Users\Mido\AppData\Roaming\Opera Software\Opera Stable\Extensions\ccnckbpmaceehanjmeomladnmlffdjgn [2018-06-14]
OPR Extension: (AdBlocker for Facebook) - C:\Users\Mido\AppData\Roaming\Opera Software\Opera Stable\Extensions\djdmadneanknadilpjiknlnanaolmbfk [2018-06-14]

są tak nazwane bo jest to co innego

Powiem tak sprawdzaj w dodatkach w operze jak chrome wpisując to: ccbdoklfbpcifppcfahmmpmbkfdjjccm jeśli będzie to zostaw jeśli nie to usuń.
Odpowiedz
#11
ccbdoklfbpcifppcfahmmpmbkfdjjccm to Turn off the lights
ccnckbpmaceehanjmeomladnmlffdjgn to Bitwarden
djdmadneanknadilpjiknlnanaolmbfk to Copy all URLs

Nie wiem, co jest grane.
Odpowiedz
#12
No a frst listuje to jak podałem (AdBlocker for Facebook)

Czyli zrób tak jak napisałem, jak jest to zostaw jak nie to usuń. Fix ogólnie możesz wykonać, najlepiej po usunięciu ewentualnych niechcianych dodatków.
Odpowiedz
#13
Mógłbyś bardziej łopatologicznie? Nie do końca rozumiem, co masz na myśli. Chodzi o to, żebym sprawdzał te ciągi znaków w przeglądarce i jak pod którymś nie znajdzie żadnej wtyczki, to mam wejść do tego folderu i to usunąć?
Odpowiedz
#14
(14.06.2018, 23:55)Kliko napisał(a): Chodzi o to, żebym sprawdzał te ciągi znaków w przeglądarce i jak pod którymś nie znajdzie żadnej wtyczki, to mam wejść do tego folderu i to usunąć?

Tak i usuń te dodatki w przeglądarce. Ten ciąg to identyfikator aplikacji.
Odpowiedz
#15
Jeśli nie znajdzie w przeglądarce wtyczki pod danym ciągiem, to jak mam ją usunąć?
Odpowiedz
#16
Szukasz tak wpisująć adres https://addons.opera.com/pl/search/ następnie w szukajce wpisujesz ten identyfikator, a usuwasz tak:

[Obrazek: Ja0s6q3.jpg]
Odpowiedz
#17
Nie znajduje tylko tego fklnhhlgonmaiddgllfeppnpdpohkilk. System table to była właśnie ta wtyczka, która dodała mi reklamy.
Odpowiedz
#18
To dobrze. Tak więc w taki sposób się powinno eliminować niepożądane dodatki. Jeśli odpowiada reszta to je zostaw, chociaż moim zdaniem i tak jest ich trochę dużo.
Odpowiedz
#19
http://pastebin.pl/view/70ca7181

Przy okazji - które programy polecasz do skanowania? W pierwszym poście wymieniłem 5, ale chyba aż tylu nie potrzeba?
Odpowiedz
#20
I jak?
Odpowiedz




Użytkownicy przeglądający ten wątek: 1 gości