x-kom hosting

Xeeedxi - niezwykle uciążliwy gagatek

Twój_Anioł_Stróż
komentarz
komentarz (edytowane)

1) Otwórz Notatnik i wklej w nim:

RemoveDirectory: C:\Program Files (x86)\Kesertherstemosy


RemoveDirectory: C:\Program Files (x86)\Soting Mapper
RemoveDirectory: C:\Users\pwcek\AppData\Roaming\Xeeedxi
RemoveDirectory: c:\program files (x86)\doghtcerqesh
RemoveDirectory: C:\Users\pwcek\AppData\Roaming\Noguyplolersp
RemoveDirectory: C:\WINDOWS\system32\wapu
RemoveDirectory: C:\Program Files (x86)\UCBrowser
RemoveDirectory: C:\Users\pwcek\AppData\Local\UCBrowser
RemoveDirectory: C:\Users\pwcek\AppData\LocalLow\Company
RemoveDirectory: C:\Users\pwcek\AppData\Local\Tempfolder
RemoveDirectory: C:\Users\pwcek\AppData\Local\Ghtryfmertion
RemoveDirectory: C:\Program Files (x86)\baidu
RemoveDirectory: C:\Users\pwcek\AppData\Local\Bunryvuloght
AlternateDataStreams: C:\WINDOWS\system32\drivers:ucdrv-x64.sys [80850]
AlternateDataStreams: C:\WINDOWS\system32\drivers:x64 [364744]
AlternateDataStreams: C:\WINDOWS\system32\drivers:x86 [1176354]
KLM\...\Providers\m2yz90po: C:\Program Files (x86)\Soting Mapper\local64spl.dll [292352 2017-01-07] ()
ShellExecuteHooks: Brak nazwy - {9F757126-D0F0-11E6-86F5-64006A5CFC23} - C:\Users\pwcek\AppData\Roaming\Noguyplolersp\Nkghtthundom.dll -> Brak pliku
FF user.js: detected! => C:\Users\pwcek\AppData\Roaming\Mozilla\Firefox\Profiles\ow8artch.default\user.js [2017-01-07]
FF NewTab: Mozilla\Firefox\Profiles\ow8artch.default -> hxxp://www.trotux.com/?z=cbba7a8615623dc8fae510cg8z1bec4bfedb3w7c1m&from=isr&uid=SAMSUNGXHD322HJ_S17AJDWQ215381&type=hp
FF DefaultSearchEngine: Mozilla\Firefox\Profiles\ow8artch.default -> trotux
FF SelectedSearchEngine: Mozilla\Firefox\Profiles\ow8artch.default -> trotux
R2 Cegoe; C:\Users\pwcek\AppData\Roaming\Xeeedxi\Xeeedxi.exe [170496 2016-12-04] () [Brak podpisu cyfrowego]
R2 Fageshreoaly; C:\Program Files (x86)\Doghtcerqesh\LlpAgent.dll [184832 2017-01-07] () [Brak podpisu cyfrowego]
S2 Ilaaugca; "C:\Users\pwcek\AppData\Roaming\JucdiJhnoz\Rawei.exe" -cms [X]
C:\Users\pwcek\AppData\Roaming\Installer.dat
C:\Users\pwcek\AppData\Roaming\InstallationConfiguration.xml
C:\WINDOWS\System32\Tasks\Thizigethiveph Cloud
Task: {3D24C51F-3A8A-40E6-8675-1C67B00BCCD5} - \AutoPico Daily Restart -> Brak pliku <==== UWAGA
Task: {D526185E-4DF0-4BA4-A828-38FD6D354EE8} - System32\Tasks\Thizigethiveph Cloud => C:\Program Files (x86)\Kesertherstemosy\bopersh.exe [2017-01-07] (Glarysoft Ltd)
GroupPolicy: Ograniczenia - Windows Defender <======= UWAGA
C:\TOSTACK
C:\WINDOWS\Minidump\*.dmp
C:\Users\pwcek\AppData\Roaming\aliexpress.ico
C:\Users\pwcek\AppData\Roaming\booking.ico
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\KMSpico\AutoPico.lnk
HOSTS:
EmptyTemp:


Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix (NAPRAW).

 

2) Użyj RepairDNS > http://www.fixitpc.pl/topic/8-dezynfekcja-zbi%C3%B3r-narz%C4%99dzi-usuwaj%C4%85cych/#entry172749
Link zapasowy > http://www.mediafire.com/download/yedejtr7p4q36zm/RepairDNS.zip
Daj z tego raport.

 

3) Zrób nowe logi FRST - już bez Shortcut.

.

pwcek
komentarz
komentarz

Wygląda na to, że niepożądany proces zniknął

Addition.txt

FRST.txt

RepairDNS.txt

Twój_Anioł_Stróż
komentarz
komentarz (edytowane)

FOUND: C:\WINDOWS\SysWOW64\dnsapi.dll [496872]   =>Hijacker.DNS.Hosts

C:\WINDOWS\SysWOW64\dnsapi.dll
[2016-09-30 14:52] - [2017-01-07 18:18] - 0496872 ____A (Microsoft Corporation) D8161CEB1203459C4BA001B93D49B8FC

Ten plik Systemowy jest dalej zarażony, ma nieprawidłową sumę Md5.

 

1) Otwórz Notatnik i wklej w nim:

Replace: C:\WINDOWS\winsxs\wow64_microsoft-windows-dns-client-minwin_31bf3856ad364e35_10.0.14393.206_none_d9e49b24f54f762c\dnsapi.dll C:\Windows\SysWOW64\dnsapi.dll


Reg: reg add HKLM\SYSTEM\CurrentControlSet\Services\WdBoot /v Start /t REG_DWORD /d 0x0 /f
Reg: reg add HKLM\SYSTEM\CurrentControlSet\Services\WdFilter /v Start /t REG_DWORD /d 0x0 /f
Reg: reg delete "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender" /v DisableAntiSpyware /f
HKLM\...\Providers\m2yz90po: C:\Program Files (x86)\Soting Mapper\local64spl.dll
RemoveDirectory: C:\Program Files (x86)\Soting Mapper
EmptyTemp:


Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix (NAPRAW).

 

2) Zrób nowy log FRST - bez Addition, i bez Shortcut.

.

pwcek
komentarz
komentarz
Twój_Anioł_Stróż
komentarz
komentarz
Cytuj

C:\WINDOWS\SysWOW64\dnsapi.dll => Plik podpisany cyfrowo

Jest OK.

 

Chyba możemy kończyć:

Otwórz Notatnik i wklej w nim:

DeleteQuarantine:


Plik zapisz pod nazwą fixlist.txt i umieść obok FRST. Uruchom FRST i kliknij w Fix (NAPRAW).
przez SHIFT+DEL usuń pozostały folder C:\FRST.

 

W Adw-Cleaner kliknij u góry po lewej na PLIK, potem na ODINSTALUJ.

 

RepairDNS - usuń ręcznie.

pwcek
komentarz
komentarz

Fantastycznie, serdeczne dzięki!

Wciąż szukasz rozwiązania problemu? Napisz teraz na forum!

Możesz zadać pytanie bez konieczności rejestracji - wystarczy, że wypełnisz formularz.

×
×
  • Dodaj nową pozycję...

Powiadomienie o plikach cookie

Strona wykorzystuje pliki cookies w celu prawidłowego świadczenia usług i wygody użytkowników. Warunki przechowywania i dostępu do plików cookies możesz zmienić w ustawieniach przeglądarki.