Wpis z mikrobloga

Skopiuj link

06.09.2015, 14:50:07

Czołem cumple mirko hakierzy. Miał ktos z was problem z takim szpiegiem jak safesearch? Pobrałem jakiś program freeware i na stronach niektóre teksty były pogrubione a po najechaniu rozwijała się reklama + jakies inne reklamy na stronach. Programu nie było w procesach ani w dodatkach chrome. Po zresetowaniu chrome'a znowu się pojawił (te robale trzeba usunąć z rejestru bo potrafią się przywrócić). TYLKO spyhunter go wykryl (Windows defender to gUnwo). Nie wiem jak na innych systemach, ale teraz kryje się w rejestrze pod nazwą stpro.exe i params (znalazł jeszcze jakies tuneup pup). Po ręcznym usunieciu wpisów i wyczyszczeniu rejestru ccleanerem pojawił się jollywallet czyli wtyczka di zakupów prze Internet (tez szpieg) i DOPIERO W PONOWNYM SKANOWANIU spyhunter go zauważył wiec boje się ze jest jeszcze cos co mi pobiera ten syf. Niepokoi mnie również obecność w procesach WMI provder host bo on podobno może zostać zainfekowany. Bardzo proszę o pomoc ( ͡° ͜ʖ ͡°) teraz znalazło jakies opejob.exe, lot-trax.dll, statbam.dll

#windows #windows81 #pytanie #pomoc #safesearch #wirus #adware #pomocy #spyware #spyhunter #adwcleaner

k__d

06.09.2015, 14:51:50

@RedLine: Malwarebytes anti malware przeskanuj kilkukrotnie i jak po czyszczeniu dalej coś będzie to usuń i zainstaluj ponownie przeglądarkę

c.....k

konto usunięte 06.09.2015, 14:53:32

@RedLine: Adw cleaner i sprzatanie rejestr jakimś programem ale na początek malwarebytes

RedLine

06.09.2015, 14:57:15

@k__d: @cichy_brzek: problem w tym że malwarebytes nie widzi nic. Adwcleaner znalazł jakiś TweakBit. Musze znaleźć coś co wyczyści dobrze rejestr bo tak jak napisałem pomimo usunięcia programu on potrafi się przywrócić za pomocą wpisów w rejestrze. Nagle nowy wysyp podczas skanu spyhunterem (po restarcie). Nie mam już do tego siły. To #!$%@?ństwo jest jak mityczna hydra - trzeba odciąć dobrą głowę bo inne odrastają. Wystarczyło dopalić IE i od

c.....k

konto usunięte 06.09.2015, 14:58:32

@RedLine: Użyj programu ostatecznego - combofix

RedLine

06.09.2015, 15:01:58

@cichy_brzek: Mogę wysypać system przez combofixa. Tam jakieś skrypty się pisze czy coś. Nie umiem go używać

RedLine

06.09.2015, 15:04:47

@cichy_brzek: teraz przeczytałem że nie działa na win 8.1

c.....k

konto usunięte 06.09.2015, 15:12:00

@RedLine: Kill processes:
aanyvkcf.exe, safesearch.exe, rgzcdhtn.exe
help HELP:
how to kill malicious processes

Delete registry values:
HKEYLOCALMACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\aanyvkcf
HKEYLOCALMACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SafeSearch
HKEYLOCALMACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\rgzcdhtn
HKEYCURRENTUSER\Software\PrimeSoft
HKEYCURRENTUSER\Software\SafeSearch
HKEYCLASSESROOT\.QSCH
HKEYCLASSESROOT\QSCH File
HKEYCLASSESROOT\SafeSearch.SafeSearchBHO
HKEYCLASSESROOT\SafeSearch.SafeSearchBHO.1
HKEYCLASSESROOT\CLSID\{00000000-0000-0000-0000-000000000001}
HKEYCLASSESROOT\Interface\{28E6CCE2-3F2C-4B3D-9CB4-2FC8715A3ECE}
HKEYCLASSESROOT\Typelib\{82E9DE01-D860-40E4-B9C1-91F0E8272962}
HKEYCLASSESROOT\Typelib\{CB5006EE-F57D-4116-B7B6-48EB564FE0F0}
HKEYCLASSESROOT\mime\database\content type\application/x-QSCH
HKEYUSERS\.default\Software\Netscape\Netscape Navigator\Trusted External Applications\%System%\aanyvkcf.exe=yes
HKEYUSERS\.default\Software\Netscape\Netscape Navigator\Suffixes\Application/x-QSCH
HKEYLOCALMACHINE\Software\Microsoft\Internet

RedLine

06.09.2015, 15:17:56

@cichy_brzek: To już nie safesearch ( ͡° ʖ̯ ͡°). Poza tym safesearch kryje się aktualnie pod inną nazwą w rejestrze i nie jest go tak łatwo znaleźć.

Mogę użyć tego samego klucza w przypadku ponownej instalacji windows czy przepada?