VIRY.CZ

Zdravím,
nedávno jsem si nainstaloval od známého "doporučený" soubor, ale to byla veliká chyba; okamžitě po instalaci mi bylo jasné, že je plný adwaru. Všechny programy jsem prošel, smazal a vyčistil, ale stále mi naskakovala při startu počítače stránka "workno.ru". Vymazal jsem nakonec i internetový prohlížeč, ale při startu PC mi začalo naskakovat, ve kterém dalším prohlížeči má otevřít tu stránku.
Uprostřed aplikací mi nyní vyskakují aplikace na reklamy v Mozzile a znovu se mi změnila úvodní stránka, tentokráte na nějaký startgo123.
Nejspíš to bude někde v registru nebo systému, ale na to jsem krátký.
Prosím o pomoc.
Mám operační program Windows 10 ještě z projektu Insider

Krasny den Vam preju

Vlozte prosim logy FRST.txt a Addition.txt http://forum.viry.cz/viewtopic.php?f=13&t=133100
A nez se tu objevim znovu, doporucuji procist http://forum.viry.cz/viewtopic.php?f=24&t=142553

Tak jsem se tím trošku prokousal, ale Windows Defender mi docela bránil

V PC bezi (nebo se o to alespon snazi) 2 antiviry - Avast a Windows Defender. Bud Avast odinstalujte (pomoci oficialniho odinstalatoru https://www.avast.com/cs-cz/uninstall-utility ) nebo Defender vypnete.

Odinstalujte starou a zranitelnou verzi Javy. Pokud Javu potrebujete, pak nainstalujte novou z java.com/verify - pozor na adware pri instalaci. Pote se presvedcte, ze starsi verze jsou odinstalovane. Z hlediska bezpecnosti (zranitelnosti a exploity) je lepsi ji nemit. Aktualni je 8U111. Verze Javy, ktere v PC mate nainstalovane:

Java 8 Update 91

Mate vypnutou funkci bodu obnoveni - velice doporucuji tuto funkci zapnout.

Kliknete pravym na Tento pocitac -> Vlastnosti -> Upresnit nastaveni systemu -> nahore zalozka Ochrana systemu -> oznacte systemovy disk (vetsinou C: ) -> Konfigurovat -> vyberte Obnovit nastaveni systemu a predchozi verze souboru a ulozte klikem na Pouzit.
Pokud si chcete hrat s velikosti mista na disku, ktere je vyuzito body obnoveni, nedoporucuji tuto hranici snizovat pod 1 GB. Pokud mate mista na disku dost, ponechte defaultni 3-5% vyuziti disku.

Do Poznamkoveho bloku (Start -> spustit -> notepad) zkopirujte obsah bileho pole
ulozte na plochu jako fixlist (Typ souboru: Textovy dokument)
znovu spustte FRST a kliknete na Fix

po restartu bude na plose ulozen fixlog, jehoz obsah vlozte do pristi odpovedi

Kód: Vybrat vše

Start
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-606056733-3967136355-1948296624-1001\...\Run: [rhbhwdzirq] => explorer "hxxp://granena.ru/?utm_source=uoua03n&utm_content=e739009bccd5f1e6d71a91bff5994529&utm_term=D257281A092DF882157CB8DAE03961DF&utm_d=20161018" <===== ATTENTION
IFEO\OSppSvc.exe: [Debugger] KMS-R@1nHook.exe
IFEO\SppExtComObj.exe: [Debugger] KMS-R@1nHook.exe
GroupPolicy: Restriction <======= ATTENTION
GroupPolicy\User: Restriction <======= ATTENTION
HKU\S-1-5-21-606056733-3967136355-1948296624-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://granena.ru/?utm_content=31b5cebd524a9af6c7a772dca81815e9&utm_source=startpm&utm_term=D257281A092DF882157CB8DAE03961DF&utm_d=20161018
SearchScopes: HKU\S-1-5-21-606056733-3967136355-1948296624-1001 -> DefaultScope {A06ED961-D98F-4CF9-A89B-80AB11DB149C} URL = hxxp://go-search.ru/search?q={searchTerms}
SearchScopes: HKU\S-1-5-21-606056733-3967136355-1948296624-1001 -> {A06ED961-D98F-4CF9-A89B-80AB11DB149C} URL = hxxp://go-search.ru/search?q={searchTerms}
SearchScopes: HKU\S-1-5-21-606056733-3967136355-1948296624-1001 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7B3B2791C0-3FE2-4CB2-B1BD-2D3BA041ECA1%7D&gp=811014
FF DefaultSearchEngine: Mozilla\Firefox\Profiles\ayofdylg.default -> GoSearch
FF SelectedSearchEngine: Mozilla\Firefox\Profiles\ayofdylg.default -> GoSearch
FF SearchPlugin: C:\Users\Michal\AppData\Roaming\Mozilla\Firefox\Profiles\ayofdylg.default\searchplugins\GoSearch.xml [2016-10-24]
R2 KMS-R@1n; C:\Windows\KMS-R@1n.exe [26112 2016-02-18] () [File not signed]
Task: {629FD019-A922-4ABB-B53B-7B94E9039ED0} - System32\Tasks\R@1n-KMS\Windows64Professional => wmic [Argument = path SoftwareLicensingProduct where (ID="2de67392-b7a7-462a-b1ca-108dd189f588") call Activate]
File: C:\Users\Michal\AppData\Local\FileSystemDriver\FileSystemDriver.exe
Folder: C:\Users\Michal\AppData\Local\FileSystemDriver
File: C:\Users\Michal\AppData\Local\fupdate\fupdate.exe
Folder: C:\Users\Michal\AppData\Local\fupdate
C:\Windows\KMS-R@1n.exe
C:\WINDOWS\KMS-R@1nHook.dll
C:\WINDOWS\KMS-R@1nHook.exe
FirewallRules: [{7849B08A-B9B2-4E93-BD3F-49027D352879}] => (Allow) C:\Users\Michal\AppData\Local\Temp\MPCOnline\MPCDownload.exe
FirewallRules: [{7D579100-6776-4404-9A1B-5EBD3A3D0F49}] => (Allow) C:\Users\Michal\AppData\Local\Temp\MPCOnline\MPCDownload.exe
FirewallRules: [{F4350ACA-AD17-4387-9EBB-189F9C923567}] => (Allow) C:\Windows\KMS-R@1n.exe
FirewallRules: [{394CC831-2058-4170-BFB4-A26854D0218B}] => (Allow) C:\Windows\KMS-R@1n.exe
End

Moc děkuji. Dal jsem na vaši radu a zbavil se Javy a zapnul si obnovu systému na 5%. Avast už taky není.

Po restartu dejte vedet, jak se PC chova.

Do Poznamkoveho bloku (Start -> spustit -> notepad) zkopirujte obsah bileho pole
ulozte na plochu jako fixlist (Typ souboru: Textovy dokument)
znovu spustte FRST a kliknete na Fix

po restartu bude na plose ulozen fixlog, jehoz obsah vlozte do pristi odpovedi

Kód: Vybrat vše

Start
CreateRestorePoint:
CloseProcesses:
Task: {9A2AEBF1-0670-4AA7-93AA-C5D2FAA32119} - System32\Tasks\FileSystemDriver => C:\Users\Michal\AppData\Local\FileSystemDriver\FileSystemDriver.exe [2016-10-18] () <==== ATTENTION
C:\Users\Michal\AppData\Local\FileSystemDriver
Task: {E1BA7A1C-7E55-42F2-B869-A758E264C154} - System32\Tasks\fupdate => C:\Users\Michal\AppData\Local\fupdate\fupdate.exe [2016-10-18] () <==== ATTENTION
C:\Users\Michal\AppData\Local\fupdate
Hosts:
EmptyTemp:
End

Dobrý den, omlouvám se, že píšu až teď ale nebyl jsem doma.
Počítač se chová pořád stejně a stále mi naskakují ruské stránky.
Přidávám fixlog

Dejte logy FRST.txt a Addition.txt - http://forum.viry.cz/viewtopic.php?f=30&t=133101
Pokud budete mit problemy se stazenim FRSTLauncheru, staci kdyz pouzijete samotny FRST.exe/FRST64.exe.

Soubory přiloženy.

Do Poznamkoveho bloku (Start -> spustit -> notepad) zkopirujte obsah bileho pole
ulozte na plochu jako fixlist (Typ souboru: Textovy dokument)
znovu spustte FRST a kliknete na Fix

po restartu bude na plose ulozen fixlog, jehoz obsah vlozte do pristi odpovedi

Kód: Vybrat vše

Start
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-606056733-3967136355-1948296624-1001\...\Run: [asegovvilx] => explorer "hxxp://granena.ru/?utm_source=uoua03n&utm_content=e739009bccd5f1e6d71a91bff5994529&utm_term=D257281A092DF882157CB8DAE03961DF&utm_d=20161018" <===== ATTENTION
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  No File
HKU\S-1-5-21-606056733-3967136355-1948296624-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://www.google.com/search?bcutc=sp-006&q={searchTerms}
HKU\S-1-5-21-606056733-3967136355-1948296624-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://granena.ru/?utm_content=31b5cebd524a9af6c7a772dca81815e9&utm_source=startpm&utm_term=D257281A092DF882157CB8DAE03961DF&utm_d=20161018
HKU\S-1-5-21-606056733-3967136355-1948296624-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxps://www.google.com/?bcutc=sp-006
SearchScopes: HKLM-x32 -> DefaultScope {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?bcutc=sp-006&q={searchTerms}
SearchScopes: HKLM-x32 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?bcutc=sp-006&q={searchTerms}
SearchScopes: HKU\S-1-5-21-606056733-3967136355-1948296624-1001 -> DefaultScope {A06ED961-D98F-4CF9-A89B-80AB11DB149C} URL = hxxp://go-search.ru/search?q={searchTerms}
SearchScopes: HKU\S-1-5-21-606056733-3967136355-1948296624-1001 -> {A06ED961-D98F-4CF9-A89B-80AB11DB149C} URL = hxxp://go-search.ru/search?q={searchTerms}
SearchScopes: HKU\S-1-5-21-606056733-3967136355-1948296624-1001 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?bcutc=sp-006&q={searchTerms}
FF NewTab: Mozilla\Firefox\Profiles\ayofdylg.default -> about:newtab
FF DefaultSearchEngine: Mozilla\Firefox\Profiles\ayofdylg.default -> GoSearch
FF SelectedSearchEngine: Mozilla\Firefox\Profiles\ayofdylg.default -> GoSearch
FF SearchPlugin: C:\Users\Michal\AppData\Roaming\Mozilla\Firefox\Profiles\ayofdylg.default\searchplugins\GoSearch.xml [2016-10-26]
U0 aswVmm; no ImagePath
Task: {3EAB42E3-6BC1-47AA-BDDF-FC2702DFB867} - System32\Tasks\SafeZone scheduled Autoupdate 1475686227 => C:\Program Files\AVAST Software\SZBrowser\launcher.exe
ShortcutWithArgument: C:\Users\Michal\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk -> C:\Windows\System32\rundll32.exe (Microsoft Corporation) -> url,FileProtocolHandler "hxxp://www.mail.ru/cnt/20775012?gp=811008"
FirewallRules: [{D22D4E39-3890-49C4-AD05-CFBFEFA1B0DB}] => (Allow) C:\Program Files\AVAST Software\Avast\ng\vbox\aswFe.exe
FirewallRules: [{1AB6B571-E217-4DD9-8D45-4F91EA674C64}] => (Allow) C:\Program Files\AVAST Software\Avast\ng\vbox\aswFe.exe
2016-10-02 14:10 - 2016-10-26 15:04 - 00000000 ____D C:\WINDOWS\System32\Tasks\R@1n-KMS
Hosts:
EmptyTemp:
End

Přikládám fixlog

Problem pretrvava? Vlozte prosim nove logy FRST.txt a Addition.txt.

Zatím to vypadá dobře. Ale mám PC spuštěný jen chvíli.

Takze jeste uklidime.

Stahnete a spustte DelFix - https://toolslib.net/downloads/viewdownload/2-delfix/
Oznacte jen moznost "Remove disinfection tools"
kliknete na Run

A pokud nejsou dotazy ci jine problemy, je to ode mne vse.

Mockrát vám děkuji. Velice jste mi pomohl. Vše je nyní v pořádku jako dříve

Přeji vám mnoho úspěchů

VIRY.CZ

Nezničitelný Adware

Nezničitelný Adware

Re: Nezničitelný Adware

Re: Nezničitelný Adware

Re: Nezničitelný Adware

Re: Nezničitelný Adware

Re: Nezničitelný Adware

Re: Nezničitelný Adware

Re: Nezničitelný Adware

Re: Nezničitelný Adware

Re: Nezničitelný Adware

Re: Nezničitelný Adware

Re: Nezničitelný Adware

Re: Nezničitelný Adware

Re: Nezničitelný Adware

Re: Nezničitelný Adware