Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

dhrhyje.bat; gy.cmd

ayla

Przez ayla
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

ayla

ayla

Opublikowano
Opublikowano

Hej!

 

Nalazło do komputera badziewia, które usunięto Malwarebytesem. Głównie dodatki do przeglądarki i inny śmieć. Były też 3 trojany. Niestety nie wiem jakie, bo komputer trafił do mnie ("weź sprawdź czy wszystko na pewno się usunęło") wyczyszczony. Wiem tylko, że coś sprawiało, że przy przeglądaniu internetu wyskakiwała karta przeglądarki z fałszywym info o konieczności aktualizacji Javy (adres strony to nie był adres Oracle). Drugie uruchomienie Malwarebytesa nic nie znalazło. Zaniepokoiły mnie jednak wpisy OTL dotyczące dhrhyje.bat i gy.cmd. Wiem, że to sa oznaki infekcji z pena. Sprawdziłam i pierwszy nie działa w systemie, nie ma jego procesu, a z tego co czytałam, powinien być aktywny.

 

Moglibyście rzucić okiem czy tam już jest czysto? Na pewno będzie dużo błędów rejestru.

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

Pokaż raport prezentujący "prawie dwieście" pozycji. A wg dostarczonych logów są do czyszczenia głównie różne szczątki, wspominane w MountPoints2 oraz adware i inne puste wpisy:

 

1. Przez Dodaj/Usuń programy odinstaluj niepożądany program Free Ride Games Player oraz stare dziurawe wersje Adobe Flash Player 10 ActiveX, Adobe Reader 7.0 - Polish.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
FW: Norton Internet Worm Protection (Disabled) {990F9400-4CEE-43EA-A83A-D013ADD8EA6E}
SecurityProviders: msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, msansspc.dll
S2 mynsnvtq; \??\C:\WINDOWS\system32\drivers\mynsnvtq.sys [X]
HKLM\...\Policies\Explorer: [NoCDBurning] 0
HKU\S-1-5-18\...\Run: [Exetender] => C:\Program Files\Free Ride Games\GPlayer.exe [4936152 2012-12-04] (Exent Technologies Ltd.)
HKU\S-1-5-19\...\Run: [Exetender] => C:\Program Files\Free Ride Games\GPlayer.exe [4936152 2012-12-04] (Exent Technologies Ltd.)
HKU\S-1-5-20\...\Run: [Exetender] => C:\Program Files\Free Ride Games\GPlayer.exe [4936152 2012-12-04] (Exent Technologies Ltd.)
CHR StartupUrls: Default -> "hxxp://www.sweet-page.com/?type=hp&ts=1417289356&from=cor&uid=TOSHIBAXMK6025GAS_Y5JJ6087SXXY5JJ6087S"
CHR HKLM\...\Chrome\Extension: [ogccgbmabaphcakpiclgcnmcnimhokcj] - C:\Windows\System32\jmdp\SweetNT.crx [Not Found]
HKU\S-1-5-21-574771872-493493670-3516649425-1006\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1417289356&from=cor&uid=TOSHIBAXMK6025GAS_Y5JJ6087SXXY5JJ6087S&q={searchTerms}
HKU\S-1-5-21-574771872-493493670-3516649425-1006\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1417289356&from=cor&uid=TOSHIBAXMK6025GAS_Y5JJ6087SXXY5JJ6087S&q={searchTerms}
Toolbar: HKU\S-1-5-21-574771872-493493670-3516649425-1006 -> No Name - {0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} - No File
Toolbar: HKU\S-1-5-21-574771872-493493670-3516649425-1006 -> No Name - {EEE6C35B-6118-11DC-9C72-001320C79847} - No File
DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455}
FF Plugin: www.exent.com/GameTreatWidget -> C:\Program Files\Free Ride Games\NPGameTreatPlugin.dll No File
FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
C:\Documents and Settings\All Users\Dane aplikacji\Free Ride Games
C:\Program Files\Free Ride Games
C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
C:\WINDOWS\pss\McAfee Security Scan Plus.lnkCommon Startup
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^McAfee Security Scan Plus.lnk" /f
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser" /v {0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} /f
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser" /v {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} /f
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser" /v {C4069E3A-68F1-403E-B40E-20066696354B} /f
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
CMD: netsh firewall reset
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Komputer uruchamiał się masakrycznie długo, chyba z pięć minut. Wcześniej robił to wolno, ale znacznie krócej.

Sprawdź czy transfer dysku nie obniżył się z DMA do PIO. Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK.

 

Fix wykonany. Drobne poprawki na szczątki "Free Ride Games". Otwórz Notatnik i wklej w nim:

 

FF Plugin: @exent.com/npExentCtl,version=7.0.0.0 -> C:\Program Files\Free Ride Games\npExentCtl.dll No File
S2 X4HSEx_Pr143; \??\C:\Program Files\Free Ride Games\X4HSEx_Pr143.Sys [X]
DeleteQuarantine:

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...