Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Infekcja wonderlandads.com + uruchamia się na starcie 'ruski program'...

dejwpl

Przez dejwpl
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

dejwpl

dejwpl

Opublikowano
Opublikowano

Cześć.

Złapałem jakiegoś syfa, co kilka minut otwiera się nowa karta, którą KAV mi blokuje. Raz jest to inform-world.ru/watch a innym razem wonderlandads. Ponadto podczas startu Windowsa próbuje się uruchomić jakiś plik wykonawczy, który ma w nazwie 'mail.ru'. Wcześniej też samoczynnie zainstalował się Avast, wziął się znikąd :| ... W załączeniu niezbędne logi. Pozdrawiam i dziękuję za pomoc!

Addition.txt

FRST.txt

Shortcut.txt

GMER.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
Miszel03

Miszel03

Opublikowano
Opublikowano

W raport widoczna sporo ilość  infekcji adware / PUP, od razu przechodzimy do działań. 
 
1. Przez panel sterowania odinstaluj:

  • Reimage Repair
  • WarThunder

2. Otwórz Notatnik w nim wklej:
 

CloseProcesses:
CreateRestorePoint:
Task: {53484938-98A7-4F6D-8297-DD7BE6D2EC86} - System32\Tasks\YTDownloaderUpd => C:\Program Files (x86)\YTDownloader\updater.exe Task: {69F2799D-9EF1-4305-B274-38AC178ABEDA} - System32\Tasks\InternetBE => Chrome.exe hxxp://inform-world.ru/watch
Task: {DED54E52-A35B-4FA2-B976-1F272BF59D20} - System32\Tasks\YTDownloader => C:\Program Files (x86)\YTDownloader\YTDownloader.exe ShortcutWithArgument: C:\Users\Dejw\Desktop\WarThunder.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) ->  --app=hxxp://go.playmmogames.com/aff_c?offer_id=698&aff_id=1034&source=3&click_id=f3ec65b633add8f5f4b9dfda3f9b73222ea46409 --app-window-size=1440,900
ShortcutWithArgument: C:\Users\Dejw\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder\WarThunder.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) ->  --app=hxxp://go.playmmogames.com/aff_c?offer_id=698&aff_id=1034&source=3&click_id=f3ec65b633add8f5f4b9dfda3f9b73222ea46409 --app-window-size=1440,900
ShortcutWithArgument: C:\Users\Dejw\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk -> C:\Windows\System32\rundll32.exe (Microsoft Corporation) -> url,FileProtocolHandler "hxxp://www.mail.ru/cnt/20775012?gp=811035"
ShortcutWithArgument: C:\Users\Dejw\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WarThunder.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) ->  --app=hxxp://go.playmmogames.com/aff_c?offer_id=698&aff_id=1034&source=3&click_id=f3ec65b633add8f5f4b9dfda3f9b73222ea46409 --app-window-size=1440,900
HKLM-x32\...\Run: [YTDownloader] => "C:\Program Files (x86)\YTDownloader\YTDownloader.exe" /boot
HKLM-x32\...\Run: [pcmgr] => C:\Program Files (x86)\ppt\Uninst.exe
HKU\S-1-5-21-2448206972-1435992067-1411047560-1001\...\Run: [YTDownloader] => "C:\Program Files (x86)\YTDownloader\YTDownloader.exe" /boot
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  Brak pliku
GroupPolicy: Ograniczenia GroupPolicy\User: Ograniczenia HKU\S-1-5-21-2448206972-1435992067-1411047560-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://mail.ru/cnt/10445?gp=818411
HKU\S-1-5-21-2448206972-1435992067-1411047560-1001\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://www.msn.com/pl-pl/?ocid=iehp
SearchScopes: HKU\S-1-5-21-2448206972-1435992067-1411047560-1001 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7B54547D9B-B600-49ED-8338-D87141E91296%7D&gp=811041
SearchScopes: HKU\S-1-5-21-2448206972-1435992067-1411047560-1001 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7B54547D9B-B600-49ED-8338-D87141E91296%7D&gp=811041
BHO-x32: Ďîčńę@Mail.Ru -> {8E8F97CD-60B5-456F-A201-73065652D099} -> C:\Users\Dejw\AppData\Local\Mail.Ru\Sputnik\IESearchPlugin.dll [2016-12-04] (Mail.Ru)
C:\Program Files (x86)\YTDownloader
C:\Program Files (x86)\ppt
CHR HomePage: Default -> hxxp://search.babylon.com/?babsrc=HP_ss&affID=100842&mntrId=56b550450000000000006c626dc62f32
U0 aswVmm; Brak ImagePath
2016-12-04 17:52 - 2016-12-05 20:54 - 00000000 ____D C:\Program Files (x86)\Mail.Ru
2016-12-04 17:49 - 2016-12-05 20:54 - 00000000 ____D C:\Users\Dejw\AppData\Local\Mail.Ru
2016-12-04 17:49 - 2016-12-04 18:52 - 00000000 ____D C:\ProgramData\Mail.Ru
C:\Users\Dejw\Desktop\Internet Download Manager.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Windows 7 - Codec Pack\Uninstall.lnk
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\Users\Dejw\AppData\Local\Mozilla
C:\Users\Dejw\AppData\Roaming\Mozilla
C:\Users\Dejw\AppData\Roaming\Profiles
C:\Program Files (x86)\Mozilla Firefox
C:\Programdata\Mozilla
CMD: dir /a "C:\Program Files"
CMD: dir /a "C:\Program Files (x86)"
CMD: dir /a "C:\Program Files\Common Files\System"
CMD: dir /a "C:\Program Files (x86)\Common Files\System"
CMD: dir /a C:\ProgramData
CMD: dir /a C:\Users\Dejw\AppData\Local
CMD: dir /a C:\Users\Dejw\AppData\LocalLow
CMD: dir /a C:\Users\Dejw\AppData\Roaming
Hosts:
EmptyTemp:


Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 
Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt (raport wynikowy).

 
2. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum.
 
3. Zrób nowy log FRST z opcji Skanuj (Scan), razem z Addition i Shortcut. Dołącz też plik fixlog.txt (raport wynikowy).

Odnośnik do komentarza
Miszel03

Miszel03

Opublikowano
Opublikowano

Jest już w porządku z wyjątkiem tego (czyli śmieciowej wyszukiwarki):

 

CHR HomePage: Default -> hxxp://search.babylon.com/?babsrc=HP_ss&affID=100842&mntrId=56b550450000000000006c626dc62f32

 

Można by się bawić w odczytywanie preferencji itd. ale zdecydowanie szybciej będzie Ci na czysto przeinstalować przeglądarkę Google Chrome.

  • Upewnij się, że nie masz włączonej synchronizacji, która załaduje złe ustawienia z serwera po reinstalacji przeglądarki: KLIK.
  • Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML.
  • Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki.
  • Zainstaluj najnowszą stabilną wersję Google Chrome: KLIK.
Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...