ShadyYo Opublikowano 5 Kwietnia 2017 Zgłoś Udostępnij Opublikowano 5 Kwietnia 2017 Od wczoraj mam problem ponieważ zdaje się po zainstalowaniu jakiejś aplikacji, zainstalowało mi się również kilka innych, ruskich programików... a także toolbar w przeglądarce i zmieniona strona startowa. Wszystkie usunąłem z Dodaj / Usuń programy, ale coś jest ciągle nie tak ponieważ przy starcie komputera automatycznie włącza mi się przeglądarka z ruskimi stronami startowymi i to bardzo różnymi... Nawet w trakcie działania w nieoczekiwanym momencie potrafi się coś takiego samoczynnie włączyć. Logi w załącznikach. Bardzo proszę o pomoc w tej sprawie I proszę o jakieś instrukcje, jeśli nie zrobiłem wszystkiego jak należy. EDIT: Nie dodałem, że od tego czasu system się co chwilę zawiesza na jakiś ułamek sekundy (objawia się to zacinającym się kursorem i trzeszczącym dźwiękiem). Addition.txt FRST.txt Shortcut.txt gmer.txt Odnośnik do komentarza
Miszel03 Opublikowano 7 Kwietnia 2017 Zgłoś Udostępnij Opublikowano 7 Kwietnia 2017 System jest zainfekowany rosyjskojęzycznym adware. Do tego niestety widzę w systemie cracka Windows - ściągam tylko jego blokady, Ty sam musisz go odinstalować. Do poczytania, na przyszłość: KLIK. 1. Otwórz Notatnik w nim wklej: CloseProcesses:CreateRestorePoint:Task: {48ECA5D7-214B-4956-BED4-5ADE1FF83B41} - System32\Tasks\wupdate => C:\Users\Michał\AppData\Local\wupdate\wupdate.exe [2017-04-04] () Task: {6E4C7717-8195-4E90-97D6-5872BE4185CC} - System32\Tasks\ComDev => C:\Users\Michał\AppData\Local\ComDev\ComDev.exe [2017-04-05] () ShortcutWithArgument: C:\Users\Michał\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk -> C:\Windows\System32\rundll32.exe (Microsoft Corporation) -> url,FileProtocolHandler "hxxp://www.mail.ru/cnt/20775012?gp=811008"HKU\S-1-5-21-3426176950-1069214683-2311523833-1001\...\Run: [hojrkulsqq] => explorer "hxxp://chaynacha.ru/?utm_source=uoua03&utm_content=cfb47dc403dd27f678f72bf6efa1e739&utm_term=7184AF6F038C7D5BA6DACDD98EDEFE3E&utm_d=20170404" HKLM\...\Winlogon: [userinit] C:\Users\Michał\AppData\Local\Kometa\StartButton\kometastartvx64.exe,C:\Windows\system32\userinit.exe, C:\Users\Michał\AppData\Local\KometaIFEO\OSppSvc.exe: [Debugger] KMS-R@1nHook.exeIFEO\SppExtComObj.exe: [Debugger] KMS-R@1nHook.exeGroupPolicy: Ograniczenia GroupPolicy\User: Ograniczenia HKU\S-1-5-21-3426176950-1069214683-2311523833-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://granena.ru/?utm_content=31b5cebd524a9af6c7a772dca81815e9&utm_source=startpm&utm_term=7184AF6F038C7D5BA6DACDD98EDEFE3E&utm_d=20170404SearchScopes: HKU\S-1-5-21-3426176950-1069214683-2311523833-1001 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7B544CBC05-2FC3-4C99-8773-F690AEEAB7DC%7D&gp=811014SearchScopes: HKU\S-1-5-21-3426176950-1069214683-2311523833-1001 -> {0FFC778B-D962-4881-80FE-EC098CB5461C} URL = SearchScopes: HKU\S-1-5-21-3426176950-1069214683-2311523833-1001 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7B544CBC05-2FC3-4C99-8773-F690AEEAB7DC%7D&gp=811014R2 ibtsiva; %SystemRoot%\system32\ibtsiva [X]BHO-x32: Ďîčńę@Mail.Ru -> {8E8F97CD-60B5-456F-A201-73065652D099} -> C:\Users\Michał\AppData\Local\Mail.Ru\Sputnik\IESearchPlugin.dll [2017-04-04] (Mail.Ru)2017-04-04 23:25 - 2017-04-04 23:25 - 00000000 ____D C:\Users\Michał\AppData\Local\Mail.Ru2017-04-04 23:25 - 2017-04-04 23:25 - 00000000 ____D C:\ProgramData\Mail.RuInternetURL: C:\Users\Michał\Favorites\Mail.Ru Агент - используй для общения!.url -> BASEURL: hxxp://agent.mail.ru URL: hxxp://agent.mail.ru/ru/download/agent_windows/download.html?sputnik=1InternetURL: C:\Users\Michał\Favorites\Mail.Ru.url -> BASEURL: hxxp://www.mail.ru URL: hxxp://www.mail.ru/cnt/7861InternetURL: C:\Users\Michał\Favorites\Links\Интернет.url -> URL: hxxp://chaynacha.ru/?utm_source=favorites03&utm_content=7790075e2b6899ec7954d0772c8e0271&utm_term=7184AF6F038C7D5BA6DACDD98EDEFE3E&utm_d=20170404EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść i zabezpiecz przeglądarkę Mozilla FireFox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania. Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin. 3. Pobierz AdwCleaner uruchom go i kliknij Skanuj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
ShadyYo Opublikowano 7 Kwietnia 2017 Autor Zgłoś Udostępnij Opublikowano 7 Kwietnia 2017 Bardzo dziękuję Ci za wysiłek, ale nie widząc Twojej dzisiejszej wypowiedzi zapytałem o to samo na innym forum: https://forum.dobreprogramy.pl/t/ruski-toolbar-niechciane-aplikacje-i-dziwne-zachowania/524430 Wydaje mi się, że wszystko już gra, ale być może mógłbym zrobić teraz jeszcze jakiś skan, który pozwoli Ci stwierdzić, że faktycznie wszystko jest OK? Napisałeś, że mam cracka Windows co mnie bardzo zaskoczyło Jak mogę go odinstalować? To ciekawe, bo jakieś miesiąc temu kupiłem nowego laptopa z wgranym już Windowsem 10. Podejrzewam, że wraz z tym ruskim adware musiało się jeszcze coś takiego wgrać :/ Odnośnik do komentarza
Miszel03 Opublikowano 8 Kwietnia 2017 Zgłoś Udostępnij Opublikowano 8 Kwietnia 2017 Ehh...no dobrze. Działania na tamtym forum zweryfikuję później, ale pewnie wszystko OK, bo Atis to doświadczony pomocnik. Nie potrzymam się od komentarza na temat DP. W ich asystentach pobierania znajdują się infekcje adware. Redakcja, czy tam "administracja" milczy na temat Asystetna. Śledzące klucze w rejestrze - oj tam, oj tam - nie przesadzajcie To, że zespól AdwCleaner (więc zespół Malwarebytes też) wykrywa ich komponenty już samo powinno dać o sobie znaki. Stanowczo odradzam korzystania z tego serwisu (nie mówię o forum i artykułach, a tylko o możliwości pobierania programów). Ja nie mówię, że to zły serwis. Bo artykuł i różne inne nowinki ma super, przyjemnie się czyta, sam korzystam. Natomiast serwis od drugiej strony, czyli od strony pobieranie softu to szemrana uliczka, do której lepiej nie wchodzić. Co do cracka - z nim jest zawsze problem (i tutaj pomyłka z mojej strony to nie jest crack Windows, a oprogramowanie Microsoft Office). Poszukał bym w jego katalogach pliku deinstalacyjnego (nazwa zbliżona do uninstall.exe i spróbował go uruchimić. Nazwa to KMS-R@1n. Pytanie tylko czy to nie jest przypadkiem celowe dzianie nielegalne? Jeśli tak to nie wiem jak zachowa się zcrackowany Office - może przestać działać. https://www.fixitpc.pl/topic/19809-portale-z-oprogramowaniem-instalatory-na-co-uważać/ Z raportów wyciągnąłem tylko poniższe elementy, ale to brutalny sposób usunięcia tego. Może zostać śmietnik w plikach i w rejestrze. Niemniej jednak poniższy skrypt wykonaj (instrukcja standardowa zapis jako Fixlist > wykonanie w FRST). CloseProcesses: CreateRestorePoint: R2 KMS-R@1n; C:\Windows\KMS-R@1n.exe [26112 2017-04-04] () [brak podpisu cyfrowego] 2017-04-04 23:27 - 2017-04-04 23:27 - 00026112 _____ C:\WINDOWS\KMS-R@1n.exe 2017-04-04 23:27 - 2017-04-04 23:27 - 00005120 _____ C:\WINDOWS\KMS-R@1nHook.exe 2017-04-04 23:27 - 2017-04-04 23:27 - 00004096 _____ C:\WINDOWS\KMS-R@1nHook.dll Task: {63C35938-00F8-4BEF-808D-78EF1CA63E57} - System32\Tasks\R@1n-KMS\Office16ProPlus => wmic FirewallRules: [{0ADB66AA-80AE-4EB4-87E3-14E2ABB08045}] => (Allow) C:\Windows\KMS-R@1n.exe FirewallRules: [{E4F70086-5463-4997-8D86-810D479F5FEE}] => (Allow) C:\Windows\KMS-R@1n.exe EmptyTemp: Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się