Gracjan1122 Opublikowano 9 Grudnia 2017 Zgłoś Udostępnij Opublikowano 9 Grudnia 2017 witam dziś zawirusował się komputer sam otwiera chrome i pokazuje reklamy nie pozwala wyszukiwać np. avast logi: GMER: http://wklej.org/id/3318073/ FRST: http://wklej.org/id/3318060/ Addition: http://wklej.org/id/3318058/ Odnośnik do komentarza
Miszel03 Opublikowano 9 Grudnia 2017 Zgłoś Udostępnij Opublikowano 9 Grudnia 2017 Witaj Gracjan1122! Raport GMER nie jest u nas wymagany, pominąłeś za to raport Shortcut generowany przez FRST.Niestety, nie mam dobrych wieści. W systemie widoczne są instalacje adware oraz inne infekcje cięższego kalibru. To właśnie one blokują możliwość wyszukiwania oprogramowania antywirusowego oraz natrętnych reklam.Niosą one za sobą pewnie wiele innych niebezpieczeństw, nie wykonuj na tym systemie żadnych ważnych operacji. Na koniec prewencyjnie zmienisz hasła do wszystkich swoim ważnych kont i poinformujesz o tym inne osoby, które mogły korzystać z tego systemu. 1. Przez Panel Sterowania odinstaluj adware / PUP: SafeFinder, YoutubeAdBlock, FastDataX oraz zbędny McAfee Security Scan Plus. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses:(Microsoft Corporation) C:\Windows\explorer.exeCreateRestorePoint:Task: C:\Windows\Tasks\boQbXxbEJPaDgWztw.job => C:\Program Files (x86)\OGqwJxyzdjgEZIvrFER\TerLZYT.dllTask: C:\Windows\Tasks\jVVcebPoCjhHKmi.job => C:\Program Files (x86)\ExRIRmygU\PBDLPu.dllC:\Program Files (x86)\OGqwJxyzdjgEZIvrFERC:\Program Files (x86)\ExRIRmygUC:\Users\Admin\AppData\Roaming\8aba6cd40f73476c9cb0639bef99e358C:\Users\Admin\AppData\Local\600e32cc65484984bf97c124ced2ed9cMSCONFIG\startupreg: QOWCFULWED.exe => C:\Program Files\Microsoft Silverlight\CKOKAINZRD\QOWCFULWED.exeMSCONFIG\startupreg: mailruhomesearch => "C:\Users\Admin\AppData\Local\Mail.Ru\Sputnik\ptls\mailruhomesearch.exe" --pr_deferredMSCONFIG\startupreg: EPL01NH7rf => C:\Program Files\tFappltlptFJeApA\.EPLappltlpEPL.vbsC:\Program Files\Microsoft Silverlight\CKOKAINZRDC:\Users\Admin\AppData\Local\Mail.RuHKLM\...\Run: [Gx0SKqyW5Q] => C:\Program Files\tFappltlptFJeApA\.EPLappltlpEPL.vbs [168 2017-12-09] ()HKLM\...\RunOnce: [Lahin_Raw_barra_al3eb_b3id_XBEIGNNMFF.exe] => C:\Program Files\TeamSpeak 3 Client\CPKMJTDLNN\XBEIGNNMFF.exe [114688 2017-12-09] ()HKU\S-1-5-21-1774506419-689819666-2243541019-1000\...\Run: [ZTy0tPB5TL.exe] => C:\Users\Admin\AppData\Roaming\8aba6cd40f73476c9cb0639bef99e358\ZTy0tPB5TL.exe [114688 2017-12-09] ()HKU\S-1-5-21-1774506419-689819666-2243541019-1000\...\Run: [i1tU5LHtnAQ4Gp.exe] => C:\Users\Admin\AppData\Local\600e32cc65484984bf97c124ced2ed9c\I1tU5LHtnAQ4Gp.exe [460800 2017-12-09] ()HKU\S-1-5-21-1774506419-689819666-2243541019-1000\...\RunOnce: [QAKFPFLEWU.exe] => C:\Program Files\Microsoft Silverlight\CKOKAINZRD\QAKFPFLEWU.exe [751616 2017-12-09] ()HKU\S-1-5-21-1774506419-689819666-2243541019-1000\...\RunOnce: [kYjIVLeXfr03.exe] => C:\ProgramData\e3e16e48e3c24b3281fbb3ac9fec888e\kYjIVLeXfr03.exe [598016 2017-12-09] ()HKU\S-1-5-21-1774506419-689819666-2243541019-1000\...\RunOnce: [YARNWTCFRN.exe] => C:\Users\Admin\AppData\Roaming\baf4871c2b8e4b6680f25e80db38b7a4\YARNWTCFRN.exe [598016 2017-12-09] ()HKU\S-1-5-21-1774506419-689819666-2243541019-1000\...\RunOnce: [RA8LaP8jH.exe] => C:\ProgramData\f420035d068148589f4f589622913adf\RA8LaP8jH.exe [598016 2017-12-09] ()HKU\S-1-5-21-1774506419-689819666-2243541019-1000\...\RunOnce: [Xt8ZyAnBph.exe] => C:\Users\Admin\AppData\Roaming\e4f4c8ddb062481e83928e6167aa6c27\Xt8ZyAnBph.exe [598016 2017-12-09] ()C:\Program Files\tFappltlptFJeApAC:\Program Files\TeamSpeak 3 Client\CPKMJTDLNNC:\ProgramData\e3e16e48e3c24b3281fbb3ac9fec888eC:\Users\Admin\AppData\Roaming\baf4871c2b8e4b6680f25e80db38b7a4C:\ProgramData\f420035d068148589f4f589622913adfC:\Users\Admin\AppData\Roaming\e4f4c8ddb062481e83928e6167aa6c27HKU\S-1-5-21-1774506419-689819666-2243541019-1000\...\Policies\Explorer: [NolowDiskSpaceChecks] 1AppInit_DLLs: C:\ProgramData\Subair\JayDax.dll => C:\ProgramData\Subair\JayDax.dll [342528 2017-12-09] ()AppInit_DLLs-x32: C:\ProgramData\Subair\Hot-Dex.dll => C:\ProgramData\Subair\Hot-Dex.dll [460800 2017-12-09] ()C:\ProgramData\SubairC:\ProgramData\SubairsStartup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\.jItappltlpjIt.vbs [2017-12-09] ()C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\.jItappltlpjIt.vbsGroupPolicy: Ograniczenia - Chrome GroupPolicy\User: Ograniczenia CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKU\S-1-5-21-1774506419-689819666-2243541019-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBEQo0lOCwIxrzs2Rcb6iY3AhIJvu_GKNPKEuSFSnixW3DnC4CltYU5jQZyM-m6Rwd2LNxAZU-GM0vA4XqMNCbx2JdTRbsTG-e4dMEvyNCvZa5fnhxyzTAgma_kECgDZmJ0ycf6f0VpcUMHZHu9YkWy68GufW3Snx-pDVSVld2TjU_GUxW_wP9ucJL3Px0,&q={searchTerms}HKU\S-1-5-21-1774506419-689819666-2243541019-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBEQo0lOCwIxrzs2Rcb6iY3AhIJvu_GKNPKEuSFSnixW3DnC4CltYU5jQZyM-m6Rwd2LNxAZU-GM0vA4XqMNCbx2JdTRbsTG-e4eNDp1uKSV3FZCBHdLHVCs304YQpB_XYA_obNQXuNhViF68q3IiiosqRB0W19xxnJpolYItS7nmSBQgjiOOBATnO-XXU,SearchScopes: HKU\S-1-5-21-1774506419-689819666-2243541019-1000 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={searchTerms}&fr=ntg&product_id=%7B47054170-AF65-496F-9CEA-C2B0BE8CC0F7%7D&gp=855503FF Plugin: @microsoft.com/GENUINE -> disabled [brak pliku]FF Plugin-x32: @microsoft.com/GENUINE -> disabled [brak pliku]S2 Subair; C:\ProgramData\\Subair\\Subair.exe [1814528 2017-12-09] (TODO: ) [brak podpisu cyfrowego] R2 backlh; C:\ProgramData\Logic Cramble\set.exe [3780096 2017-12-09] () [brak podpisu cyfrowego] R2 Nettrans; C:\ProgramData\PrefsSecure\Nettrans.exe [43520 2017-12-09] () [brak podpisu cyfrowego] C:\ProgramData\Logic CrambleC:\ProgramData\PrefsSecureU3 uwddakob; \??\C:\Users\Admin\AppData\Local\Temp\uwddakob.sys [X] 2017-12-09 16:43 - 2017-12-09 16:43 - 000000000 ____D C:\Program Files (x86)\vknAtWNPMhpU22017-12-09 16:43 - 2017-12-09 16:43 - 000000000 ____D C:\Program Files (x86)\gVEKLTxUjIE2017-12-09 16:43 - 2017-12-09 16:43 - 000000000 ____D C:\Program Files (x86)\FpGcSjfNZDUn2017-12-09 16:41 - 2017-12-09 16:43 - 000000000 ____D C:\Program Files (x86)\ExRIRmygU2017-12-09 16:01 - 2017-12-09 16:02 - 000000000 ____D C:\Users\Admin\AppData\LocalLow\ZUAwrnxgIZhKc2017-12-09 15:30 - 2017-12-09 15:31 - 000000000 ____D C:\ProgramData\21698dcd3cdf4d6fa18313f33c5d2fa62017-12-09 15:30 - 2017-12-09 15:30 - 000000000 ____D C:\Users\Admin\AppData\Local\dfe6b40a706b4ed6854cdd990ff694f22017-12-09 15:30 - 2017-12-09 15:30 - 000000000 ____D C:\Users\Admin\AppData\Local\31b7ec7164c249c193bd1180ffc87fa82017-12-09 15:32 - 2017-12-09 15:32 - 000906752 _____ C:\Windows\schose.exe2017-12-09 15:41 - 2017-12-09 16:43 - 007561216 _____ () C:\Users\Admin\AppData\Local\agent.dat2017-12-09 15:41 - 2017-12-09 16:43 - 000070800 _____ () C:\Users\Admin\AppData\Local\Config.xml2017-12-09 15:39 - 2017-12-09 15:39 - 000278508 _____ () C:\Users\Admin\AppData\Local\Finlight.bin2017-12-09 16:39 - 2017-12-09 16:40 - 000016080 _____ () C:\Users\Admin\AppData\Local\InstallationConfiguration.xml2017-12-09 15:31 - 2017-12-09 15:31 - 000140800 _____ () C:\Users\Admin\AppData\Local\installer.dat2017-12-09 16:43 - 2017-12-09 16:43 - 000018432 _____ () C:\Users\Admin\AppData\Local\Main.dat2017-12-09 15:41 - 2017-12-09 16:43 - 000005568 _____ () C:\Users\Admin\AppData\Local\md.xml2017-12-09 15:40 - 2017-12-09 15:39 - 001814528 _____ (TODO: ) C:\Users\Admin\AppData\Local\MedTough.exe2017-12-09 15:41 - 2017-12-09 15:41 - 001979322 _____ () C:\Users\Admin\AppData\Local\MedTough.tst2017-12-09 15:41 - 2017-12-09 16:43 - 000126464 _____ () C:\Users\Admin\AppData\Local\noah.dat2017-12-09 16:39 - 2017-12-09 16:39 - 000930816 _____ () C:\Users\Admin\AppData\Local\po.db2017-12-09 16:43 - 2017-12-09 16:39 - 001814528 _____ (TODO: ) C:\Users\Admin\AppData\Local\Standax.exe2017-12-09 16:43 - 2017-12-09 16:43 - 001979833 _____ () C:\Users\Admin\AppData\Local\Standax.tst2017-12-09 16:41 - 2017-12-09 16:41 - 000278508 _____ () C:\Users\Admin\AppData\Local\VilaLight.bin2017-12-09 16:44 - 2017-12-09 16:44 - 001895383 _____ () C:\Users\Admin\AppData\Local\Zummatough.binUnlock: DrToolKrlR5 DrToolKrl; C:\Windows\System32\Drivers\DrToolKrl.sys [62552 2017-12-09] () [brak podpisu cyfrowego]C:\Windows\System32\Drivers\DrToolKrl.sysDeleteKey: HKU\S-1-5-21\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\DomainsDeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\DomainsCMD: dir /a "C:\Program Files"CMD: dir /a "C:\Program Files (x86)"CMD: dir /a "C:\Program Files\Common Files\System"CMD: dir /a "C:\Program Files (x86)\Common Files\System"CMD: dir /a C:\ProgramDataCMD: dir /a C:\Users\Admin\AppData\LocalCMD: dir /a C:\Users\Admin\AppData\LocalLowCMD: dir /a C:\Users\Admin\AppData\RoamingCMD: netsh advfirewall resetPowershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt 2. Przeglądarka Google Chrome nie wygląda dobrze, wpisy kojarzą mi się z modyfikacją preferencji. Wymagana jest kompleksowa reinstalacja przeglądarki. Upewnij się, że nie masz włączonej synchronizacji, która załaduje złe ustawienia z serwera po reinstalacji przeglądarki: KLIK. Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML. Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki. Zainstaluj najnowszą stabilną wersję Google Chrome: KLIK. 4. Wyczyść przeglądarkę Mozilla FireFox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania. 5. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 6. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
Miszel03 Opublikowano 9 Grudnia 2017 Zgłoś Udostępnij Opublikowano 9 Grudnia 2017 KLIK Powiem Ci tylko drogi użytkowniku, że że zachowujesz się niepoważnie i to do granic możliwości. Zakładasz tematy na różnych forach, bez powiadomienia nikogo. Dwie osoby pomagające pracują w tym samym czasie - tracą czas, bo przecież do wykonania jest tylko jedna partia instrukcji. Straciłem cenną godzinę na Twój temat. Rozumiem, że każdy chce pomocy jak najszybciej, ale no...trochę wyobraźni. Niech pomoc będzie prowadzona na Pclab, bo tam się zaczęła. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się