PanKasztan Opublikowano 12 Stycznia 2018 Zgłoś Udostępnij Opublikowano 12 Stycznia 2018 Witam, Po uruchomieniu systemu przeglądarka (Opera) uruchamia się samoczynnie po około 5 sekundach i otwiera zestaw stron kończąc na (hxxp://gameorplay.info/nextpage.html). Dodatkowo na mailu dostałem wiadomość o wysyłaniu dużej ilości spamu. Na skanach nie mogę doszukać się przyczyny, nie znalazłem podejrzanych programów. Dziękuję za wszelką pomoc. FRST.txt Odnośnik do komentarza
Miszel03 Opublikowano 12 Stycznia 2018 Zgłoś Udostępnij Opublikowano 12 Stycznia 2018 Na skanach nie mogę doszukać się przyczyny, nie znalazłem podejrzanych programów. Jest infekcja, ale: Log FRST kasuje - przy generacji poprawnego zestawu ten i tak będzie już nieaktualny. Proszę dostosować zestaw raportów zgodnie z naszymi zasadami działu. Odnośnik do komentarza
PanKasztan Opublikowano 12 Stycznia 2018 Autor Zgłoś Udostępnij Opublikowano 12 Stycznia 2018 Oto nowe raporty FRST.txt Addition.txt Shortcut.txt Odnośnik do komentarza
Miszel03 Opublikowano 12 Stycznia 2018 Zgłoś Udostępnij Opublikowano 12 Stycznia 2018 Infekcja adware ulokowana jest w autostarcie oraz jako zadanie w Harmonogramie zadań. Po poniższych zabiegach problem powinien zniknąć. 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-46472639-1844891849-1826016754-1001\...\Run: [suchar] => explorer.exe hxxp://ozirizsoos.info Task: {89FFC666-0F13-4BDA-9C83-201582F4BA54} - System32\Tasks\Suchar => cmd.exe /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v Suchar /t REG_SZ /d "explorer.exe hxxp://ozirizsoos.info" ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Brak pliku CustomCLSID: HKU\S-1-5-21-46472639-1844891849-1826016754-1001_Classes\CLSID\{1BF42E4C-4AF4-4CFD-A1A0-CF2960B8F63E}\InprocServer32 -> C:\Users\Suchar\AppData\Local\Microsoft\OneDrive\17.3.6943.0625\amd64\FileSyncShell64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-46472639-1844891849-1826016754-1001_Classes\CLSID\{7AFDFDDB-F914-11E4-8377-6C3BE50D980C}\InprocServer32 -> C:\Users\Suchar\AppData\Local\Microsoft\OneDrive\17.3.6943.0625\amd64\FileSyncShell64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-46472639-1844891849-1826016754-1001_Classes\CLSID\{82CA8DE3-01AD-4CEA-9D75-BE4C51810A9E}\InprocServer32 -> C:\Users\Suchar\AppData\Local\Microsoft\OneDrive\17.3.6943.0625\amd64\FileSyncShell64.dll => Brak pliku ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => -> Brak pliku ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} => -> Brak pliku ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} => -> Brak pliku ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => -> Brak pliku ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => -> Brak pliku ShellIconOverlayIdentifiers: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} => -> Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => -> Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} => -> Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} => -> Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => -> Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => -> Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} => -> Brak pliku DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Suchar\AppData\Local\Mozilla C:\Users\Suchar\AppData\Roaming\Mozilla C:\Users\Suchar\AppData\Roaming\Profiles Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Uruchom AdwCleaner z opcji Skanuj (nie stosuj jeszcze Oczyść). Dostarcz raport z tego działania. 3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
PanKasztan Opublikowano 12 Stycznia 2018 Autor Zgłoś Udostępnij Opublikowano 12 Stycznia 2018 Już widać poprawę. Dzięki wielkie za pomoc, leci donejt AdwCleanerS0.txt Fixlog.txt FRST.txt Addition.txt Odnośnik do komentarza
Miszel03 Opublikowano 12 Stycznia 2018 Zgłoś Udostępnij Opublikowano 12 Stycznia 2018 Już widać poprawę. Dzięki wielkie za pomoc, leci donejt Dziękuję w imieniu całego zespołu Fixitpc.pl za pomoc w utrzymaniu serwisu! Wszystko pomyślnie wykonane, infekcja usunięta. AdwCleaner nie wykrył już żadnych zagrożeń. Uznaję, że możemy kończyć. Na koniec zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się