gameorplay strona www

[Xoro1]

Po uruchomieniu systemu przeglądarka Chrome samoczynnie uruchamia się na adresie hxxp://gameorplay.info/nextpage.html

Edytowane 25 Stycznia 2018 przez Miszel03
Kasuje niepoprawne raporty. //Miszel03

[Miszel03]

Raporty kasuje, ponieważ mają być bez dat, czyli z miejsca, z którego został uruchomiony FRST, a nie z archiwalnego C:\FRST. Brak dat jest istotny, ponieważ potwierdza, że nie ma nowszych raportów.

[Xoro1]

Czyli po skanowaniu FRST to co mi wyskoczy? Czy gdzieś indziej się jeszcze zapisuje?

FRST.txt

Addition.txt

Shortcut.txt

[Miszel03]

Czyli po skanowaniu FRST to co mi wyskoczy? Czy gdzieś indziej się jeszcze zapisuje?

 

Tak, i właśnie chodzi o raporty, które wyskoczą po zakończeniu skanowania. 

Teraz raporty są w porządku.

 

---

 

Infekcja, którą opisujesz umiejscowiła się w Harmonogramie zadań oraz autostarcie. 

 

1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:

 

CloseProcesses:
CreateRestorePoint:
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => C:\Windows\system32\igfxpph.dll -> Brak pliku
Task: {16097CC5-ABB4-416C-92A0-5B36D8180ABD} - System32\Tasks\user => cmd.exe /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v user /t REG_SZ /d "explorer.exe hxxp://ozirizsoos.info" 
Task: {20DED804-E176-42B9-A9B0-2D0757378C6B} - System32\Tasks\{66F063EA-5A38-494C-83F5-376C23694667} => C:\Windows\system32\pcalua.exe -a C:\Users\user\AppData\Local\Temp\jre-8u73-windows-au.exe -d C:\Windows\SysWOW64 -c /installmethod=jau FAMILYUPGRADE=1 
Task: {9EDA70EC-703F-435B-8457-AF0F186989B3} - System32\Tasks\{B580DD7E-FF52-48DD-B81A-65C73CBC1E28} => C:\Windows\system32\pcalua.exe -a C:\Users\user\AppData\Local\Temp\jre-8u144-windows-au.exe -d C:\Windows\SysWOW64 -c /installmethod=jau FAMILYUPGRADE=1 
Winlogon\Notify\igfxcui: igfxdev.dll [X]
HKLM\...\Policies\Explorer: [NoViewContextMenu] 0
HKU\S-1-5-21-2052047121-4088128527-1503522172-1000\...\Run: [user] => explorer.exe hxxp://ozirizsoos.info 
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia 
SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-21-2052047121-4088128527-1503522172-1000 -> {962B6AC7-71F2-416C-8698-8F90C7E08656} URL = 
FF Plugin: @microsoft.com/GENUINE -> disabled [brak pliku]
FF Plugin-x32: @microsoft.com/GENUINE -> disabled [brak pliku]
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Lexmark X1100 Series\Centrum obsługi urządzenia Lexmark.LNK
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Lexmark X1100 Series\Odinstaluj drukarkę Lexmark X1100 Series.LNK
C:\Users\user\Desktop\µTorrent.lnk 
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 

 

3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

[Xoro1]

Dzięki za pomoc Strona nie wyskakuje.

 

EDIT:

 

Sorry, pomyliłem się z tym FRST.txt 

FRST.txt

Addition.txt

Fixlog_25-01-2018 09.20.36.txt

Edytowane 25 Stycznia 2018 przez Miszel03
Łącze posty. //Miszel03

[Miszel03]

Posty łącze, proszę w takich sytuacjach omyłkowych używać opcji Edytuj, która dostępna jest przy każdym Twoim poście.

 

Skrypt wykonany pomyślnie i infekcja zdjęta, aczkolwiek nie widzę raportu z pkt. 2. Proszę go dostarczyć.

[Xoro1]

OK, będę wiedział następnym razem, ale żaden raport mi nie wyskoczył, tylko komputer się zresetował. 

Edytowane 25 Stycznia 2018 przez Miszel03
Poprawiam pisowanie. //Miszel03

[Miszel03]

Proszę dbać o pisownie.

 

OK, będę wiedział następnym razem, ale żaden raport mi nie wyskoczył, tylko komputer się zresetował.

 

Muszę mieć pewność, że z system jest już w porządku zanim przejdziemy do finalizacji tematu.

Restart komputera po skanowaniu świadczy o tym, że zostały wykryte jakieś nieprawidłowości, mało tego - zostały skorygowane, a przecież prosiłem:

 

Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport.

 

raport znajduje się w zakładce Raporty* w głównym interfejsie programu.  Proszę o jego dostarczenie w celu weryfikacji. 

 

* - zaznacz raport > kliknij w Wyświetl raport > wyświetli się raport > kliknij Eksportuj > z opcji wybierz Plik tekstowy (*.txt) > plik zapisz jako RAPORT na pulpicie > załącz ten plik na forum.

[Xoro1]

Jest problem ponieważ skasowałem folder FRST ,a i przepraszam za pisownie i interpunkcje ponieważ mam dysortografie 

[Miszel03]

Jest problem ponieważ skasowałem folder FRST ,a i przepraszam za pisownie i interpunkcje ponieważ mam dysortografie

 

Spokojnie, ale nadmienię tylko, że przeglądarka internetowa samodzielnie sprawdzą pisownie i podkreśla błąd (już nawet z PPM można wybrać sugerowany poprawny wyraz). 

 

Skasowanie folderu C:\FRST nie ma nic do rzeczy (i nic wielkiego się nie stało, bo z FRST raczej nie będziemy już korzystać), bo raport dotyczy Malwarebytes - wróć do mojego poprzedniego postu.