Wirus od http://gmaegames.pro/redirect-from-banner.html

ryczek11 · 21 Grudnia 2018

@

3ndurek

Wydaje się że problem znikną Doskonała robota . W razie co się odezwę , pozdrawiam .

**jarrino** · 21 Grudnia 2018

Już rozumiem i przepraszam Was ...

**3ndurek** · 21 Grudnia 2018

UWAGA!

Dla innych którzy będą mieli ten problem, wrzucajcie logi z FRST.txt i Addition.txt na jakiś serwer i tu dajcie linki.

pablo92 · 21 Grudnia 2018

Witam, mam ten sam problem. Podaje link do:

FRST.txt - https://megawrzuta.pl/download/d4662c4ccc38f15b0a54ff0d8ff5ba16.html

Addition.txt - https://megawrzuta.pl/download/3b9cf5ea2b4cddcbcd11dfe9ce75be95.html

**3ndurek** · 21 Grudnia 2018

1. Uruchom FRST, naciśnij jednocześnie CTRL+Y, otworzy się notatnik - wklej do niego:

Task: {378401BA-A703-444A-A79C-3C47AD2DC5B6} - \Microsoft\Windows\TaskScheduler\Maintenance Configurator -> Brak pliku <==== UWAGA

Task: {40525C58-79C2-47A1-9AA2-F1D7FC4F0691} - \Microsoft\Windows\WindowsBackup\ConfigNotification -> Brak pliku <==== UWAGA

Task: {44B3F1B8-5943-4072-8D8C-A9484676AC44} - \Microsoft\Windows\Live\Roaming\SynchronizeWithStorage -> Brak pliku <==== UWAGA

Task: {5755E746-D7ED-4C20-A472-66C11834CDE4} - \Microsoft\Windows\TaskScheduler\Manual Maintenance -> Brak pliku <==== UWAGA

Task: {7D9A9A1C-499C-40A6-8F8A-5BCC4CC9A87C} - \Microsoft\Windows\TaskScheduler\Regular Maintenance -> Brak pliku <==== UWAGA

Task: {845CB020-68B5-4C6B-9876-7BEC7B3E27AC} - \Microsoft\Windows\TaskScheduler\Idle Maintenance -> Brak pliku <==== UWAGA

Task: {A74FE23F-E99B-46FE-9B70-286B8A1784BE} - System32\Tasks\{F7BA8275-145D-423C-B05B-E99C3BBF0FEB} => C:\Windows\system32\pcalua.exe -a G:\Autorun.exe -d G:\

Task: {A800277E-E202-4492-AD38-3312641CBC04} - \Microsoft\Windows\Live\Roaming\MaintenanceTask -> Brak pliku <==== UWAGA

Task: {C84F8A44-9FD3-4273-930B-E488674D2812} - \Microsoft\Windows\Application Experience\AitAgent -> Brak pliku <==== UWAGA

Task: {F7436DD8-92FC-4033-B363-1F6ECCDCF39C} - System32\Tasks\Paweł => cmd.exe /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v Paweł /t REG_SZ /d "explorer.exe hxxp://dipladoks.org" <==== UWAGA

IE restricted site: HKU\S-1-5-21-2456519801-222911525-1552971035-1001\...\008i.com -> 008i.com

IE restricted site: HKU\S-1-5-21-2456519801-222911525-1552971035-1001\...\008k.com -> 008k.com

IE restricted site: HKU\S-1-5-21-2456519801-222911525-1552971035-1001\...\00hq.com -> 00hq.com

IE restricted site: HKU\S-1-5-21-2456519801-222911525-1552971035-1001\...\0190-dialers.com -> 0190-dialers.com

IE restricted site: HKU\S-1-5-21-2456519801-222911525-1552971035-1001\...\01i.info -> 01i.info

IE restricted site: HKU\S-1-5-21-2456519801-222911525-1552971035-1001\...\02pmnzy5eo29bfk4.com -> 02pmnzy5eo29bfk4.com

IE restricted site: HKU\S-1-5-21-2456519801-222911525-1552971035-1001\...\05p.com -> 05p.com

IE restricted site: HKU\S-1-5-21-2456519801-222911525-1552971035-1001\...\07ic5do2myz3vzpk.com -> 07ic5do2myz3vzpk.com

IE restricted site: HKU\S-1-5-21-2456519801-222911525-1552971035-1001\...\08nigbmwk43i01y6.com -> 08nigbmwk43i01y6.com

IE restricted site: HKU\S-1-5-21-2456519801-222911525-1552971035-1001\...\093qpeuqpmz6ebfa.com -> 093qpeuqpmz6ebfa.com

IE restricted site: HKU\S-1-5-21-2456519801-222911525-1552971035-1001\...\0calories.net -> 0calories.net

IE restricted site: HKU\S-1-5-21-2456519801-222911525-1552971035-1001\...\0cj.net -> 0cj.net

IE restricted site: HKU\S-1-5-21-2456519801-222911525-1552971035-1001\...\0scan.com -> 0scan.com

IE restricted site: HKU\S-1-5-21-2456519801-222911525-1552971035-1001\...\1-britney-spears-nude.com -> 1-britney-spears-nude.com

IE restricted site: HKU\S-1-5-21-2456519801-222911525-1552971035-1001\...\1-domains-registrations.com -> 1-domains-registrations.com

IE restricted site: HKU\S-1-5-21-2456519801-222911525-1552971035-1001\...\1-se.com -> 1-se.com

IE restricted site: HKU\S-1-5-21-2456519801-222911525-1552971035-1001\...\1001movie.com -> 1001movie.com

IE restricted site: HKU\S-1-5-21-2456519801-222911525-1552971035-1001\...\1001night.biz -> 1001night.biz

IE restricted site: HKU\S-1-5-21-2456519801-222911525-1552971035-1001\...\100gal.net -> 100gal.net

IE restricted site: HKU\S-1-5-21-2456519801-222911525-1552971035-1001\...\100sexlinks.com -> 100sexlinks.com

HKU\S-1-5-21-2456519801-222911525-1552971035-1001\...\ChromeHTML: -> <==== UWAGA

ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku

ContextMenuHandlers1: [iObitUnstaler] -> {836AB26C-2DE4-41D3-AC24-4C6C2699B960} => -> Brak pliku

ContextMenuHandlers4: [iObitUnstaler] -> {836AB26C-2DE4-41D3-AC24-4C6C2699B960} => -> Brak pliku

ContextMenuHandlers6: [iObitUnstaler] -> {836AB26C-2DE4-41D3-AC24-4C6C2699B960} => -> Brak pliku

HKU\S-1-5-21-2456519801-222911525-1552971035-1001\...\Run: [Paweł] => explorer.exe hxxp://dipladoks.org <==== UWAGA

HKU\S-1-5-21-2456519801-222911525-1552971035-1001\...\Policies\Explorer: [NolowDiskSpaceChecks] 1

HKLM\...\Drivers32: [msacm.vorbis] => C:\Windows\system32\vorbis.acm [1470976 2015-03-11] (HMS hxxp://hp.vector.co.jp/authors/VA012897/)

HKLM\...\Drivers32-x32: [msacm.vorbis] => C:\Windows\SysWOW64\vorbis.acm [1554944 2015-03-11] (HMS hxxp://hp.vector.co.jp/authors/VA012897/)

SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =

SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =

BHO: Brak nazwy -> {8664889D-ED18-4713-918F-E2BB69D8452B} -> Brak pliku

BHO-x32: Brak nazwy -> {8664889D-ED18-4713-918F-E2BB69D8452B} -> Brak pliku

Toolbar: HKLM - Brak nazwy - {8664889D-ED18-4713-918F-E2BB69D8452B} - Brak pliku

Toolbar: HKLM-x32 - Brak nazwy - {8664889D-ED18-4713-918F-E2BB69D8452B} - Brak pliku

FF Extension: (LastPass) - C:\Users\Paweł\AppData\Roaming\Mozilla\Firefox\Profiles\t13c6k1x.default\Extensions\[email protected] [2016-03-13] [Przestarzałe]

FF Extension: (Adblock Plus) - C:\Users\Paweł\AppData\Roaming\Mozilla\Firefox\Profiles\t13c6k1x.default\Extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi [2016-08-18] [Przestarzałe]

FF Extension: (Logitech SetPoint) - C:\Program Files\Logitech\SetPointP\LogiSmoothFirefoxExt [2014-11-27] [Przestarzałe] [brak podpisu cyfrowego]

FF Plugin-x32: @nvidia.com/3DVision -> C:\Program Files (x86)\NVIDIA Corporation\3D Vision\npnv3dv.dll [brak pliku]

FF Plugin-x32: @nvidia.com/3DVisionStreaming -> C:\Program Files (x86)\NVIDIA Corporation\3D Vision\npnv3dvstreaming.dll [brak pliku]

S3 PornTime Updater; C:\Users\Paweł\AppData\Roaming\PT\updater.exe [165888 2015-06-15] (PornTime) [brak podpisu cyfrowego]

S3 catchme; \??\C:\ComboFix\catchme.sys [X]

S3 cpuz138; \??\C:\Users\PAWE~1\AppData\Local\Temp\cpuz138\cpuz138_x64.sys [X] <==== UWAGA

S3 VBoxNetFlt; \SystemRoot\system32\DRIVERS\VBoxNetFlt.sys [X]

Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}

EmptyTemp:

Naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW)

Daj znać czy pomogło.

2. Zrób nowe logi z FRST

Edytowane 21 Grudnia 2018 przez 3ndurek

pablo92 · 21 Grudnia 2018

dzięki wielkie 3ndurek, pomogło

Trewq278 · 22 Grudnia 2018

Witam,
również męczę się z tym problemem. Proszę o pomoc.

FRST.txt https://megawrzuta.pl/download/b1b50402c775b2395cfdbafc1332cd5d.html

Addition.txt https://megawrzuta.pl/download/a9268faf68d20de10e7bdfd02b327967.html

**3ndurek** · 22 Grudnia 2018

Wrzucajcie to na wklej.to.pl bo na megawrzuta tez jest syf

Uruchom FRST, naciśnij jednocześnie CTRL+Y, otworzy się notatnik - wklej do niego:

Task: {AE8B119E-CB8B-4D32-9D38-B2BE432E98D5} - System32\Tasks\Agnieszka => cmd.exe /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v Agnieszka /t REG_SZ /d "cmd.exe /c start www.dipladoks.org"
Task: {EB86F6F6-A353-4DF8-A839-809A4A14162E} - \Microsoft\Windows\UNP\RunCampaignManager -> Brak pliku <==== UWAGA
ContextMenuHandlers3: [MBAMShlExt] -> {57CE581A-0CB6-4266-9CA0-19364C90A0B3} =>  -> Brak pliku
ContextMenuHandlers6: [MBAMShlExt] -> {57CE581A-0CB6-4266-9CA0-19364C90A0B3} =>  -> Brak pliku
HKLM Group Policy restriction on software: %systemroot%\system32\mrt.exe <==== UWAGA
HKU\S-1-5-21-1754419168-3450919885-2549430228-1000\...\Run: [Agnieszka] => cmd.exe /c start www.dipladoks.org
HKU\S-1-5-21-1754419168-3450919885-2549430228-1000\...\MountPoints2: F - "F:\setup.exe" 
HKU\S-1-5-21-1754419168-3450919885-2549430228-1000\...\MountPoints2: {905075d9-9733-11e8-afac-bcaec53276c0} - "G:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-1754419168-3450919885-2549430228-1000\...\MountPoints2: {c96d2db3-adad-11e8-afbe-bcaec53276c0} - "F:\Startme.exe" 
S3 SwitchBoard; C:\Program Files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe [517096 2010-02-19] (Adobe Systems Incorporated) [Brak podpisu cyfrowego]
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:

Naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW)

Daj znać czy pomogło.

Edytowane 22 Grudnia 2018 przez 3ndurek

Trewq278 · 22 Grudnia 2018

Jesteś moim cudotwórcą. Dzięki wielkie. Wszystko działa bezbłędnie

denzel905 · 23 Grudnia 2018

Witam.Mam ten sam problem.Proszę o pomoc.

http://www.wklejto.pl/txt698128

http://www.wklejto.pl/698129

**3ndurek** · 23 Grudnia 2018

Uruchom FRST, naciśnij jednocześnie CTRL+Y, otworzy się notatnik - wklej do niego:

Task: {A571E393-95FE-4B3E-B122-5EE7C5C24689} - System32TasksKrzysztof => cmd.exe /c REG ADD HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun /f /v Krzysztof /t REG_SZ /d "cmd.exe /c start www.dipladoks.org"
HKUS-1-5-21-4133115281-3439829-2331882650-1000...Run: [Krzysztof] => cmd.exe /c start www.dipladoks.org

HKUS-1-5-21-4133115281-3439829-2331882650-1000...Run: [Web Companion] => C:Program Files (x86)LavasoftWeb CompanionApplicationWebCompanion.exe --minimize

GroupPolicy: Ograniczenia ? <==== UWAGA

GroupPolicyUser: Ograniczenia ? <==== UWAGA

HKUS-1-5-21-4133115281-3439829-2331882650-1000SoftwareMicrosoftInternet ExplorerMain,Start Page = hxxps://pl.search.yahoo.com/yhs/web?hspart=lvs&hsimp=yhs-awc&type=lvs__webcompa__1_0__ya__hp_WCYID10420__180609__ya[browser]

SearchScopes: HKUS-1-5-21-4133115281-3439829-2331882650-1000 -> {C0C3A6C6-03BC-4195-8FCB-AEA091301353} URL = hxxps://pl.search.yahoo.com/yhs/search?hspart=lvs&hsimp=yhs-awc&type=lvs__webcompa__1_0__ya__ch_WCYID10420__180609__yaie&p={searchTerms}

S3 IDriverT; C:Program Files (x86)Common FilesInstallShieldDriver1150Intel 32IDriverT.exe [69632 2005-11-14] (Macrovision Corporation) [brak podpisu cyfrowego]

2018-12-23 13:45 - 2018-01-09 08:31 - 000000000 ____D C:UsersKrzysztofAppDataRoamingRaptr

Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:

Naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW)

Daj znać czy pomogło.

denzel905 · 23 Grudnia 2018

3ndurek@

Witam.Niestety to nie pomogło, po restarcie systemu włącza sie przeglądarka i wyszukuje www.dipladoks.org a potem gmaegames.pro

pozdr.

**3ndurek** · 23 Grudnia 2018

Zrób nowe logi z FRST.

Na wklejto.pl wkleja się tekst, a nie plik.

denzel905 · 23 Grudnia 2018

Ok. Już poprawiłem.

http://wklejto.pl/txt698164

http://wklejto.pl/txt698165

3ndurek@

Przepraszam popełniłem błąd

teraz będzie dobrze.

http://wklejto.pl/698166

http://wklejto.pl/698167

**3ndurek** · 23 Grudnia 2018

Uruchom FRST, naciśnij jednocześnie CTRL+Y, otworzy się notatnik - wklej do niego:

HKU\S-1-5-21-4133115281-3439829-2331882650-1000\...\Run: [Krzysztof] => cmd.exe /c start www.dipladoks.org

HKU\S-1-5-21-4133115281-3439829-2331882650-1000\...\Run: [Web Companion] => C:\Program Files (x86)\Lavasoft\Web Companion\Application\WebCompanion.exe --minimize

GroupPolicy\User: Ograniczenia ? <==== UWAGA

HKU\S-1-5-21-4133115281-3439829-2331882650-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://pl.search.yahoo.com/yhs/web?hspart=lvs&hsimp=yhs-awc&type=lvs__webcompa__1_0__ya__hp_WCYID10420__180609__ya[browser]

SearchScopes: HKU\S-1-5-21-4133115281-3439829-2331882650-1000 -> {C0C3A6C6-03BC-4195-8FCB-AEA091301353} URL = hxxps://pl.search.yahoo.com/yhs/search?hspart=lvs&hsimp=yhs-awc&type=lvs__webcompa__1_0__ya__ch_WCYID10420__180609__yaie&p={searchTerms}

FF NewTab: Mozilla\Firefox\Profiles\eprkft18.default-1515409924644 -> hxxps://pl.search.yahoo.com/yhs/web?hspart=lvs&hsimp=yhs-awc&type=lvs__webcompa__1_0__ya__hp_WCYID10420__180609__yaff

IE trusted site: HKU\S-1-5-21-4133115281-3439829-2331882650-1000\...\webcompanion.com -> hxxp://webcompanion.com

IE trusted site: HKU\.DEFAULT\...\webcompanion.com -> hxxp://webcompanion.com

Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:

Naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW)

Edytowane 23 Grudnia 2018 przez 3ndurek

denzel905 · 23 Grudnia 2018

3ndurek@

Niestety to nic nie dało,dalej jest to samo

**3ndurek** · 23 Grudnia 2018

Napisałem na pw co masz sprawdzić.

mourdebars · 24 Grudnia 2018

Drodzy koledzy / żanki,

mam oczywiście ten sam problem z wirusowym przekierowaniem. Z góry dziękuję za pomoc, równocześnie chętnie bym się dowiedział jak samemu wyłapywać niespójności rejestru.

Pozdrowienia od nowego użytkownika

FRST

https://megawrzuta.pl/download/30d5e50d725f2cc13e8a95c07f389cdb.html

Add

https://megawrzuta.pl/download/148152c536ebb1bc9ab2d85b9b21997b.html

**3ndurek** · 24 Grudnia 2018

Uruchom FRST, naciśnij jednocześnie CTRL+Y, otworzy się notatnik - wklej do niego

CloseProcesses:

Task: {0B81FC13-4F92-45A2-8B52-CFE6DCA1920B} - System32\Tasks\{67BD1D5B-1FFD-421D-9846-571FF02E12EC} => C:\Windows\system32\pcalua.exe -a "C:\Program Files (x86)\Common Files\Mathdonfind\uninstall.exe" -c shuz -f "C:\Program Files (x86)\Common Files\Mathdonfind\uninstall.dat" -a uninstallme 9D0CBE86-16AA-47C0-8652-9C918190949C DeviceId=2541bab6-ce9e-d7f1-3786-d89f41f7edbf BarcodeId=51557003 ChannelId=3 DistributerName=APSFWemonetiz (dane wartości zawierają 1 znaków więcej).

Task: {1F8DB2B8-33AA-41F0-AF71-20E54FEEF4F4} - System32\Tasks\{EF173552-0E01-4F3A-BB29-7BE12CFA1029} => C:\Windows\system32\pcalua.exe -a C:\Users\Rad\Downloads\sp64829.exe -d C:\Users\Rad\Downloads

Task: {21E55ED8-07DA-45BA-8E04-9C0705995B0E} - System32\Tasks\{9E9B5D5F-7179-48BC-94B3-FE9E7EF98E31} => C:\Windows\system32\pcalua.exe -a "C:\Program Files (x86)\Common Files\Quadtough\uninstall.exe" -c shuz -f "C:\Program Files (x86)\Common Files\Quadtough\uninstall.dat" -a uninstallme 907452CB-8372-4737-9198-AA050A7D1EDE DeviceId=2541bab6-ce9e-d7f1-3786-d89f41f7edbf BarcodeId=50027003 ChannelId=3 DistributerName=APSnapdoAMRev

Task: {300C2E12-E3C2-45C0-BB7D-9D44F83AC050} - System32\Tasks\Rad => cmd.exe /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v Rad /t REG_SZ /d "cmd.exe /c start www.dipladoks.org"

Task: {3B14BBC8-D304-45D1-B80E-7A2AD65892A1} - System32\Tasks\{D2A01EF3-654F-4723-ABBC-4EF530A8C07D} => C:\Windows\system32\pcalua.exe -a C:\Users\Rad\Downloads\sp61293.exe -d C:\Users\Rad\Downloads

Task: {55F7CC69-096C-40BB-883D-DD0A132BE228} - System32\Tasks\{D247E5A1-63F3-4D00-BEED-9265D246C959} => C:\Windows\system32\pcalua.exe -a C:\Users\Rad\AppData\Roaming\istartsurf\UninstallManager.exe -c -ptid=amt

Task: {5EFE2EB3-5259-49A6-A5F2-DB62F116A09A} - System32\Tasks\{CF8C1E40-C833-474E-908E-4DBF0C4A9BDC} => C:\Windows\system32\pcalua.exe -a C:\Users\Rad\Downloads\sp64284.exe -d C:\Users\Rad\Downloads

Task: {9451972B-0D97-4A4A-BA0B-EA6A92BF9399} - System32\Tasks\{461154EF-6ADD-4FDC-BC4A-ED3F274DABE1} => C:\Windows\system32\pcalua.exe -a C:\Users\Rad\Downloads\HP_SDM_Setup.exe -d C:\Users\Rad\Downloads

Task: {ADE8B633-335C-4938-A38D-4DC72FA567E5} - System32\Tasks\{019F1A95-C68C-4FE6-8F9F-8493A9B8E914} => C:\Windows\system32\pcalua.exe -a "C:\Program Files (x86)\Common Files\Geolight\uninstall.exe" -c shuz -f "C:\Program Files (x86)\Common Files\Geolight\uninstall.dat" -a uninstallme 90EACF1B-1091-4A30-A251-53049E4BDF1B DeviceId=2541bab6-ce9e-d7f1-3786-d89f41f7edbf BarcodeId=51557003 ChannelId=3 DistributerName=APSFWemonetize

Task: {B613FA04-2BD2-4F60-8025-9FA41765A0ED} - System32\Tasks\{54D8B556-7C7C-4ED5-9F6E-FFCA1573ADC2} => C:\Windows\system32\pcalua.exe -a C:\Users\Rad\Downloads\sp63184.exe -d C:\Users\Rad\Downloads

Task: {D9192325-AF06-4275-87F9-FC93175A05C4} - System32\Tasks\{5211F371-763E-4BC1-895B-B6025BC61F04} => C:\Windows\system32\pcalua.exe -a C:\Users\Rad\Downloads\sp65011(1).exe -d C:\Users\Rad\Downloads

Task: {E5B15BD6-A4FF-4733-A432-D1F36B872B16} - System32\Tasks\{5467F8BE-72E9-44AC-B8B3-B8860756F291} => C:\Windows\system32\pcalua.exe -a C:\Users\Rad\Downloads\sp64824.exe -d C:\Users\Rad\Downloads

FirewallRules: [{5CEFC807-5A48-4C2E-AE66-AC1EAFBE2E1F}] => (Allow) C:\Program Files\AVAST Software\Avast\AvEmUpdate.exe Brak pliku

FirewallRules: [{F1970CB8-72A0-4E8B-BF43-830010252199}] => (Allow) C:\Program Files\AVAST Software\Avast\AvEmUpdate.exe Brak pliku

ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku

ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Brak pliku

HKU\S-1-5-21-2384555901-2912388839-3918029877-1000\...\Run: [Rad] => cmd.exe /c start www.dipladoks.org

CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <==== UWAGA

HKLM-x32\...\Run: [] => [X]

S3 catchme; \??\C:\Users\Rad\AppData\Local\Temp\catchme.sys [X] <==== UWAGA

Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}

EmptyTemp:

Naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW)

Daj znać czy pomogło.

Edytowane 24 Grudnia 2018 przez 3ndurek

mourdebars · 24 Grudnia 2018

Pomogło. Serdecznie dziękuję! Udanej końcówki roku, Mistrzu.

theBeoWulfIV · 25 Grudnia 2018

Cześć. 3ndurek widzę że ogarniasz temat. Pomożesz mi?

http://wklejto.pl/698402

http://wklejto.pl/698403

Możesz mi dokładniej opisać, jak mam dokładnie nadpisać te zmiany?

**3ndurek** · 25 Grudnia 2018

Uruchom FRST, naciśnij jednocześnie CTRL+Y, otworzy się notatnik - wklej do niego:

CloseProcesses:

Task: {E660770D-D029-4D9B-B6A5-ADCCECFE2FF5} - System32\Tasks\dawid => cmd.exe /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v dawid /t REG_SZ /d "cmd.exe /c start www.dipladoks.org"

ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Brak pliku

HKLM\...\Policies\Explorer: [HideSCAHealth] 1

HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA

HKU\S-1-5-21-1060751065-926697534-3807779544-1001\...\Run: [dawid] => cmd.exe /c start www.dipladoks.org

HKLM\...\Drivers32: [msacm.vorbis] => C:\Windows\system32\vorbis.acm [1470976 2015-03-11] (HMS hxxp://hp.vector.co.jp/authors/VA012897/)

HKLM\...\Drivers32-x32: [msacm.vorbis] => C:\Windows\SysWOW64\vorbis.acm [1554944 2015-03-11] (HMS hxxp://hp.vector.co.jp/authors/VA012897/)

HKLM\...\Drivers32-x32: [msacm.lameacm] => C:\Windows\SysWOW64\lameACM.acm [473088 2015-02-25] (hxxp://www.mp3dev.org/)

HKU\S-1-5-21-1060751065-926697534-3807779544-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://go.microsoft.com/fwlink/p/?LinkId=619797&pc=UE03&ocid=UE03DHP

SearchScopes: HKU\S-1-5-21-1060751065-926697534-3807779544-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxps://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IESR02&pc=UE04

SearchScopes: HKU\S-1-5-21-1060751065-926697534-3807779544-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxps://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IESR02&pc=UE04

SearchScopes: HKU\S-1-5-21-1060751065-926697534-3807779544-1001 -> {C0C3A6C6-03BC-4195-8FCB-AEA091301353} URL =

HKU\S-1-5-21-1060751065-926697534-3807779544-1001\Software\Classes\regfile: regedit.exe "%1" <==== UWAGA

Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}

EmptyTemp:

Naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW)

Daj znać czy pomogło.

Edytowane 25 Grudnia 2018 przez 3ndurek

theBeoWulfIV · 25 Grudnia 2018

Dziękuję pomogło!

bartomaler · 26 Grudnia 2018

Witam, problem znany.

Mistrzu proszę o pomoc

F http://wklejto.pl/698734

A http://wklejto.pl/698736

Pozdrawiam

**3ndurek** · 27 Grudnia 2018

Uruchom FRST, naciśnij jednocześnie CTRL+Y, otworzy się notatnik - wklej do niego:

CloseProcesses:

Task: {7ED64120-555A-4704-8038-9E0279502F71} - System32\Tasks\Multicom => cmd.exe /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v Multicom /t REG_SZ /d "explorer.exe hxxp://dipladoks.org" <==== UWAGA

HKU\S-1-5-21-3020979240-3561456421-1290548662-1001\...\Run: [Multicom] => explorer.exe hxxp://dipladoks.org <==== UWAGA

HKU\S-1-5-21-3020979240-3561456421-1290548662-1001\...\MountPoints2: {821c6bae-8ddb-11e8-a257-d4258b0df704} - "G:\setup.exe"

HKU\S-1-5-21-3020979240-3561456421-1290548662-1001\...\MountPoints2: {821c6f5a-8ddb-11e8-a257-d4258b0df704} - "H:\setup.exe"

FirewallRules: [TCP Query User{FA2DC6C2-4472-4CBF-A358-2243A83F7A07}D:\alien - isolation\ai.exe] => (Allow) D:\alien - isolation\ai.exe Brak pliku

FirewallRules: [uDP Query User{EA48FEE1-DD00-4909-B89F-1688D93F1BFA}D:\alien - isolation\ai.exe] => (Allow) D:\alien - isolation\ai.exe Brak pliku

FirewallRules: [TCP Query User{FAEC9947-557A-450F-9B81-39789BB15DEB}D:\pro evolution soccer 2018\pes2018.exe] => (Allow) D:\pro evolution soccer 2018\pes2018.exe Brak pliku

FirewallRules: [uDP Query User{C9244B0A-EA1A-43A0-A79B-4B7C21E2C2F5}D:\pro evolution soccer 2018\pes2018.exe] => (Allow) D:\pro evolution soccer 2018\pes2018.exe Brak pliku

Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}

EmptyTemp:

Daj znać czy pomogło.

Wirus od http://gmaegames.pro/redirect-from-banner.html

Recommended Posts

ryczek11 0

Link to post

Share on other sites

jarrino 3909

Link to post

Share on other sites

3ndurek 3584

Link to post

Share on other sites

pablo92 0

Link to post

Share on other sites

3ndurek 3584

Link to post

Share on other sites

pablo92 0

Link to post

Share on other sites

Trewq278 0

Link to post

Share on other sites

3ndurek 3584

Link to post

Share on other sites

Trewq278 0

Link to post

Share on other sites

denzel905 0

Link to post

Share on other sites

3ndurek 3584

Link to post

Share on other sites

denzel905 0

Link to post

Share on other sites

3ndurek 3584

Link to post

Share on other sites

denzel905 0

Link to post

Share on other sites

3ndurek 3584

Link to post

Share on other sites

denzel905 0

Link to post

Share on other sites

3ndurek 3584

Link to post

Share on other sites

mourdebars 0

Link to post

Share on other sites

3ndurek 3584

Link to post

Share on other sites

mourdebars 0

Link to post

Share on other sites

theBeoWulfIV 2

Link to post

Share on other sites

3ndurek 3584

Link to post

Share on other sites

theBeoWulfIV 2

Link to post

Share on other sites

bartomaler 0

Link to post

Share on other sites

3ndurek 3584

Link to post

Share on other sites

Dołącz do dyskusji

Ostatnio przeglądający 0 użytkowników