Wirus od http://gmaegames.pro/redirect-from-banner.html

[Miron1980 1]

Witam, dopadło i mnie, proszę o pomoc

 

http://www.wklejto.pl/705766

 

http://www.wklejto.pl/705767

[3ndurek 3584]

@@Miron1980, na wklejto.pl wklejałeś tekst z notatnika czy wklejałeś plik?

 

1.  Uruchom FRST, naciśnij jednocześnie CTRL+Y, otworzy się notatnik - wklej do niego: 

  

Task: {0787796F-B4D9-4A12-BB90-AF9FD81E125C} - System32Tasks{2FDEBF6D-D883-4714-A4A0-65B6F9D4644A} => C:Windowssystem32pcalua.exe -a F:SETUP.EXE -d F:

Task: {38763879-E016-49D4-9EA3-6ED1373E7A97} - System32TasksMiron => cmd.exe /c REG ADD HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun /f /v Miron /t REG_SZ /d "cmd.exe /c start www.dipladoks.org"

Task: {F9D61ECD-58EC-45C7-AFF8-5613B750A484} - System32Tasks{E0477219-EDD9-4B08-9C3F-9F22145EAED0} => C:Windowssystem32pcalua.exe -a "C:ProgramDataNVIDIA CorporationDownloaderlatestsetup.exe" -d "C:Program Files (x86)NVIDIA CorporationNVIDIA GeForce Experience" -c -custominvokerid:5 -loglevel:6 -log:"C:ProgramDataNVIDIA CorporationNVIDIA GeForce ExperienceLogs"

HKUS-1-5-21-812282640-3670306905-2936727346-1000...Run: [Miron] => cmd.exe /c start www.dipladoks.org

HKUS-1-5-21-812282640-3670306905-2936727346-1000...MountPoints2: {42de5df6-253a-11e8-8045-408d5cb98081} - H:setup.exe

HKUS-1-5-21-812282640-3670306905-2936727346-1000...MountPoints2: {a70a6bcb-fe7b-11e7-9de4-806e6f6e6963} - F:Run.exe

HKUS-1-5-21-812282640-3670306905-2936727346-1000SoftwareMicrosoftInternet ExplorerMain,Start Page = hxxps://pl.search.yahoo.com/yhs/web?hspart=lvs&hsimp=yhs-awc&type=lvs__webcompa__1_0__ya__hp_WCYID10438__180310__yaie

SearchScopes: HKUS-1-5-21-812282640-3670306905-2936727346-1000 -> {C0C3A6C6-03BC-4195-8FCB-AEA091301353} URL = hxxps://pl.search.yahoo.com/yhs/search?hspart=lvs&hsimp=yhs-awc&type=lvs__webcompa__1_0__ya__ch_WCYID10438__180310__yaie&p={searchTerms}

BHO: Java Plug-In SSV Helper -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> C:Program FilesJavajre1.8.0_191binssv.dll [2018-10-24] (Oracle Corporation)

Toolbar: HKUS-1-5-21-812282640-3670306905-2936727346-1000 -> Brak nazwy - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  Brak pliku

FF Plugin: @microsoft.com/GENUINE -> disabled [brak pliku]

FF Plugin-x32: @microsoft.com/GENUINE -> disabled [brak pliku]

CHR StartupUrls: Default -> "hxxp://search.chromeplus.org","hxxp://www.google.com/","www.wp.pl/?src01=dp220140907","hxxp://www.mystartsearch.com/?type=hp&ts=1424105181&from=smt&uid=395049983_266034_E0EABD1D","hxxp://do-search.com/?type=hp&ts=1427914126&from=cor&uid=395049983_266034_E0EABD1D","hxxp://www.mystartsearch.com/?type=hp&ts=1442338662&z=374eeaed33d260969f683c2g1z9z9o1c9cab4w7e9o&from=cornl&uid=395049983_266034_E0EABD1D"

CHR Session Restore: Default -> [funkcja włączona]

CHR HKLM-x32...ChromeExtension: [nladljmabboanhihfkjacnnkgjhnokhj] - hxxps://clients2.google.com/service/update2/crx

ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Brak pliku

Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}

EmptyTemp:

 

Naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW)

 

2.  Załącz fixlog.txt i zrób nowe logi FRST

 

3. Jak znowu będzie zrobimy to inaczej. Widzę, że w logach brakuje slashy, a bez tego nie usuwa tego klucza z rejestru

[Miron1980 1]

wklejałem plik

 

http://www.wklejto.pl/705803

http://www.wklejto.pl/705804

http://www.wklejto.pl/705805

[3ndurek 3584]

 

 

wklejałem plik

Na wklejto.pl wkleja się tekst, a nie plik. Przez to logi są zniekształcone i nie udało się usunąć tej infekcji i reszty.

 

START >>> Uruchom >>> wybierz (lub wpisz) REGEDIT >>> OK >>> rozwiń ten klucz, klikając na (+):

HKEY_USERS\1-5-21-812282640-3670306905-2936727346-1000\software\microsoft\windows\currentversion\run

w okienku po prawej zaznacz: Miron

Z prawokliku >>>usuń

zrestartuj komputer

 

Zrób nowe logi już bez Addition.txt

[Miron1980 1]

chyba się udało pozbyć tej infekcji 

 

http://www.wklejto.pl/705821

Edytowane 17 Stycznia 2019 przez Miron1980

[3ndurek 3584]

 Uruchom FRST, naciśnij jednocześnie CTRL+Y, otworzy się notatnik - wklej do niego: 

 

HKU\S-1-5-21-812282640-3670306905-2936727346-1000\...\MountPoints2: {42de5df6-253a-11e8-8045-408d5cb98081} - H:\setup.exe

HKU\S-1-5-21-812282640-3670306905-2936727346-1000\...\MountPoints2: {a70a6bcb-fe7b-11e7-9de4-806e6f6e6963} - F:\Run.exe

HKU\S-1-5-21-812282640-3670306905-2936727346-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://pl.search.yahoo.com/yhs/web?hspart=lvs&hsimp=yhs-awc&type=lvs__webcompa__1_0__ya__hp_WCYID10438__180310__yaie

SearchScopes: HKU\S-1-5-21-812282640-3670306905-2936727346-1000 -> {C0C3A6C6-03BC-4195-8FCB-AEA091301353} URL = hxxps://pl.search.yahoo.com/yhs/search?hspart=lvs&hsimp=yhs-awc&type=lvs__webcompa__1_0__ya__ch_WCYID10438__180310__yaie&p={searchTerms}

Toolbar: HKU\S-1-5-21-812282640-3670306905-2936727346-1000 -> Brak nazwy - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  Brak pliku

CHR StartupUrls: Default -> "hxxp://search.chromeplus.org","hxxp://www.google.com/","www.wp.pl/?src01=dp220140907","hxxp://www.mystartsearch.com/?type=hp&ts=1424105181&from=smt&uid=395049983_266034_E0EABD1D","hxxp://do-search.com/?type=hp&ts=1427914126&from=cor&uid=395049983_266034_E0EABD1D","hxxp://www.mystartsearch.com/?type=hp&ts=1442338662&z=374eeaed33d260969f683c2g1z9z9o1c9cab4w7e9o&from=cornl&uid=395049983_266034_E0EABD1D"

CHR Session Restore: Default -> [funkcja włączona]

CHR HKLM-x32\...\Chrome\Extension: [nladljmabboanhihfkjacnnkgjhnokhj] - hxxps://clients2.google.com/service/update2/crx

Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}

EmptyTemp:

 

 

Naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW)

 

[Miron1980 1]

wkleić log?

wkleić log?

http://www.wklejto.pl/706054

@3ndurek, dzięki bardzo za pomoc! 

Edytowane 18 Stycznia 2019 przez Miron1980

[Bartek2115 0]

Siemka pomoze ktos bo znowu to jest to wszystko przez pobrane pliki dobreprogramy

http://www.wklejto.pl/710683

http://www.wklejto.pl/710684

[3ndurek 3584]

Naprawdę jest to takie trudne do zrozumienia? - na wklejto.pl wkleja się tekst, a nie pliki. Logi są zniekształcone.....

[Bartek2115 0]

Naprawdę jest to takie trudne do zrozumienia? - na wklejto.pl wkleja się tekst, a nie pliki. Logi są zniekształcone.....

http://www.wklejto.pl/710733

http://www.wklejto.pl/710734

[3ndurek 3584]

Uruchom FRST, naciśnij jednocześnie CTRL+Y, otworzy się notatnik - wklej do niego: 

 

HKU\S-1-5-21-3768484684-991739710-3201713222-1000\...\Run: [Dom4] => explorer.exe hxxp://dipladoks.org <==== UWAGA

HKU\S-1-5-21-3768484684-991739710-3201713222-1000\...\MountPoints2: {20878127-254c-11e9-be9a-d8cb8aed1ca5} - E:\HiSuiteDownLoader.exe

HKU\S-1-5-21-3768484684-991739710-3201713222-1000\...\MountPoints2: {6ae8b91d-f7a8-11e8-8282-d8cb8aed1ca5} - E:\OriginSetup.exe

HKU\S-1-5-21-3768484684-991739710-3201713222-1000\...\MountPoints2: {b4c5dcb8-23c2-11e9-9c45-d8cb8aed1ca5} - E:\HiSuiteDownLoader.exe

HKU\S-1-5-21-3768484684-991739710-3201713222-1000\...\MountPoints2: {de1267ee-fae5-11e8-b6b0-d8cb8aed1ca5} - F:\setup.exe

HKU\S-1-5-18\...\RunOnce: [sPReview] => "C:\Windows\System32\SPReview\SPReview.exe" /sp:1 /errorfwlink:"hxxp://go.microsoft.com/fwlink/?LinkID=122915" /build:7601

SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 

SearchScopes: HKLM-x32 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 

FF HKLM-x32\...\Thunderbird\Extensions: [[email protected]] - C:\Program Files\ESET\ESET NOD32 Antivirus\Mozilla Thunderbird => nie znaleziono

CHR HKLM-x32\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] - hxxps://clients2.google.com/service/update2/crx

U3 aswbdisk; Brak ImagePath

ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Brak pliku

ContextMenuHandlers4: [Offline Files] -> {474C98EE-CF3D-41f5-80E3-4AAB0AB04301} =>  -> Brak pliku

ContextMenuHandlers6: [Offline Files] -> {474C98EE-CF3D-41f5-80E3-4AAB0AB04301} =>  -> Brak pliku

Task: {8DAA8D5F-77B7-429D-920C-E518E414D6F7} - System32\Tasks\Dom4 => cmd.exe /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v Dom4 /t REG_SZ /d "explorer.exe hxxp://dipladoks.org" <==== UWAGA

FirewallRules: [{2A1D1618-AFF1-4DAE-97DD-9DA0C2880F63}] => (Allow) C:\Program Files\Rockstar Games\Grand Theft Auto V\GTA5.exe Brak pliku

FirewallRules: [{252C0442-99C8-4C68-AAA5-FEB5D86A09C0}] => (Allow) C:\Program Files\Rockstar Games\Grand Theft Auto V\GTA5.exe Brak pliku

FirewallRules: [TCP Query User{604802C9-7A0A-4FE3-B2BB-F77E4AD8022E}C:\program files (x86)\steam\steamapps\common\outlast\binaries\win64\olgame.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\outlast\binaries\win64\olgame.exe Brak pliku

FirewallRules: [uDP Query User{3DDD667D-4B2F-4514-9D41-764DED67D2D8}C:\program files (x86)\steam\steamapps\common\outlast\binaries\win64\olgame.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\outlast\binaries\win64\olgame.exe Brak pliku

FirewallRules: [TCP Query User{1AFAEB3B-8F52-4F81-B76C-87BD83478112}C:\program files (x86)\steam\steamapps\common\h1z1\h1z1.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\h1z1\h1z1.exe Brak pliku

FirewallRules: [uDP Query User{FDDCB3C7-91D3-40E5-980E-DF00F15E2286}C:\program files (x86)\steam\steamapps\common\h1z1\h1z1.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\h1z1\h1z1.exe Brak pliku

FirewallRules: [TCP Query User{CB78D6F3-07F7-41F5-B760-8A3580F63AF5}C:\program files (x86)\minecraft\runtime\jre-x64\1.8.0_51\bin\javaw.exe] => (Allow) C:\program files (x86)\minecraft\runtime\jre-x64\1.8.0_51\bin\javaw.exe Brak pliku

FirewallRules: [uDP Query User{3815BCC4-3E22-4023-9D3A-2470544C9CC0}C:\program files (x86)\minecraft\runtime\jre-x64\1.8.0_51\bin\javaw.exe] => (Allow) C:\program files (x86)\minecraft\runtime\jre-x64\1.8.0_51\bin\javaw.exe Brak pliku

FirewallRules: [TCP Query User{C1ED67FA-5C14-489B-987F-0B219D08B856}C:\program files (x86)\vikings - wolves of midgard\vikings.exe] => (Allow) C:\program files (x86)\vikings - wolves of midgard\vikings.exe Brak pliku

FirewallRules: [uDP Query User{75FA4ECB-E38B-4899-9BA1-C8CC13706354}C:\program files (x86)\vikings - wolves of midgard\vikings.exe] => (Allow) C:\program files (x86)\vikings - wolves of midgard\vikings.exe Brak pliku

FirewallRules: [{841515E3-F29E-4FDE-B53B-5B5B397EBB7E}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\A Story About My Uncle\Binaries\Win32\ASAMU-Win32-Shipping.exe Brak pliku

FirewallRules: [{A21E2614-E08B-40F7-ADA6-F47608AB69BB}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\A Story About My Uncle\Binaries\Win32\ASAMU-Win32-Shipping.exe Brak pliku

Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}

EmptyTemp:

 

Naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW)

[Ether_141 0]

Hej. Mam pewien problem, a mianowicie, zaraz po starcie systemu uruchamia mi się chrome razem ze stroną dinoraptzor. Zrobiłem logi FRST (do których daje link) i widzę tam dwie infekcje: Task o nazwie Ether (nazwa mojego profilu), oraz wpis w rejestrze. Usunąłem tego taska i wpis ręcznie, ale po paru uruchomieniach komputera problem powrócił. Skryptów do FRSTa nie potrafię pisać, więc przychodzę do Was prosząc o pomoc. 

 

FRST: https://drive.google.com/open?id=1jgCwDwErWA_dZxPTQMhVvZcYx9pamx1k

Addition: https://drive.google.com/open?id=1IcZu1nvvVHE4QAIwoRZvlfz4K3vxamA2

[pawluto 202]

Miałem podobny problem z IE - nie dało się ustawić strony startowej tylko zawsze startowa to była strona z chińskimi znaczkami...

Dodatkowo IE nie potrafił zapisać linków do stron.

Kilka lat tak to była aż pewnego razu zainstalowałem program chyba ukraiński Trojan Remover.

Przeskanowałem i od tej pory IE zapisuje linki a strona startowa jest taka jaką ustawię.

[3ndurek 3584]

1. Uruchom FRST, naciśnij jednocześnie CTRL+Y, otworzy się notatnik - wklej do niego: 

 

HKU\S-1-5-21-3489726349-2300626078-3587086073-1001\...\Run: [Ether] => explorer.exe hxxp://dinoraptzor.org <==== UWAGA

HKU\S-1-5-21-3489726349-2300626078-3587086073-1001\...\MountPoints2: {f3a568bb-4929-11e8-b8c3-309c23a328be} - "G:\SJ2_setup.exe" 

Lsa: [Authentication Packages] msv1_0 SshdPinAuthLsa

FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ograniczenia <==== UWAGA

Task: C:\WINDOWS\Tasks\CreateExplorerShellUnelevatedTask.job => C:\WINDOWS\explorer.exe

Task: C:\WINDOWS\Tasks\MSISW_Host.job => C:\WINDOWS\SysWOW64\muachost.exe

AlternateDataStreams: C:\ProgramData\Reprise:lgylqfxlctqffeusff`npefmfs`djofnbpfh [0]

AlternateDataStreams: C:\ProgramData\Reprise:wupeogjxldtlfudivq`qsp`27hfm [0]

AlternateDataStreams: C:\Users\Public\AppData:CSM [472]

AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [480]

Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}

EmptyTemp:

 

2. Naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW)

 

Jeśli nadal będzie to zrób nowe logi.

[Ether_141 0]

To samo. Nowe logi.

 

FRST: https://drive.google.com/open?id=1VrQI_MtXI_H6KdXxKNnQlt0rSHQ4wH4h

Addition: https://drive.google.com/open?id=18oeTbhBBWYcI3vzqieTgnVHYLtX63zO8

[3ndurek 3584]

1. Uruchom FRST, naciśnij jednocześnie CTRL+Y, otworzy się notatnik - wklej do niego: 

 

HKU\S-1-5-21-3489726349-2300626078-3587086073-1001\...\Run: [Ether] => explorer.exe hxxp://dinoraptzor.org <==== UWAGA

FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ograniczenia <==== UWAGA

Task: {A995CE13-36F2-45BE-948C-02583158F321} - System32\Tasks\Ether => cmd.exe /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v Ether /t REG_SZ /d "explorer.exe hxxp://dinoraptzor.org" <==== UWAGA

Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}

EmptyTemp:

 

2. Naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW)

 

3. Załącz fixlog.

[Ether_141 0]

Proszę, Fixlog.txt: https://drive.google.com/open?id=1tQROxiWVNBxBV1OTljPlPGTNmmtBmnYr

[3ndurek 3584]

Już nie powinno tego być.

[Ether_141 0]

Na razie wygląda na to, że wszystko jest ok. Póki co, dziękuję za pomoc.