Miron1980 1 Napisano 17 Stycznia 2019 Udostępnij Napisano 17 Stycznia 2019 Witam, dopadło i mnie, proszę o pomoc http://www.wklejto.pl/705766 http://www.wklejto.pl/705767 Cytuj Link to post Share on other sites
3ndurek 3584 Napisano 17 Stycznia 2019 Udostępnij Napisano 17 Stycznia 2019 @@Miron1980, na wklejto.pl wklejałeś tekst z notatnika czy wklejałeś plik? 1. Uruchom FRST, naciśnij jednocześnie CTRL+Y, otworzy się notatnik - wklej do niego: Task: {0787796F-B4D9-4A12-BB90-AF9FD81E125C} - System32Tasks{2FDEBF6D-D883-4714-A4A0-65B6F9D4644A} => C:Windowssystem32pcalua.exe -a F:SETUP.EXE -d F: Task: {38763879-E016-49D4-9EA3-6ED1373E7A97} - System32TasksMiron => cmd.exe /c REG ADD HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun /f /v Miron /t REG_SZ /d "cmd.exe /c start www.dipladoks.org" Task: {F9D61ECD-58EC-45C7-AFF8-5613B750A484} - System32Tasks{E0477219-EDD9-4B08-9C3F-9F22145EAED0} => C:Windowssystem32pcalua.exe -a "C:ProgramDataNVIDIA CorporationDownloaderlatestsetup.exe" -d "C:Program Files (x86)NVIDIA CorporationNVIDIA GeForce Experience" -c -custominvokerid:5 -loglevel:6 -log:"C:ProgramDataNVIDIA CorporationNVIDIA GeForce ExperienceLogs" HKUS-1-5-21-812282640-3670306905-2936727346-1000...Run: [Miron] => cmd.exe /c start www.dipladoks.org HKUS-1-5-21-812282640-3670306905-2936727346-1000...MountPoints2: {42de5df6-253a-11e8-8045-408d5cb98081} - H:setup.exe HKUS-1-5-21-812282640-3670306905-2936727346-1000...MountPoints2: {a70a6bcb-fe7b-11e7-9de4-806e6f6e6963} - F:Run.exe HKUS-1-5-21-812282640-3670306905-2936727346-1000SoftwareMicrosoftInternet ExplorerMain,Start Page = hxxps://pl.search.yahoo.com/yhs/web?hspart=lvs&hsimp=yhs-awc&type=lvs__webcompa__1_0__ya__hp_WCYID10438__180310__yaie SearchScopes: HKUS-1-5-21-812282640-3670306905-2936727346-1000 -> {C0C3A6C6-03BC-4195-8FCB-AEA091301353} URL = hxxps://pl.search.yahoo.com/yhs/search?hspart=lvs&hsimp=yhs-awc&type=lvs__webcompa__1_0__ya__ch_WCYID10438__180310__yaie&p={searchTerms} BHO: Java Plug-In SSV Helper -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> C:Program FilesJavajre1.8.0_191binssv.dll [2018-10-24] (Oracle Corporation) Toolbar: HKUS-1-5-21-812282640-3670306905-2936727346-1000 -> Brak nazwy - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - Brak pliku FF Plugin: @microsoft.com/GENUINE -> disabled [brak pliku] FF Plugin-x32: @microsoft.com/GENUINE -> disabled [brak pliku] CHR StartupUrls: Default -> "hxxp://search.chromeplus.org","hxxp://www.google.com/","www.wp.pl/?src01=dp220140907","hxxp://www.mystartsearch.com/?type=hp&ts=1424105181&from=smt&uid=395049983_266034_E0EABD1D","hxxp://do-search.com/?type=hp&ts=1427914126&from=cor&uid=395049983_266034_E0EABD1D","hxxp://www.mystartsearch.com/?type=hp&ts=1442338662&z=374eeaed33d260969f683c2g1z9z9o1c9cab4w7e9o&from=cornl&uid=395049983_266034_E0EABD1D" CHR Session Restore: Default -> [funkcja włączona] CHR HKLM-x32...ChromeExtension: [nladljmabboanhihfkjacnnkgjhnokhj] - hxxps://clients2.google.com/service/update2/crx ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW) 2. Załącz fixlog.txt i zrób nowe logi FRST 3. Jak znowu będzie zrobimy to inaczej. Widzę, że w logach brakuje slashy, a bez tego nie usuwa tego klucza z rejestru 1 Cytuj Link to post Share on other sites
Miron1980 1 Napisano 17 Stycznia 2019 Udostępnij Napisano 17 Stycznia 2019 wklejałem plik http://www.wklejto.pl/705803 http://www.wklejto.pl/705804 http://www.wklejto.pl/705805 Cytuj Link to post Share on other sites
3ndurek 3584 Napisano 17 Stycznia 2019 Udostępnij Napisano 17 Stycznia 2019 wklejałem plik Na wklejto.pl wkleja się tekst, a nie plik. Przez to logi są zniekształcone i nie udało się usunąć tej infekcji i reszty. START >>> Uruchom >>> wybierz (lub wpisz) REGEDIT >>> OK >>> rozwiń ten klucz, klikając na (+): HKEY_USERS\1-5-21-812282640-3670306905-2936727346-1000\software\microsoft\windows\currentversion\run w okienku po prawej zaznacz: Miron Z prawokliku >>>usuń zrestartuj komputer Zrób nowe logi już bez Addition.txt 1 Cytuj Link to post Share on other sites
Miron1980 1 Napisano 17 Stycznia 2019 Udostępnij Napisano 17 Stycznia 2019 (edytowane) chyba się udało pozbyć tej infekcji http://www.wklejto.pl/705821 Edytowane 17 Stycznia 2019 przez Miron1980 Cytuj Link to post Share on other sites
3ndurek 3584 Napisano 17 Stycznia 2019 Udostępnij Napisano 17 Stycznia 2019 Uruchom FRST, naciśnij jednocześnie CTRL+Y, otworzy się notatnik - wklej do niego: HKU\S-1-5-21-812282640-3670306905-2936727346-1000\...\MountPoints2: {42de5df6-253a-11e8-8045-408d5cb98081} - H:\setup.exe HKU\S-1-5-21-812282640-3670306905-2936727346-1000\...\MountPoints2: {a70a6bcb-fe7b-11e7-9de4-806e6f6e6963} - F:\Run.exe HKU\S-1-5-21-812282640-3670306905-2936727346-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://pl.search.yahoo.com/yhs/web?hspart=lvs&hsimp=yhs-awc&type=lvs__webcompa__1_0__ya__hp_WCYID10438__180310__yaie SearchScopes: HKU\S-1-5-21-812282640-3670306905-2936727346-1000 -> {C0C3A6C6-03BC-4195-8FCB-AEA091301353} URL = hxxps://pl.search.yahoo.com/yhs/search?hspart=lvs&hsimp=yhs-awc&type=lvs__webcompa__1_0__ya__ch_WCYID10438__180310__yaie&p={searchTerms} Toolbar: HKU\S-1-5-21-812282640-3670306905-2936727346-1000 -> Brak nazwy - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - Brak pliku CHR StartupUrls: Default -> "hxxp://search.chromeplus.org","hxxp://www.google.com/","www.wp.pl/?src01=dp220140907","hxxp://www.mystartsearch.com/?type=hp&ts=1424105181&from=smt&uid=395049983_266034_E0EABD1D","hxxp://do-search.com/?type=hp&ts=1427914126&from=cor&uid=395049983_266034_E0EABD1D","hxxp://www.mystartsearch.com/?type=hp&ts=1442338662&z=374eeaed33d260969f683c2g1z9z9o1c9cab4w7e9o&from=cornl&uid=395049983_266034_E0EABD1D" CHR Session Restore: Default -> [funkcja włączona] CHR HKLM-x32\...\Chrome\Extension: [nladljmabboanhihfkjacnnkgjhnokhj] - hxxps://clients2.google.com/service/update2/crx Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW) 1 Cytuj Link to post Share on other sites
Miron1980 1 Napisano 18 Stycznia 2019 Udostępnij Napisano 18 Stycznia 2019 (edytowane) wkleić log? wkleić log? http://www.wklejto.pl/706054 @3ndurek, dzięki bardzo za pomoc! Edytowane 18 Stycznia 2019 przez Miron1980 1 Cytuj Link to post Share on other sites
Bartek2115 0 Napisano 2 Lutego 2019 Udostępnij Napisano 2 Lutego 2019 Siemka pomoze ktos bo znowu to jest to wszystko przez pobrane pliki dobreprogramy http://www.wklejto.pl/710683 http://www.wklejto.pl/710684 Cytuj Link to post Share on other sites
3ndurek 3584 Napisano 2 Lutego 2019 Udostępnij Napisano 2 Lutego 2019 Naprawdę jest to takie trudne do zrozumienia? - na wklejto.pl wkleja się tekst, a nie pliki. Logi są zniekształcone..... Cytuj Link to post Share on other sites
Bartek2115 0 Napisano 2 Lutego 2019 Udostępnij Napisano 2 Lutego 2019 Naprawdę jest to takie trudne do zrozumienia? - na wklejto.pl wkleja się tekst, a nie pliki. Logi są zniekształcone..... http://www.wklejto.pl/710733 http://www.wklejto.pl/710734 Cytuj Link to post Share on other sites
3ndurek 3584 Napisano 2 Lutego 2019 Udostępnij Napisano 2 Lutego 2019 Uruchom FRST, naciśnij jednocześnie CTRL+Y, otworzy się notatnik - wklej do niego: HKU\S-1-5-21-3768484684-991739710-3201713222-1000\...\Run: [Dom4] => explorer.exe hxxp://dipladoks.org <==== UWAGA HKU\S-1-5-21-3768484684-991739710-3201713222-1000\...\MountPoints2: {20878127-254c-11e9-be9a-d8cb8aed1ca5} - E:\HiSuiteDownLoader.exe HKU\S-1-5-21-3768484684-991739710-3201713222-1000\...\MountPoints2: {6ae8b91d-f7a8-11e8-8282-d8cb8aed1ca5} - E:\OriginSetup.exe HKU\S-1-5-21-3768484684-991739710-3201713222-1000\...\MountPoints2: {b4c5dcb8-23c2-11e9-9c45-d8cb8aed1ca5} - E:\HiSuiteDownLoader.exe HKU\S-1-5-21-3768484684-991739710-3201713222-1000\...\MountPoints2: {de1267ee-fae5-11e8-b6b0-d8cb8aed1ca5} - F:\setup.exe HKU\S-1-5-18\...\RunOnce: [sPReview] => "C:\Windows\System32\SPReview\SPReview.exe" /sp:1 /errorfwlink:"hxxp://go.microsoft.com/fwlink/?LinkID=122915" /build:7601 SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = FF HKLM-x32\...\Thunderbird\Extensions: [[email protected]] - C:\Program Files\ESET\ESET NOD32 Antivirus\Mozilla Thunderbird => nie znaleziono CHR HKLM-x32\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] - hxxps://clients2.google.com/service/update2/crx U3 aswbdisk; Brak ImagePath ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku ContextMenuHandlers4: [Offline Files] -> {474C98EE-CF3D-41f5-80E3-4AAB0AB04301} => -> Brak pliku ContextMenuHandlers6: [Offline Files] -> {474C98EE-CF3D-41f5-80E3-4AAB0AB04301} => -> Brak pliku Task: {8DAA8D5F-77B7-429D-920C-E518E414D6F7} - System32\Tasks\Dom4 => cmd.exe /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v Dom4 /t REG_SZ /d "explorer.exe hxxp://dipladoks.org" <==== UWAGA FirewallRules: [{2A1D1618-AFF1-4DAE-97DD-9DA0C2880F63}] => (Allow) C:\Program Files\Rockstar Games\Grand Theft Auto V\GTA5.exe Brak pliku FirewallRules: [{252C0442-99C8-4C68-AAA5-FEB5D86A09C0}] => (Allow) C:\Program Files\Rockstar Games\Grand Theft Auto V\GTA5.exe Brak pliku FirewallRules: [TCP Query User{604802C9-7A0A-4FE3-B2BB-F77E4AD8022E}C:\program files (x86)\steam\steamapps\common\outlast\binaries\win64\olgame.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\outlast\binaries\win64\olgame.exe Brak pliku FirewallRules: [uDP Query User{3DDD667D-4B2F-4514-9D41-764DED67D2D8}C:\program files (x86)\steam\steamapps\common\outlast\binaries\win64\olgame.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\outlast\binaries\win64\olgame.exe Brak pliku FirewallRules: [TCP Query User{1AFAEB3B-8F52-4F81-B76C-87BD83478112}C:\program files (x86)\steam\steamapps\common\h1z1\h1z1.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\h1z1\h1z1.exe Brak pliku FirewallRules: [uDP Query User{FDDCB3C7-91D3-40E5-980E-DF00F15E2286}C:\program files (x86)\steam\steamapps\common\h1z1\h1z1.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\h1z1\h1z1.exe Brak pliku FirewallRules: [TCP Query User{CB78D6F3-07F7-41F5-B760-8A3580F63AF5}C:\program files (x86)\minecraft\runtime\jre-x64\1.8.0_51\bin\javaw.exe] => (Allow) C:\program files (x86)\minecraft\runtime\jre-x64\1.8.0_51\bin\javaw.exe Brak pliku FirewallRules: [uDP Query User{3815BCC4-3E22-4023-9D3A-2470544C9CC0}C:\program files (x86)\minecraft\runtime\jre-x64\1.8.0_51\bin\javaw.exe] => (Allow) C:\program files (x86)\minecraft\runtime\jre-x64\1.8.0_51\bin\javaw.exe Brak pliku FirewallRules: [TCP Query User{C1ED67FA-5C14-489B-987F-0B219D08B856}C:\program files (x86)\vikings - wolves of midgard\vikings.exe] => (Allow) C:\program files (x86)\vikings - wolves of midgard\vikings.exe Brak pliku FirewallRules: [uDP Query User{75FA4ECB-E38B-4899-9BA1-C8CC13706354}C:\program files (x86)\vikings - wolves of midgard\vikings.exe] => (Allow) C:\program files (x86)\vikings - wolves of midgard\vikings.exe Brak pliku FirewallRules: [{841515E3-F29E-4FDE-B53B-5B5B397EBB7E}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\A Story About My Uncle\Binaries\Win32\ASAMU-Win32-Shipping.exe Brak pliku FirewallRules: [{A21E2614-E08B-40F7-ADA6-F47608AB69BB}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\A Story About My Uncle\Binaries\Win32\ASAMU-Win32-Shipping.exe Brak pliku Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW) Cytuj Link to post Share on other sites
Ether_141 0 Napisano 17 Stycznia 2020 Udostępnij Napisano 17 Stycznia 2020 Hej. Mam pewien problem, a mianowicie, zaraz po starcie systemu uruchamia mi się chrome razem ze stroną dinoraptzor. Zrobiłem logi FRST (do których daje link) i widzę tam dwie infekcje: Task o nazwie Ether (nazwa mojego profilu), oraz wpis w rejestrze. Usunąłem tego taska i wpis ręcznie, ale po paru uruchomieniach komputera problem powrócił. Skryptów do FRSTa nie potrafię pisać, więc przychodzę do Was prosząc o pomoc. FRST: https://drive.google.com/open?id=1jgCwDwErWA_dZxPTQMhVvZcYx9pamx1k Addition: https://drive.google.com/open?id=1IcZu1nvvVHE4QAIwoRZvlfz4K3vxamA2 Cytuj Link to post Share on other sites
pawluto 202 Napisano 17 Stycznia 2020 Udostępnij Napisano 17 Stycznia 2020 Miałem podobny problem z IE - nie dało się ustawić strony startowej tylko zawsze startowa to była strona z chińskimi znaczkami... Dodatkowo IE nie potrafił zapisać linków do stron. Kilka lat tak to była aż pewnego razu zainstalowałem program chyba ukraiński Trojan Remover. Przeskanowałem i od tej pory IE zapisuje linki a strona startowa jest taka jaką ustawię. Cytuj Link to post Share on other sites
3ndurek 3584 Napisano 17 Stycznia 2020 Udostępnij Napisano 17 Stycznia 2020 1. Uruchom FRST, naciśnij jednocześnie CTRL+Y, otworzy się notatnik - wklej do niego: HKU\S-1-5-21-3489726349-2300626078-3587086073-1001\...\Run: [Ether] => explorer.exe hxxp://dinoraptzor.org <==== UWAGA HKU\S-1-5-21-3489726349-2300626078-3587086073-1001\...\MountPoints2: {f3a568bb-4929-11e8-b8c3-309c23a328be} - "G:\SJ2_setup.exe" Lsa: [Authentication Packages] msv1_0 SshdPinAuthLsa FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ograniczenia <==== UWAGA Task: C:\WINDOWS\Tasks\CreateExplorerShellUnelevatedTask.job => C:\WINDOWS\explorer.exe Task: C:\WINDOWS\Tasks\MSISW_Host.job => C:\WINDOWS\SysWOW64\muachost.exe AlternateDataStreams: C:\ProgramData\Reprise:lgylqfxlctqffeusff`npefmfs`djofnbpfh [0] AlternateDataStreams: C:\ProgramData\Reprise:wupeogjxldtlfudivq`qsp`27hfm [0] AlternateDataStreams: C:\Users\Public\AppData:CSM [472] AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [480] Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: 2. Naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW) Jeśli nadal będzie to zrób nowe logi. Cytuj Link to post Share on other sites
Ether_141 0 Napisano 18 Stycznia 2020 Udostępnij Napisano 18 Stycznia 2020 To samo. Nowe logi. FRST: https://drive.google.com/open?id=1VrQI_MtXI_H6KdXxKNnQlt0rSHQ4wH4h Addition: https://drive.google.com/open?id=18oeTbhBBWYcI3vzqieTgnVHYLtX63zO8 Cytuj Link to post Share on other sites
3ndurek 3584 Napisano 18 Stycznia 2020 Udostępnij Napisano 18 Stycznia 2020 1. Uruchom FRST, naciśnij jednocześnie CTRL+Y, otworzy się notatnik - wklej do niego: HKU\S-1-5-21-3489726349-2300626078-3587086073-1001\...\Run: [Ether] => explorer.exe hxxp://dinoraptzor.org <==== UWAGA FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ograniczenia <==== UWAGA Task: {A995CE13-36F2-45BE-948C-02583158F321} - System32\Tasks\Ether => cmd.exe /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v Ether /t REG_SZ /d "explorer.exe hxxp://dinoraptzor.org" <==== UWAGA Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: 2. Naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW) 3. Załącz fixlog. Cytuj Link to post Share on other sites
Ether_141 0 Napisano 19 Stycznia 2020 Udostępnij Napisano 19 Stycznia 2020 Proszę, Fixlog.txt: https://drive.google.com/open?id=1tQROxiWVNBxBV1OTljPlPGTNmmtBmnYr Cytuj Link to post Share on other sites
3ndurek 3584 Napisano 19 Stycznia 2020 Udostępnij Napisano 19 Stycznia 2020 Już nie powinno tego być. Cytuj Link to post Share on other sites
Ether_141 0 Napisano 19 Stycznia 2020 Udostępnij Napisano 19 Stycznia 2020 Na razie wygląda na to, że wszystko jest ok. Póki co, dziękuję za pomoc. Cytuj Link to post Share on other sites
Recommended Posts
Dołącz do dyskusji
Możesz dodać zawartość już teraz a zarejestrować się później. Jeśli posiadasz już konto, zaloguj się aby dodać zawartość za jego pomocą.