Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Wirus, który przejmuje uprawnienia administratora i wyłącza Windows Defendera

bLAcKDiCk 29 Kwi 2016 12:37 2835 12
  • #1 29 Kwi 2016 12:37
    bLAcKDiCk
    Poziom 7  

    Witam Panowie!
    Mam problem. Otóż ściągnąłem niedawno coś z neta i razem z tym pobrał mi się wirus (nie wiem nawet jak go nazwać), którego mogę określić jako najbardziej złośliwego skur.... z jakim miałem do czynienia. Otóż przejmuje on uprawnienia administratora (nie mogę usunąć plików i folderów które chcę bo wyskakuje mi że muszę mieć uprawnienia administratora a jestem jedynym użytkownikiem, a co za tym idzie ADMINISTRATOREM komputera i mam tego ADMINISTRATORA uprawnienia) - co więcej - sukinsyn wyłącza Windows Defendera, którego za żadne skarby teraz nie mogę włączyć, bo... nie mam uprawnień administratora :C Ma ktoś pomysł jak się wykaraskać z tego gówna? Jestem posiadaczem Windowsa 10.

    Moderowany przez RADU23:

    Jako recydywę w używaniu niecenzuralnego słownictwa, otrzymuje kolega ostrzeżenie.
    3.1.13. Dbaj o poprawność językową, zachowuj zasady netykiety. Nie wysyłaj wiadomości, które trudno jest przeczytać i zrozumieć co druga strona miała tak naprawdę na myśli.

    0 12
  • #2 29 Kwi 2016 12:55
    leonov
    Poziom 41  

    Wykonaj skanowanie MBAM oraz ADWcleaner i usuń wszystko co wykryją , oraz zrób logi programem FRST i umieść w temacie.

    0
  • #3 29 Kwi 2016 14:51
    bLAcKDiCk
    Poziom 7  

    Odkryłem pewien problem - otóż ADWcleaner usunął wiele rzeczy, ale jest kilka spraw, które niby usunął, ale po ponownym uruchomieniu wciąż je wykrywa, znów usuwa i po ponownym uruchomieniu znów wykrywa, i tak w kółko. To ten folder:

    Wirus, który przejmuje uprawnienia administratora i wyłącza Windows Defendera

    I te klucze z rejestru:

    Wirus, który przejmuje uprawnienia administratora i wyłącza Windows Defendera


    Z tymi rzeczami ADWcleaner sobie nie radzi, o co może chodzić?

    0
  • #4 29 Kwi 2016 14:52
    Kolobos
    Spec od komputerów

    Zamiesc wymagane logi z FRST w zalaczniku.

    0
  • #6 29 Kwi 2016 15:18
    RADU23
    Moderator - Komputery Serwis

    bLAcKDiCk napisał:
    O to chodzi?

    Jeszcze log Addition.txt

    0
  • #8 29 Kwi 2016 18:19
    Acorus 20
    Spec od komputerów

    Otwórz notatnik systemowy i wklej:

    Cytat:
    Task: {2C0F0708-1953-4931-B2B8-F025A5234EA6} - \KMSAutoNet -> Brak pliku <==== UWAGA
    Hosts:
    HKLM\...\Run: [RTHDVCPL] => C:\Program Files\Realtek\Audio\HDA\RtkNGUI64.exe [8801024 2016-04-14] (Realtek Semiconductor)
    HKLM\...\Run: [WINCOMOJG] => "C:\Program Files (x86)\mobilepcstarterkit\wincom_OJG.exe"
    HKLM\...\Run: [IDSCCOML9B] => "C:\Program Files (x86)\Hostify\idsccom_L9B.exe"
    HKU\S-1-5-21-1142790003-4220722701-3492343783-1003\...\RunOnce: [Uninstall C:\Users\Adrian\AppData\Local\Microsoft\OneDrive\17.3.6301.0127_1\amd64] => C:\WINDOWS\system32\cmd.exe /q /c rmdir /s /q "C:\Users\Adrian\AppData\Local\Microsoft\OneDrive\17.3.6301.0127_1\amd64"
    HKU\S-1-5-21-1142790003-4220722701-3492343783-1003-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\RunOnce: [Uninstall C:\Users\Adrian\AppData\Local\Microsoft\OneDrive\17.3.6301.0127_1\amd64] => C:\WINDOWS\system32\cmd.exe /q /c rmdir /s /q "C:\Users\Adrian\AppData\Local\Microsoft\OneDrive\17.3.6301.0127_1\amd64"
    AppInit_DLLs: C:\ProgramData\Quotenamron\Sol-Dex.dll => Brak pliku
    AppInit_DLLs-x32: C:\ProgramData\Quotenamron\Stimtop.dll => Brak pliku
    GroupPolicy: Ograniczenia - Chrome <======= UWAGA
    SearchScopes: HKLM-x32 -> DefaultScope - brak wartości
    SearchScopes: HKU\S-1-5-21-1142790003-4220722701-3492343783-1003 -> DefaultScope {ielnksrch} URL = hxxp://www.bing.com/search?q={searchTerms}
    SearchScopes: HKU\S-1-5-21-1142790003-4220722701-3492343783-1003 -> {ielnksrch} URL = hxxp://www.bing.com/search?q={searchTerms}
    FF SelectedSearchEngine: nice
    CHR HKLM-x32\...\Chrome\Extension: [jidkebcigjgheaahopdnlfaohgnocfai] - hxxps://clients2.google.com/service/update2/crx
    S2 Fucaed; Brak ImagePath
    S2 GoogleChromeUpService; Brak ImagePath
    S2 GoogleChromeUpSvc; Brak ImagePath
    S2 jIxmRfR_protect; Brak ImagePath
    S2 jIxmRfR_update; Brak ImagePath
    S2 jokirohozbt; Brak ImagePath
    S2 Nupgotm; "C:\Users\Adrian\AppData\Roaming\TudcioOki\Totnu.exe" -cms [X]
    S2 rijufoze; Brak ImagePath
    S2 rocufyky; Brak ImagePath
    S2 zigipyro; Brak ImagePath
    S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2016-03-25] ()
    2016-04-29 14:39 - 2016-04-29 14:39 - 00000000 ____D C:\Program Files (x86)\yesbnd
    2016-04-29 13:47 - 2016-04-29 14:41 - 00000000 ____D C:\AdwCleaner
    2016-04-28 22:03 - 2016-04-26 23:03 - 01253376 _____ (eee) C:\ProgramData\apptj.exe
    2016-04-28 21:27 - 2016-04-22 10:31 - 02496403 _____ ( ) C:\Users\Adrian\AppData\Roaming\yeaplayer_51496.exe
    2016-04-28 21:26 - 2016-04-28 21:26 - 00132344 _____ (Tencent Technology(Shenzhen) Company Limited) C:\WINDOWS\system32\Drivers\TAOKernelEx64.sys




    2016-04-28 21:26 - 2016-04-28 21:26 - 00005120 _____ C:\Users\Adrian\AppData\Roaming\GiftBag.db
    2016-04-28 21:20 - 2016-04-29 13:49 - 00000000 ____D C:\Users\Adrian\AppData\Roaming\Dukpauub
    2016-04-28 21:20 - 2016-04-28 21:20 - 00027456 _____ C:\WINDOWS\system32\Drivers\bsdpf64.sys
    2016-04-28 21:20 - 2016-04-28 21:20 - 00026944 _____ C:\WINDOWS\system32\Drivers\bsdpr64.sys
    2016-04-28 21:20 - 2016-04-28 21:20 - 00000000 ____D C:\Users\Public\Thunder Network
    2016-04-28 21:20 - 2016-04-28 21:20 - 00000000 ____D C:\Users\Adrian\AppData\Local\Tempfolder
    2016-04-28 21:20 - 2016-04-28 21:20 - 00000000 ____D C:\ProgramData\Thunder Network
    2016-04-28 21:18 - 2016-04-21 18:10 - 01266688 _____ C:\Users\Adrian\AppData\Roaming\conhost51496.exe
    2016-04-28 21:16 - 2016-04-28 21:16 - 00003068 _____ C:\WINDOWS\System32\Tasks\svchost
    2016-04-28 21:14 - 2016-04-28 21:14 - 00008970 _____ C:\WINDOWS\System32\Tasks\Nimeckreelule Log
    2016-04-28 21:14 - 2016-04-28 21:14 - 00000000 ____D C:\Program Files (x86)\Nimeckreelule
    2016-04-28 21:12 - 2016-04-28 21:12 - 00000000 ____D C:\Users\Adrian\AppData\Local\tuto_monetize_120160428
    2016-04-28 21:00 - 2016-04-28 21:00 - 00000000 _____ C:\WINDOWS\SysWOW64\Number of results
    2016-04-25 21:25 - 2016-04-25 21:25 - 00000000 ____D C:\Users\Adrian\AppData\Local\jIxmRfR
    2016-04-21 13:44 - 2016-04-28 20:58 - 00014824 _____ C:\WINDOWS\System32\Tasks\jIxmRfRBrowserUpdateUA
    2016-04-21 13:44 - 2016-04-28 20:58 - 00014802 _____ C:\WINDOWS\System32\Tasks\jIxmRfRCheckTask
    2016-04-21 13:44 - 2016-04-28 20:58 - 00003888 _____ C:\WINDOWS\System32\Tasks\jIxmRfRBrowserUpdateCore
    2016-04-15 16:35 - 2016-04-15 16:35 - 00000513 _____ C:\piesearch.xml
    2016-03-24 16:27 - 2016-03-24 16:27 - 6493696 _____ () C:\Users\Adrian\AppData\Roaming\agent.dat
    2016-03-24 16:27 - 2016-03-24 16:27 - 0065856 _____ () C:\Users\Adrian\AppData\Roaming\Config.xml
    2016-04-28 21:18 - 2016-04-21 18:10 - 1266688 _____ () C:\Users\Adrian\AppData\Roaming\conhost51496.exe
    2016-04-28 21:26 - 2016-04-28 21:26 - 0005120 _____ () C:\Users\Adrian\AppData\Roaming\GiftBag.db
    2016-03-24 16:27 - 2016-03-24 16:27 - 0259201 _____ () C:\Users\Adrian\AppData\Roaming\inst.lat
    2016-03-24 16:27 - 2016-03-24 16:27 - 0014448 _____ () C:\Users\Adrian\AppData\Roaming\InstallationConfiguration.xml
    2016-03-24 16:27 - 2016-03-24 16:27 - 0127488 _____ () C:\Users\Adrian\AppData\Roaming\Installer.dat
    2016-03-24 16:27 - 2016-03-24 16:27 - 0018432 _____ () C:\Users\Adrian\AppData\Roaming\Main.dat
    2016-03-24 16:27 - 2016-03-24 16:27 - 0005568 _____ () C:\Users\Adrian\AppData\Roaming\md.xml
    2016-03-24 16:27 - 2016-03-24 16:27 - 0126464 _____ () C:\Users\Adrian\AppData\Roaming\noah.dat
    2016-03-24 16:27 - 2016-03-24 16:27 - 0402905 _____ () C:\Users\Adrian\AppData\Roaming\OverQuostrong.bin
    2016-03-24 16:27 - 2016-03-24 16:27 - 0032038 _____ () C:\Users\Adrian\AppData\Roaming\uninstall_temp.ico
    2016-03-24 16:27 - 2016-03-24 16:27 - 1158656 _____ () C:\Users\Adrian\AppData\Roaming\Villatip.exe
    2016-03-24 16:27 - 2016-03-24 16:27 - 1622179 _____ () C:\Users\Adrian\AppData\Roaming\Villatip.tst
    2016-04-28 21:27 - 2016-04-22 10:31 - 2496403 _____ ( ) C:\Users\Adrian\AppData\Roaming\yeaplayer_51496.exe
    C:\ProgramData\a.bat
    C:\ProgramData\adb.exe
    C:\ProgramData\apptj.exe
    C:\ProgramData\fastboot.exe
    EmptyTemp:


    Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.
    Uruchom jako administrator FRST i kliknij w Fix/Napraw.
    Przeskanuj progr. Malwarebytes Anti-Malware https://data-cdn.mbamupdates.com/web/mbam-setup-2.1.8.1057.exe
    Podczas instalacji usuń zaznaczenie przy Uruchom okres testowy Malwarebytes Anti-Malware Premium.

    0
  • #9 30 Kwi 2016 09:49
    bLAcKDiCk
    Poziom 7  

    Wszystko zrobione, prawidłowo zakończone, jednak wciąż nie mogę uruchomić Defendera i wciąż nie mam tych głupich uprawnień administratora... Tak jakby główny wirek nie został praktycznie w ogóle ruszony, nie wiem co jest 5...

    0
  • #11 30 Kwi 2016 10:09
    bLAcKDiCk
    Poziom 7  

    Tak, system zaktualizowany, wszystko z nim w porządku oczywiście.

    EDIT
    Tzn. jestem prawie pewien że pomoże przeinstalowanie systemu ale nie chcę stracić tych wszystkich zainstalowanych rzeczy :(

    Scaliłem
    RADU23

    0
  • #12 30 Kwi 2016 10:24
    adamadi33
    Poziom 43  

    bLAcKDiCk napisał:
    ale nie chcę stracić tych wszystkich zainstalowanych rzeczy

    Możesz użyć przywracania system od jakiegoś tam momentu.

    0
  • #13 30 Kwi 2016 12:07
    bLAcKDiCk
    Poziom 7  

    Gdzie mogę to zrobić? Bo jak wszedłem w opcję ,,odzyskiwanie" w panelu sterowania to mi wyskoczyło że ,,ochrona systemu jest wyłączona. Aby ją na powrót włączyć w celu użycia funkcji przywracania systemu, skonfiguruj ochronę systemu." a jak wchodzę w tę konfigurację to jest ochrona systemu wyłączona i mam ,,przygaszoną" opcję włączenia systemu, czyli nie mogę tego zrobić :/

    0