Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Problem z kb-ribaki org W Microsoft Edge Win 10

Christopheriks 04 Sie 2016 11:04 747 17
  • #1 04 Sie 2016 11:04
    Christopheriks
    Poziom 4  

    Witam serdecznie.

    Jakiś tydzień temu z niewiadomych mi przyczyn pojawił mi się podczas startu systemu pop-up z kb-ribaki.org Próbuje go usunąć już od dłuższego czasu i brakuje mi pomysłów, natknąłem się na waszym forum na ten problem i został on rozwiązany. Próbowałem się zastosować ale nie pomogło. Podejrzewam ze fixlist.txt musi być indywidualny. Po tym poście użyję Mbam oraz Adwclean oraz przeskanuję FRST i wyślę Wam logi.

    PS.
    Próbowałem już usunąć Edge, przywracanie systemu, wewnętrzne zmiany ustawień przeglądarki oraz niektórych antywirusów; ESET, Kaspersky - ale dosłownie wszystko jest poblokowane, albo nie wykrywa problemu.

    0 17
  • Pomocny post
    #2 04 Sie 2016 11:07
    sPeRaCz.PL
    Poziom 42  

    Na początek:
    1. Wykonaj skanowanie MBAM'em (wersja Free) po aktualizacji bazy danych i usuń wykryte zagrożenia
    http://www.malwarebytes.org/
    2. Wykonaj skanowanie AdwCleaner - opcja "szukaj" następnie "usuń"
    http://www.bleepingcomputer.com/download/adwcleaner/
    3. Załącz oba logi z FRST (jako załącznik FRST.txt oraz Addition.txt)
    http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/

    0
  • #3 04 Sie 2016 11:14
    Christopheriks
    Poziom 4  

    Powiedzmy że już się przygotowałem już próbowałem usuwanie bezpośrednio z rejestru i może owszem usnąłem lecz wróciło. Sam już nie dam rady tego naprawić ;) Tak jak myslałem że z FRST trzeba samemu sprawdzić logi i znaleźć te zainfekowane pliki? Teraz czekam na zakończenie ADWCleaner.

    0
  • Pomocny post
    #4 04 Sie 2016 11:17
    sPeRaCz.PL
    Poziom 42  

    Fixlist.txt dla FRST jest tworzony indywidualnie.

    0
  • #5 04 Sie 2016 11:28
    Christopheriks
    Poziom 4  

    Dzięki za informacje, a czy była by możliwość wyjaśnienia mi w tak w skrócie czy linku jak mógłbym sam usuwać takiego typu problemy by zapobiegać problemom w przyszłości.


    PS.
    Jestem ciekaw jak tez on się dostał na mój komputer. Nie ściągam plików w zip, nie otwieram podejrzanych rzeczy, nie klikam w pop upy, czy jest możliwość ze ktoś porostu wrzuca w słabo zabezpieczone systemy i z góry przepraszam za braki w stylistyce.

    Dodano po 3 [minuty]:

    Zapomniałem dodać, że korzystam z dysków zewnętrznych czy powinienem zrobić pełen skan wszystkiego, czy tylko skan C (systemowego). Po pojawieniu się zagrożenia odłączyłem dyski i z formatowałem jedna z partycji gdzie przechowywałem pliki torr... i te pliki tez posiadam z zaufanej strony.

    0
  • #7 04 Sie 2016 12:02
    Christopheriks
    Poziom 4  

    Czyli już wszystko jasne jak wspomniałeś P2P to pewnie po tym ataku mszczą się ^^ Zabieram się za Pełen skan to może chwile potrwać ;)

    Pozdrawiam

    Dodano po 25 [minuty]:

    Oto Logi z FRST i drobne pytanko znasz może pewny program do back up przy Windows 10 to co oferuje Windows mi zniszczyło back up wiec go nie mam :P
    Pisałem do producenta Laptopów MSI (mam MSI GP 70 ) ale twierdzili że jest ich firmowy, był tylko systemowy.

    0
  • Pomocny post
    #8 04 Sie 2016 13:48
    Domino_2
    Pomocny dla użytkowników

    Odinstaluj Popcorn Time.

    Cytat:

    Task: {41E76A16-8DD6-4DA7-B5A9-A940FDB1D28B} - System32\Tasks\Chris => /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v Chris /t REG_SZ /d "explorer.exe hxxp://kb-ribaki.org"
    Task: {42573A3A-CFFD-4409-B657-19EACEB37279} - System32\Tasks\Opera scheduled Autoupdate 1446941246 => C:\Program Files (x86)\Opera\launcher.exe [2016-08-03] (Opera Software)
    Task: {5C3493B0-4999-4FCD-B72F-0536B2C1606D} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku <==== UWAGA
    Task: {818A7520-DAB9-4F81-B21A-63BA3C0BAF14} - System32\Tasks\{04481812-39C6-44F9-ADA2-1E5B1ED0977A} => pcalua.exe -a D:\Games\Doom3\doom3.exe -d D:\Games\Doom3\
    Task: {8A733FA2-BDD3-4E4F-A2A9-F888247C9B64} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku <==== UWAGA
    Task: {B3C067DA-1505-4AE7-937A-FA3E75681E94} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku <==== UWAGA
    Task: {BC94E24A-39BA-4C11-828F-51C5D241EB66} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku <==== UWAGA
    Task: {BFECFD04-983B-4BA7-A3A5-6184034C67AC} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku <==== UWAGA
    Task: {C661B20B-37D8-4B26-8AF5-CDC7F482BE01} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku <==== UWAGA
    Task: {C851062F-ABDD-4A3C-A366-652BB2BC6535} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku <==== UWAGA
    Task: {D13E1422-5D0D-4320-8A45-2C49E2D60B09} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku <==== UWAGA
    Task: {E360E601-3CEB-4C54-8ABC-196160ACB851} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku <==== UWAGA
    Task: {FB4914A6-CDDE-4D83-AE60-E7C9B33A6D7F} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku <==== UWAGA
    Task: {FBBAF3DC-5DA1-487E-B36D-90647A8E3073} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku <==== UWAGA
    Winlogon\Notify\igfxcui: igfxdev.dll [X]
    HKU\S-1-5-21-697515400-2142124217-990391189-1002\...\MountPoints2: {078849a0-0b95-11e6-becf-240a64fa0c51} - "G:\.\Setup.exe" AUTORUN=1
    HKU\S-1-5-21-697515400-2142124217-990391189-1002\...\MountPoints2: {799a53ab-c9da-11e5-bebc-240a64fa0c51} - "I:\windows\Install\Install.exe"
    HKU\S-1-5-21-697515400-2142124217-990391189-1002\...\MountPoints2: {799a53cb-c9da-11e5-bebc-240a64fa0c51} - "K:\.\Setup.exe" AUTORUN=1
    HKU\S-1-5-21-697515400-2142124217-990391189-1002\...\MountPoints2: {dbdca872-54d3-11e6-bee2-240a64fa0c51} - "G:\.\Setup.exe" AUTORUN=1
    SearchScopes: HKU\S-1-5-21-697515400-2142124217-990391189-1002 -> DefaultScope {2F181527-A35F-4132-B7E1-C8A48E8745B8} URL =
    SearchScopes: HKU\S-1-5-21-697515400-2142124217-990391189-1002 -> {2F181527-A35F-4132-B7E1-C8A48E8745B8} URL =
    CHR HKLM\...\Chrome\Extension: [lpeeaghdjmhlakojjcgfdhgcejdaefmi] - hxxps://chrome.google.com/webstore/detail/lpeeaghdjmhlakojjcgfdhgcejdaefmi
    CHR HKLM-x32\...\Chrome\Extension: [lpeeaghdjmhlakojjcgfdhgcejdaefmi] - hxxps://chrome.google.com/webstore/detail/lpeeaghdjmhlakojjcgfdhgcejdaefmi
    S2 Update service; C:\Program Files (x86)\Popcorn Time\Updater.exe [X]
    S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2016-07-31] ()
    2016-07-31 19:51 - 2016-08-04 00:27 - 00000000 ____D C:\Users\Chris\Downloads\PopcornTime
    2016-07-31 19:51 - 2016-07-31 19:51 - 00001276 _____ C:\Users\Public\Desktop\Popcorn Time.lnk
    2016-07-31 19:46 - 2016-07-31 19:50 - 50500753 _____ (Popcorn Time ) C:\Users\Chris\Downloads\PopcornTime-latest.exe
    2016-07-31 17:21 - 2016-08-02 00:11 - 00000000 ____D C:\Users\Chris\AppData\Roaming\Enigma Software Group
    2016-07-31 17:21 - 2016-08-02 00:09 - 00000000 ____D C:\Program Files\Enigma Software Group
    2016-07-31 17:21 - 2016-07-31 17:21 - 00022704 _____ C:\WINDOWS\system32\Drivers\EsgScanner.sys
    2016-07-31 17:07 - 2016-08-04 11:51 - 00000000 ____D C:\AdwCleaner
    2016-07-29 20:59 - 2016-07-29 20:59 - 00000000 _____ C:\autoexec.bat
    EmptyTemp:


    Wklej to do notatnika i zapisz pod nazwą fixlist.txt i umieść w folderze gdzie znajduje się plik FRST.exe/FRST64.exe, uruchom go i kliknij Fix/Napraw.

    0
  • #9 04 Sie 2016 14:22
    Christopheriks
    Poziom 4  

    Już jestem a propos popcorn-time AdwCleaner go usunął, po zastosowaniu FRST problem nie został rozwiązany pop up dalej wyskakuje podczas startu systemu ;( oto Fix log

    0
  • Pomocny post
    #10 04 Sie 2016 14:26
    Domino_2
    Pomocny dla użytkowników

    Załącz nowe logi z FRST.

    0
  • #11 04 Sie 2016 14:34
    Christopheriks
    Poziom 4  

    Dziwne to jedyny jaki miałem ale zaraz usunę te i zrobię to od początku może nie zapisał nowego

    0
  • #12 04 Sie 2016 14:35
    Kolobos
    Spec od komputerów

    Wykonaj to co podalem i dopiero zalacz nowe logi:

    Odinstaluj:
    Maxthon Cloud Browser
    RegHunter

    Fixlist.txt dla FRST:
    Task: {41E76A16-8DD6-4DA7-B5A9-A940FDB1D28B} - System32\Tasks\Chris => /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v Chris /t REG_SZ /d "explorer.exe hxxp://kb-ribaki.org"
    Task: {42573A3A-CFFD-4409-B657-19EACEB37279} - System32\Tasks\Opera scheduled Autoupdate 1446941246 => C:\Program Files (x86)\Opera\launcher.exe [2016-08-03] (Opera Software)
    Task: {4B91F4EE-E7C6-4742-AAD3-B6AF83A1F5F8} - System32\Tasks\Maxthon Update => C:\Program Files (x86)\Maxthon\Bin\Maxthon.exe [2016-02-23] (Maxthon International ltd.)
    Task: {5C3493B0-4999-4FCD-B72F-0536B2C1606D} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku <==== UWAGA
    Task: {818A7520-DAB9-4F81-B21A-63BA3C0BAF14} - System32\Tasks\{04481812-39C6-44F9-ADA2-1E5B1ED0977A} => pcalua.exe -a D:\Games\Doom3\doom3.exe -d D:\Games\Doom3\
    Task: {8A733FA2-BDD3-4E4F-A2A9-F888247C9B64} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku <==== UWAGA
    Task: {B3C067DA-1505-4AE7-937A-FA3E75681E94} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku <==== UWAGA
    Task: {B8A07061-DD87-4002-8C30-8BE4106F8FDC} - System32\Tasks\RegHunterStartup => C:\Program Files\Enigma Software Group\RegHunter\RegHunter.exe [2016-07-31] (Enigma Software Group USA, LLC.)
    Task: {BC94E24A-39BA-4C11-828F-51C5D241EB66} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku <==== UWAGA
    Task: {BFECFD04-983B-4BA7-A3A5-6184034C67AC} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku <==== UWAGA
    Task: {C661B20B-37D8-4B26-8AF5-CDC7F482BE01} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku <==== UWAGA
    Task: {C851062F-ABDD-4A3C-A366-652BB2BC6535} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku <==== UWAGA
    Task: {D13E1422-5D0D-4320-8A45-2C49E2D60B09} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku <==== UWAGA
    Task: {E360E601-3CEB-4C54-8ABC-196160ACB851} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku <==== UWAGA
    Task: {FB4914A6-CDDE-4D83-AE60-E7C9B33A6D7F} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku <==== UWAGA
    Task: {FBBAF3DC-5DA1-487E-B36D-90647A8E3073} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku <==== UWAGA
    HKU\S-1-5-21-697515400-2142124217-990391189-1002\...\MountPoints2: {078849a0-0b95-11e6-becf-240a64fa0c51} - "G:\.\Setup.exe" AUTORUN=1
    HKU\S-1-5-21-697515400-2142124217-990391189-1002\...\MountPoints2: {799a53ab-c9da-11e5-bebc-240a64fa0c51} - "I:\windows\Install\Install.exe"
    HKU\S-1-5-21-697515400-2142124217-990391189-1002\...\MountPoints2: {799a53cb-c9da-11e5-bebc-240a64fa0c51} - "K:\.\Setup.exe" AUTORUN=1




    HKU\S-1-5-21-697515400-2142124217-990391189-1002\...\MountPoints2: {dbdca872-54d3-11e6-bee2-240a64fa0c51} - "G:\.\Setup.exe" AUTORUN=1
    Tcpip\Parameters: [DhcpNameServer] 84.116.46.21 84.116.46.20
    Tcpip\..\Interfaces\{cc3b9f83-0211-4a19-b693-27ebaabc9b25}: [DhcpNameServer] 84.116.46.21 84.116.46.20
    CHR HKLM\...\Chrome\Extension: [lpeeaghdjmhlakojjcgfdhgcejdaefmi] - hxxps://chrome.google.com/webstore/detail/lpeeaghdjmhlakojjcgfdhgcejdaefmi
    CHR HKLM-x32\...\Chrome\Extension: [lpeeaghdjmhlakojjcgfdhgcejdaefmi] - hxxps://chrome.google.com/webstore/detail/lpeeaghdjmhlakojjcgfdhgcejdaefmi
    S2 Update service; C:\Program Files (x86)\Popcorn Time\Updater.exe [X]
    S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2016-07-31] ()
    2016-07-31 17:32 - 2016-08-04 11:49 - 00003344 _____ C:\WINDOWS\System32\Tasks\RegHunterStartup
    2016-07-31 17:21 - 2016-08-02 00:11 - 00000000 ____D C:\Users\Chris\AppData\Roaming\Enigma Software Group
    2016-07-31 17:21 - 2016-08-02 00:09 - 00000000 ____D C:\Program Files\Enigma Software Group
    2016-07-31 17:21 - 2016-07-31 17:21 - 00022704 _____ C:\WINDOWS\system32\Drivers\EsgScanner.sys
    2016-07-31 17:07 - 2016-08-04 11:51 - 00000000 ____D C:\AdwCleaner
    2016-07-29 20:59 - 2016-07-29 20:59 - 00000000 _____ C:\autoexec.bat
    2016-07-14 11:57 - 2016-07-14 11:57 - 00003530 _____ C:\WINDOWS\System32\Tasks\Chris
    2016-02-02 15:32 - 2016-02-02 15:32 - 6871040 _____ () C:\Program Files (x86)\GUT4AFB.tmp
    2015-12-03 01:00 - 2015-12-03 06:24 - 0102400 _____ () C:\Users\Chris\AppData\Roaming\chrtmp
    2015-12-03 01:00 - 2015-12-03 17:32 - 0734720 _____ () C:\Users\Chris\AppData\Roaming\uopilot.exe
    2015-12-03 01:04 - 2015-12-03 06:04 - 0000261 _____ () C:\Users\Chris\AppData\Roaming\uopilot.ini
    2016-02-16 01:27 - 2016-02-16 01:27 - 0000016 _____ () C:\ProgramData\mntemp


    Do okna FRST wklej: kb-ribaki.org i wybierz wyszukaj w rejestrze, po zakonczeniu zamiesc log oraz nowe logi z FRST, ze skanowania.

    0
  • Pomocny post
    #14 04 Sie 2016 14:55
    Kolobos
    Spec od komputerów

    Wklej do notatnika:
    REGEDIT4

    [HKEY_USERS\S-1-5-21-697515400-2142124217-990391189-1002\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Chris"=-

    Zapisz jako Fix.reg i uruchom.

    0
  • #15 04 Sie 2016 15:05
    Christopheriks
    Poziom 4  

    Uruchom mówisz dosłownie odpalenie tego pliku rejestru tak ? tak tez zrobilem FRST twierdzi po naciśnięńciu napraw twierdzi ze ok czy przeszukać jeszcze raz rejestr za tym wirem ??

    0
  • Pomocny post
    #16 04 Sie 2016 15:10
    Kolobos
    Spec od komputerów

    Tak, klikasz dwa razy na fix.reg i uruchamiasz.

    Mozesz to tez usunac recznie, uruchom regedit, przejdz do [HKEY_USERS\S-1-5-21-697515400-2142124217-990391189-1002\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] i usun wpis "Chris".

    Jezeli wszystko wykonales to usun katalog C:\FRST i to wszystko.

    0
  • Pomocny post
    #17 04 Sie 2016 15:10
    Kolobos
    Spec od komputerów

    Tak, klikasz dwa razy na fix.reg i uruchamiasz.

    Mozesz to tez usunac recznie, uruchom regedit, przejdz do [HKEY_USERS\S-1-5-21-697515400-2142124217-990391189-1002\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] i usun wpis "Chris".

    Jezeli wszystko wykonales to usun katalog C:\FRST i to wszystko.

    0
  • #18 04 Sie 2016 15:14
    Christopheriks
    Poziom 4  

    Dziękuje bardzo podczas ponownego uruchomienia systemu pop up w końcu nie wyskoczył dziękuje bardzo za wszelakie trudy i pomoc

    0