Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Sejheb.exe - Wirus blokuje dostęp do internetu

Grzechu126 08 Lis 2016 15:02 573 12
  • #1 08 Lis 2016 15:02
    Grzechu126
    Poziom 3  

    Witam, otóż pobrałem wczoraj(tak wiem moja wina) jakiegoś wirusa, odpaliła się masa ikonek z instalacją programów.Odpaliłem więc kasperskiego który większość tego syfu usunął, ale jest jeden wirus A może i więcej których nie odkrywa.Jeden z tych wirusów blokuje mi dostęp do internetu(Mogę się połączyć jednak nie wykrywa serwera DNS).Podejrzewam że za to odpowiedzialny jest proces Sejheb.exe który zainstalował się razem z tym wszystkim.Jednak folderu z nim nie mogę usunąć, a procesu nie da się zamknąć. Proszę o pomoc juź nie wiem co mam z tym wirusem zrobić,wiem że muszę zrobić jakieś logi tylko nie wiem jak to zrobić i gdzie.Z góry dziękuję.

    0 12
  • #3 08 Lis 2016 15:32
    Grzechu126
    Poziom 3  

    Ok juz to pobieram i za 15 min powiem co i jak

    Dodano po 24 [minuty]:

    Chłopie, jeden post a tak bardzo pomocny, dzięki tobie usunąłem prawie 400 tego dziadostwa i zaczął z powrotem działać internet, Wielkie Dzięki.Tu jest te FRST. Jeszcze coś muszę zrobić? Jeszcze raz wielkie dzięki

    0
  • #4 08 Lis 2016 15:37
    RADU23
    Moderator - Komputery Serwis

    Grzechu126 napisał:
    Jeszcze coś muszę zrobić?

    Tak, poczekaj na fixlist.

    Dodatkowo przeskanuj jeszcze MBAM i usuń wszystko co wykryje =>
    https://pl.malwarebytes.com/

    0
  • #5 08 Lis 2016 15:40
    Grzechu126
    Poziom 3  

    Ok juz pobieram i czekam na fixlist

    0
  • #6 08 Lis 2016 15:40
    Domino_2
    Pomocny dla użytkowników

    Odinstaluj PriceFountain.

    Cytat:

    Task: {19D0D3E9-D838-47B4-8AB7-9AFD8A8CA5AE} - System32\Tasks\{BF1ADC3A-49A5-486E-9EE0-D72D2EF71785} => pcalua.exe -a C:\Users\Grzechu\Desktop\The_Frozen_Throne_Install_Fix.exe -d C:\Users\Grzechu\Desktop
    Task: {88664B74-9017-4727-846F-CBA2CE322AE1} - System32\Tasks\{A44FC860-38FD-43BF-A9AC-65ACA62F4A2C} => pcalua.exe -a G:\install.exe -d G:\
    Task: {D450C60E-BEF3-4B18-B64C-6CAE5C0958C2} - System32\Tasks\{3E957BEF-8B5C-4D9B-A4C2-93F129BC4A94} => pcalua.exe -a "D:\w3 tft\w3pliki+cd-key\War3ROC_121a_Polski.exe" -d "D:\w3 tft\w3pliki+cd-key"
    Task: {D9560422-AE0D-48D4-9E1A-CC691C5121B6} - System32\Tasks\GrzechuRickingPaddiesV2 => Rundll32.exe SyllabiSlithers.dll,main 7 1 <==== UWAGA
    Task: {D9CEC9DE-0C87-4ECF-B6A2-86512E68A3F7} - System32\Tasks\{2A77F5AC-C23E-464B-91C5-D761E978F1A5} => pcalua.exe -a "D:\w3 tft\w3pliki+cd-key\War3TFT_121a_Polski.exe" -d "D:\w3 tft\w3pliki+cd-key"
    Task: {E1855CD5-D738-48FA-93FF-08CE089CB526} - System32\Tasks\{AE14B9E7-CC1D-4F62-93C8-6703242CEF57} => pcalua.exe -a D:\patch\wvs.exe -d D:\patch
    ShortcutWithArgument: C:\Users\Grzechu\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Aplikacje Chrome\Dingit Infinite HD App.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory=Default --app-id=llnhnfikffkjbdnfallfpgikamegbbag
    HKU\S-1-5-21-2587137311-3168225704-650327157-1000\...\Run: [GalaxyClient] => [X]
    HKU\S-1-5-21-2587137311-3168225704-650327157-1000\...\MountPoints2: I - I:\SETUP.EXE
    HKU\S-1-5-21-2587137311-3168225704-650327157-1000\...\MountPoints2: {0d2bfd07-a51d-11e6-8217-d8cb8abed04e} - E:\start.exe
    HKU\S-1-5-21-2587137311-3168225704-650327157-1000\...\MountPoints2: {8a13baa2-bea8-11e5-a320-d8cb8abed04e} - I:\SETUP.EXE
    HKU\S-1-5-21-2587137311-3168225704-650327157-1000\...\MountPoints2: {9979a5d2-03bc-11e6-891d-d8cb8abed04e} - E:\SETUP.EXE
    HKU\S-1-5-21-2587137311-3168225704-650327157-1000\...\MountPoints2: {a48b8e3b-1eb2-11e6-a886-d8cb8abed04e} - E:\AutoRun.exe
    HKU\S-1-5-21-2587137311-3168225704-650327157-1000\...\MountPoints2: {b5f776a5-df11-11e5-8232-d8cb8abed04e} - E:\AutoRun.exe
    HKU\S-1-5-21-2587137311-3168225704-650327157-1000\...\MountPoints2: {b5f776b8-df11-11e5-8232-d8cb8abed04e} - E:\AutoRun.exe
    HKU\S-1-5-21-2587137311-3168225704-650327157-1000\...\MountPoints2: {b6454faf-dfad-11e5-acc8-d8cb8abed04e} - E:\AutoRun.exe
    HKU\S-1-5-21-2587137311-3168225704-650327157-1000\...\MountPoints2: {c86f7a81-c7c2-11e5-b537-d8cb8abed04e} - I:\autoplay.exe
    ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku
    ShellIconOverlayIdentifiers: [KzShlobj2] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F3} => Brak pliku
    FF ProfilePath: C:\Users\Grzechu\AppData\Roaming\Mozilla\Firefox\naweriweentcofise\Profiles\cinulo3h.default\Profiles\cinulo3h.default [nie znaleziono]
    FF user.js: detected! => C:\Users\Grzechu\AppData\Roaming\Mozilla\Firefox\Profiles\cinulo3h.default\user.js [2016-11-07]
    FF SearchPlugin: C:\Users\Grzechu\AppData\Roaming\Mozilla\Firefox\Profiles\cinulo3h.default\searchplugins\s9n1ty27.xml [2016-11-07]
    FF HKLM-x32\...\Firefox\Extensions: [ff-bmboc@bytemobile.com] - C:\Program Files\T-Mobile\InternetManager_H\OCx64\addon => nie znaleziono
    CHR Profile: C:\Users\Grzechu\AppData\Local\Google\Chrome\User Data\ChromeDefaultData [2016-11-07] <==== UWAGA
    CHR HKLM\...\Chrome\Extension: [fhoibnponjcgjgcnfacekaijdbbplhib] - hxxps://chrome.google.com/webstore/detail/fhoibnponjcgjgcnfacekaijdbbplhib
    CHR HKLM-x32\...\Chrome\Extension: [fhoibnponjcgjgcnfacekaijdbbplhib] - hxxps://chrome.google.com/webstore/detail/fhoibnponjcgjgcnfacekaijdbbplhib
    S3 Origin Client Service; "C:\Program Files (x86)\Origin\OriginClientService.exe" [X]
    S3 VGPU; System32\drivers\rdvgkmd.sys [X]
    2016-11-08 15:19 - 2016-11-08 15:22 - 00000000 ____D C:\AdwCleaner
    2016-11-07 19:53 - 2016-11-07 19:53 - 00000000 ____D C:\Users\Grzechu\AppData\Local\UCBrowser
    EmptyTemp:


    Wklej to do notatnika i zapisz pod nazwą fixlist.txt i umieść w folderze gdzie znajduje się plik FRST.exe/FRST64.exe, uruchom go i kliknij Fix/Napraw.

    Zamień AdBlock na uBlock Origin, jest dużo skuteczniejszy.

    Na koniec możesz przeskanować komputer programem MBAM i usunąć co znalazł.

    0
  • #7 08 Lis 2016 15:45
    Grzechu126
    Poziom 3  

    jeszcze zapytam się tylko w jakim folderze jest ten frst? i gdzie jest te price fountain bo nigdzie go nie widze

    0
  • Pomocny post
    #8 08 Lis 2016 15:47
    RADU23
    Moderator - Komputery Serwis

    Grzechu126 napisał:
    jeszcze zapytam się tylko w jakim folderze jest ten frst?

    C:\Users\Grzechu\Desktop =>FRST

    0
  • #9 08 Lis 2016 15:49
    Domino_2
    Pomocny dla użytkowników

    PriceFountain powinieneś widzieć w Panelu Sterowania w sekcji Odinstaluj lub zmień program, jeśli nie widzisz to pomiń i wykonaj resztę.

    Fixlist zapisujesz w C:\Users\Grzechu\Desktop, czyli na Pulpicie tam gdzie masz FRST.exe.

    0
  • #10 08 Lis 2016 15:50
    Grzechu126
    Poziom 3  

    wkleiłem to tam i pisze że plik fixlist nie zostal odnaleziony

    0
  • Pomocny post
    #11 08 Lis 2016 15:51
    Domino_2
    Pomocny dla użytkowników

    Grzechu126 napisał:
    wkleiłem to tam i pisze że plik fixlist nie zostal odnaleziony


    Wykonaj to co napisałem w swoim poście.

    0
  • #12 08 Lis 2016 15:58
    Grzechu126
    Poziom 3  

    odinstalowalem ten pricefountain jednak dalej nie moge odpalic naprawy w FRST

    Dodano po 3 [minuty]:

    Dobra,już nieważne zainstalowałem tego fixa, to wszystko czy muszę zrobić coś jeszcze?

    0
  • Pomocny post
    #13 08 Lis 2016 15:59
    Domino_2
    Pomocny dla użytkowników

    Podany fix zapisujesz jako fixlist.txt na Pulpicie, stamtąd też uruchamiałeś FRST.exe / FRST64.exe i dajesz Napraw i to tyle.

    Dodano po 52 [sekundy]:

    Przeskanuj programem MBAM.
    Po tym jeśli wszystko będzie OK to możesz skasować folder C:\FRST i to tyle.

    0