Elektroda.pl
Elektroda.pl
X

Search our partners

Find the latest content on electronic components. Datasheets.com
Elektroda.pl
Please add exception to AdBlock for elektroda.pl.
If you watch the ads, you support portal and users.

Wirus mail.ru !!! - Wirus mail.ru !

04 Dec 2016 00:22 1617 11
  • Level 6  
    Witam !

    Nie wiem co się stało, ale jakiś wirus zaatakował mi przeglądarki Chrome i Opere. Skanowałam adw cleanerem 3 razy i za każdym razem usuwało jakieś zagrożenie, ale wirus dalej był... Odinstalowałam Opere i chroma i myslalam ze jest OK, ale nie... co chwile jak wyszukuje coś na google to wyskakują rosyjskie napisy, jakieś reklamy w nowym oknie. Pomóżcie... Prawdopodobnie to wirus mail.ru, bo opis jednego posta dodanego na tę strone idealnie pasuje do mojej sytuacji. W załącznikach dodaje Addition i FRST.

    Z góry dziękuje za odpowiedź!!
  • Helpful post
    IT specialist
    To Twoj najmniejszy problem.

    Zrob kopie zakladek, odinstaluj Chrome, usun katalog profilu przegladarki z C:\Users\Uzytkownik\AppData\Local\Google\Chrome\User Data\ChromeDefaultData i zainstaluj Chrome ponownie.

    Obok frst.exe utworz plik Fixlist.txt z zawartoscia:
    Task: {176A3F2F-06BD-4B7A-A7C6-C5307CA1FA64} - System32\Tasks\a727803075331874d5e2a34a4136b849 => Rundll32.exe "C:\Program Files (x86)\PDF Architect 2\s0bke4.dll",e62dc6c6547f46bda862da2d05af6862 <==== UWAGA
    Task: {3D4FD8EF-D45D-4A97-891D-1846FB99FE78} - System32\Tasks\Opera scheduled Autoupdate 1480805033 => C:\Program Files (x86)\Opera\launcher.exe [2016-11-21] (Opera Software)
    Task: {92649D8B-44C4-4B5E-B073-D0A6933E6176} - System32\Tasks\Pherhidombuition Collector => C:\Program Files (x86)\Aterlutthikile\sjergh.exe [2016-12-03] (Glarysoft Ltd)
    Task: {C297CA0B-D09B-4390-8DD6-2AC31CFD5AE5} - System32\Tasks\{101EDBA2-A072-4E2A-9136-7B51E99BC9CB} => pcalua.exe -a "C:\ProgramData\PDF Architect 2\Installation\PDFArchitect2Installer.exe" -c /uninstall
    C:\Users\Uzytkownik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Eхplorеr.lnk
    C:\Users\Uzytkownik\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Gоogle Chrоmе.lnk
    C:\Users\Uzytkownik\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Lаunch Intеrnet-Exрlorеr Вrowsеr.lnk
    C:\Users\Uzytkownik\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gоogle Сhrоmе.lnk
    C:\Users\Uzytkownik\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Intеrnеt Eхplоrеr (2).lnk
    C:\Users\Uzytkownik\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Intеrnеt Eхplоrеr.lnk
    C:\Users\Uzytkownik\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Орerа.lnk
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gоogle Chrоme.lnk
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ореra.lnk
    ShortcutWithArgument: C:\Users\Uzytkownik\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\360c22b137d62ce9\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory=ChromeDefaultData
    HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\6C35B6AD.sys => ""="Driver"
    HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\6C35B6AD.sys => ""="Driver"
    C:\Windows\svchost.exe
    () C:\Program Files\GKC6VOTSVF\GKC6VOTSV.exe
    () C:\Program Files (x86)\PublicHotspot\UQC05CBFZG.exe
    HKLM\...\RunOnce: [OMEWPRODUCT_TO6ST] => C:\Program Files (x86)\PublicHotspot\9B49ZL.exe [533504 2016-12-03] (TVS1DWH)
    HKU\S-1-5-21-3468057658-3559933508-3889921271-1001\...\Run: [Akamai NetSession Interface] => C:\Users\Uzytkownik\AppData\Local\Akamai\netsession_win.exe [4691384 2015-09-10] (Akamai Technologies, Inc.)
    HKU\S-1-5-21-3468057658-3559933508-3889921271-1001\...\Run: [OSIRJMTIIW] => C:\Program Files\GKC6VOTSVF\GKC6VOTSV.exe [369664 2016-12-03] ()
    HKU\S-1-5-21-3468057658-3559933508-3889921271-1001\...\Run: [2DOI3F7WLY] => C:\Program Files (x86)\PublicHotspot\UQC05CBFZG.exe [369664 2016-12-03] ()
    HKU\S-1-5-21-3468057658-3559933508-3889921271-1001\...\Policies\Explorer: []
    HKU\S-1-5-21-3468057658-3559933508-3889921271-1001\...\MountPoints2: {010fcc2b-8a0f-11e6-bf69-342387f37824} - "F:\AutoRun.exe"
    HKU\S-1-5-21-3468057658-3559933508-3889921271-1001\...\MountPoints2: {158cf719-a1c6-11e4-bec9-342387f37824} - "F:\laucher.exe"
    IFEO\AvastSvc.exe: [Debugger] nqij.exe
    IFEO\AvastUI.exe: [Debugger] nqij.exe
    IFEO\avcenter.exe: [Debugger] nqij.exe
    IFEO\avconfig.exe: [Debugger] nqij.exe
    IFEO\avgcsrvx.exe: [Debugger] nqij.exe
    IFEO\avgidsagent.exe: [Debugger] nqij.exe
    IFEO\avgnt.exe: [Debugger] nqij.exe
    IFEO\avgrsx.exe: [Debugger] nqij.exe
    IFEO\avguard.exe: [Debugger] nqij.exe
    IFEO\avgui.exe: [Debugger] nqij.exe
    IFEO\avgwdsvc.exe: [Debugger] nqij.exe
    IFEO\avscan.exe: [Debugger] nqij.exe
    IFEO\bdagent.exe: [Debugger] nqij.exe
    IFEO\blindman.exe: [Debugger] nqij.exe
    IFEO\ccuac.exe: [Debugger] nqij.exe
    IFEO\ComboFix.exe: [Debugger] nqij.exe
    IFEO\egui.exe: [Debugger] nqij.exe
    IFEO\instup.exe: [Debugger] nqij.exe
    IFEO\keyscrambler.exe: [Debugger] nqij.exe
    IFEO\mbam.exe: [Debugger] nqij.exe
    IFEO\mbamgui.exe: [Debugger] nqij.exe
    IFEO\mbampt.exe: [Debugger] nqij.exe
    IFEO\mbamscheduler.exe: [Debugger] nqij.exe
    IFEO\mbamservice.exe: [Debugger] nqij.exe
    IFEO\MpCmdRun.exe: [Debugger] nqij.exe
    IFEO\MSASCui.exe: [Debugger] nqij.exe
    IFEO\MsMpEng.exe: [Debugger] nqij.exe
    IFEO\msseces.exe: [Debugger] nqij.exe
    IFEO\plugin-nm-server.exe: [Debugger] nqij.exe
    IFEO\rstrui.exe: [Debugger] nqij.exe
    IFEO\SDFiles.exe: [Debugger] nqij.exe
    IFEO\SDMain.exe: [Debugger] nqij.exe
    IFEO\SDWinSec.exe: [Debugger] nqij.exe
    IFEO\spybotsd.exe: [Debugger] nqij.exe
    IFEO\SSScheduler.exe: [Debugger] nqij.exe
    IFEO\wireshark.exe: [Debugger] nqij.exe
    IFEO\zlclient.exe: [Debugger] nqij.exe
    ShellExecuteHooks: - {73538FB6-AB7F-11E6-9B77-64006A5CFC23} - C:\Users\Uzytkownik\AppData\Roaming\Stezogh\Jacegh.dll Brak pliku [ ]
    GroupPolicy: Ograniczenia - Chrome <======= UWAGA
    CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA
    SearchScopes: HKLM-x32 -> DefaultScope - brak wartości
    OPR Extension: (Fast search) - C:\Users\Uzytkownik\AppData\Roaming\Opera Software\Opera Stable\Extensions\pbdpajcdgknpendpmecafmopknefafha [2016-12-03]
    R2 Atomiedclufught; C:\Program Files (x86)\Aterlutthikile\atuseentzidopymapper.dll [275456 2016-12-03] () [Brak podpisu cyfrowego]
    R2 Windows; C:\Windows\svchost.exe [177152 2016-12-03] () [Brak podpisu cyfrowego]
    S1 {4d1cf634-6bf6-4b82-8d6b-23df82dfcecc}Gw64; system32\drivers\{4d1cf634-6bf6-4b82-8d6b-23df82dfcecc}Gw64.sys [X]
    2016-12-03 23:03 - 2016-12-03 23:03 - 00006044 _____ C:\WINDOWS\System32\Tasks\Pherhidombuition Collector
    2016-12-03 23:03 - 2016-12-03 23:03 - 00003544 _____ C:\WINDOWS\System32\Tasks\a727803075331874d5e2a34a4136b849
    2016-12-03 23:03 - 2016-12-03 23:03 - 00000000 ____D C:\ProgramData\Avira
    2016-12-03 23:03 - 2016-12-03 23:03 - 00000000 ____D C:\ProgramData\Avg
    2016-12-03 23:03 - 2016-12-03 23:03 - 00000000 ____D C:\ProgramData\AVAST Software
    2016-12-03 23:02 - 2016-12-04 00:00 - 00000000 ____D C:\Users\Uzytkownik\AppData\Roaming\Stezogh
    2016-12-03 23:02 - 2016-12-03 23:02 - 07310848 _____ C:\Users\Uzytkownik\AppData\Roaming\agent.dat
    2016-12-03 23:02 - 2016-12-03 23:02 - 01906985 _____ C:\Users\Uzytkownik\AppData\Roaming\SoloDamex.tst
    2016-12-03 23:02 - 2016-12-03 23:02 - 01897576 _____ C:\Users\Uzytkownik\AppData\Roaming\Sontrax.bin
    2016-12-03 23:02 - 2016-12-03 23:02 - 00190394 _____ C:\Users\Uzytkownik\AppData\Roaming\Quotenamhold.bin
    2016-12-03 23:02 - 2016-12-03 23:02 - 00126464 _____ C:\Users\Uzytkownik\AppData\Roaming\noah.dat
    2016-12-03 23:02 - 2016-12-03 23:02 - 00070704 _____ C:\Users\Uzytkownik\AppData\Roaming\Config.xml
    2016-12-03 23:02 - 2016-12-03 23:02 - 00018432 _____ C:\Users\Uzytkownik\AppData\Roaming\Main.dat
    2016-12-03 23:02 - 2016-12-03 23:02 - 00005568 _____ C:\Users\Uzytkownik\AppData\Roaming\md.xml
    2016-12-03 23:02 - 2016-12-03 23:02 - 00000000 ____D C:\ProgramData\Hotfreshs
    2016-12-03 23:02 - 2016-12-03 23:01 - 00683520 _____ C:\Users\Uzytkownik\AppData\Roaming\SoloDamex.exe
    2016-12-03 23:01 - 2016-12-03 23:59 - 00000000 ____D C:\Program Files (x86)\PublicHotspot
    2016-12-03 23:01 - 2016-12-03 23:04 - 00000000 ____D C:\Program Files (x86)\Aterlutthikile
    2016-12-03 23:01 - 2016-12-03 23:03 - 00000000 ____D C:\Users\Uzytkownik\AppData\Local\Aridaly
    2016-12-03 23:01 - 2016-12-03 23:01 - 02531840 _____ (Microsoft Corporation) C:\WINDOWS\csrss.exe
    2016-12-03 23:01 - 2016-12-03 23:01 - 00177152 _____ C:\WINDOWS\svchost.exe
    2016-12-03 23:01 - 2016-12-03 23:01 - 00140288 _____ C:\Users\Uzytkownik\AppData\Roaming\Installer.dat
    2016-12-03 23:01 - 2016-12-03 23:01 - 00073216 _____ C:\WINDOWS\taskmgr.exe
    2016-12-03 23:01 - 2016-12-03 23:01 - 00000000 ____D C:\WINDOWS\Azart
    2016-12-03 23:01 - 2016-12-03 23:01 - 00000000 ____D C:\Program Files\GKC6VOTSVF
    2016-12-03 23:59 - 2015-05-01 18:48 - 00000000 ____D C:\AdwCleaner
    2016-12-03 23:03 - 2016-03-12 14:29 - 00000000 ____D C:\Program Files (x86)\AdwCleaner
    2016-12-03 23:03 - 2014-11-14 18:08 - 00000000 ____D C:\Program Files (x86)\GUM16BF.tmp
    2016-12-03 23:02 - 2016-12-03 23:02 - 7310848 _____ () C:\Users\Uzytkownik\AppData\Roaming\agent.dat
    2016-12-03 23:02 - 2016-12-03 23:02 - 0070704 _____ () C:\Users\Uzytkownik\AppData\Roaming\Config.xml
    2016-12-03 23:01 - 2016-12-03 23:01 - 0016272 _____ () C:\Users\Uzytkownik\AppData\Roaming\InstallationConfiguration.xml
    2016-12-03 23:01 - 2016-12-03 23:01 - 0140288 _____ () C:\Users\Uzytkownik\AppData\Roaming\Installer.dat
    2016-12-03 23:02 - 2016-12-03 23:02 - 0018432 _____ () C:\Users\Uzytkownik\AppData\Roaming\Main.dat
    2016-12-03 23:02 - 2016-12-03 23:02 - 0005568 _____ () C:\Users\Uzytkownik\AppData\Roaming\md.xml
    2014-11-20 20:48 - 2014-11-20 22:09 - 0011180 _____ () C:\Users\Uzytkownik\AppData\Roaming\msconfig.ini
    2016-12-03 23:02 - 2016-12-03 23:02 - 0126464 _____ () C:\Users\Uzytkownik\AppData\Roaming\noah.dat
    2016-12-03 23:02 - 2016-12-03 23:02 - 0190394 _____ () C:\Users\Uzytkownik\AppData\Roaming\Quotenamhold.bin
    2016-12-03 23:02 - 2016-12-03 23:01 - 0683520 _____ () C:\Users\Uzytkownik\AppData\Roaming\SoloDamex.exe
    2016-12-03 23:02 - 2016-12-03 23:02 - 1906985 _____ () C:\Users\Uzytkownik\AppData\Roaming\SoloDamex.tst
    2016-12-03 23:02 - 2016-12-03 23:02 - 1897576 _____ () C:\Users\Uzytkownik\AppData\Roaming\Sontrax.bin
    2016-12-03 23:02 - 2016-12-03 23:02 - 0032038 _____ () C:\Users\Uzytkownik\AppData\Roaming\uninstall_temp.ico
    2015-01-13 14:51 - 2015-01-23 17:06 - 0000112 _____ () C:\ProgramData\02s6Lq.dat
    C:\ProgramData\02s6Lq.dat
    C:\Users\Uzytkownik\AppData\Roaming\msconfig.ini
    EmptyTemp:

    W FRST wybierz Napraw.


    Zrob pelny skan przy pomocy Mbam i usun to co wykryje:
    http://www.bleepingcomputer.com/download/malwarebytes-anti-malware/
    oraz http://ftp.drweb.com/pub/drweb/cureit/launch.exe

    Po wykonaniu zamiesc nowe logi z FRST, ze skanowania, napisz tez czy cureit cos wykryl.
  • Level 6  
    Może zadam głupie pytanie, ale mam usunąć całe ChromeDefaultData bo nie ma w tym folderze nic takiego jak katalog profilu ? Na pewno nie ma takiej nazwy po polsku.
  • Helpful post
    IT specialist
    Usun caly ChromeDefaultData.
  • Level 6  
    Wirus mail.ru !!! - Wirus mail.ru !
    Przesyłam do wglądu screena ze strony internetowej z wyskakującym błędem przy wyszukiwaniu losowego słowa. Do tego w załączniku skanowanie malwarebytes (7 zagrożeń), FRST, Addition. Podsumowanie skanowania cureit (4 zagrożenia) nie da się tutaj udostępnić (zapisuje plik txt w formacie log). Prosiłabym o szybką pomoc, gdyż jest to wirus nova.ramble.ru, o którym przeczytałam, iż może powodować straty finansowe.
  • Helpful post
    IT specialist
    To nie wirus tylko otwierajaca sie strona, nie powoduje strat.

    Dlaczego nie usunales profilu Chrome? W logu nadal widac:
    CHR Profile: C:\Users\Uzytkownik\AppData\Local\Google\Chrome\User Data\ChromeDefaultData [2016-12-04] <==== UWAGA
    W Chrome utworz nowego uzytkownika, a tego usun, laczenie z katalogiem.

    Opere odinstaluj i rowniez usun katalog profilu przegladarki.

    Usun recznie te wszystkie zainfekowane skroty:
    C:\Users\Uzytkownik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Eхplorеr.lnk
    C:\Users\Uzytkownik\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Gоogle Chrоmе.lnk
    C:\Users\Uzytkownik\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Lаunch Intеrnet-Exрlorеr Вrowsеr.lnk
    C:\Users\Uzytkownik\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gоogle Сhrоmе.lnk
    C:\Users\Uzytkownik\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Intеrnеt Eхplоrеr (2).lnk
    C:\Users\Uzytkownik\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Intеrnеt Eхplоrеr.lnk
    C:\Users\Uzytkownik\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Орerа.lnk
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gоogle Chrоme.lnk
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ореra.lnk


    Fixlist.txt dla FRST:
    C:\Users\Uzytkownik\AppData\Local\Google\Chrome\User Data\ChromeDefaultData
    CHR Extension: (Fast search) - C:\Users\Uzytkownik\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\pbdpajcdgknpendpmecafmopknefafha [2016-12-03]
    CHR Extension: (Fast search) - C:\Users\Uzytkownik\AppData\Local\Google\Chrome\User Data\Default\Extensions\pbdpajcdgknpendpmecafmopknefafha [2016-12-03]
    CHR HKU\S-1-5-21-3468057658-3559933508-3889921271-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [lmjegmlicamnimmfhcmpkclmigmmcbeh] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [blbkdnmdcafmfhinpmnlhhddbepgkeaa] - hxxps://chrome.google.com/webstore/detail/blbkdnmdcafmfhinpmnlhhddbepgkeaa
    CHR HKLM-x32\...\Chrome\Extension: [lifbcibllhkdhoafpjfnlhfpfgnpldfl] - hxxps://clients2.google.com/service/update2/crx
    OPR Extension: (Fast search) - C:\Users\Uzytkownik\AppData\Roaming\Opera Software\Opera Stable\Extensions\pbdpajcdgknpendpmecafmopknefafha [2016-12-04]
    C:\Users\Uzytkownik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Eхplorеr.lnk
    C:\Users\Uzytkownik\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Gоogle Chrоmе.lnk
    C:\Users\Uzytkownik\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Lаunch Intеrnet-Exрlorеr Вrowsеr.lnk
    C:\Users\Uzytkownik\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gоogle Сhrоmе.lnk
    C:\Users\Uzytkownik\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Intеrnеt Eхplоrеr (2).lnk
    C:\Users\Uzytkownik\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Intеrnеt Eхplоrеr.lnk
    C:\Users\Uzytkownik\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Орerа.lnk
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gоogle Chrоme.lnk
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ореra.lnk


    Po wykonaniu zamiesc Fixlog, ktory sie utworzy.
  • Level 6  
    Nie dało się usunąć folderu extension w ChromeDefaultData usunęłam wszystko innego i wnętrze tego folderu. Teraz widzę że też się nie da tego usunąć wyskakuje że ten folder jest w użytku (nie mam włączonego chrome, usunęłam go myśląc że to może pomoże)
  • IT specialist
    Albo uzyj Unlocker.
  • Level 6  
    Usunęłam już. Dopiero extension usunął się gdy usunęłam resztę plików z kosza. Co do Opery po odinstalowaniu jedyne pliki jakie są w niej to cache i media cache żeby usunąć katalog profilu mam usunąć któryś z nich ?

    Dodano po 22 [minuty]:

    Z tego co widzę to zadziałało. Trzy razy juz wyszukiwałam losowe słowa i nie wyskakują te rosyjskie napisy :) W załączniku fixlog.

    Mam jeszcze krótkie pytanie na samym początku posta Kolobos napisał "To Twój najmniejszy problem", mógłbyś rozwinąć swoją myśl ? Bo nie wiem czy mam robić coś dalej z laptopem (przeinstalowanie całego systemu).
  • IT specialist
    Miales tez inne infekcje, ktore zostaly juz usuniete. Z ktorych mail.ru to byl najmniejszy problem.
  • Level 6  
    Dziękuję za pomoc ! Temat można zamknąć :)
    Wirus mail.ru !!! - Wirus mail.ru !