Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Wirus mail.ru !!! - Wirus mail.ru !

shoutt 04 Gru 2016 00:22 1335 11
  • #1 04 Gru 2016 00:22
    shoutt
    Poziom 3  

    Witam !

    Nie wiem co się stało, ale jakiś wirus zaatakował mi przeglądarki Chrome i Opere. Skanowałam adw cleanerem 3 razy i za każdym razem usuwało jakieś zagrożenie, ale wirus dalej był... Odinstalowałam Opere i chroma i myslalam ze jest OK, ale nie... co chwile jak wyszukuje coś na google to wyskakują rosyjskie napisy, jakieś reklamy w nowym oknie. Pomóżcie... Prawdopodobnie to wirus mail.ru, bo opis jednego posta dodanego na tę strone idealnie pasuje do mojej sytuacji. W załącznikach dodaje Addition i FRST.

    Z góry dziękuje za odpowiedź!!

    0 11
  • Pomocny post
    #2 04 Gru 2016 00:37
    Kolobos
    Spec od komputerów

    To Twoj najmniejszy problem.

    Zrob kopie zakladek, odinstaluj Chrome, usun katalog profilu przegladarki z C:\Users\Uzytkownik\AppData\Local\Google\Chrome\User Data\ChromeDefaultData i zainstaluj Chrome ponownie.

    Obok frst.exe utworz plik Fixlist.txt z zawartoscia:
    Task: {176A3F2F-06BD-4B7A-A7C6-C5307CA1FA64} - System32\Tasks\a727803075331874d5e2a34a4136b849 => Rundll32.exe "C:\Program Files (x86)\PDF Architect 2\s0bke4.dll",e62dc6c6547f46bda862da2d05af6862 <==== UWAGA
    Task: {3D4FD8EF-D45D-4A97-891D-1846FB99FE78} - System32\Tasks\Opera scheduled Autoupdate 1480805033 => C:\Program Files (x86)\Opera\launcher.exe [2016-11-21] (Opera Software)
    Task: {92649D8B-44C4-4B5E-B073-D0A6933E6176} - System32\Tasks\Pherhidombuition Collector => C:\Program Files (x86)\Aterlutthikile\sjergh.exe [2016-12-03] (Glarysoft Ltd)
    Task: {C297CA0B-D09B-4390-8DD6-2AC31CFD5AE5} - System32\Tasks\{101EDBA2-A072-4E2A-9136-7B51E99BC9CB} => pcalua.exe -a "C:\ProgramData\PDF Architect 2\Installation\PDFArchitect2Installer.exe" -c /uninstall
    C:\Users\Uzytkownik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Eхplorеr.lnk
    C:\Users\Uzytkownik\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Gоogle Chrоmе.lnk
    C:\Users\Uzytkownik\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Lаunch Intеrnet-Exрlorеr Вrowsеr.lnk
    C:\Users\Uzytkownik\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gоogle Сhrоmе.lnk
    C:\Users\Uzytkownik\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Intеrnеt Eхplоrеr (2).lnk
    C:\Users\Uzytkownik\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Intеrnеt Eхplоrеr.lnk
    C:\Users\Uzytkownik\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Орerа.lnk
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gоogle Chrоme.lnk
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ореra.lnk
    ShortcutWithArgument: C:\Users\Uzytkownik\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\360c22b137d62ce9\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory=ChromeDefaultData
    HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\6C35B6AD.sys => ""="Driver"
    HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\6C35B6AD.sys => ""="Driver"
    C:\Windows\svchost.exe
    () C:\Program Files\GKC6VOTSVF\GKC6VOTSV.exe
    () C:\Program Files (x86)\PublicHotspot\UQC05CBFZG.exe
    HKLM\...\RunOnce: [OMEWPRODUCT_TO6ST] => C:\Program Files (x86)\PublicHotspot\9B49ZL.exe [533504 2016-12-03] (TVS1DWH)
    HKU\S-1-5-21-3468057658-3559933508-3889921271-1001\...\Run: [Akamai NetSession Interface] => C:\Users\Uzytkownik\AppData\Local\Akamai\netsession_win.exe [4691384 2015-09-10] (Akamai Technologies, Inc.)




    HKU\S-1-5-21-3468057658-3559933508-3889921271-1001\...\Run: [OSIRJMTIIW] => C:\Program Files\GKC6VOTSVF\GKC6VOTSV.exe [369664 2016-12-03] ()
    HKU\S-1-5-21-3468057658-3559933508-3889921271-1001\...\Run: [2DOI3F7WLY] => C:\Program Files (x86)\PublicHotspot\UQC05CBFZG.exe [369664 2016-12-03] ()
    HKU\S-1-5-21-3468057658-3559933508-3889921271-1001\...\Policies\Explorer: []
    HKU\S-1-5-21-3468057658-3559933508-3889921271-1001\...\MountPoints2: {010fcc2b-8a0f-11e6-bf69-342387f37824} - "F:\AutoRun.exe"
    HKU\S-1-5-21-3468057658-3559933508-3889921271-1001\...\MountPoints2: {158cf719-a1c6-11e4-bec9-342387f37824} - "F:\laucher.exe"
    IFEO\AvastSvc.exe: [Debugger] nqij.exe
    IFEO\AvastUI.exe: [Debugger] nqij.exe
    IFEO\avcenter.exe: [Debugger] nqij.exe
    IFEO\avconfig.exe: [Debugger] nqij.exe
    IFEO\avgcsrvx.exe: [Debugger] nqij.exe
    IFEO\avgidsagent.exe: [Debugger] nqij.exe
    IFEO\avgnt.exe: [Debugger] nqij.exe
    IFEO\avgrsx.exe: [Debugger] nqij.exe
    IFEO\avguard.exe: [Debugger] nqij.exe
    IFEO\avgui.exe: [Debugger] nqij.exe
    IFEO\avgwdsvc.exe: [Debugger] nqij.exe
    IFEO\avscan.exe: [Debugger] nqij.exe
    IFEO\bdagent.exe: [Debugger] nqij.exe
    IFEO\blindman.exe: [Debugger] nqij.exe
    IFEO\ccuac.exe: [Debugger] nqij.exe
    IFEO\ComboFix.exe: [Debugger] nqij.exe
    IFEO\egui.exe: [Debugger] nqij.exe
    IFEO\instup.exe: [Debugger] nqij.exe
    IFEO\keyscrambler.exe: [Debugger] nqij.exe
    IFEO\mbam.exe: [Debugger] nqij.exe
    IFEO\mbamgui.exe: [Debugger] nqij.exe
    IFEO\mbampt.exe: [Debugger] nqij.exe
    IFEO\mbamscheduler.exe: [Debugger] nqij.exe
    IFEO\mbamservice.exe: [Debugger] nqij.exe
    IFEO\MpCmdRun.exe: [Debugger] nqij.exe
    IFEO\MSASCui.exe: [Debugger] nqij.exe
    IFEO\MsMpEng.exe: [Debugger] nqij.exe
    IFEO\msseces.exe: [Debugger] nqij.exe
    IFEO\plugin-nm-server.exe: [Debugger] nqij.exe
    IFEO\rstrui.exe: [Debugger] nqij.exe
    IFEO\SDFiles.exe: [Debugger] nqij.exe
    IFEO\SDMain.exe: [Debugger] nqij.exe
    IFEO\SDWinSec.exe: [Debugger] nqij.exe
    IFEO\spybotsd.exe: [Debugger] nqij.exe
    IFEO\SSScheduler.exe: [Debugger] nqij.exe
    IFEO\wireshark.exe: [Debugger] nqij.exe
    IFEO\zlclient.exe: [Debugger] nqij.exe
    ShellExecuteHooks: - {73538FB6-AB7F-11E6-9B77-64006A5CFC23} - C:\Users\Uzytkownik\AppData\Roaming\Stezogh\Jacegh.dll Brak pliku [ ]
    GroupPolicy: Ograniczenia - Chrome <======= UWAGA
    CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA
    SearchScopes: HKLM-x32 -> DefaultScope - brak wartości
    OPR Extension: (Fast search) - C:\Users\Uzytkownik\AppData\Roaming\Opera Software\Opera Stable\Extensions\pbdpajcdgknpendpmecafmopknefafha [2016-12-03]
    R2 Atomiedclufught; C:\Program Files (x86)\Aterlutthikile\atuseentzidopymapper.dll [275456 2016-12-03] () [Brak podpisu cyfrowego]
    R2 Windows; C:\Windows\svchost.exe [177152 2016-12-03] () [Brak podpisu cyfrowego]
    S1 {4d1cf634-6bf6-4b82-8d6b-23df82dfcecc}Gw64; system32\drivers\{4d1cf634-6bf6-4b82-8d6b-23df82dfcecc}Gw64.sys [X]
    2016-12-03 23:03 - 2016-12-03 23:03 - 00006044 _____ C:\WINDOWS\System32\Tasks\Pherhidombuition Collector
    2016-12-03 23:03 - 2016-12-03 23:03 - 00003544 _____ C:\WINDOWS\System32\Tasks\a727803075331874d5e2a34a4136b849
    2016-12-03 23:03 - 2016-12-03 23:03 - 00000000 ____D C:\ProgramData\Avira
    2016-12-03 23:03 - 2016-12-03 23:03 - 00000000 ____D C:\ProgramData\Avg
    2016-12-03 23:03 - 2016-12-03 23:03 - 00000000 ____D C:\ProgramData\AVAST Software
    2016-12-03 23:02 - 2016-12-04 00:00 - 00000000 ____D C:\Users\Uzytkownik\AppData\Roaming\Stezogh
    2016-12-03 23:02 - 2016-12-03 23:02 - 07310848 _____ C:\Users\Uzytkownik\AppData\Roaming\agent.dat
    2016-12-03 23:02 - 2016-12-03 23:02 - 01906985 _____ C:\Users\Uzytkownik\AppData\Roaming\SoloDamex.tst
    2016-12-03 23:02 - 2016-12-03 23:02 - 01897576 _____ C:\Users\Uzytkownik\AppData\Roaming\Sontrax.bin
    2016-12-03 23:02 - 2016-12-03 23:02 - 00190394 _____ C:\Users\Uzytkownik\AppData\Roaming\Quotenamhold.bin
    2016-12-03 23:02 - 2016-12-03 23:02 - 00126464 _____ C:\Users\Uzytkownik\AppData\Roaming\noah.dat
    2016-12-03 23:02 - 2016-12-03 23:02 - 00070704 _____ C:\Users\Uzytkownik\AppData\Roaming\Config.xml
    2016-12-03 23:02 - 2016-12-03 23:02 - 00018432 _____ C:\Users\Uzytkownik\AppData\Roaming\Main.dat
    2016-12-03 23:02 - 2016-12-03 23:02 - 00005568 _____ C:\Users\Uzytkownik\AppData\Roaming\md.xml
    2016-12-03 23:02 - 2016-12-03 23:02 - 00000000 ____D C:\ProgramData\Hotfreshs
    2016-12-03 23:02 - 2016-12-03 23:01 - 00683520 _____ C:\Users\Uzytkownik\AppData\Roaming\SoloDamex.exe
    2016-12-03 23:01 - 2016-12-03 23:59 - 00000000 ____D C:\Program Files (x86)\PublicHotspot
    2016-12-03 23:01 - 2016-12-03 23:04 - 00000000 ____D C:\Program Files (x86)\Aterlutthikile
    2016-12-03 23:01 - 2016-12-03 23:03 - 00000000 ____D C:\Users\Uzytkownik\AppData\Local\Aridaly
    2016-12-03 23:01 - 2016-12-03 23:01 - 02531840 _____ (Microsoft Corporation) C:\WINDOWS\csrss.exe
    2016-12-03 23:01 - 2016-12-03 23:01 - 00177152 _____ C:\WINDOWS\svchost.exe
    2016-12-03 23:01 - 2016-12-03 23:01 - 00140288 _____ C:\Users\Uzytkownik\AppData\Roaming\Installer.dat
    2016-12-03 23:01 - 2016-12-03 23:01 - 00073216 _____ C:\WINDOWS\taskmgr.exe
    2016-12-03 23:01 - 2016-12-03 23:01 - 00000000 ____D C:\WINDOWS\Azart
    2016-12-03 23:01 - 2016-12-03 23:01 - 00000000 ____D C:\Program Files\GKC6VOTSVF
    2016-12-03 23:59 - 2015-05-01 18:48 - 00000000 ____D C:\AdwCleaner
    2016-12-03 23:03 - 2016-03-12 14:29 - 00000000 ____D C:\Program Files (x86)\AdwCleaner
    2016-12-03 23:03 - 2014-11-14 18:08 - 00000000 ____D C:\Program Files (x86)\GUM16BF.tmp
    2016-12-03 23:02 - 2016-12-03 23:02 - 7310848 _____ () C:\Users\Uzytkownik\AppData\Roaming\agent.dat
    2016-12-03 23:02 - 2016-12-03 23:02 - 0070704 _____ () C:\Users\Uzytkownik\AppData\Roaming\Config.xml
    2016-12-03 23:01 - 2016-12-03 23:01 - 0016272 _____ () C:\Users\Uzytkownik\AppData\Roaming\InstallationConfiguration.xml
    2016-12-03 23:01 - 2016-12-03 23:01 - 0140288 _____ () C:\Users\Uzytkownik\AppData\Roaming\Installer.dat
    2016-12-03 23:02 - 2016-12-03 23:02 - 0018432 _____ () C:\Users\Uzytkownik\AppData\Roaming\Main.dat
    2016-12-03 23:02 - 2016-12-03 23:02 - 0005568 _____ () C:\Users\Uzytkownik\AppData\Roaming\md.xml
    2014-11-20 20:48 - 2014-11-20 22:09 - 0011180 _____ () C:\Users\Uzytkownik\AppData\Roaming\msconfig.ini
    2016-12-03 23:02 - 2016-12-03 23:02 - 0126464 _____ () C:\Users\Uzytkownik\AppData\Roaming\noah.dat
    2016-12-03 23:02 - 2016-12-03 23:02 - 0190394 _____ () C:\Users\Uzytkownik\AppData\Roaming\Quotenamhold.bin
    2016-12-03 23:02 - 2016-12-03 23:01 - 0683520 _____ () C:\Users\Uzytkownik\AppData\Roaming\SoloDamex.exe
    2016-12-03 23:02 - 2016-12-03 23:02 - 1906985 _____ () C:\Users\Uzytkownik\AppData\Roaming\SoloDamex.tst
    2016-12-03 23:02 - 2016-12-03 23:02 - 1897576 _____ () C:\Users\Uzytkownik\AppData\Roaming\Sontrax.bin
    2016-12-03 23:02 - 2016-12-03 23:02 - 0032038 _____ () C:\Users\Uzytkownik\AppData\Roaming\uninstall_temp.ico
    2015-01-13 14:51 - 2015-01-23 17:06 - 0000112 _____ () C:\ProgramData\02s6Lq.dat
    C:\ProgramData\02s6Lq.dat
    C:\Users\Uzytkownik\AppData\Roaming\msconfig.ini
    EmptyTemp:

    W FRST wybierz Napraw.


    Zrob pelny skan przy pomocy Mbam i usun to co wykryje:
    http://www.bleepingcomputer.com/download/malwarebytes-anti-malware/
    oraz http://ftp.drweb.com/pub/drweb/cureit/launch.exe

    Po wykonaniu zamiesc nowe logi z FRST, ze skanowania, napisz tez czy cureit cos wykryl.

    1
  • #3 04 Gru 2016 00:47
    shoutt
    Poziom 3  

    Może zadam głupie pytanie, ale mam usunąć całe ChromeDefaultData bo nie ma w tym folderze nic takiego jak katalog profilu ? Na pewno nie ma takiej nazwy po polsku.

    0
  • Pomocny post
    #4 04 Gru 2016 00:48
    Kolobos
    Spec od komputerów

    Usun caly ChromeDefaultData.

    0
  • #5 04 Gru 2016 02:18
    shoutt
    Poziom 3  

    Wirus mail.ru !!! - Wirus mail.ru !
    Przesyłam do wglądu screena ze strony internetowej z wyskakującym błędem przy wyszukiwaniu losowego słowa. Do tego w załączniku skanowanie malwarebytes (7 zagrożeń), FRST, Addition. Podsumowanie skanowania cureit (4 zagrożenia) nie da się tutaj udostępnić (zapisuje plik txt w formacie log). Prosiłabym o szybką pomoc, gdyż jest to wirus nova.ramble.ru, o którym przeczytałam, iż może powodować straty finansowe.

    0
  • Pomocny post
    #6 04 Gru 2016 11:12
    Kolobos
    Spec od komputerów

    To nie wirus tylko otwierajaca sie strona, nie powoduje strat.

    Dlaczego nie usunales profilu Chrome? W logu nadal widac:
    CHR Profile: C:\Users\Uzytkownik\AppData\Local\Google\Chrome\User Data\ChromeDefaultData [2016-12-04] <==== UWAGA
    W Chrome utworz nowego uzytkownika, a tego usun, laczenie z katalogiem.

    Opere odinstaluj i rowniez usun katalog profilu przegladarki.

    Usun recznie te wszystkie zainfekowane skroty:
    C:\Users\Uzytkownik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Eхplorеr.lnk
    C:\Users\Uzytkownik\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Gоogle Chrоmе.lnk
    C:\Users\Uzytkownik\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Lаunch Intеrnet-Exрlorеr Вrowsеr.lnk
    C:\Users\Uzytkownik\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gоogle Сhrоmе.lnk
    C:\Users\Uzytkownik\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Intеrnеt Eхplоrеr (2).lnk
    C:\Users\Uzytkownik\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Intеrnеt Eхplоrеr.lnk
    C:\Users\Uzytkownik\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Орerа.lnk
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gоogle Chrоme.lnk
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ореra.lnk


    Fixlist.txt dla FRST:
    C:\Users\Uzytkownik\AppData\Local\Google\Chrome\User Data\ChromeDefaultData
    CHR Extension: (Fast search) - C:\Users\Uzytkownik\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\pbdpajcdgknpendpmecafmopknefafha [2016-12-03]
    CHR Extension: (Fast search) - C:\Users\Uzytkownik\AppData\Local\Google\Chrome\User Data\Default\Extensions\pbdpajcdgknpendpmecafmopknefafha [2016-12-03]
    CHR HKU\S-1-5-21-3468057658-3559933508-3889921271-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [lmjegmlicamnimmfhcmpkclmigmmcbeh] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [blbkdnmdcafmfhinpmnlhhddbepgkeaa] - hxxps://chrome.google.com/webstore/detail/blbkdnmdcafmfhinpmnlhhddbepgkeaa
    CHR HKLM-x32\...\Chrome\Extension: [lifbcibllhkdhoafpjfnlhfpfgnpldfl] - hxxps://clients2.google.com/service/update2/crx
    OPR Extension: (Fast search) - C:\Users\Uzytkownik\AppData\Roaming\Opera Software\Opera Stable\Extensions\pbdpajcdgknpendpmecafmopknefafha [2016-12-04]
    C:\Users\Uzytkownik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Eхplorеr.lnk
    C:\Users\Uzytkownik\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Gоogle Chrоmе.lnk
    C:\Users\Uzytkownik\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Lаunch Intеrnet-Exрlorеr Вrowsеr.lnk
    C:\Users\Uzytkownik\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gоogle Сhrоmе.lnk
    C:\Users\Uzytkownik\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Intеrnеt Eхplоrеr (2).lnk
    C:\Users\Uzytkownik\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Intеrnеt Eхplоrеr.lnk
    C:\Users\Uzytkownik\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Орerа.lnk
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gоogle Chrоme.lnk
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ореra.lnk


    Po wykonaniu zamiesc Fixlog, ktory sie utworzy.

    0
  • #7 04 Gru 2016 11:35
    shoutt
    Poziom 3  

    Nie dało się usunąć folderu extension w ChromeDefaultData usunęłam wszystko innego i wnętrze tego folderu. Teraz widzę że też się nie da tego usunąć wyskakuje że ten folder jest w użytku (nie mam włączonego chrome, usunęłam go myśląc że to może pomoże)

    0
  • #9 04 Gru 2016 12:01
    Kolobos
    Spec od komputerów

    Albo uzyj Unlocker.

    0
  • #10 04 Gru 2016 12:32
    shoutt
    Poziom 3  

    Usunęłam już. Dopiero extension usunął się gdy usunęłam resztę plików z kosza. Co do Opery po odinstalowaniu jedyne pliki jakie są w niej to cache i media cache żeby usunąć katalog profilu mam usunąć któryś z nich ?

    Dodano po 22 [minuty]:

    Z tego co widzę to zadziałało. Trzy razy juz wyszukiwałam losowe słowa i nie wyskakują te rosyjskie napisy :) W załączniku fixlog.

    Mam jeszcze krótkie pytanie na samym początku posta Kolobos napisał "To Twój najmniejszy problem", mógłbyś rozwinąć swoją myśl ? Bo nie wiem czy mam robić coś dalej z laptopem (przeinstalowanie całego systemu).

    0
  • #11 04 Gru 2016 13:43
    Kolobos
    Spec od komputerów

    Miales tez inne infekcje, ktore zostaly juz usuniete. Z ktorych mail.ru to byl najmniejszy problem.

    0
  • #12 04 Gru 2016 14:55
    shoutt
    Poziom 3  

    Dziękuję za pomoc ! Temat można zamknąć :)
    Wirus mail.ru !!! - Wirus mail.ru !

    0