Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Samowłączająca się po starcie - rigneda.ru , 12kotov.ru

Pszczolla 24 Gru 2016 14:33 1755 5
  • #2 24 Gru 2016 14:51
    Kolobos
    Spec od komputerów

    Odinstaluj: Google Toolbar for Internet Explorer

    Obok frst.exe utworz plik Fixlist.txt z zawartoscia:
    Task: {1995A61E-CCF8-40CC-BB26-A564CA445C80} - System32\Tasks\SlimDrivers Startup => C:\Program Files (x86)\SlimDrivers\SlimDrivers.exe [2015-08-19] (SlimWare Utilities, Inc.)
    Task: {3F98B78B-5788-4B65-B985-2C8AE02AB6DE} - System32\Tasks\sysnet => C:\Users\MadziaiDamian\AppData\Local\sysnet\sysnet.exe <==== UWAGA
    Task: {4B391445-00EA-493D-9CB1-9F2195CB8B2B} - System32\Tasks\SlimCleaner Plus (Scheduled Scan - MadziaiDamian) => C:\Program Files\SlimCleaner Plus\SlimCleanerPlus.exe [2016-08-29] (Slimware Utilities Holdings, Inc.)
    Task: {767843AC-4544-4A16-97B6-BB69D1B3289E} - System32\Tasks\{40840D15-57A7-4FDA-84BA-9B5953EE004D} => pcalua.exe -a H:\SETUP.EXE -d H:\
    Task: C:\Windows\Tasks\SlimCleaner Plus (Scheduled Scan - MadziaiDamian).job => C:\Program Files\SlimCleaner Plus\SlimCleanerPlus.exe
    Task: C:\Windows\Tasks\SlimDrivers Startup.job => C:\Program Files (x86)\SlimDrivers\SlimDrivers.exe
    ShortcutWithArgument: C:\Users\MadziaiDamian\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk -> C:\Windows\explorer.exe (Microsoft Corporation) -> "hxxp://rigneda.ru/?utm_source=startlink03&utm_content=adbf052057e305ed7ecce74202676864&utm_term=445006A14EF6E6158F7CA7312D90492D&utm_d=20161222"
    ShortcutWithArgument: C:\Users\MadziaiDamian\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk -> C:\Windows\System32\rundll32.exe (Microsoft Corporation) -> url,FileProtocolHandler "hxxp://www.mail.ru/cnt/20775012?gp=811008"
    ShortcutWithArgument: C:\Users\MadziaiDamian\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Вoйти в Интeрнeт.lnk -> C:\Windows\explorer.exe (Microsoft Corporation) -> "hxxp://rigneda.ru/?utm_source=startlink03&utm_content=adbf052057e305ed7ecce74202676864&utm_term=445006A14EF6E6158F7CA7312D90492D&utm_d=20161222"
    FirewallRules: [{8A9B2E88-5FF3-49F5-80C5-F5C6E996F10D}] => C:\Users\MadziaiDamian\AppData\Local\Amigo\Application\amigo.exe
    HKU\S-1-5-21-2374888468-4048695049-417382093-1000\...\Run: [SlimCleaner Plus] => C:\Program Files\SlimCleaner Plus\SlimCleanerPlus.exe [26221248 2016-08-29] (Slimware Utilities Holdings, Inc.)
    HKU\S-1-5-21-2374888468-4048695049-417382093-1000\...\Run: [dpkpwkgodj] => explorer "hxxp://rigneda.ru/?utm_source=uoua03&utm_content=3f5ac389090854fdc20d4928cb8b84b3&utm_term=445006A14EF6E6158F7CA7312D90492D&utm_d=20161222" <===== UWAGA
    HKU\S-1-5-21-2374888468-4048695049-417382093-1000\...\MountPoints2: G - G:\setup.exe
    HKU\S-1-5-21-2374888468-4048695049-417382093-1000\...\MountPoints2: {124b93c8-5cac-11e6-939d-806e6f6e6963} - E:\Bin\ASSETUP.exe
    HKU\S-1-5-21-2374888468-4048695049-417382093-1000\...\MountPoints2: {2204a1af-a5ae-11e6-b5d2-f07959615f83} - H:\setup.exe




    HKU\S-1-5-21-2374888468-4048695049-417382093-1000\...\MountPoints2: {4ec3dac3-5d81-11e6-9a53-f07959615f83} - F:\setup.exe
    HKU\S-1-5-21-2374888468-4048695049-417382093-1000\...\MountPoints2: {92d44dbc-97aa-11e6-9b5f-f07959615f83} - H:\setup.exe
    HKU\S-1-5-21-2374888468-4048695049-417382093-1000\...\MountPoints2: {d0671fb8-9b9c-11e6-877a-f07959615f83} - J:\setup.exe
    HKU\S-1-5-21-2374888468-4048695049-417382093-1000\...\MountPoints2: {fcc57c6c-6794-11e6-aae0-f07959615f83} - H:\setup.exe
    ShellIconOverlayIdentifiers: [ MEGA (Pending)] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} => C:\Users\MadziaiDamian\AppData\Local\MEGAsync\ShellExtX64.dll -> Brak pliku
    ShellIconOverlayIdentifiers: [ MEGA (Synced)] -> {05B38830-F4E9-4329-978B-1DD28605D202} => C:\Users\MadziaiDamian\AppData\Local\MEGAsync\ShellExtX64.dll -> Brak pliku
    ShellIconOverlayIdentifiers: [ MEGA (Syncing)] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} => C:\Users\MadziaiDamian\AppData\Local\MEGAsync\ShellExtX64.dll -> Brak pliku
    ShellIconOverlayIdentifiers-x32: [ MEGA (Pending)] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} => C:\Users\MadziaiDamian\AppData\Local\MEGAsync\ShellExtX32.dll -> Brak pliku
    ShellIconOverlayIdentifiers-x32: [ MEGA (Synced)] -> {05B38830-F4E9-4329-978B-1DD28605D202} => C:\Users\MadziaiDamian\AppData\Local\MEGAsync\ShellExtX32.dll -> Brak pliku
    ShellIconOverlayIdentifiers-x32: [ MEGA (Syncing)] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} => C:\Users\MadziaiDamian\AppData\Local\MEGAsync\ShellExtX32.dll -> Brak pliku
    GroupPolicy: Ograniczenia <======= UWAGA
    GroupPolicy\User: Ograniczenia <======= UWAGA
    HKU\S-1-5-21-2374888468-4048695049-417382093-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://rigneda.ru/?utm_source=startpage03&...A14EF6E6158F7CA7312D90492D&utm_d=20161222
    SearchScopes: HKU\S-1-5-21-2374888468-4048695049-417382093-1000 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7B0EE99FB1-8E3F-4739-A3D0-AAA36C2836DA%7D&gp=811014
    SearchScopes: HKU\S-1-5-21-2374888468-4048695049-417382093-1000 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7B0EE99FB1-8E3F-4739-A3D0-AAA36C2836DA%7D&gp=811014
    BHO-x32: Ďîčńę@Mail.Ru -> {8E8F97CD-60B5-456F-A201-73065652D099} -> C:\Users\MadziaiDamian\AppData\Local\Mail.Ru\Sputnik\IESearchPlugin.dll => Brak pliku
    CHR HomePage: Default -> mail.ru/cnt/11956636?rciguc__PARAM__
    CHR StartupUrls: Default -> "hxxp://rigneda.ru/?utm_source=startpage03&utm_content=17932093119668bc1771ad2792b5a42b&utm_term=445006A14EF6E6158F7CA7312D90492D&utm_d=20161222"
    CHR DefaultSearchURL: Default -> hxxps://inline.go.mail.ru/search?inline_comp=dse&q={searchTerms}&fr=chxtn12.0.11
    CHR DefaultSearchKeyword: Default -> mail.ru
    CHR DefaultSuggestURL: Default -> hxxp://suggests.go.mail.ru/chrome?q={searchTerms}
    CHR Extension: (Brak nazwy) - C:\Users\MadziaiDamian\AppData\Local\Google\Chrome\User Data\Default\Extensions\ahggfmgiidlaceichjfemgbaggnbaloe [2016-12-22]
    CHR Extension: (Домашняя страница Mail.Ru) - C:\Users\MadziaiDamian\AppData\Local\Google\Chrome\User Data\Default\Extensions\ccfifbojenkenpkmnbnndeadpfdiffof [2016-12-22]
    CHR Extension: (Визуальные Закладки Mail.Ru) - C:\Users\MadziaiDamian\AppData\Local\Google\Chrome\User Data\Default\Extensions\oelpkepjlgmehajehfeicfbjdiobdkfj [2016-12-22]
    CHR Extension: (Mail.Ru) - C:\Users\MadziaiDamian\AppData\Local\Google\Chrome\User Data\Default\Extensions\ojlcebdkbpjdpiligkdbbkdkfjmchbfd [2016-12-22]
    CHR HKLM\...\Chrome\Extension: [iikflkcanblccfahdhdonehdalibjnif] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM\...\Chrome\Extension: [nppllibpnmahfaklnpggkibhkapjkeob] - <nie znaleziono>
    CHR HKLM-x32\...\Chrome\Extension: [ccfifbojenkenpkmnbnndeadpfdiffof] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [iikflkcanblccfahdhdonehdalibjnif] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [nppllibpnmahfaklnpggkibhkapjkeob] - <nie znaleziono>
    CHR HKLM-x32\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [ojlcebdkbpjdpiligkdbbkdkfjmchbfd] - hxxps://clients2.google.com/service/update2/crx
    S3 MSICDSetup; \??\E:\CDriver64.sys [X]
    S3 VGPU; System32\drivers\rdvgkmd.sys [X]
    2016-12-22 19:57 - 2016-12-22 20:12 - 00000000 ____D C:\Users\MadziaiDamian\AppData\Local\sysnet
    2016-12-22 19:57 - 2016-12-22 19:57 - 00003614 _____ C:\Windows\System32\Tasks\sysnet
    2016-12-22 19:53 - 2016-12-22 19:53 - 00000000 ____D C:\ProgramData\Mail.Ru
    EmptyTemp:

    Plik zapisz z kodowaniem utf-8, nastepnie w FRST wybierz Napraw.

    Po wykonaniu zamiesc nowe logi z FRST, ze skanowania.

    0
  • #4 24 Gru 2016 16:08
    Kolobos
    Spec od komputerów

    Usun recznie te dwa pliki:
    C:\Users\MadziaiDamian\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk
    C:\Users\MadziaiDamian\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Вoйти в Интeрнeт.lnk

    Usun katalog C:\FRST i to wszystko.

    0
  • #5 24 Gru 2016 20:13
    Cziczaki
    Poziom 4  

    Pozwolę sobie coś dopisać do tego tematu, gdyż dziś miałem podobny problem lecz w przeglądarce Microsoft Edge, a rozwiązanie znalazłem za pomocą programu antywirusowego.
    Ja się na komputerach nie znam, więc nie znalazłem na komputerze pliku FRST ani nie posiadałem powyżej podanych plików .lnk w ukrytych folderach. (na tyle akurat się znam, że wiem jak włączyć wyświetlanie plików systemowych w Total Commanderze : ) ) A tym bardziej nie wiem jak się robi "logi". Więc jak ktoś ma ten sam problem to może skorzysta z mojego sposobu.

    Ja pobrałem program o nazwie "UnHackMe" ze strony greatis.com (jeśli podawanie stron jest niedozwolone proszę moda o usunięcie), wystarczy darmowy trial.
    Następnie po zainstalowaniu go trzeba wybrać pełne skanowanie systemu i program znajdzie tego wirusa jak i inne problemy w naszym komputerze, mail.ru zainstalował mi również jakieś "SearchEngine" do przeglądarek, a UnHackMe z Firefoxa usunął Avast Safe Price.

    Wcześniej do malware używałem AdwCleaner, zawsze pomagał kiedy ojciec się bawił na komputerze i robił mi bałagan przez reklamy na ruskich stronach, jednak tym razem AdwCleaner nie dał rady. Od dziś zastępuję go UnHackMe.

    UnHackMe
    Zapraszam i polecam
    Piotr Fronczewski

    0
  • #6 24 Gru 2016 20:33
    Kolobos
    Spec od komputerów

    @Cziczaki to niestety bezuzyteczna porada. Gdyby usuwanie bylo takie proste i sprowadzalo sie do uzycia programu, ktory sam wszystko usuwa to nikt by nie mial problemow i nie pisal na forum. Z tego prosty wniosek, ze takie programy usuwaja tylko czesc, uzytkownik mysli, ze jest ok ale nie jest i infekcja moze byc nadal aktywna.

    0