Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Denerwujący wirus który "odnawia się" po restarcie

Ciastex44 12 Sty 2017 18:41 852 3
  • #1 12 Sty 2017 18:41
    Ciastex44
    Poziom 6  

    Dzielę jeden komputer z resztą domowników (3 osoby poza mną) i jak można się domyśleć nie wszyscy z nich wiedzą że złym pomysłem jest wyłączać antywirusa, gdy ten blokuje nam dostęp do podejrzanej strony, a na którą bardzo chcemy się dostać - w efekcie komputer załapał jakiegoś syfa który zaraz po włączeniu komputera powoduje że antywirus wywala monit o wirusie, usuwa go i na tym koniec, jednak to się powtarza po każdym uruchomieniu komputera. Nie mam wiele czasu by usiąść nad tym i samemu z nim wojować. Powierzchownie nie widzę nic szczególnego, nie ma żadnych dziwacznych procesów, komputer nie wariuje, nie zwalnia do prędkości obrotu koła w taczce itp. jedyne co to jeśli odpale np. Google Chrome zanim antywirus wywali monit i usunie syfa, to Chrome na jakiekolwiek polecenie wywala błąd "Kurza Twarz - przy próbie wyświetlenia strony zabrakło pamięci". Puściłem pełne zaawansowane skanowanie AVG i znalazł 16 zagrożeń - wszystkie usunął, użyłem też AdwCleaner, ale monit po restarcie dalej sie pokazuje. Pytanie moje czego jeszcze potrzeba poza screenami z antywirusa i logami OTL? Kiedyś raz mi sie zdarzyło wojować z wirusami z pomocą OTL, Malwarebytes AntiMalware i AdwCleaner, ale to było raz i dawno, więc proponuję potraktowanie mnie jak zielonego i powiedzenie jak krowie na rowie co powinienem zrobić. Jesli o czymś zapomniałem, proszę pytać

    0 3
  • #3 12 Sty 2017 20:02
    Ciastex44
    Poziom 6  

    Wrzucam wyniku skanów z FRST i OTL

    Do tego to co krzyczy AVG w trzech różnych oknach, nic więcej istotnego w szczegółowych informacjach z raportu nie ma:

    IDP.ARES.Generic
    C:\Windows\Temp\gDEF7.tmp.exe


    IDP.ARES.Generic
    C:\Windows\Temp\g8F4E.tmp.exe

    Koń trojański Atros4.BXTE
    C:\Windows\Temp\g9069.tmp.exe

    0
  • #4 12 Sty 2017 20:11
    Kolobos
    Spec od komputerów

    Po co zamiesciles logi z OTL skoro jasno napisalem, ze wymagane sa tylko logi z FRST?

    Dlaczego masz wylaczone przywracanie systemu skoro infekujesz system? Wlacz przywracanie po usunieciu infekcji i utworz punkt przywracania systemu.

    Obok frst.exe utworz plik Fixlist.txt z zawartoscia:
    CloseProcesses:
    Task: {01C383D2-F39C-4884-9252-309D85E6A9B3} - System32\Tasks\PPI Update 2 => "hxxp://vlcdownload.online/download.php?mn=3333" <==== UWAGA
    Task: {1F054573-873F-4814-AC7B-14172DE5298B} - System32\Tasks\65n72o6q56925 => Rundll32.exe "C:\ProgramData\65n72o6q56925\65n72o6q56925.dll",noqlaf <==== UWAGA
    Task: {2DC290CD-8E3E-415A-BEB4-55FF28510C59} - System32\Tasks\93n94o4q86110 => Rundll32.exe "C:\ProgramData\93n94o4q86110\93n94o4q86110.dll",noqlaf <==== UWAGA
    Task: {34D21E29-54D8-464E-98BB-5B92962B4372} - System32\Tasks\34n24o8q53426 => Rundll32.exe "C:\ProgramData\34n24o8q53426\34n24o8q53426.dll",noqlaf <==== UWAGA
    Task: {3709AA45-4141-4BB2-B1AB-7DCC8923E04D} - System32\Tasks\PPI Update 3 => "hxxp://vlcdownload.online/downloadv2.php?mn=3333" <==== UWAGA
    Task: {39FC879C-9848-418A-AC07-A1FE84315CE6} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\UpdateAssistant => C:\WINDOWS\UpdateAssistant\UpdateAssistant.exe [2016-09-12] (Microsoft Corporation)
    Task: {4D439E86-A2A6-42A4-9BA0-2E1AD4AFD445} - System32\Tasks\73n68o4q23384 => Rundll32.exe "C:\ProgramData\73n68o4q23384\73n68o4q23384.dll",noqlaf <==== UWAGA
    Task: {690E52DE-A8B5-4147-8441-1B7B23360B61} - System32\Tasks\49n84o3q53091 => Rundll32.exe "C:\ProgramData\49n84o3q53091\49n84o3q53091.dll",noqlaf <==== UWAGA
    Task: {6BC99557-4939-4FD6-9F88-63A68BA038EF} - System32\Tasks\6025r523o0m960 => Rundll32.exe "C:\ProgramData\6025r523o0m960\6025r523o0m960.dll",romovr <==== UWAGA
    Task: {9D7EE028-7211-43FF-8004-89B8D8541ECC} - System32\Tasks\59n15o2q9273 => Rundll32.exe "C:\ProgramData\59n15o2q9273\59n15o2q9273.dll",noqlaf <==== UWAGA
    ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku
    GroupPolicy: Ograniczenia <======= UWAGA
    GroupPolicy\User: Ograniczenia <======= UWAGA
    BHO: Brak nazwy -> {95B7759C-8C7F-4BF1-B163-73684A933233} -> Brak pliku
    CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx
    OPR Extension: (Brak nazwy) - C:\Users\ROBEX24\AppData\Roaming\Opera Software\Opera Stable\Extensions\ahggfmgiidlaceichjfemgbaggnbaloe [2017-01-11]
    2017-01-12 17:14 - 2017-01-12 17:13 - 00602112 _____ (OldTimer Tools) C:\Users\ROBEX24\Desktop\OTL.exe
    2017-01-11 16:51 - 2017-01-12 18:11 - 00000000 ____D C:\AdwCleaner
    2017-01-11 16:49 - 2017-01-12 18:17 - 00000000 ___HD C:\ProgramData\49n84o3q53091
    2017-01-11 16:49 - 2017-01-11 16:49 - 00016804 _____ C:\WINDOWS\System32\Tasks\49n84o3q53091




    2017-01-11 16:47 - 2017-01-12 17:30 - 00000000 ____D C:\Program Files (x86)\Microsoft Toolkit Final
    2017-01-11 16:13 - 2017-01-12 19:12 - 00000000 ___HD C:\ProgramData\73n68o4q23384
    2017-01-11 16:13 - 2017-01-11 16:13 - 00016804 _____ C:\WINDOWS\System32\Tasks\73n68o4q23384
    2017-01-11 16:11 - 2017-01-12 19:05 - 00000000 ___HD C:\ProgramData\59n15o2q9273
    2017-01-11 16:11 - 2017-01-11 16:11 - 00016798 _____ C:\WINDOWS\System32\Tasks\59n15o2q9273
    2017-01-11 16:06 - 2017-01-12 17:11 - 00000000 ___HD C:\ProgramData\34n24o8q53426
    2017-01-11 16:06 - 2017-01-11 16:06 - 00016804 _____ C:\WINDOWS\System32\Tasks\34n24o8q53426
    2017-01-11 16:02 - 2017-01-12 16:21 - 00000000 ___HD C:\ProgramData\65n72o6q56925
    2017-01-11 16:02 - 2017-01-11 17:04 - 00000000 ___HD C:\ProgramData\6025r523o0m960
    2017-01-11 16:02 - 2017-01-11 16:02 - 00016810 _____ C:\WINDOWS\System32\Tasks\6025r523o0m960
    2017-01-11 16:02 - 2017-01-11 16:02 - 00016804 _____ C:\WINDOWS\System32\Tasks\65n72o6q56925
    2017-01-09 15:56 - 2017-01-11 16:17 - 00061134 _____ C:\Users\ROBEX24\AppData\Roaming\Carney.DLB
    2017-01-09 15:55 - 2017-01-09 15:55 - 00003634 _____ C:\WINDOWS\System32\Tasks\PPI Update 3
    2017-01-09 15:55 - 2017-01-09 15:55 - 00003630 _____ C:\WINDOWS\System32\Tasks\PPI Update 2
    2017-01-03 15:13 - 2017-01-03 15:15 - 00000000 ___HD C:\ProgramData\93n94o4q86110
    2017-01-03 15:13 - 2017-01-03 15:13 - 00016804 _____ C:\WINDOWS\System32\Tasks\93n94o4q86110
    2017-01-03 15:10 - 2017-01-11 17:15 - 00000000 ____D C:\Users\ROBEX24\AppData\Local\UQmedia
    2016-06-17 07:54 - 2016-06-17 07:54 - 0004436 _____ () C:\Users\ROBEX24\AppData\Roaming\90msp-RKSJ-V
    2016-10-10 08:33 - 2016-10-10 08:33 - 0000677 _____ () C:\Users\ROBEX24\AppData\Roaming\adventives.zkh
    2016-06-17 07:53 - 2016-06-17 07:53 - 0001196 _____ () C:\Users\ROBEX24\AppData\Roaming\Athens
    2016-10-10 08:33 - 2016-10-10 08:33 - 0060457 _____ () C:\Users\ROBEX24\AppData\Roaming\bookmaking.rgj
    2017-01-09 15:56 - 2017-01-11 16:17 - 0061134 _____ () C:\Users\ROBEX24\AppData\Roaming\Carney.DLB
    2016-06-17 07:53 - 2016-06-17 07:53 - 0001930 _____ () C:\Users\ROBEX24\AppData\Roaming\compare-with-callbacks.js
    2016-06-17 07:53 - 2016-06-17 07:53 - 0003119 _____ () C:\Users\ROBEX24\AppData\Roaming\frnphon.env
    EmptyTemp:

    W FRST wybierz Napraw.

    0