Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Logi FRST - qtipr.com itp. - Złośliwe malware

mrkz 14 Lut 2017 09:21 387 2
  • #1 14 Lut 2017 09:21
    mrkz
    Poziom 2  

    Witam,

    Mam problem, ponieważ dzieciaki dopadły do komputera i naściągały wszelkiej maści świństwa. Adwcleaner i Malwarebytes trochę pomogło ale niestety nie wszystko udało się usunąć. Bardzo proszę o pomoc w sprawdzeniu logów z FRST i pomoc w utworzeniu fixlist.txt. Z góry bardzo dziękuję za okazaną pomoc. Poniżej logi.

    0 2
  • Pomocny post
    #2 14 Lut 2017 09:58
    Kolobos
    Spec od komputerów

    Adblock Plus zmien na uBlock Origin.

    Odinstaluj UnHackMe.

    Nie uzywaj combofix!

    Wykonaj Fixlist.txt dla FRST:
    Task: {4F670DCC-1E53-44F3-BFE1-5F7BA842E064} - System32\Tasks\USERSS => cmd.exe /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v USERSS /t REG_SZ /d "explorer.exe hxxp://kb-ribaki.org" <==== UWAGA
    Task: {53F6EB30-D076-464D-BD65-ACF5276D80EA} - System32\Tasks\Atikationbogot System => C:\Program Files\Anidation\drerzes.exe [2017-02-12] (Glarysoft Ltd)
    Task: {662364CD-55A7-4863-BFD9-BB3DA8D0EF35} - System32\Tasks\Driver Booster SkipUAC (USERSS) => C:\Program Files\IObit\Driver Booster\DriverBooster.exe
    Task: {9AB6B46D-9851-4A75-AC98-B334DA7A0852} - System32\Tasks\UnHackMe Task Scheduler => C:\Program Files\UnHackMe\hackmon.exe [2017-01-24] (Greatis Software)
    ShortcutWithArgument: C:\Users\USERSS\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) ->
    ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) ->
    ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) ->
    HKU\S-1-5-21-669669385-3159844757-152000122-1000\...\Run: [USERSS] => explorer.exe hxxp://kb-ribaki.org <===== UWAGA
    HKLM\...\Providers\pfqv62f8: C:\Program Files\Atikationbogot System\local32spl.dll
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA
    HKU\S-1-5-21-669669385-3159844757-152000122-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA
    SearchScopes: HKLM -> DefaultScope - brak wartości
    FF Extension: (Block site) - C:\Users\USERSS\AppData\Roaming\Mozilla\Firefox\Profiles\o8wx3oiz.default\Extensions\{dd3d7613-0246-469d-bc65-2a3cc1668adc} [2017-02-14]
    S2 FBkVbexmKh5Z Updater; C:\Program Files\FBkVbexmKh5Z Updater\FBkVbexmKh5Z Updater.exe [X]
    S2 Nero BackItUp Scheduler 4.0; C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe [X]
    S3 catchme; \??\C:\Users\USERSS\AppData\Local\Temp\catchme.sys [X] <==== UWAGA
    2017-02-13 14:15 - 2017-02-13 14:15 - 00016994 _____ C:\ComboFix.txt
    2017-02-13 12:53 - 2017-02-13 13:10 - 00000000 ____D C:\Program Files\{2EF9237B-4DA1-449C-BBF5-4F1135C64D11}
    2017-02-13 12:52 - 2017-02-13 13:11 - 00000000 ____D C:\Program Files\pfqv62f8
    2017-02-12 20:11 - 2017-02-12 20:11 - 00000000 ____D C:\Users\USERSS\AppData\Roaming\OfficialHawk
    2017-02-12 18:39 - 2017-02-13 10:00 - 00000000 ____D C:\Users\USERSS\AppData\Roaming\Zrshfcit
    2017-02-12 18:39 - 2017-02-12 18:39 - 00000000 ____D C:\Users\USERSS\AppData\Local\Verfockwua
    2017-02-12 18:39 - 2017-02-12 18:39 - 00000000 ____D C:\Program Files\Anidation_
    2017-02-12 18:39 - 2017-02-12 18:39 - 00000000 ____D C:\Program Files\Anidation
    2017-02-12 18:32 - 2017-02-12 18:32 - 00000000 ____D C:\Users\Default\AppData\Local\AdvinstAnalytics
    2017-02-12 18:32 - 2017-02-12 18:32 - 00000000 ____D C:\Users\Default User\AppData\Local\AdvinstAnalytics
    2017-02-12 18:16 - 2017-02-12 18:16 - 00000000 ____D C:\Users\USERSS\AppData\LocalLow\Royal John Love
    2017-02-13 16:00 - 2015-11-24 10:15 - 00000000 ____D C:\AdwCleaner
    2017-02-13 15:10 - 2015-05-06 07:36 - 00000000 ____D C:\Qoobox
    EmptyTemp:

    Po wykonaniu usun katalog C:\FRST i to wszystko.

    0
  • #3 14 Lut 2017 10:17
    mrkz
    Poziom 2  

    Problem był, problemu już nie ma. Dzięki wielkie!! Temat zamykam.

    0