Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Malvare typu trotux/cse.google

Narathos 03 Mar 2017 03:52 471 8
  • #1 03 Mar 2017 03:52
    Narathos
    Poziom 2  

    Witam, posiadam problem który jak mi się wydawało usunąłem. Z początku pojawił się dosłownie znikąd (nikt nic nie pobierał... podobno) Trotux, odinstalowałem, wyczyściłem rejestr, przeczyściłem adwcleaner'em, przeglądarka (chrome) też została przeczyszczona.
    Następnego dnia po paru restartach komputera pojawił się cse.google tego nie mogłem się pozbyć niczym więc wnerwiony odpaliłem combofix'a i na dwa dni spokój... dzisiaj dopiero koło północy znowu się pokazał (cse.google), mimo tego że było pilnowane aby nikt niczego nie pobierał.

    Jestem już naprawdę wnerwiony i nie mam już pomysłów jak się tego pozbyć, a z FRST nigdy nie korzystałem i jakoś nie mam głowy aby go ogarnąć...

    Zaraz znowu odpalę combofix'a i pewnie będę miał chwilowy spokój, ale nie wie ktoś jak mogę się tego pozbyć permanentnie?

    Był bym wdzięczny za pomoc.

    Jeśli umieściłem mój problem w złym dziale to przepraszam i poproszę po powiadomienie przed usunięciem, bądź przeniesie go w odpowiadające mu miejsce.

    0 8
  • Pomocny post
    #3 03 Mar 2017 06:27
    krzychupar
    Poziom 41  

    Uruchom FRST zaznacz Addition.txt jeżeli nie będzie zaznaczone i kliknij Scan. Po zakończeniu skanowania załącz na forum dwa wygenerowane logi Frst.txt i Addition.txt jako załączniki.

    0
  • #4 03 Mar 2017 08:49
    RADU23
    Moderator - Komputery Serwis

    Narathos napisał:
    Zaraz znowu odpalę combofix'a i pewnie będę miał chwilowy spokój

    Zaraz po dalszych działaniach Combofix'em będzie ciężko ci pomóc.
    Poczytaj nim użyjesz ponownie =>
    https://gameplay.pl/news.asp?ID=85285
    Narathos napisał:
    a z FRST nigdy nie korzystałem i jakoś nie mam głowy aby go ogarnąć...

    Nie musisz mieć głowy, po prostu pobierz =>
    https://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/
    Zamieść logi w postaci załączników txt i poczekaj na fixlist.

    0
  • #5 03 Mar 2017 14:00
    Narathos
    Poziom 2  

    Z tym combofix'em to bez przesady, faktycznie jak ktoś nie miał z nim styczności to może się to skończyć źle, a ja używam go jedynie jako ostatniej deski ratunku i to nie w każdym wypadku, a z tym FRST to chodziło mi o to że nie mam głowy aby samemu zrobić fixlist.

    0
  • #6 03 Mar 2017 14:23
    krzychupar
    Poziom 41  

    Odinstaluj:
    Online.io Application (x32 Version: 2.1.0 - Microleaves) Hidden <==== ATTENTION

    Otwórz notatnik systemowy i wklej:
    Task: {0A8C67CC-36E8-47B8-8731-3322E28B1CED} - System32\Tasks\update\1-3-59-1\dropboxcrashhandler => Rundll32.exe "C:\ProgramData\7R3613h9009i412\7R3613h9009i412.dll",RhiBTBgLj <==== ATTENTION
    Task: {1E27EA0B-C253-45F2-BFAB-74059504C3CE} - System32\Tasks\update\1-3 => Rundll32.exe "C:\ProgramData\7R3613h9009i412\7R3613h9009i412.dll",RhiBTBgLj <==== ATTENTION
    Task: {2CCDA62F-6056-4880-8850-86F4B1E1EFDF} - System32\Tasks\update\1-3-59 => Rundll32.exe "C:\ProgramData\7R3613h9009i412\7R3613h9009i412.dll",RhiBTBgLj <==== ATTENTION
    Task: {551F0501-728D-49EF-B6AD-5148FF027786} - System32\Tasks\7R3613h9009i412 => Rundll32.exe "C:\ProgramData\7R3613h9009i412\7R3613h9009i412.dll",RhiBTBgLj <==== ATTENTION
    Task: {666DC3D3-F61A-4A12-AAF8-1AE16E63417D} - System32\Tasks\cef-win7\steamwebhelper => Rundll32.exe "C:\ProgramData\7R3613h9009i412\7R3613h9009i412.dll",RhiBTBgLj <==== ATTENTION
    Task: {679AE24C-A90B-4F74-9FC3-0D88E92B1564} - System32\Tasks\update\dropboxupdate => Rundll32.exe "C:\ProgramData\7R3613h9009i412\7R3613h9009i412.dll",RhiBTBgLj <==== ATTENTION
    Task: {9BA022A9-367D-43EF-9B96-BF6007FCC481} - System32\Tasks\update\dropboxupdate-exe => Rundll32.exe "C:\ProgramData\7R3613h9009i412\7R3613h9009i412.dll",RhiBTBgLj <==== ATTENTION
    Task: {ADE139C4-6A6D-4BF3-AD70-0D26A19D6AA2} - System32\Tasks\update\1 => Rundll32.exe "C:\ProgramData\7R3613h9009i412\7R3613h9009i412.dll",RhiBTBgLj <==== ATTENTION
    HKU\S-1-5-21-289264174-905851936-2094167543-1000\...\Run: [Napisy24Update] => C:\Program Files (x86)\Napisy24\Napisy24Update.exe [3709896 2015-11-04] (Napisy24.pl)
    ShellExecuteHooks: No Name - {3D2D49DA-F777-11E6-AFF5-64006A5CFC23} - C:\Program Files (x86)\Codtheraternity\Tazerybugudom.dll [147456 2017-02-28] ()
    GroupPolicy: Restriction - Chrome <======= ATTENTION
    GroupPolicyScripts\User: Restriction <======= ATTENTION
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
    HKU\S-1-5-21-289264174-905851936-2094167543-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
    CHR Session Restore: Profile 3 -> is enabled.
    CHR Profile: C:\Users\Komp\AppData\Local\Google\Chrome\User Data\ChromeDefaultData [2017-02-28] <==== ATTENTION
    CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx
    R3 ArdDrv; \??\C:\Windows\SysWOW64\Drivers\ArdDrv.sys [X]
    R3 AxtuDrv; \??\C:\Windows\SysWOW64\Drivers\AxtuDrv.sys [X]
    S3 catchme; \??\C:\ComboFix\catchme.sys [X]
    S3 dbx; system32\DRIVERS\dbx.sys [X]
    S3 VGPU; System32\drivers\rdvgkmd.sys [X]
    S3 xhunter1; \??\C:\Windows\xhunter1.sys [X]
    2017-03-03 03:09 - 2017-03-03 03:09 - 00026307 _____ C:\ComboFix.txt
    2017-03-01 23:37 - 2011-06-26 06:45 - 00256000 _____ C:\Windows\PEV.exe
    2017-03-01 23:37 - 2010-11-07 17:20 - 00208896 _____ C:\Windows\MBR.exe
    2017-03-01 23:37 - 2000-08-31 00:00 - 00518144 _____ (SteelWerX) C:\Windows\SWREG.exe
    2017-03-01 23:37 - 2000-08-31 00:00 - 00406528 _____ (SteelWerX) C:\Windows\SWSC.exe
    2017-03-01 23:37 - 2000-08-31 00:00 - 00098816 _____ C:\Windows\sed.exe
    2017-03-01 23:37 - 2000-08-31 00:00 - 00080412 _____ C:\Windows\grep.exe
    2017-03-01 23:37 - 2000-08-31 00:00 - 00068096 _____ C:\Windows\zip.exe
    2017-03-01 23:36 - 2017-03-03 03:09 - 00000000 ____D C:\Qoobox
    2017-03-01 23:36 - 2017-03-01 23:49 - 00000000 ____D C:\Windows\erdnt
    2017-02-28 13:31 - 2017-03-01 23:14 - 00000000 ____D C:\AdwCleaner
    EmptyTemp:

    Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.
    Uruchom FRST i kliknij w Fix/Napraw.

    0
  • Pomocny post
    #7 03 Mar 2017 14:33
    Acorus 20
    Spec od komputerów

    Odinstaluj Java(TM) 6 Update 22. Otwórz notatnik systemowy i wklej:

    CloseProcesses:
    Online.io Application (x32 Version: 2.1.0 - Microleaves) Hidden <==== ATTENTION
    Traffic Exchange (x32 Version: 2.1.0 - Microleaves) Hidden <==== ATTENTION
    Task: {0A8C67CC-36E8-47B8-8731-3322E28B1CED} - System32\Tasks\update\1-3-59-1\dropboxcrashhandler => Rundll32.exe "C:\ProgramData\7R3613h9009i412\7R3613h9009i412.dll",RhiBTBgLj <==== ATTENTION
    Task: {0E1C113D-1353-48D7-B596-4CF3ECCFAB64} - System32\Tasks\{5A09140D-474D-485B-B811-6DFF65DFEA74} => Chrome.exe hxxp://ui.skype.com/ui/0/7.23.85.105/pl/abandoninstall?page=tsMain
    Task: {1E27EA0B-C253-45F2-BFAB-74059504C3CE} - System32\Tasks\update\1-3 => Rundll32.exe "C:\ProgramData\7R3613h9009i412\7R3613h9009i412.dll",RhiBTBgLj <==== ATTENTION
    Task: {2842AF7F-6CDE-4B6D-8AF7-1E9022CF14FF} - System32\Tasks\Butspplikule System => C:\Program Files (x86)\Codtheraternity\gherfegh.exe [2017-02-28] (Glarysoft Ltd)
    Task: {2CCDA62F-6056-4880-8850-86F4B1E1EFDF} - System32\Tasks\update\1-3-59 => Rundll32.exe "C:\ProgramData\7R3613h9009i412\7R3613h9009i412.dll",RhiBTBgLj <==== ATTENTION
    Task: {37FAFC33-817E-4511-9D84-7AE14A7AAEA8} - System32\Tasks\7R3613h9009i412-dll => Rundll32.exe "C:\ProgramData\7R3613h9009i412\7R3613h9009i412.dll",RhiBTBgLj
    Task: {3AF443ED-7D74-4DCD-AD68-6EE7047CBA53} - System32\Tasks\client\dropbox => Rundll32.exe "C:\ProgramData\7R3613h9009i412\7R3613h9009i412.dll",RhiBTBgLj
    Task: {48436434-4213-4A38-A24E-28BE8B5AC6AB} - System32\Tasks\liveupdatetip => Rundll32.exe "C:\ProgramData\7R3613h9009i412\7R3613h9009i412.dll",RhiBTBgLj
    Task: {551F0501-728D-49EF-B6AD-5148FF027786} - System32\Tasks\7R3613h9009i412 => Rundll32.exe "C:\ProgramData\7R3613h9009i412\7R3613h9009i412.dll",RhiBTBgLj <==== ATTENTION
    Task: {666DC3D3-F61A-4A12-AAF8-1AE16E63417D} - System32\Tasks\cef-win7\steamwebhelper => Rundll32.exe "C:\ProgramData\7R3613h9009i412\7R3613h9009i412.dll",RhiBTBgLj <==== ATTENTION
    Task: {679AE24C-A90B-4F74-9FC3-0D88E92B1564} - System32\Tasks\update\dropboxupdate => Rundll32.exe "C:\ProgramData\7R3613h9009i412\7R3613h9009i412.dll",RhiBTBgLj <==== ATTENTION
    Task: {9BA022A9-367D-43EF-9B96-BF6007FCC481} - System32\Tasks\update\dropboxupdate-exe => Rundll32.exe "C:\ProgramData\7R3613h9009i412\7R3613h9009i412.dll",RhiBTBgLj <==== ATTENTION
    Task: {ADE139C4-6A6D-4BF3-AD70-0D26A19D6AA2} - System32\Tasks\update\1 => Rundll32.exe "C:\ProgramData\7R3613h9009i412\7R3613h9009i412.dll",RhiBTBgLj <==== ATTENTION
    ShortcutWithArgument: C:\Users\Komp\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --disable-quic
    ShortcutWithArgument: C:\Users\Komp\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\ff13ca23fee04978\Maciek - Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory="Profile 5"




    ShortcutWithArgument: C:\Users\Komp\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\9501e18d7c2ab92e\Maciej - Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory="Profile 2" --disable-quic
    ShortcutWithArgument: C:\Users\Komp\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\69639df789022856\Agata - Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory="Profile 1" --disable-quic
    ShortcutWithArgument: C:\Users\Komp\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\360c22b137d62ce9\Maciej - Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory=ChromeDefaultData --disable-quic
    ShortcutWithArgument: C:\Users\Komp\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\225bb61db2f318c1\Jakub - Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory="Profile 3" --disable-quic
    ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --disable-quic
    HKLM\...\Providers\0hvzx1eq: C:\Program Files (x86)\Butspplikule System\local64spl.dll [308224 2017-02-28] ()
    ShellExecuteHooks: No Name - {3D2D49DA-F777-11E6-AFF5-64006A5CFC23} - C:\Program Files (x86)\Codtheraternity\Tazerybugudom.dll [147456 2017-02-28] ()
    GroupPolicy: Restriction - Chrome <======= ATTENTION
    GroupPolicyScripts\User: Restriction <======= ATTENTION
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
    HKU\S-1-5-21-289264174-905851936-2094167543-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
    CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx
    R3 ArdDrv; \??\C:\Windows\SysWOW64\Drivers\ArdDrv.sys [X]
    R3 AxtuDrv; \??\C:\Windows\SysWOW64\Drivers\AxtuDrv.sys [X]
    S3 catchme; \??\C:\ComboFix\catchme.sys [X]
    S3 dbx; system32\DRIVERS\dbx.sys [X]
    S3 VGPU; System32\drivers\rdvgkmd.sys [X]
    S3 xhunter1; \??\C:\Windows\xhunter1.sys [X]
    2017-03-01 23:37 - 2011-06-26 06:45 - 00256000 _____ C:\Windows\PEV.exe
    2017-03-01 23:37 - 2010-11-07 17:20 - 00208896 _____ C:\Windows\MBR.exe
    2017-03-01 23:37 - 2009-04-20 04:56 - 00060416 _____ (NirSoft) C:\Windows\NIRCMD.exe
    2017-03-01 23:37 - 2000-08-31 00:00 - 00518144 _____ (SteelWerX) C:\Windows\SWREG.exe
    2017-03-01 23:37 - 2000-08-31 00:00 - 00406528 _____ (SteelWerX) C:\Windows\SWSC.exe
    2017-03-01 23:37 - 2000-08-31 00:00 - 00098816 _____ C:\Windows\sed.exe
    2017-03-01 23:37 - 2000-08-31 00:00 - 00080412 _____ C:\Windows\grep.exe
    2017-03-01 23:37 - 2000-08-31 00:00 - 00068096 _____ C:\Windows\zip.exe
    2017-03-01 23:36 - 2017-03-03 03:09 - 00000000 ____D C:\Qoobox
    2017-03-01 16:14 - 2017-03-01 17:43 - 00000000 ____D C:\Program Files (x86)\BikaQRss
    2017-03-01 16:14 - 2017-03-01 16:14 - 00000000 ____D C:\Program Files (x86)\0hvzx1eq
    2017-03-01 16:05 - 2017-03-01 16:05 - 00000000 ____D C:\Program Files\0hvzx1eq
    2017-02-28 13:31 - 2017-03-01 23:14 - 00000000 ____D C:\AdwCleaner
    2017-02-28 11:47 - 2017-02-28 11:47 - 00000000 ____D C:\Users\Komp\AppData\Roaming\Ghokerkreuvock
    2017-02-28 11:16 - 2017-03-01 16:14 - 00000000 ____D C:\Program Files (x86)\Codtheraternity
    2017-02-28 11:16 - 2017-02-28 11:21 - 00000000 ____D C:\Users\Komp\AppData\Local\Drertu
    2017-02-28 11:16 - 2017-02-28 11:16 - 00000000 ____D C:\Program Files (x86)\Butspplikule System
    2017-02-28 11:14 - 2017-02-28 11:14 - 00000000 __SHD C:\Windows\SysWOW64\%APPDATA%
    2017-02-28 11:12 - 2017-02-28 12:07 - 00000000 ____D C:\Program Files\0faf8de88bed38b026e974fab36760fb
    EmptyTemp:

    Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.
    Uruchom jako administrator FRST i kliknij w Fix/Napraw.
    Odinstaluj Online.io Application (x32 Version: 2.1.0 - Microleaves),Traffic Exchange (x32 Version: 2.1.0 - Microleaves). Przeskanuj progr. Malwarebytes Anti-Malware http://www.bleepingcomputer.com/download/malwarebytes-anti-malware/

    0
  • #8 03 Mar 2017 16:16
    Narathos
    Poziom 2  

    Dziękuję za pomoc, ale ktoś może mi powiedzieć po jaką cholerę odinstalowałem jave?
    A i Malwarebytes Anti-Malware wykrył 13604 zagrożeń... więc zobaczę czy znowu nie wróci...

    0