Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyj±tek www.elektroda.pl do Adblock.
Dzięki temu, że ogl±dasz reklamy, wspierasz portal i użytkowników.

Wirus żeѱ windows 10 FRST

ziele40 14 Kwi 2017 16:21 723 7
  • #2 14 Kwi 2017 16:28
    Kolobos
    Spec od komputerów

    Zrob kopie zakladek z Chrome, skrypt usunie katalog profilu utworzony przez infekcje.
    Usun dane synchronizacji z konta google: https://support.google.com/chrome/answer/6386691?hl=pl

    Wykonaj Fixlist.txt dla FRST:
    Traffic Exchange (x32 Version: 2.2.0 - Microleaves) Hidden <==== UWAGA

    Po wykonaniu odinstaluj Traffic Exchange.

    Wykonaj kolejny Fixlist.txt dla FRST:
    Task: {3137BC01-93BF-4A11-9E1E-AE9876621C09} - System32\Tasks\CreateExplorerShellUnelevatedTask => C:\WINDOWS\Explorer.exe /NOUACCHECK
    Task: {3177D461-E014-4E4F-9578-CFFF4B2B1112} - System32\Tasks\Phuqely Nodifier => C:\Program Files (x86)\Mijottenury\xarepugh.exe [2017-04-13] (Google Inc.)
    Task: {572BB823-8DEF-4E1C-9692-8637C8D0021C} - System32\Tasks\Traffic Exchange v209 - 3 => C:\Program Files (x86)\Microleaves\Traffic Exchange\Version 2.2.0\Online-Guardian.exe <==== UWAGA
    Task: {81AD5D33-BFE7-4EF1-88D4-70F6D4C0AC88} - System32\Tasks\Traffic Exchange v209 - 1 => C:\Program Files (x86)\Microleaves\Traffic Exchange\Version 2.2.0\Online-Guardian.exe <==== UWAGA
    Task: {B46FBD61-1ECD-4A88-ABAF-727ECD6EF447} - System32\Tasks\Traffic Exchange v209 - 2 => C:\Program Files (x86)\Microleaves\Traffic Exchange\Version 2.2.0\Online-Guardian.exe <==== UWAGA
    Task: C:\WINDOWS\Tasks\Traffic Exchange v209 - 1.job => C:\Program Files (x86)\Microleaves\Traffic Exchange\Version 2.2.0\Online-Guardian.exe <==== UWAGA
    Task: C:\WINDOWS\Tasks\Traffic Exchange v209 - 2.job => C:\Program Files (x86)\Microleaves\Traffic Exchange\Version 2.2.0\Online-Guardian.exe <==== UWAGA
    Task: C:\WINDOWS\Tasks\Traffic Exchange v209 - 3.job => C:\Program Files (x86)\Microleaves\Traffic Exchange\Version 2.2.0\Online-Guardian.exe <==== UWAGA
    HKLM-x32\...\Run: [WindowsDefender] => -
    HKU\S-1-5-21-1376326962-672135087-3478299909-1001\...\Run: [AdobeBridge] => [X]
    HKU\S-1-5-21-1376326962-672135087-3478299909-1001\...\Run: [Windows Defender] => -
    HKU\S-1-5-18\...\Run: [] => [X]
    HKLM\...\Providers\of8140jp: C:\Program Files (x86)\Phuqely Nodifier\local64spl.dll [310784 2017-04-13] ()
    ShellExecuteHooks: Brak nazwy - {869500F8-1E9F-11E7-A3DA-64006A5CFC23} - C:\Users\asus\AppData\Roaming\Anaqight\Gruraty.dll -> Brak pliku
    ShellExecuteHooks: Brak nazwy - {5F51FFFE-7463-4220-B711-E5B9ACB8EDFE} - C:\ProgramData\igfxDH.dll -> Brak pliku
    ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} => -> Brak pliku
    HKU\S-1-5-21-1376326962-672135087-3478299909-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://asus15.msn.com/?pc=ASTE
    HKU\S-1-5-21-1376326962-672135087-3478299909-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://asus15.msn.com/?pc=ASTE




    SearchScopes: HKU\S-1-5-21-1376326962-672135087-3478299909-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
    SearchScopes: HKU\S-1-5-21-1376326962-672135087-3478299909-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
    CHR DefaultProfile: ChromeDefaultData
    CHR HomePage: ChromeDefaultData -> hxxps://www.google.com/
    CHR DefaultSearchURL: ChromeDefaultData -> hxxp://www.initialpage123.com/search/?q={searchTerms}&z=20a91c7066a3b4860d3f314g9z0tao2g5gfm9zfz2g&from=wak&uid=LITEONXCV1-8B128_CV1-8B128X002548102M&type=sp
    CHR DefaultSearchKeyword: ChromeDefaultData -> 24initialpage123
    CHR Profile: C:\Users\asus\AppData\Local\Google\Chrome\User Data\ChromeDefaultData [2017-04-14] <==== UWAGA
    C:\Users\asus\AppData\Local\Google\Chrome\User Data\ChromeDefaultData
    R1 cryptfd; C:\WINDOWS\System32\drivers\cryptfd.sys [193448 2017-03-03] ()
    2017-04-14 15:52 - 2017-04-14 15:55 - 00000000 ____D C:\AdwCleaner
    2017-04-13 23:06 - 2017-04-13 23:11 - 00000378 _____ C:\WINDOWS\Tasks\Traffic Exchange v209 - 3.job
    2017-04-13 23:06 - 2017-04-13 23:11 - 00000378 _____ C:\WINDOWS\Tasks\Traffic Exchange v209 - 2.job
    2017-04-13 23:06 - 2017-04-13 23:11 - 00000378 _____ C:\WINDOWS\Tasks\Traffic Exchange v209 - 1.job
    2017-04-13 23:06 - 2017-04-13 23:06 - 00092832 _____ (WinMount International Inc) C:\WINDOWS\system32\Drivers\KuaiZipDrive.sys
    2017-04-13 23:06 - 2017-04-13 23:06 - 00003270 _____ C:\WINDOWS\System32\Tasks\Traffic Exchange v209 - 3
    2017-04-13 23:06 - 2017-04-13 23:06 - 00003270 _____ C:\WINDOWS\System32\Tasks\Traffic Exchange v209 - 2
    2017-04-13 23:06 - 2017-04-13 23:06 - 00003270 _____ C:\WINDOWS\System32\Tasks\Traffic Exchange v209 - 1
    2017-04-13 23:06 - 2017-04-13 23:06 - 00000884 _____ C:\Users\asus\AppData\Roaming\Microsoft\Windows\Start Menu\żěѱ.lnk
    2017-04-13 23:06 - 2017-04-13 23:06 - 00000860 _____ C:\Users\asus\Desktop\żěѱ.lnk
    2017-04-13 23:06 - 2017-04-13 23:06 - 00000000 ____D C:\Users\Public\Documents\XMUpdate
    2017-04-13 23:06 - 2017-04-13 23:06 - 00000000 ____D C:\Program Files\żěѱ
    2017-04-13 23:05 - 2017-04-14 15:49 - 00000000 ____D C:\Program Files (x86)\lll
    2017-04-13 23:05 - 2017-04-13 23:05 - 00003654 _____ C:\WINDOWS\System32\Tasks\CreateExplorerShellUnelevatedTask
    2017-04-13 23:05 - 2017-04-13 23:05 - 00000000 __SHD C:\Users\asus\AppData\Local\kemgadeojglibflomicgnfeopkdfflnw
    2017-04-13 23:05 - 2017-04-13 23:05 - 00000000 ____D C:\Users\Default\AppData\Local\AdvinstAnalytics
    2017-04-13 23:05 - 2017-04-13 23:05 - 00000000 ____D C:\Users\Default User\AppData\Local\AdvinstAnalytics
    2017-04-13 23:04 - 2017-04-13 23:18 - 00000000 ____D C:\Users\asus\AppData\Roaming\Anaqight
    2017-04-13 23:04 - 2017-04-13 23:04 - 00006106 _____ C:\WINDOWS\System32\Tasks\Phuqely Nodifier
    2017-04-13 23:04 - 2017-04-13 23:04 - 00000000 ____D C:\Users\asus\AppData\Local\Pridupy
    2017-04-13 23:04 - 2017-04-13 23:04 - 00000000 ____D C:\Program Files (x86)\Phuqely Nodifier
    2017-04-13 23:04 - 2017-04-13 23:04 - 00000000 ____D C:\Program Files (x86)\Mijottenury
    EmptyTemp:

    Po wykonaniu usun katalog C:\FRST i to wszystko.

    0
  • #3 14 Kwi 2017 16:34
    ziele40
    Poziom 5  

    gdy chcę otworzyć przegl±darkę wyskakuję mi co¶ takiego:
    Wirus żeѱ windows 10 FRST

    0
  • #4 14 Kwi 2017 16:36
    Kolobos
    Spec od komputerów

    Odinstaluj Chrome i zainstaluj ponownie. Oczywiscie po wykonaniu tego co podalem wczesniej.

    0
  • #5 14 Kwi 2017 20:56
    ziele40
    Poziom 5  

    Nie dało się odinstalować Traffic Exchange, ale pomin±łem ten punkt po resecie wyskoczył komunikat widoczny w zał±czniku, Podobnie się dzieję podczas otwierania zdjęć, spróbowałem utworzyć inne konto ale przycisk dodaj konto nie reaguje ( na sekundę wyskakuję okienko tworzenia konta)

    0
  • #6 14 Kwi 2017 21:07
    Kolobos
    Spec od komputerów

    Zamiesc nowe logi z FRST, ze skanowania.

    0
  • #7 14 Kwi 2017 21:18
    ziele40
    Poziom 5  

    proszę bardzo, mam nauczkę żeby nie ufać wszystkim torrent± nawet jak maja pozytywne opinie

    0
  • #8 14 Kwi 2017 21:30
    Kolobos
    Spec od komputerów

    Infekcji juz nie ma.

    Zostal zainfekowany Chrome. Zapewne nie wykonales:
    > Usun dane synchronizacji z konta google: https://support.google.com/chrome/answer/6386691?hl=pl

    Fixlist.txt dla FRST:
    CHR DefaultProfile: ChromeDefaultData
    CHR HomePage: ChromeDefaultData -> hxxps://www.google.com/
    CHR DefaultSearchURL: ChromeDefaultData -> hxxp://www.initialpage123.com/search/?q={searchTerms}&z=20a91c7066a3b4860d3f314g9z0tao2g5gfm9zfz2g&from=wak&uid=LITEONXCV1-8B128_CV1-8B128X002548102M&type=sp
    CHR DefaultSearchKeyword: ChromeDefaultData -> 24initialpage123
    CHR Profile: C:\Users\asus\AppData\Local\Google\Chrome\User Data\ChromeDefaultData [2017-04-14] <==== UWAGA
    C:\Users\asus\AppData\Local\Google\Chrome\User Data\ChromeDefaultData



    W logach widac jedynie bledy:
    Error: (04/14/2017 08:34:23 PM) (Source: DCOM) (EventID: 10016) (User: ZARZˇDZANIE NT)
    Description: Zgodnie z ustawieniami uprawnienia wła¶ciwe dla aplikacji nie jest udzielane uprawnienie Lokalny Aktywacja do aplikacji serwera COM z identyfikatorem klasy CLSID
    {6B3B8D23-FA8D-40B9-8DBD-B950333E2C52}
    i identyfikatorem aplikacji APPID
    {4839DDB7-58C2-48F5-8283-E1D1807D0D7D}
    użytkownikowi ZARZˇDZANIE NT\USŁUGA LOKALNA o identyfikatorze zabezpieczeń SID (S-1-5-19) z adresu LocalHost (użycie LRPC) działaj±cemu w kontenerze aplikacji o identyfikatorze SID Niedostępny (Niedostępny). To uprawnienie zabezpieczeń można modyfikować przy użyciu narzędzia administracyjnego Usługi składowe.
    oraz:

    Error: (04/14/2017 08:34:22 PM) (Source: DCOM) (EventID: 10016) (User: ZARZˇDZANIE NT)
    Description: Zgodnie z ustawieniami uprawnienia wła¶ciwe dla aplikacji nie jest udzielane uprawnienie Lokalny Aktywacja do aplikacji serwera COM z identyfikatorem klasy CLSID
    {8D8F4F83-3594-4F07-8369-FC3C3CAE4919}
    i identyfikatorem aplikacji APPID
    {F72671A9-012C-4725-9D2F-2A4D32D65169}
    użytkownikowi ZARZˇDZANIE NT\SYSTEM o identyfikatorze zabezpieczeń SID (S-1-5-18) z adresu LocalHost (użycie LRPC) działaj±cemu w kontenerze aplikacji o identyfikatorze SID Niedostępny (Niedostępny). To uprawnienie zabezpieczeń można modyfikować przy użyciu narzędzia administracyjnego Usługi składowe.

    Nie wiem czy ma to zwiazek z wadliwym dzialaniem programow, ale jezeli tak to tutaj masz opis jak to naprawic:
    https://www.windows10forums.com/articles/event-id-10016-distributedcom.47/

    Wczesniej utworz punkt przywracania systemu.

    0