Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

FRST logi, wirus w przeglądarce

stepniak87 17 Kwi 2017 18:58 468 8
  • #1 17 Kwi 2017 18:58
    stepniak87
    Poziom 3  

    Witam, mam problem coś ściągnąłem przez menadżer pobierania i poinstalowały się jakieś wirusy. Po otworzeniu firefox wyskakuje jakiś initialsite123, uruchomiłem adwcleaner i niby jest ok, ale na chrome znowu jakiś wirus rambler i już adw tego nie rusza.
    Użyłem FRST i załączam logi. Proszę o pomoc

    0 8
  • #2 17 Kwi 2017 19:27
    Kolobos
    Spec od komputerów

    Zrob kopie zakladek z Chrome, skrypt usunie katalog profilu przegladarki utworzony przez infekcje.
    Usun tez dane synchronizacji Chrome z konta google:
    https://support.google.com/chrome/answer/6386691?hl=pl

    Wykonaj Fixlist.txt dla FRST:
    CloseProcesses:
    Task: {1CEB6BD6-8D3B-4E67-AD23-139DBAA69BE7} - System32\Tasks\Nerkopy System => C:\Program Files (x86)\Pliwether\xkmak.exe [2017-04-17] (Google Inc.)
    2017-04-17 17:43 - 2017-04-17 17:43 - 00310784 _____ () C:\Program Files (x86)\Nerkopy System\local64spl.dll
    2017-04-17 17:43 - 2017-04-17 17:43 - 00414944 _____ () C:\ProgramData\tw2527777.exe
    AlternateDataStreams: C:\Users\admin\Desktop\kk.jpeg:3or4kl4x13tuuug3Byamue2s4b [79]
    AlternateDataStreams: C:\Users\admin\Desktop\kk.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
    AlternateDataStreams: C:\Users\admin\Desktop\mm.jpeg:3or4kl4x13tuuug3Byamue2s4b [79]
    AlternateDataStreams: C:\Users\admin\Desktop\mm.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
    Hosts:
    () C:\ProgramData\tw2527777.exe
    HKLM-x32\...\Run: [] => [X]
    HKU\S-1-5-21-2465768999-1655788483-4127116437-1000\...\MountPoints2: {9ff77ae7-3bbe-11e6-9a82-408d5ca4e6d1} - F:\AutoRun.exe
    HKU\S-1-5-21-2465768999-1655788483-4127116437-1000\...\MountPoints2: {b18b09cd-6d4c-11e6-81b7-408d5ca4e6d1} - F:\autorun.exe
    HKLM\...\Providers\luoafdda: C:\Program Files (x86)\Nerkopy System\local64spl.dll [310784 2017-04-17] ()
    ShellExecuteHooks: Brak nazwy - {80ABE228-20E8-11E7-9C8E-64006A5CFC23} - C:\Users\admin\AppData\Roaming\Kibisy\Fuwaykpoge.dll -> Brak pliku
    SearchScopes: HKLM-x32 -> DefaultScope - brak wartości
    CHR DefaultProfile: ChromeDefaultData
    CHR HomePage: ChromeDefaultData -> hxxps://www.google.com/
    CHR DefaultSearchURL: ChromeDefaultData -> hxxp://www.initialsite123.com/search/?q={searchTerms}&z=23de1c04ba718359d418614gbzdteo4z7zacfb1c9b&from=icb&uid=HitachiXHTS543232L9A300_090816FBC400CEHEYANAX&type=sp
    CHR DefaultSearchKeyword: ChromeDefaultData -> 70initialsite123
    CHR Profile: C:\Users\admin\AppData\Local\Google\Chrome\User Data\ChromeDefaultData [2017-04-17] <==== UWAGA
    C:\Users\admin\AppData\Local\Google\Chrome\User Data\ChromeDefaultData
    CHR Extension: (Avast SafePrice) - C:\Users\admin\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\eofcbnmajmjmplflapaojjnihcjkigck [2017-01-21]
    CHR Extension: (Avast Online Security) - C:\Users\admin\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\gomekmidlodglbbmalcneegieacbdmki [2017-01-20]
    CHR Extension: (Płatności w sklepie Chrome Web Store) - C:\Users\admin\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2017-01-20]
    CHR Extension: (Chrome Media Router) - C:\Users\admin\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\pkedcjkdefgpdelpbcmbmeomcjbeemfm [2017-01-20]
    CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChrome.crx <nie znaleziono>
    R2 tw2527777; C:\ProgramData\tw2527777.exe [414944 2017-04-17] ()
    2017-04-17 18:12 - 2017-04-17 18:24 - 00000000 ____D C:\AdwCleaner
    2017-04-17 17:43 - 2017-04-17 18:14 - 00000000 ____D C:\Users\admin\AppData\Roaming\Kibisy
    2017-04-17 17:43 - 2017-04-17 17:44 - 00000000 ____D C:\Users\admin\AppData\Local\Drojtain
    2017-04-17 17:43 - 2017-04-17 17:44 - 00000000 ____D C:\Program Files (x86)\Pliwether
    2017-04-17 17:43 - 2017-04-17 17:43 - 00414944 _____ C:\ProgramData\tw2527777.exe
    2017-04-17 17:43 - 2017-04-17 17:43 - 00006004 _____ C:\Windows\System32\Tasks\Nerkopy System
    2017-04-17 17:43 - 2017-04-17 17:43 - 00000000 ____D C:\Users\admin\AppData\Roaming\WinRAR
    2017-04-17 17:43 - 2017-04-17 17:43 - 00000000 ____D C:\Program Files (x86)\Nerkopy System
    2017-04-17 18:26 - 2017-04-17 18:27 - 0000132 _____ () C:\ProgramData\log.binb
    2017-04-17 17:43 - 2017-04-17 18:26 - 0000128 _____ () C:\ProgramData\log.ewbb
    2017-04-17 17:43 - 2017-04-17 18:26 - 0004771 _____ () C:\ProgramData\log.ewbt
    2017-04-17 17:43 - 2017-04-17 17:43 - 0414944 _____ () C:\ProgramData\tw2527777.exe
    EmptyTemp:

    W FRST wybierz Napraw.

    Usun katalog C:\FRST.

    0
  • #4 17 Kwi 2017 21:43
    Kolobos
    Spec od komputerów

    W Chrome nadal masz profil utworzony przez infekcje, usunales dane synchronizacji z konta google tak jak pisalem?

    Zmien wyszukiwarke na google w ustawieniach FF, w logach nie widac "mystart.dealwifi.com".

    > nadal też widze jest initialsite123

    Gdzie?

    Nowy Fixlist.txt dla FRST:
    CHR DefaultProfile: ChromeDefaultData
    CHR Profile: C:\Users\admin\AppData\Local\Google\Chrome\User Data\ChromeDefaultData [2017-04-17] <==== UWAGA


    Zawsze mozesz tez odinstalowac Firefox, usunac katalog profilu przegladarki i zainstalowac Firefox ponownie.

    0
  • #5 17 Kwi 2017 21:49
    stepniak87
    Poziom 3  

    dane synchronizacji usunąłem jak mówiłeś, w ff zmieniłem już na wyszukiwarkę google

    0
  • #6 17 Kwi 2017 21:56
    Kolobos
    Spec od komputerów

    Wykonaj ponowny skan w FRST i sprawdz czy nadal masz szkodliwy profil:
    CHR DefaultProfile: ChromeDefaultData
    CHR Profile: C:\Users\admin\AppData\Local\Google\Chrome\User Data\ChromeDefaultData [2017-04-17] <==== UWAGA

    Czy juz wszystko jest ok?

    0
  • #8 17 Kwi 2017 22:08
    Kolobos
    Spec od komputerów

    Wyglada ok. W Chrome utworz nowy profil o ile bedziesz jeszcze uzywal tej przegladarki.

    0
  • #9 17 Kwi 2017 22:08
    stepniak87
    Poziom 3  

    ok, Dzięki za pomoc

    0