Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Nawracający się syf na komputer.

SzateX 21 Kwi 2017 17:45 459 2
  • #1 21 Kwi 2017 17:45
    SzateX
    Poziom 9  

    Cześć.

    Mam problem z komputerem. Gdzieś tak na święta, udostępniłem komputer swoim siostrzeńcom i siostrzenicom (to był błąd) i naściągały mi jakiego syfu na komputer (niby to są adware przeglądarkowe, ale nie jestem w stanie ich wyczyścić). Niestety po przeleceniu MBAM i AdwCleaner dzisiaj miałem najprawdopodobniej nawrót tych wirusów bo znów mi władowały reklamy (mimo AdBlocka), oraz pozmieniały mi przeglądarki - pobrałem tylko jeden zaufany plik od brata.

    W załączniku zamieszczam logi z MBAM i AdwCleaner + Dr.Web Cureit oraz FRST. Miłoby było aby sprawdzić cały komputer pod względem wszystkich syfów - bo cholera wie co się może jeszcze kryć tutaj.

    Z góry dziękuję za pomoc

    0 2
  • #2 21 Kwi 2017 18:07
    Kolobos
    Spec od komputerów

    Zrob kopie zakladek z Chrome, skrypt usunie katalog profilu przegladarki utworzony przez infekcje.
    Usun tez dane synchronizacji Chrome z konta google:
    https://support.google.com/chrome/answer/6386691?hl=pl

    Wykonaj Fixlist.txt dla FRST:
    CloseProcesses:
    Task: {179354A9-3F44-471B-81E2-A45796FACF55} - System32\Tasks\Opera scheduled Autoupdate 1475267108 => C:\Program Files (x86)\Opera\launcher.exe [2017-02-27] (Opera Software)
    Task: {1CB4C230-567A-4D0D-B5CE-ADB0055A5018} - System32\Tasks\Ckagightkiqerse Agent => C:\Program Files (x86)\Zzpygruleght\xhergasp.exe [2017-04-18] (Google Inc.)
    Shortcut: C:\Users\Szatku\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Boxbob\Application\chrome.exe (Google Inc.)
    Shortcut: C:\Users\Szatku\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk -> C:\Program Files (x86)\Boxbob\Application\chrome.exe (Google Inc.)
    Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Boxbob\Application\chrome.exe (Google Inc.)
    HKLM-x32\...\Run: [] => [X]
    HKU\S-1-5-21-3076412893-917845075-2180283040-1000\...\Run: [AdobeBridge] => [X]
    HKU\S-1-5-21-3076412893-917845075-2180283040-1000\...\MountPoints2: {3307b4e2-8ed5-11e6-bfcc-1008b1e41f06} - J:\setup.exe
    HKU\S-1-5-21-3076412893-917845075-2180283040-1000\...\MountPoints2: {6e488dad-dcb3-11e6-b5ba-1008b1e41f06} - H:\LGAutoRun.exe
    GroupPolicy: Ograniczenia <======= UWAGA
    FF user.js: detected! => C:\Users\Szatku\AppData\Roaming\Mozilla\Firefox\Profiles\sm13fx1y.default\user.js [2017-04-06]
    FF NewTab: Mozilla\Firefox\Profiles\sm13fx1y.default ->
    CHR DefaultProfile: ChromeDefaultData
    CHR HomePage: ChromeDefaultData -> hxxps://www.google.com/
    CHR DefaultSearchURL: ChromeDefaultData -> hxxp://www.initialsite123.com/search/?q={searchTerms}&z=acaa9bf06f75a3f8504813ag7zdt3o0w7z9c7wcg5c&from=isr&uid=WDCXWD10S21X-24R1BT0-SSHD-8GB_WD-WX51A943ZVAZ3ZVAZ&type=sp
    CHR DefaultSearchKeyword: ChromeDefaultData -> 35initialsite123
    CHR Profile: C:\Users\Szatku\AppData\Local\Google\Chrome\User Data\ChromeDefaultData [2017-04-18] <==== UWAGA
    C:\Users\Szatku\AppData\Local\Google\Chrome\User Data\ChromeDefaultData
    S2 3DM; C:\Users\Szatku\AppData\Local\3DM\Kitty.dll [X]
    2017-04-21 15:33 - 2017-04-21 15:33 - 00000000 ____D C:\Users\Szatku\AppData\Local\Boxbob
    2017-04-21 15:33 - 2017-04-21 15:33 - 00000000 ____D C:\Program Files (x86)\Boxbob
    2017-04-21 15:32 - 2017-04-21 15:32 - 00000000 ____D C:\Program Files (x86)\AlphaGo
    2017-04-20 21:42 - 2017-04-21 15:32 - 00000000 _____ C:\Windows\SysWOW64\22
    2017-04-20 21:42 - 2017-04-21 15:32 - 00000000 _____ C:\Windows\SysWOW64\11
    2017-04-19 22:25 - 2017-04-21 16:30 - 00000000 ____D C:\Windows\Update
    2017-04-19 22:25 - 2017-04-19 22:25 - 00000000 ____D C:\Program Files (x86)\vnbcgnun
    2017-04-18 21:25 - 2017-04-20 21:40 - 00000000 ____D C:\Program Files (x86)\Zzpygruleght
    2017-04-18 21:25 - 2017-04-18 21:25 - 00006066 _____ C:\Windows\System32\Tasks\Ckagightkiqerse Agent
    2017-04-08 17:13 - 2017-04-08 17:13 - 00000000 _____ C:\Windows\system32\netsh
    2017-04-21 16:30 - 2016-06-17 17:01 - 00000000 ____D C:\AdwCleaner
    EmptyTemp:

    Po wykonaniu zamiesc nowy log z FRST, wystarczy sam frst.txt.

    0