Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Powracający problem Lucky starting

Tokyo911 25 Kwi 2017 19:16 735 8
  • #1 25 Kwi 2017 19:16
    Tokyo911
    Poziom 5  

    Witam.

    Mam problem pewnie znanego wirusa który automatycznie ustawia strone "lucky starting" jako domyślną i otwiera różnego rodzaju okna reklamami. Przeskanowałem komputer poniższymi programami:

    - rkill
    - hitman pro
    - adwcleaner
    - malwarebytes
    - zemana antimalware
    - avg antivirus

    Problem zniknął na jeden dzień. Po wnikliwszej analizie usunąłem dodatkowo zainfekowane pliki, jednak wirus nie daje łatwo za wygraną i wrócił po kilku dniach :) Uparciuch. W załącznikach wrzucam logi z FRST.

    P.S. Co prawda nie zmienia mi już strony startowej, jednak ciągle Malwarebytes informuje mnie o zablokowanym dostępnie do jakiejś dziwnej strony.

    Z góry dzięki za pomoc :)

    0 8
  • #3 25 Kwi 2017 19:59
    Tokyo911
    Poziom 5  

    Widzisz, a jednak się myliłeś :) Usunałem wirusa, ale nieskutecznie, gdybym chciał jak to napisałeś "odczekać" po prostu założył bym inne konta, albo poprosił znajomego który mieszka w innej części Polski :) A jeśli nikt mi nie pomoże, no cóż zrobię format trochę wcześniej niż planowałem ;)

    0
  • #4 26 Kwi 2017 16:00
    Tokyo911
    Poziom 5  

    DO KOLOBOS:

    Zablokowałeś mnie, więc postanowiłem odpisać tutaj :)

    Nie sądziłem że to napisze ale masz racje. Pisałem coś wcześniej na forum, ale logi dla mnie to czarna magia, nie mam pojęcia do czego one są, w jakiej sprawie pomóc, a tym bardziej nie mam pojęcia jak z nich można coś odczytać, ale po przeczytaniu twojej wiadomości uświadomiłem sobie może nie tyle co roszczeniową, a pasożytniczą postawę. Oczekiwałem pomocy w zamian za nic, w dodatku ignorując regulamin forum na którym jest napisane że logi przy tego typu sprawach to podstawa. Wybacz moje ignoranckie odpowiedzi :)

    Trzymaj się!

    0
  • #5 26 Kwi 2017 16:08
    Kolobos
    Spec od komputerów

    Odinstaluj:
    Zemana AntiMalware
    HitmanPro

    Obok frst.exe utworz plik Fixlist.txt z zawartoscia:
    HKU\S-1-5-21-3271045980-3671764063-574800205-1000\...\MountPoints2: {20f202cd-eaf1-11e6-8d08-806e6f6e6963} - F:\KwalWU.exe
    HKU\S-1-5-21-3271045980-3671764063-574800205-1000\...\MountPoints2: {f97890fd-e261-11e6-ae74-6cf04904784e} - G:\_AUTORUN\AUTORUN.EXE
    HKU\S-1-5-21-3271045980-3671764063-574800205-1000\...\MountPoints2: {f9789108-e261-11e6-ae74-6cf04904784e} - I:\SETUP.EXE
    IFEO\DisplaySwitch.exe: [Debugger]
    IFEO\taskmgr.exe: [Debugger]
    ShellIconOverlayIdentifiers: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku
    GroupPolicy: Ograniczenia <======= UWAGA
    SearchScopes: HKU\S-1-5-21-3271045980-3671764063-574800205-1000 -> DefaultScope {9ECC1DBB-236A-4b76-8866-721F5081169D} URL = hxxp://uk.search.yahoo.com/search?p={searchTerms}&fr=chr-devicevm&type=IEBD
    SearchScopes: HKU\S-1-5-21-3271045980-3671764063-574800205-1000 -> {4616F3C4-3107-4d0b-88B9-E215C66C6DCF} URL = hxxp://www.google.com/custom?client=pub-37942...%3BGIMP%3A0000FF%3BFORID%3A1&hl=pl&q={searchTerms}
    SearchScopes: HKU\S-1-5-21-3271045980-3671764063-574800205-1000 -> {9ECC1DBB-236A-4b76-8866-721F5081169D} URL = hxxp://uk.search.yahoo.com/search?p={searchTerms}&fr=chr-devicevm&type=IEBD
    CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx
    S4 3DM; C:\Users\Tokyo\AppData\Local\3DM\Kitty.dll [X]
    S2 AppleNotificationsSrv; C:\ProgramData\Software\Apple\Apps\Notification.dll [X]
    S3 TBPanel; Brak ImagePath
    S3 VGPU; System32\drivers\rdvgkmd.sys [X]
    2017-04-25 18:57 - 2017-04-25 18:57 - 00000000 ____D C:\Users\Tokyo\Downloads\FRST-OlderVersion
    2017-04-21 21:43 - 2017-04-21 21:43 - 00000000 _____ C:\Windows\SysWOW64\33
    2017-04-21 21:42 - 2017-04-21 21:42 - 00000000 _____ C:\Windows\SysWOW64\11
    2017-04-19 17:44 - 2017-04-21 22:16 - 00000000 ____D C:\AdwCleaner

    W FRST wybierz napraw.

    Jezeli problem dotyczy Chrome to zrob kopie zakladek, usun tez dane synchronizacji Chrome z konta google:
    https://support.google.com/chrome/answer/6386691?hl=pl
    Nastepnie usun katalog profilu: C:\Users\Tokyo\AppData\Local\Google\Chrome\User Data\Default
    I zainstaluj Chrome ponownie.

    0
  • #6 30 Kwi 2017 21:03
    Tokyo911
    Poziom 5  

    Dzięki wielkie za pomoc. Zrobiłem tak jak napisałeś, ale niestety wirus nie daje łatwo za wygrana. Wrócił z powrotem po kilku dniach.
    Załączam nowe logi. On po prostu nie został całkiem usunięty czy ktoś znowu go gdzieś "pobrał" ?

    0
  • #7 30 Kwi 2017 21:19
    Kolobos
    Spec od komputerów

    To nie wirusy, tylko szkodliwe programy. W logach nie widac infekcji, zostal tylko "ScreenShot", z tego co widze to instaluje go ta infekcja.

    Wykonales to:
    ezeli problem dotyczy Chrome to zrob kopie zakladek, usun tez dane synchronizacji Chrome z konta google:
    https://support.google.com/chrome/answer/6386691?hl=pl
    Nastepnie usun katalog profilu: C:\Users\Tokyo\AppData\Local\Google\Chrome\User Data\Default
    I zainstaluj Chrome ponownie.

    Do tego wykonaj Fixlist.txt dla FRST:
    (Filseclab Corporation Limited) C:\Program Files (x86)\ScreenShot\SSSvc.exe
    CHR Extension: (BMW M Power) - C:\Users\Tokyo\AppData\Local\Google\Chrome\User Data\Default\Extensions\gfhaolblehplannlbgaldknldolnniep [2017-04-26]
    R2 SSSvc; C:\Program Files (x86)\ScreenShot\SSSvc.exe [139744 2016-11-02] (Filseclab Corporation Limited)
    S1 ZAM; \??\C:\Windows\System32\drivers\zam64.sys [X]
    S1 ZAM_Guard; \??\C:\Windows\System32\drivers\zamguard64.sys [X]
    2017-04-22 11:20 - 2017-04-22 11:20 - 00000000 ____D C:\Users\Guerreiro\AppData\Local\Zemana
    2017-04-21 22:03 - 2017-04-26 16:22 - 00045759 _____ C:\Windows\ZAM_Guard.krnl.trace
    2017-04-21 22:03 - 2017-04-26 16:15 - 00079539 _____ C:\Windows\ZAM.krnl.trace
    2017-04-21 21:59 - 2017-04-21 21:59 - 00000000 ____D C:\Users\Tokyo\AppData\Local\Zemana
    2017-04-21 21:58 - 2017-04-21 21:58 - 05774688 _____ (Zemana Ltd. ) C:\Users\Tokyo\Downloads\Zemana.AntiMalware.Setup.exe
    2017-04-19 18:16 - 2017-04-19 18:26 - 00000000 ____D C:\ProgramData\HitmanPro
    2017-04-19 18:15 - 2017-04-19 18:16 - 11583584 _____ (SurfRight B.V.) C:\Users\Tokyo\Downloads\hitmanpro_x64.exe
    2017-04-10 11:30 - 2017-04-13 15:19 - 00000000 ____D C:\Users\Tokyo\AppData\Roaming\ScreenShot

    0
  • #9 01 Maj 2017 23:14
    RADU23
    Moderator - Komputery Serwis

    To dział PA i tutaj nie będzie kontynuacji wątku do którego podesłałeś link. Zamykam.
    Powracający problem Lucky starting

    0