Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Ruski wirus pokazujący porno reklamy

Miltanix 28 Cze 2017 20:53 1566 24
  • #2 28 Cze 2017 21:00
    Kolobos
    Spec od komputerów

    Wykonaj Fixlist.txt dla FRST:
    CloseProcesses:
    R2 AppFrameHost; C:\WINDOWS\system32\AppFrameHost.exe [920784 2017-06-28] ()
    AlternateDataStreams: C:\ProgramData:NT [40]
    AlternateDataStreams: C:\ProgramData:NT2 [432]
    AlternateDataStreams: C:\Users\All Users:NT [40]
    AlternateDataStreams: C:\Users\All Users:NT2 [432]
    AlternateDataStreams: C:\ProgramData\Application Data:NT [40]
    AlternateDataStreams: C:\ProgramData\Application Data:NT2 [432]
    AlternateDataStreams: C:\ProgramData\Dane aplikacji:NT [40]
    AlternateDataStreams: C:\ProgramData\Dane aplikacji:NT2 [432]
    AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT [40]
    AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2 [432]
    AlternateDataStreams: C:\Users\Miłosz\Dane aplikacji:NT [40]
    AlternateDataStreams: C:\Users\Miłosz\Dane aplikacji:NT2 [432]
    AlternateDataStreams: C:\Users\Miłosz\AppData\Roaming:NT [40]
    AlternateDataStreams: C:\Users\Miłosz\AppData\Roaming:NT2 [432]
    HKU\S-1-5-21-2863589667-4932231-48887941-1001\...\Run: [ycAutoLaunch_13EFF406B5DED09161131397DCFAB3B1] => "C:\Users\Miłosz\AppData\Local\yc\Application\yc.exe" /prefetch:5
    Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\SteelSeries Engine 3.lnk [2017-06-03]
    S3 FairplayKD; \??\C:\ProgramData\MTA San Andreas All\Common\temp\FairplayKD.sys [X]
    2017-06-28 19:58 - 2017-06-28 20:37 - 00000000 ____D C:\AdwCleaner
    2017-06-28 19:19 - 2017-06-28 19:19 - 00920784 _____ C:\WINDOWS\system32\AppFrameHost.exe
    2017-06-28 18:53 - 2017-06-28 19:53 - 00003422 __RSH C:\WINDOWS\System32\Tasks\MSI
    2017-06-28 18:53 - 2017-06-28 18:53 - 2409464 __RSH () C:\Users\Miłosz\AppData\Roaming\Microsoft\msi.exe
    EmptyTemp:

    Po wykonaniu zamiesc nowe logi z FRST, ze skanowania.

    0
  • #4 28 Cze 2017 21:16
    Kolobos
    Spec od komputerów

    W ktorej przegladarce? Jezeli w Chrome to usun katalog profilu przegladarki (wczesniej zgraj zakladki) i sprawdz czy jest ok. W przypadku synchronizacji ustawien Chrome z konta google, usun rowniez dane synchronizacji.

    0
  • #5 28 Cze 2017 21:17
    Miltanix
    Poziom 3  

    Tak, używam chrome'a, lecz nie mam pojęcia gdzie mam usunąć katalog profilu.

    0
  • #7 28 Cze 2017 21:25
    Miltanix
    Poziom 3  

    Folder usunięty, nie pojawiają się ruskie reklamy. Czy mam jeszcze raz przesłać logi z FRST?

    0
  • #8 28 Cze 2017 21:42
    Kolobos
    Spec od komputerów

    Nie, usun katalog C:\FRST i to wszystko.

    0
  • #10 28 Cze 2017 22:03
    Kolobos
    Spec od komputerów

    Usun recznie ten plik i sprawdz czy znowu sie pojawi.

    0
  • #12 28 Cze 2017 22:38
    Kolobos
    Spec od komputerów

    W opcjach folderow wlacz pokazywanie plikow ukrytych i wylacz ukrywanie chronionych.

    Do tego mozesz wpisac sciezke w uruchom i sie otworzy, nie trzeba niczego szukac recznie.

    1
  • #13 28 Cze 2017 22:48
    Miltanix
    Poziom 3  

    Mam zaznaczoną opcję "ukryte elementy", w przeciwnym wypadku nie miałbym jak dostać się do AppData.

    wpisanie tej ścieżki kończy się na tym że ten folder nie jest dostępny oraz odmowa dostępu.

    0
  • #17 28 Cze 2017 23:24
    Miltanix
    Poziom 3  

    Rozumiem, ten plik svchost mam usunąć?

    0
  • #18 28 Cze 2017 23:27
    Kolobos
    Spec od komputerów

    Tak jak napisalem wczesniej. Infekcja utworzyla ten plik.

    0
  • #19 28 Cze 2017 23:36
    Miltanix
    Poziom 3  

    System odmawia mi usunięcia tego pliku pomimo nadania uprawnień dla siebie.

    0
  • #20 28 Cze 2017 23:56
    Kolobos
    Spec od komputerów

    Wykonaj Fixlist:
    C:\Windows\Microsoft\svchost.exe

    Po wykonaniu zamiesc Fixlog.

    0
  • #22 29 Cze 2017 07:45
    Kolobos
    Spec od komputerów

    Usun katalog C:\FRST i to wszystko.

    0
  • #23 29 Cze 2017 07:51
    Miltanix
    Poziom 3  

    Windows nie pozwala mi usunąć tego folderu w którym znajduje się zainfekowany plik. Ten wirus sprytnie się zablokował i prawdopodobnie bez grzebania w regedit nie ma szans a na usunięcie go.

    Ten wirus to chyba najbardziej upierdliwe ustrojstwo od kiedy pierwszy raz załapałem jakiegoś.

    0
  • Pomocny post
    #24 29 Cze 2017 07:56
    Kolobos
    Spec od komputerów

    Zapewne antywirus blokuje ten plik, a nie windows.

    Wykonaj taki Fixlist:
    DeleteQuarantine:

    To usunie katalog C:\FRST.

    0
  • #25 29 Cze 2017 08:16
    Miltanix
    Poziom 3  

    Folder został całkowicie usunięty. Przeskanowałem jeszcze raz antywirusem na wypadek gdyby jeszcze raz wróciło. Nic już nie wykrywa podejrzanego.

    Dziękuje za pomoc a temat zamykam.

    0