Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Win 10/ Wirus atakuje wszystkie przeglądarki, otwiera strony - nic w skanach

BlackWings 24 Wrz 2017 01:16 630 5
  • #1 24 Wrz 2017 01:16
    BlackWings
    Poziom 2  

    Witam
    System win 10.
    Problem: Odpaliłem plik, którego nie powinienem odpalać (instaler z intenetu, jak jakiś kretyn) - przeglądarka zaczęła potem świrować. Co jakiś czas (częstotliwość się zwiększa) kiedy klikam cokolwiek na jakiejkolwiek stronie (w polu działania przeglądarki) otwierają się podejrzane strony/reklamowe www w nowej karcie (np. pipeschannel .com albo cpmonlineconverter itd).
    Czyściłem Chrome i Epica (Chromium), włącznie z resetem i reinstalem - nic to nie dało.

    Skan Dr Web Cruelty - nic nie wykrył
    MalvereBytes - nic nie wykrył (ale blokuje te strony, kiedy się otwierają)
    AdvCleaner coś złapał.
    Zamieszczam logi z FRST.

    Ktoś pomoże?

    0 5
  • Pomocny post
    #2 24 Wrz 2017 02:23
    dt1
    Moderator - Komputery Serwis

    Spróbuj:

    Code:
    HKLM\...\Run: [AdobeAAMUpdater-1.0] => C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe [508128 2016-07-01] (Adobe Systems Incorporated)
    
    HKLM Group Policy restriction on software: %systemroot%\system32\mrt.exe <==== UWAGA
    HKU\S-1-5-21-2807429231-758080311-3956112534-1001\...\Run: [Epic Privacy Browser Installer] => C:\Users\hades\AppData\Local\Epic Privacy Browser\Installer\EpicUpdate.exe [509096 2017-09-23] (Epic Privacy Browser)
    HKU\S-1-5-21-2807429231-758080311-3956112534-1001\...\Run: [CCleaner Monitoring] => C:\Program Files\CCleaner\CCleaner64.exe [9856176 2017-09-20] (Piriform Ltd)
    HKU\S-1-5-21-2807429231-758080311-3956112534-1001\...\MountPoints2: {a7636b86-0f1b-11e7-9aac-681729da2e23} - "F:\HiSuiteDownLoader.exe"
    HKU\S-1-5-21-2807429231-758080311-3956112534-1001\Control Panel\Desktop\\SCRNSAVE.EXE -> C:\WINDOWS\system32\Orbitron.scr
    HKU\S-1-5-21-2807429231-758080311-3956112534-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-09232017221353682\...\Run: [Epic Privacy Browser Installer] => C:\Users\hades\AppData\Local\Epic Privacy Browser\Installer\EpicUpdate.exe [509096 2017-09-23] (Epic Privacy Browser)
    HKU\S-1-5-21-2807429231-758080311-3956112534-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-09232017221353682\...\Run: [CCleaner Monitoring] => C:\Program Files\CCleaner\CCleaner64.exe [9856176 2017-09-20] (Piriform Ltd)
    HKU\S-1-5-21-2807429231-758080311-3956112534-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-09232017221353682\...\MountPoints2: {a7636b86-0f1b-11e7-9aac-681729da2e23} - "F:\HiSuiteDownLoader.exe"
    HKU\S-1-5-21-2807429231-758080311-3956112534-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-09232017221353682\Control Panel\Desktop\\SCRNSAVE.EXE -> C:\WINDOWS\system32\Orbitron.scr

    AutoConfigURL: [S-1-5-21-2807429231-758080311-3956112534-1001] => hxxp://accessunlimitedweb.com/wpad.dat?7d8e2e9185320648f80ed3f496d45c9235702878
    AutoConfigURL: [S-1-5-21-2807429231-758080311-3956112534-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-09232017221353682] => hxxp://accessunlimitedweb.com/wpad.dat?7d8e2e9185320648f80ed3f496d45c9235702878
    ManualProxies: 0hxxp://accessunlimitedweb.com/wpad.dat?7d8e2e9185320648f80ed3f496d45c9235702878

    HKU\S-1-5-21-2807429231-758080311-3956112534-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://g.uk.msn.com/hpall13/175
    HKU\S-1-5-21-2807429231-758080311-3956112534-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-09232017221353682\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://g.uk.msn.com/hpall13/175
    CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [ofoeigeaodhbjogdigckajfhjbonaofg] - hxxps://clients2.google.com/service/update2/crx

    CustomCLSID: HKU\S-1-5-21-2807429231-758080311-3956112534-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-09232017221353682_Classes\CLSID\{1BF42E4C-4AF4-4CFD-A1A0-CF2960B8F63E}\InprocServer32 -> C:\Users\hades\AppData\Local\Microsoft\OneDrive\17.3.6798.0207\amd64\FileSyncShell64.dll => Brak pliku
    CustomCLSID: HKU\S-1-5-21-2807429231-758080311-3956112534-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-09232017221353682_Classes\CLSID\{7AFDFDDB-F914-11E4-8377-6C3BE50D980C}\InprocServer32 -> C:\Users\hades\AppData\Local\Microsoft\OneDrive\17.3.6798.0207\amd64\FileSyncShell64.dll => Brak pliku
    CustomCLSID: HKU\S-1-5-21-2807429231-758080311-3956112534-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-09232017221353682_Classes\CLSID\{82CA8DE3-01AD-4CEA-9D75-BE4C51810A9E}\InprocServer32 -> C:\Users\hades\AppData\Local\Microsoft\OneDrive\17.3.6798.0207\amd64\FileSyncShell64.dll => Brak pliku
    CustomCLSID: HKU\S-1-5-21-2807429231-758080311-3956112534-1001_Classes\CLSID\{1BF42E4C-4AF4-4CFD-A1A0-CF2960B8F63E}\InprocServer32 -> C:\Users\hades\AppData\Local\Microsoft\OneDrive\17.3.6798.0207\amd64\FileSyncShell64.dll => Brak pliku
    CustomCLSID: HKU\S-1-5-21-2807429231-758080311-3956112534-1001_Classes\CLSID\{7AFDFDDB-F914-11E4-8377-6C3BE50D980C}\InprocServer32 -> C:\Users\hades\AppData\Local\Microsoft\OneDrive\17.3.6798.0207\amd64\FileSyncShell64.dll => Brak pliku
    CustomCLSID: HKU\S-1-5-21-2807429231-758080311-3956112534-1001_Classes\CLSID\{82CA8DE3-01AD-4CEA-9D75-BE4C51810A9E}\InprocServer32 -> C:\Users\hades\AppData\Local\Microsoft\OneDrive\17.3.6798.0207\amd64\FileSyncShell64.dll => Brak pliku

    Task: {99BA7E6D-0F44-4C32-8FB0-DDBBDC287D4C} - System32\Tasks\CCleanerSkipUAC => C:\Program Files\CCleaner\CCleaner.exe [2017-09-20] (Piriform Ltd)
    Task: {B639A23A-35C5-40D5-818F-7D8E61D99A5E} - System32\Tasks\SafeZone scheduled Autoupdate 1501952603 => C:\Program Files\AVAST Software\SZBrowser\launcher.exe [2017-08-04] (Avast Software)

    ShortcutWithArgument: C:\Users\hades\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Aplikacje Chrome\Readium.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) ->  --profile-directory=Default --app-id=fepbnnnkkadjhjahcafoaglimekefifl
    ShortcutWithArgument: C:\Users\hades\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Aplikacje Chrome\Simple EPUB Reader.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) ->  --profile-directory=Default --app-id=ojhbgcchcbdjdenibfmjofobklkkhofc

    EmptyTemp:

    Zapisz jako plik tekstowy o nazwie fixlist.txt w tym samym folderze co FRST, uruchom FRST i naciśnij napraw.

    Zasyfić system mogłeś odpalając instalator z internetu, albo równie dobrze odpalając cracka do oprogramowania, które posiadasz.

    0
  • #3 24 Wrz 2017 08:41
    Kolobos
    Spec od komputerów

    Po wykonaniu zamiesc nowe logi z FRST, ze skanowania.

    0
  • #5 24 Wrz 2017 12:27
    krzychupar
    Poziom 41  

    Logi czyste, infekcji brak. Usuń katalog C:\FRST i zamknij temat.

    0
  • #6 24 Wrz 2017 12:37
    BlackWings
    Poziom 2  

    Dzięki! Zamykam.

    0