Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Wirus podczas pobierania, nie mogę zidentyfikować źródła

siwykonik 08 Lis 2017 15:48 411 4
  • #1 08 Lis 2017 15:48
    siwykonik
    Poziom 7  

    Witam,
    Jak w temace nawabiłem się wirusa albo czegoś podobnego co występuje tylko w niektórych momentach podczas pobierania plików. Mianowicie gry pobieram jakiś plik, np. dane .xlsx (Excel) z messenger'a od znajomych to zapisuje on się jako:

    "nazwapliku"-fa-600.zip

    Jak widać plik automatycznie zostaje zapakowany oraz do nazwy dochodzi końcówka -fa-600. Po rozpakowaniu komputer łyka ruskie przeglądarki i inne śmieci typu mail.ru lub khometa. Myslałem że jest to problem Chrome ale działa to tak rónież na Operze czy Mozzilli Firefox. Dodam, że niektóre pliki z sieci unikają tego losu (testowałem pobieranie losowych dokumentów z chomikuj.pl). Czy ktos wie jak to naprawić? Antywirus nie znajduje problemu.

    Opis sytuacji jest trochę nieprecyzyjny wiem, ale tylko tyle zdążyłem zauwayć. Na koniec dodam że jestem standardowym użytkownikiem.

    Pozdrawiam

    0 4
  • Pomocny post
    #4 13 Lis 2017 18:59
    Kolobos
    Spec od komputerów

    Usun wszystkie pliki *-fa-600.zip

    Odinstaluj: YoutubeAdBlock

    Wykonaj Fixlist.txt dla FRST:
    Task: {6E6C4FEB-BFCA-46A9-B179-F1E0DAAA88E9} - System32\Tasks\MailRuUpdater => C:\Users\Gonzo\AppData\Local\Mail.Ru\MailRuUpdater.exe <==== UWAGA
    Task: {9D78FFCA-E089-47CC-A0F9-1007394B223A} - System32\Tasks\PjDfytumxbayONn2 => rundll32 "C:\Program Files (x86)\kqEuPYMaU\ANzwtl.dll",#1
    Task: {FE2343DB-1B0D-4DB2-A78D-B8E687497E0A} - System32\Tasks\PjDfytumxbayONn => rundll32 "C:\Program Files (x86)\kqEuPYMaU\ANzwtl.dll",#1
    Task: C:\WINDOWS\Tasks\PjDfytumxbayONn.job => C:\Program Files (x86)\kqEuPYMaU\ANzwtl.dll
    ShortcutWithArgument: C:\Users\Gonzo\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk -> C:\Windows\System32\rundll32.exe (Microsoft Corporation) -> url,FileProtocolHandler "hxxp://www.mail.ru/cnt/20775012?gp=832402"
    HKU\S-1-5-21-2231980515-1728750417-4163665529-1001\...\Run: [Akamai NetSession Interface] => C:\Users\Gonzo\AppData\Local\Akamai\netsession_win.exe [4490200 2017-09-08] (Akamai Technologies, Inc.)
    HKU\S-1-5-21-2231980515-1728750417-4163665529-1001\...\Run: [MailRuUpdater] => C:\Users\Gonzo\AppData\Local\Mail.Ru\MailRuUpdater.exe
    HKU\S-1-5-21-2231980515-1728750417-4163665529-1001\...\Run: [ycAutoLaunch_20EC561B60882F8BB510C63E2BC2822D] => "C:\Users\Gonzo\AppData\Local\yc\Application\yc.exe" /prefetch:5
    HKU\S-1-5-21-2231980515-1728750417-4163665529-1001\...\Policies\Explorer: []
    HKU\S-1-5-21-2231980515-1728750417-4163665529-1001\...\MountPoints2: {b149ba89-b65c-11e7-83ef-309c231e4eaa} - "F:\autorun.exe"
    GroupPolicy: Ograniczenia - Chrome <==== UWAGA
    GroupPolicy\User: Ograniczenia <==== UWAGA
    SearchScopes: HKU\S-1-5-21-2231980515-1728750417-4163665529-1001 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={searchTerms}&fr=ntg&product_id=%7B9974A039-A6F9-4F84-A91C-47A84771548E%7D&gp=832418
    CHR HomePage: Default -> inline.go.mail.ru
    CHR HKLM-x32\...\Chrome\Extension: [bhjhnafpiilpffhglajcaepjbnbjemci] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [hcadgijmedbfgciegjomfpjcdchlhnif] - hxxps://clients2.google.com/service/update2/crx




    CHR HKLM-x32\...\Chrome\Extension: [indjgiebmakhmnaplnlnanodkfiejfjd] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [lhemechcanjmilllmccjbjldonmnnjjj] - hxxps://clients2.google.com/service/update2/crx
    S2 mrupdsrv; "C:\Program Files (x86)\Mail.Ru\Update Service\mrupdsrv.exe" --s [X]
    S2 SvcHost Service Host; "C:\Windows\Microsoft\svchost.exe" -k LocalService [X]
    S2 Updater.Mail.Ru; C:\Program Files (x86)\Mail.Ru\MailRuUpdater\MailRuUpdater.exe --s [X]
    2017-11-11 16:51 - 2017-11-11 16:51 - 001625840 _____ ( ) C:\Users\Gonzo\Downloads\ArCADia-RAMA-12477-AsystentPobierania.exe
    2017-11-08 14:24 - 2017-11-08 14:24 - 000000000 ____D C:\Users\Gonzo\AppData\Local\Chromium
    2017-11-08 14:21 - 2017-11-08 14:23 - 000000000 ____D C:\Users\Gonzo\AppData\Local\Mail.Ru
    2017-11-08 14:19 - 2017-11-09 14:19 - 000000000 ____D C:\Users\Gonzo\AppData\Roaming\Divinity.Original.Sin.2.v3.0.77.309.Fixed.Repack
    2017-10-29 18:30 - 2017-10-29 18:30 - 000000000 ____D C:\Users\Gonzo\AppData\LocalLow\CelGrfgXIrZdI
    2017-10-29 18:25 - 2017-11-08 14:21 - 000000266 __RSH C:\Users\Gonzo\ntuser.pol
    2017-10-29 18:24 - 2017-10-29 18:24 - 000003786 _____ C:\WINDOWS\System32\Tasks\curl
    2017-10-29 18:24 - 2017-10-29 18:24 - 000003588 _____ C:\WINDOWS\System32\Tasks\curls
    2017-10-29 18:24 - 2017-10-29 18:24 - 000000000 ____D C:\Users\Gonzo\AppData\Roaming\curl
    2017-10-29 18:22 - 2017-11-08 14:23 - 000000000 ____D C:\Users\Gonzo\AppData\Local\NetBoxLogs
    2017-10-29 18:20 - 2017-11-08 16:09 - 000000000 ____D C:\Users\Gonzo\AppData\Local\PowerMonitor
    2017-10-29 18:17 - 2017-11-08 14:21 - 000002712 __RSH C:\ProgramData\ntuser.pol
    2017-10-29 18:17 - 2017-10-29 18:25 - 000000320 _____ C:\WINDOWS\Tasks\PjDfytumxbayONn.job
    2017-10-29 18:17 - 2017-10-29 18:17 - 000002864 _____ C:\WINDOWS\System32\Tasks\PjDfytumxbayONn2
    2017-10-29 18:17 - 2017-10-29 18:17 - 000002640 _____ C:\WINDOWS\System32\Tasks\PjDfytumxbayONn
    2017-10-29 18:15 - 2017-10-29 18:15 - 000003198 _____ C:\WINDOWS\System32\Tasks\MailRuUpdater
    2017-10-29 18:15 - 2017-10-29 18:15 - 000000000 ____D C:\ProgramData\Mail.Ru
    EmptyTemp:

    Po wykonaniu usun katalog C:\FRST.

    Uzyj tez AdwCleaner, opcja Scan/Szukaj i Clean/Usun: http://www.bleepingcomputer.com/download/adwcleaner/ oraz zrob pelny skan przy pomocy Mbam i usun to co wykryje:
    http://www.bleepingcomputer.com/download/malwarebytes-anti-malware/

    0
  • #5 16 Lis 2017 20:54
    siwykonik
    Poziom 7  

    Dzięki wielkie
    Pozdrawiam

    0