Elektroda.pl
Elektroda.pl
X

Search our partners

Find the latest content on electronic components. Datasheets.com
Elektroda.pl
Please add exception to AdBlock for elektroda.pl.
If you watch the ads, you support portal and users.

[Solved] Rosyjskie reklamy z paniami, spowolniony laptop

21 Dec 2017 15:52 573 14
  • IT specialist
    Zamiesc w zalaczniku wymagane logi z FRST, jak wszyscy w tym dziale!
  • IT specialist
    Obok frst.exe utworz plik Fixlist.txt z zawartoscia:
    Task: {55BE258D-8CDA-41C7-8683-550369E9203E} - System32\Tasks\geektonete5a => "" [Argument = geekto.net/e5a]
    HKLM-x32\...\Run: [PADOPAFIFOPKHKN] => C:\ProgramData\Microsoft\pool 32bit.exe [70656 2017-12-14] ()
    HKLM-x32\...\Run: [BADGLMFGFOPGLOB] => C:\ProgramData\Microsoft\pool 32bit.exe [70656 2017-12-14] ()
    HKLM-x32\...\Run: [SunJavaUpdateSched] => C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe [587288 2017-09-05] (Oracle Corporation)
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA
    GroupPolicy: Ograniczenia <==== UWAGA
    GroupPolicy\User: Ograniczenia <==== UWAGA
    HKU\S-1-5-21-770303237-719257357-2482713325-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://mail.ru/cnt/10445?gp=811141
    SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
    SearchScopes: HKLM-x32 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
    SearchScopes: HKU\S-1-5-21-770303237-719257357-2482713325-1000 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL =
    FF Homepage: Mozilla\Firefox\Profiles\42t52bbp.default -> hxxp://mail.ru/cnt/10445?gp=811141
    CHR HomePage: Default -> hxxp://mail.ru/cnt/10445?gp=855103
    2017-12-14 13:06 - 2017-12-14 13:20 - 000000000 ____D C:\Users\MSI\AppData\Local\Unity
    2017-12-14 13:06 - 2017-12-14 13:15 - 000000000 ____D C:\Users\MSI\AppData\LocalLow\Unity
    2017-12-14 13:05 - 2017-12-14 13:15 - 000000000 ____D C:\Users\MSI\AppData\Local\Go!
    2017-12-14 13:04 - 2017-12-14 13:04 - 000000001 _____ C:\Users\MSI\AppData\Local\WMI.ini
    2017-12-14 13:04 - 2010-11-20 03:16 - 000186368 _____ (Microsoft Corporation) C:\Windows\SysWOW64\9165726.exe
    2017-12-14 13:04 - 2009-07-14 02:14 - 000001068 _____ C:\Users\MSI\AppData\Local\XNTWEMgpmO
    2017-12-14 13:04 - 2009-07-14 02:14 - 000001057 _____ C:\Users\MSI\AppData\Local\pXWZeydpgaO
    2017-12-14 13:02 - 2017-12-14 13:11 - 000003478 _____ C:\Windows\System32\Tasks\geektonete5a
    2017-12-14 11:03 - 2017-12-14 13:16 - 000000000 ____D C:\Users\MSI\AppData\Local\Mail.Ru
    2017-12-14 11:03 - 2017-12-14 13:03 - 000000000 ____D C:\ProgramData\Mail.Ru
    2017-12-14 11:03 - 2017-12-14 11:03 - 000000000 ___HD C:\Windows\system32\GroupPolicy
    2017-12-14 02:09 - 2017-12-14 19:26 - 000003584 _____ () C:\Users\MSI\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
    2017-12-14 13:04 - 2009-07-14 02:14 - 000001057 _____ () C:\Users\MSI\AppData\Local\pXWZeydpgaO
    2009-07-14 02:14 - 2009-07-14 02:14 - 000001057 _____ () C:\Users\MSI\AppData\Local\pXWZeydpgaO.bat
    2017-12-14 01:19 - 2017-12-14 01:19 - 000000994 _____ () C:\Users\MSI\AppData\Local\recently-used.xbel
    2017-12-14 13:04 - 2017-12-14 13:04 - 000000001 _____ () C:\Users\MSI\AppData\Local\WMI.ini
    2017-12-14 13:04 - 2009-07-14 02:14 - 000001068 _____ () C:\Users\MSI\AppData\Local\XNTWEMgpmO
    2009-07-14 02:14 - 2009-07-14 02:14 - 000001068 _____ () C:\Users\MSI\AppData\Local\XNTWEMgpmO.bat

    W FRST wybierz Napraw.

    Usun katalog C:\FRST.
  • IT specialist
    Czy reklamy nadal się wyswietlają?
  • Level 4  
    TAK, i to jest chyba ten popularny i groźny wirus Mail.Ru męczę się z nim już 2 tygodnie i nie wiem czy wgl da się go usunąć w całości z systemu, mój system też strasznie spowolnił i się zacina
  • IT specialist
    To nie jest wirus, a tym bardziej groźny.

    W logach już nie widać infekcji.

    Wykonaj jeszcze taki Fixlist.txt:
    Task: {55BE258D-8CDA-41C7-8683-550369E9203E} - \geektonete5a -> Brak pliku <==== UWAGA


    W której przeglądarce wyświetlają się reklamy Firefox czy Chrome?


    Zamieść tez screeny z całych okien z:
    CrystalDiskInfo: http://portableapps.com/apps/utilities/crystaldiskinfo_portable
    oraz:
    Process Explorer: https://technet.microsoft.com/pl-pl/sysinternals/processexplorer
  • Helpful post
    IT specialist
    Zgraj zakładki z Chrome o ile są Ci potrzebne i usuń katalog profilu przeglądarki z C:\Users\MSI\AppData\Local\Google\Chrome\User Data\Default
    Jeżeli synchronizujesz ustawienia Chrome z konta Google to usuń rownież dane synchronizacji z konta.
  • Level 4  
    Ale tak ogólnie te reklamy to żaden wirus??
  • Helpful post
    IT specialist
    Nie, to tylko szkodliwy rosyjski program wyswietlający reklamy.
  • Helpful post
    IT specialist
    Wyświetla nachalne reklamy, spowalnia działanie przeglądarki, to raczej szkodliwe działania ;-)
  • Level 4  
    Stosowałem się do instrukcji.