Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Cmd wyskakuje i coś zaczyna pobierać

Naitel 06 Sty 2018 00:27 696 6
  • #1 06 Sty 2018 00:27
    Naitel
    Poziom 4  

    Witam miałem problem z znanym wirusem Mail.ru czy coś ala to. Po ściągnięciu jakiegoś programu niestety dostałem to w prezencie. Zareagowałem szybko czyszcząc adwCleanerem pc jak i zaninstalowalem Malwarebytes którym dodatkowo przeskanowałem pc i znalazlem jeszcze jakies wirusy i je usunąłem.

    Log z adw cleanera
    Cmd wyskakuje i coś zaczyna pobierać

    Niestety dalej coś mi chce się tak jakby połączyć. Blokuje to Malwarebytes (dodaje raport z programu)

    Malwarebytes
    www.malwarebytes.com

    -Szczegóły raportu-
    Data zdarzenia ochrony: 06.01.2018
    Czas zdarzenia ochrony: 00:03
    Plik raportu: 9da4a728-f26c-11e7-8f5f-2c56dc3dd2a8.json
    Administrator: Tak

    -Informacje o oprogramowaniu-
    Wersja: 3.3.1.2183
    Wersja komponentów: 1.0.262
    Aktualna wersja pakietu: 1.0.3634
    Licencja: Wersja próbna

    -Informacje o systemie-
    System operacyjny: Windows 7 Service Pack 1
    Procesor: x64
    System plików: NTFS
    Użytkownik: System

    -Szczegóły zablokowanej strony WWW-
    Złośliwa strona WWW: 1
    , , Zablokowano, [-1], [-1],0.0.0

    -Dane strony WWW-
    Kategoria: Nie określono
    Domena: liflingren.info
    Adres IP: 104.28.11.45
    Port: [49319]
    Typ: Wychodzące
    Plik: C:\Windows\System32\svchost.exe



    (end)

    udalo mi sie to zlapac
    Cmd wyskakuje i coś zaczyna pobierać


    Proszę o pomoc.

    Jeszcze dodaje skan frst

    0 6
  • Pomocny post
    #2 06 Sty 2018 11:00
    Kolobos
    Spec od komputerów

    Wykonaj Fixlist.txt dla FRST:
    Task: {06FFF80E-6654-4AA3-9550-AC868CA14AAC} - System32\Tasks\{009D68E3-DFD2-42BD-8AD4-F544A8987DBD} => "c:\program files (x86)\google\chrome\application\chrome.exe" hxxp://ui.skype.com/ui/0/7.26.0.101/pl/abando...tall?source=lightinstaller&page=tsInstall
    Task: {6A2FCA93-EF55-47D5-B5AB-C112A9941394} - System32\Tasks\{CF7CAE29-6E7D-481F-973B-7656D6824EF3} => "c:\program files (x86)\google\chrome\application\chrome.exe" hxxp://www.skype.com/go/downloading?source=li...nstaller&ver=7.26.0.101&LastError=404
    Task: {6D052695-BBE1-4C7D-9FCE-B283E6EC078C} - System32\Tasks\EcAoAaU => C:\Users\cooler\AppData\Roaming\aFloz.bat [2009-07-14] () <==== UWAGA
    Task: {DB6E0CA1-1552-4232-93B5-AF66555886E1} - System32\Tasks\apTRHciSwBVO => C:\Users\cooler\AppData\Local\EOCKoyA.bat [2009-07-14] () <==== UWAGA
    Task: {E49BD726-10C8-4B41-B2FF-196BFDA7B1A3} - System32\Tasks\uzALNdDgO => C:\Users\cooler\ceIoVY.exe [2016-11-09] (Microsoft Corporation)
    HKU\S-1-5-21-1045662351-3825437556-1065694825-1000\...\MountPoints2: E - E:\Bin\ASSETUP.exe
    HKU\S-1-5-21-1045662351-3825437556-1065694825-1000\...\MountPoints2: {c76108cd-3586-11e7-a925-2c56dc3dd2a8} - F:\HiSuiteDownLoader.exe
    HKU\S-1-5-21-1045662351-3825437556-1065694825-1000\...\MountPoints2: {c76108d0-3586-11e7-a925-2c56dc3dd2a8} - F:\HiSuiteDownLoader.exe
    HKU\S-1-5-21-1045662351-3825437556-1065694825-1000\...\MountPoints2: {e5493646-73d8-11e7-a9b3-2c56dc3dd2a8} - I:\HiSuiteDownLoader.exe
    Startup: C:\Users\cooler\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Wysyłanie do programu OneNote.lnk [2017-04-27]
    ShortcutTarget: Wysyłanie do programu OneNote.lnk -> C:\Program Files\Microsoft Office\root\Office16\ONENOTEM.EXE (Brak pliku)
    GroupPolicy: Ograniczenia <==== UWAGA
    GroupPolicy\User: Ograniczenia <==== UWAGA
    S3 BEDaisy; \??\C:\Program Files (x86)\Common Files\BattlEye\BEDaisy.sys [X]
    S3 GPUZ; \??\C:\Users\cooler\AppData\Local\Temp\GPUZ.sys [X] <==== UWAGA
    S3 X6va038; \??\C:\Windows\SysWOW64\Drivers\X6va038 [X]
    S3 xhunter1; \??\C:\Windows\xhunter1.sys [X]
    2018-01-05 23:20 - 2018-01-06 00:03 - 000000000 ____D C:\AdwCleaner
    2018-01-05 22:10 - 2018-01-06 01:01 - 000003482 _____ C:\Windows\System32\Tasks\apTRHciSwBVO
    2018-01-05 22:10 - 2018-01-05 22:11 - 000000000 ____D C:\Users\cooler\AppData\LocalLow\Unity
    2018-01-05 22:10 - 2018-01-05 22:11 - 000000000 ____D C:\Users\cooler\AppData\Local\Unity
    2018-01-05 22:10 - 2018-01-05 22:11 - 000000000 ____D C:\Users\cooler\AppData\Local\Go!
    2018-01-05 22:10 - 2018-01-05 22:10 - 000003604 _____ C:\Windows\System32\Tasks\uzALNdDgO
    2018-01-05 22:10 - 2018-01-05 22:10 - 000003280 _____ C:\Windows\System32\Tasks\EcAoAaU
    2018-01-05 22:10 - 2016-11-09 16:55 - 000073216 _____ (Microsoft Corporation) C:\Users\cooler\ceIoVY.exe
    2018-01-05 22:10 - 2010-11-20 13:16 - 000186368 _____ (Microsoft Corporation) C:\Users\cooler\AppData\Roaming\uQYoGCygAi.exe
    2018-01-05 22:10 - 2009-07-14 02:14 - 000001109 _____ C:\Users\cooler\AppData\Roaming\XiTGuRKIZY
    2018-01-05 22:10 - 2009-07-14 02:14 - 000000073 _____ C:\Users\cooler\AppData\Local\EOCKoyA
    2018-01-05 22:10 - 2009-07-14 02:14 - 000000072 _____ C:\Users\cooler\AppData\Roaming\aFloz
    2018-01-05 22:10 - 2016-11-09 16:55 - 000073216 _____ (Microsoft Corporation) C:\Users\cooler\ceIoVY.exe
    2018-01-05 22:10 - 2009-07-14 02:14 - 000001472 _____ () C:\Program Files (x86)\Common Files\tXpZbAW
    2009-07-14 02:14 - 2009-07-14 02:14 - 000001472 _____ () C:\Program Files (x86)\Common Files\tXpZbAW.bat
    2018-01-05 22:10 - 2009-07-14 02:14 - 000000072 _____ () C:\Users\cooler\AppData\Roaming\aFloz
    2009-07-14 02:14 - 2009-07-14 02:14 - 000000072 ____N () C:\Users\cooler\AppData\Roaming\aFloz.bat
    2018-01-05 22:10 - 2010-11-20 13:16 - 000186368 _____ (Microsoft Corporation) C:\Users\cooler\AppData\Roaming\uQYoGCygAi.exe
    2018-01-05 22:10 - 2009-07-14 02:14 - 000001109 _____ () C:\Users\cooler\AppData\Roaming\XiTGuRKIZY
    2009-07-14 02:14 - 2009-07-14 02:14 - 000001109 ____N () C:\Users\cooler\AppData\Roaming\XiTGuRKIZY.bat
    2018-01-05 22:10 - 2009-07-14 02:14 - 000000073 _____ () C:\Users\cooler\AppData\Local\EOCKoyA
    2009-07-14 02:14 - 2009-07-14 02:14 - 000000073 _____ () C:\Users\cooler\AppData\Local\EOCKoyA.bat
    EmptyTemp:

    Po wykonaniu zamiesc nowe logi z FRST, ze skanowania.

    0
  • Pomocny post
    #4 06 Sty 2018 11:43
    Kolobos
    Spec od komputerów

    Najlepiej zgraj zakladki z FF i usun katalog profilu z:
    C:\Users\cooler\AppData\Roaming\Mozilla\Firefox\Profiles\m977ac00.default

    Usun tez skrot z C:\Users\cooler\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Wysyłanie do programu OneNote.lnk

    0
  • #5 06 Sty 2018 12:10
    Naitel
    Poziom 4  

    Zrobiłem jak powiedziałeś i chyba pomogło. Na ten moment przy odpaleniu pc nie odnotowałem ponownego blokowania czegokolwiek przez Malwarebytes. Dodać jeszcze jakiś skan?

    0
  • Pomocny post
    #6 06 Sty 2018 12:26
    Kolobos
    Spec od komputerów

    Nie trzeba, to juz wszystko. Usun tylko katalog C:\FRST.

    0
  • #7 06 Sty 2018 12:30
    Naitel
    Poziom 4  

    Dziękuję za pomoc. Temat zamykam.

    0