Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

[Rozwiązano] Rosyjski wirus restarujący router co kilka minut + sprawdzenie logów

aanfall 15 Mar 2018 07:15 315 6
  • #1 15 Mar 2018 07:15
    aanfall
    Poziom 6  

    Witam,

    Jestem przed zrobieniem obrazu systemu i wypaleniem płyty do przywracania systemu Win7. Ściągnąłem kilka programów i niestety w jednym z nich była przykra niespodzianka między innymi wirus który restartuje router co kilka min(rosyjski wnioskując po alfabecie - cyrylica), adwcleaner i mksvir online sobie z nim nie poradził.

    Proszę o sprawdzenie logów bo robienie obrazu systemu z chwastami mija sięz celem.

    Ew porady co jeszcze zrobić przed zrobieniem obrazu systemu mile widziane.

    Logi w załączniku.
    Proszę o pomoc.

    Pozdrawiam

    0 6
  • #2 15 Mar 2018 08:17
    krzychupar
    Poziom 40  

    Otwórz notatnik systemowy i wklej:

    Task: {4CD97CE3-FC79-4DA6-8AD3-7BDE98E15D89} - System32\Tasks\Opera scheduled Autoupdate 1485996628 => C:\Program Files (x86)\Opera\launcher.exe [2018-03-08] (Opera Software)
    Task: {4D38826C-550A-4A4F-B80D-816300AAA8FC} - System32\Tasks\Steam-S-1-8-22 => C:\Windows\explorer.exe hxxp://altakho.ru <==== UWAGA
    Task: {7333D373-6F0C-4BAB-BCC6-CE044C633110} - \AutoPico Daily Restart -> Brak pliku <==== UWAGA
    Task: {F6A311BE-ED2D-4E56-A23F-CE73E88F064A} - System32\Tasks\etdctrl => C:\Users\Admin\AppData\Local\etdctrl\etdctrl.exe [2018-03-15] () <==== UWAGA
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA
    HKU\S-1-5-21-3321522599-3355825572-2417623084-1000\...\Run: [ycAutoLaunch_8805AEDEE4378A1CB9BB932D43532D08] => C:\Users\Admin\AppData\Local\yc\Application\yc.exe [1591808 2018-03-14] (The Chromium Authors) <==== UWAGA
    HKU\S-1-5-21-3321522599-3355825572-2417623084-1000\...\Run: [fcynhehrhy] => explorer "hxxp://granena.ru/?utm_source=uoua03n&utm_content=e739009bccd5f1e6d71a91bff5994529&utm_term=E5A42FA23392A42D940CF047348898F3&utm_d=20180314" <==== UWAGA
    HKU\S-1-5-21-3321522599-3355825572-2417623084-1000\...\MountPoints2: G - G:\setup.EXE /AUTORUN
    GroupPolicy: Ograniczenia - Windows Defender <==== UWAGA
    GroupPolicy\User: Ograniczenia <==== UWAGA
    Tcpip\Parameters: [DhcpNameServer] 31.11.202.254 37.8.214.2
    Tcpip\..\Interfaces\{5CC1F765-36F6-45C9-9646-1F59BB43C0BA}: [DhcpNameServer] 31.11.202.254 37.8.214.2
    HKU\S-1-5-21-3321522599-3355825572-2417623084-1000\Software\Microsoft\Internet Explorer\Main,Start Page =
    SearchScopes: HKU\S-1-5-21-3321522599-3355825572-2417623084-1000 -> DefaultScope {A06ED961-D98F-4CF9-A89B-80AB11DB149C} URL = hxxp://go-search.ru/search?q={searchTerms}
    SearchScopes: HKU\S-1-5-21-3321522599-3355825572-2417623084-1000 -> {A06ED961-D98F-4CF9-A89B-80AB11DB149C} URL = hxxp://go-search.ru/search?q={searchTerms}
    SearchScopes: HKU\S-1-5-21-3321522599-3355825572-2417623084-1000 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={searchTerms}&fr=ntg&product_id=%7B0CAF7008-4B11-41D7-AC15-5899CF64C353%7D&gp=855500
    FF Homepage: Mozilla\Firefox\Profiles\h2vljwl4.default-1512435453010 -> hxxp://mail.ru/cnt/10445?gp=811009
    FF Extension: (IDM integration) - C:\Program Files (x86)\Internet Download Manager\idmmzcc2.xpi [2017-01-26] [Przestarzałe]
    OPR StartupUrls: "hxxp://granena.ru/?utm_content=31b5cebd524a9af6c7a772dca81815e9&utm_source=startpm&utm_term=a2d184f6c96d44db70352434e1e8487d&utm_d=20180314"
    2018-03-15 06:50 - 2017-12-25 22:08 - 000000000 ____D C:\AdwCleaner
    C:\Users\Admin\AppData\Local\yc\Application\yc.exe

    EmptyTemp:

    Plik zapisz pod nazwą fixlist.txt i umieść w folderze, gdzie masz FRST.exe.
    Uruchom FRST i kliknij w Fix/Napraw.

    0
  • Pomocny post
    #3 15 Mar 2018 08:22
    Kolobos
    Spec od komputerów

    Wykonaj Fixlist.txt dla FRST:
    CloseProcesses:
    Task: {4CD97CE3-FC79-4DA6-8AD3-7BDE98E15D89} - System32\Tasks\Opera scheduled Autoupdate 1485996628 => C:\Program Files (x86)\Opera\launcher.exe [2018-03-08] (Opera Software)
    Task: {4D38826C-550A-4A4F-B80D-816300AAA8FC} - System32\Tasks\Steam-S-1-8-22 => C:\Windows\explorer.exe hxxp://altakho.ru <==== UWAGA
    Task: {72EF82C9-9075-44B4-9BA3-F0059B65EDA7} - System32\Tasks\Odkurzacz => C:\Program Files (x86)\Odkurzacz\odkurzacz.exe [2017-01-18] (FranmoSoftware)
    Task: {7333D373-6F0C-4BAB-BCC6-CE044C633110} - \AutoPico Daily Restart -> Brak pliku <==== UWAGA
    Task: {91BA097A-234A-4698-AA66-04FF00EC34B1} - System32\Tasks\klcp_update => C:\Program Files (x86)\K-Lite Codec Pack\Tools\CodecTweakTool.exe [2015-11-06] ()
    Task: {B00BBC3A-BDF5-4A9E-8A2B-7152B5E2664C} - System32\Tasks\{04050A47-097F-0B7D-0D11-780F0F0A117F} => C:\Windows\system32\WindowsPowershell\v1.0\powershell.exe -nologo -executionpolicy bypass -noninteractive -windowstyle hidden -EncodedCommand
    Task: {F6A311BE-ED2D-4E56-A23F-CE73E88F064A} - System32\Tasks\etdctrl => C:\Users\Admin\AppData\Local\etdctrl\etdctrl.exe [2018-03-15] () <==== UWAGA
    () C:\Windows\System32\AppFrameHost.exe
    (© 2015 Microsoft Corporation) C:\Users\Admin\AppData\Local\Microsoft\BingSvc\BingSvc.exe
    (The Chromium Authors) C:\Users\Admin\AppData\Local\yc\Application\yc.exe
    (The Chromium Authors) C:\Users\Admin\AppData\Local\yc\Application\yc.exe
    (The Chromium Authors) C:\Users\Admin\AppData\Local\yc\Application\yc.exe
    (The Chromium Authors) C:\Users\Admin\AppData\Local\yc\Application\yc.exe
    (The Chromium Authors) C:\Users\Admin\AppData\Local\yc\Application\yc.exe
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA
    HKU\S-1-5-21-3321522599-3355825572-2417623084-1000\...\Run: [BingSvc] => C:\Users\Admin\AppData\Local\Microsoft\BingSvc\BingSvc.exe [144008 2015-12-26] (© 2015 Microsoft Corporation)
    HKU\S-1-5-21-3321522599-3355825572-2417623084-1000\...\Run: [ycAutoLaunch_8805AEDEE4378A1CB9BB932D43532D08] => C:\Users\Admin\AppData\Local\yc\Application\yc.exe [1591808 2018-03-14] (The Chromium Authors) <==== UWAGA
    HKU\S-1-5-21-3321522599-3355825572-2417623084-1000\...\Run: [KometaAutoLaunch_AA6866A11F41B448D122596B48E4CE54] => "C:\Users\Admin\AppData\Local\Kometa\Application\kometa.exe" --no-startup-window /prefetch:5
    HKU\S-1-5-21-3321522599-3355825572-2417623084-1000\...\Run: [fcynhehrhy] => explorer "hxxp://granena.ru/?utm_source=uoua03n&utm_content=e739009bccd5f1e6d71a91bff5994529&utm_term=E5A42FA23392A42D940CF047348898F3&utm_d=20180314" <==== UWAGA
    HKU\S-1-5-21-3321522599-3355825572-2417623084-1000\...\MountPoints2: G - G:\setup.EXE /AUTORUN
    GroupPolicy: Ograniczenia - Windows Defender <==== UWAGA




    GroupPolicy\User: Ograniczenia <==== UWAGA
    HKU\S-1-5-21-3321522599-3355825572-2417623084-1000\Software\Microsoft\Internet Explorer\Main,Start Page =
    SearchScopes: HKU\S-1-5-21-3321522599-3355825572-2417623084-1000 -> DefaultScope {A06ED961-D98F-4CF9-A89B-80AB11DB149C} URL = hxxp://go-search.ru/search?q={searchTerms}
    SearchScopes: HKU\S-1-5-21-3321522599-3355825572-2417623084-1000 -> {A06ED961-D98F-4CF9-A89B-80AB11DB149C} URL = hxxp://go-search.ru/search?q={searchTerms}
    SearchScopes: HKU\S-1-5-21-3321522599-3355825572-2417623084-1000 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={searchTerms}&fr=ntg&product_id=%7B0CAF7008-4B11-41D7-AC15-5899CF64C353%7D&gp=855500
    FF Homepage: Mozilla\Firefox\Profiles\h2vljwl4.default-1512435453010 -> hxxp://mail.ru/cnt/10445?gp=811009
    FF NewTabOverride: Mozilla\Firefox\Profiles\h2vljwl4.default-1512435453010 -> Enabled: {a38384b3-2d1d-4f36-bc22-0f7ae402bcd7}
    C:\Program Files (x86)\Mozilla Firefox\browser\features\{A5FD4672-4D73-4F90-A1C0-2ABD39DB2565}.xpi
    FF Extension: (__MSG_appName__) - C:\Program Files (x86)\Mozilla Firefox\browser\features\{A5FD4672-4D73-4F90-A1C0-2ABD39DB2565}.xpi [2018-03-14] [Brak podpisu cyfrowego]
    CHR HKLM\...\Chrome\Extension: [ngpampappnmepgilojfohadhhmbhlaek] - C:\Program Files (x86)\Internet Download Manager\IDMGCExt.crx [2017-10-06]
    CHR HKLM-x32\...\Chrome\Extension: [ngpampappnmepgilojfohadhhmbhlaek] - C:\Program Files (x86)\Internet Download Manager\IDMGCExt.crx [2017-10-06]
    OPR StartupUrls: "hxxp://granena.ru/?utm_content=31b5cebd524a9af6c7a772dca81815e9&utm_source=startpm&utm_term=a2d184f6c96d44db70352434e1e8487d&utm_d=20180314"
    OPR Extension: (AdBlock) - C:\Users\Admin\AppData\Roaming\Opera Software\Opera Stable\Extensions\aobdicepooefnbaeokijohmhjlleamfj [2017-03-11]
    OPR Extension: (Bloker reklam AdGuard) - C:\Users\Admin\AppData\Roaming\Opera Software\Opera Stable\Extensions\bopfaehpakahokaelnomggbohfbimcia [2018-03-14]
    C:\Users\Admin\AppData\Roaming\Opera Software\Opera Stable\Extensions\bopfaehpakahokaelnomggbohfbimcia
    OPR Extension: (Adblocker for Youtube™) - C:\Users\Admin\AppData\Roaming\Opera Software\Opera Stable\Extensions\kedpicenkkndemblkfpnngmcihdfhndn [2018-03-14]
    C:\Users\Admin\AppData\Roaming\Opera Software\Opera Stable\Extensions\kedpicenkkndemblkfpnngmcihdfhndn
    OPR Extension: (ae) - C:\Users\Admin\AppData\Roaming\Opera Software\Opera Stable\Extensions\lndiecnlfaibiffoeijpjnblnmdlcpog [2018-03-14]
    C:\Users\Admin\AppData\Roaming\Opera Software\Opera Stable\Extensions\lndiecnlfaibiffoeijpjnblnmdlcpog
    R2 AppFrameHost; C:\Windows\system32\AppFrameHost.exe [960512 2018-03-14] () [Brak podpisu cyfrowego]
    2018-03-14 19:48 - 2018-03-14 19:48 - 001227063 _____ C:\Users\Admin\Downloads\63572e1c-7aa1-4fc2-8b7f-ac353e47e2fc.tmp
    2018-03-14 19:15 - 2018-03-14 19:15 - 000003376 _____ C:\Windows\System32\Tasks\Steam-S-1-8-22
    2018-03-14 19:15 - 2018-03-14 19:15 - 000000000 ____D C:\ProgramData\Arcabit
    2018-03-14 19:13 - 2018-03-14 19:13 - 000000000 ____D C:\Users\Admin\AppData\Local\yvxxOSvvvpXeZpQog
    2018-03-14 19:12 - 2018-03-14 19:12 - 000000266 __RSH C:\Users\Admin\ntuser.pol
    2018-03-14 19:08 - 2018-03-14 19:08 - 000024576 _____ C:\Windows\System32\Tasks\{04050A47-097F-0B7D-0D11-780F0F0A117F}
    2018-03-14 19:04 - 2018-03-14 19:07 - 000960512 _____ C:\Windows\system32\AppFrameHost.exe
    2018-03-14 19:04 - 2018-03-14 19:06 - 000000000 ____D C:\Users\Admin\AppData\Local\yc
    2018-03-14 19:02 - 2018-03-15 05:19 - 000000000 ____D C:\Users\Admin\AppData\Local\etdctrl
    2018-03-14 19:02 - 2018-03-14 19:02 - 000003422 _____ C:\Windows\System32\Tasks\etdctrl
    2018-03-14 19:00 - 2018-03-14 19:00 - 000003890 _____ C:\Windows\System32\Tasks\Opera scheduled Autoupdate 1485996628
    2018-03-09 16:50 - 2018-03-09 16:50 - 000000000 ____D C:\ProgramData\mks_vir
    2018-03-09 16:50 - 2018-03-09 16:50 - 000000000 ____D C:\Program Files\mks_vir_online
    2018-03-08 15:14 - 2018-03-08 15:14 - 008222496 _____ (Malwarebytes) C:\Users\Admin\Downloads\adwcleaner_7.0.8.0(1).exe
    2018-03-02 01:32 - 2018-03-02 01:32 - 000479989 _____ ( ) C:\Users\Admin\Downloads\flash-player.exe
    2018-03-15 06:50 - 2017-12-25 22:08 - 000000000 ____D C:\AdwCleaner
    C:\Users\Admin\AppData\Local\yc\Application\yc.exe
    EmptyTemp:

    Po wykonaniu zrob pelny skan przy pomocy Mbam i usun to co wykryje:
    http://www.bleepingcomputer.com/download/malwarebytes-anti-malware/

    Na koniec zamiesc nowe logi z FRST, ze skanowania.

    0
  • Pomocny post
    #5 15 Mar 2018 11:14
    Kolobos
    Spec od komputerów

    Usun katalog C:\FRST i to wszystko o ile problem juz nie wystepuje.

    0
  • #6 15 Mar 2018 11:20
    aanfall
    Poziom 6  

    Dzięki za pomoc wszystko ok.

    0
  • #7 15 Mar 2018 11:21
    aanfall
    Poziom 6  

    Dzięki za pomoc wszystko ok.

    Dodano po 1 [minuty]:

    wg instrukcji w poście

    0