Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

[Rozwiązano] Windows 10 infekcja mail.ru

mlassota 20 Mar 2018 02:46 309 4
  • Pomocny post
    #2 20 Mar 2018 08:21
    Kolobos
    Spec od komputerów

    Odinstaluj Служба автоматического обновления программ

    Uzyj AdwCleaner, opcja Scan/Szukaj i Clean/Usun: http://www.bleepingcomputer.com/download/adwcleaner/

    Wykonaj Fixlist.txt dla FRST:
    CloseProcesses:
    Task: {3C547E71-8D5E-4652-8720-2E25900D9AD9} - System32\Tasks\MailRuUpdater => C:\Users\Maciek\AppData\Local\Mail.Ru\MailRuUpdater.exe [2018-03-02] (Mail.Ru) <==== UWAGA
    Task: {8ED5CE8F-023E-4832-91DE-3DB97A109F2C} - \Microsoft\Windows\UNP\RunCampaignManager -> Brak pliku <==== UWAGA
    (Mail.Ru) C:\Program Files (x86)\Mail.Ru\Update Service\mrupdsrv.exe
    (Mail.Ru) C:\Program Files (x86)\Mail.Ru\MailRuUpdater\MailRuUpdater.exe
    (Mail.Ru) C:\Users\Maciek\AppData\Local\Mail.Ru\MailRuUpdater.exe
    HKLM-x32\...\Run: [] => [X]
    HKU\S-1-5-21-245662910-1806222047-1963278469-1001\...\Run: [MailRuUpdater] => C:\Users\Maciek\AppData\Local\Mail.Ru\MailRuUpdater.exe [4053176 2018-03-02] (Mail.Ru) <==== UWAGA
    GroupPolicy: Ograniczenia <==== UWAGA
    GroupPolicy\User: Ograniczenia <==== UWAGA
    HKU\S-1-5-21-245662910-1806222047-1963278469-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://mail.ru/cnt/10445?gp=811600
    SearchScopes: HKU\S-1-5-21-245662910-1806222047-1963278469-1001 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={searchTerms}&fr=ntg&product_id=%7B172A0976-8E20-41D8-B637-46DCA76FD027%7D&gp=811610
    SearchScopes: HKU\S-1-5-21-245662910-1806222047-1963278469-1001 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={searchTerms}&fr=ntg&product_id=%7B172A0976-8E20-41D8-B637-46DCA76FD027%7D&gp=811610
    BHO-x32: Search(malpa)Mail.Ru -> {8E8F97CD-60B5-456F-A201-73065652D099} -> C:\Users\Maciek\AppData\Local\Mail.Ru\Sputnik\ie_addon_dll.dll [2018-03-20] (Mail.Ru)
    R2 mrupdsrv; C:\Program Files (x86)\Mail.Ru\Update Service\mrupdsrv.exe [1314008 2018-03-02] (Mail.Ru) <==== UWAGA
    R2 Updater.Mail.Ru; C:\Program Files (x86)\Mail.Ru\MailRuUpdater\MailRuUpdater.exe [4053176 2018-03-02] (Mail.Ru) <==== UWAGA
    2018-03-20 02:28 - 2018-03-20 02:28 - 000003204 _____ C:\WINDOWS\System32\Tasks\MailRuUpdater
    2018-03-20 02:28 - 2018-03-20 02:28 - 000000192 _____ C:\Users\Maciek\Desktop\Искать в Интернете.url
    2018-03-20 02:28 - 2018-03-20 02:28 - 000000000 ____D C:\Users\Maciek\AppData\Roaming\Smart Application Controller
    2018-03-20 02:28 - 2018-03-20 02:28 - 000000000 ____D C:\Users\Maciek\AppData\Local\Mail.Ru
    2018-03-20 02:28 - 2018-03-20 02:28 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Smart Application Controller
    2018-03-20 02:28 - 2018-03-20 02:28 - 000000000 ____D C:\Program Files (x86)\Smart Application Controller
    2018-03-20 02:28 - 2018-03-20 02:28 - 000000000 ____D C:\Program Files (x86)\Mail.Ru
    2018-03-20 02:27 - 2018-03-20 02:27 - 000000000 ____D C:\ProgramData\Mail.Ru

    Po wykonaniu zgraj zakladki z Chrome, odinstaluj przegladarke, usun katalog profilu z
    C:\Users\Maciek\AppData\Local\Google\Chrome\User Data\Default i zainstaluj Chrome ponownie.

    Usun katalog C:\FRST i to wszystko.

    0
  • #3 20 Mar 2018 10:43
    mlassota
    Poziom 18  

    Witam
    Coś jeszcze jest nie tak - jakieś odporne to dziadostwo
    Po wykonaniu wszystkich poleceń - odinstalowaniu Chrome usunięciu wskazanych folderów i jego ponownej instalacji pojawiają się rosyjskie dodatki i AdwCleaner znajduje popup

    W fixlog znalazłem wpisy

    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{3C547E71-8D5E-4652-8720-2E25900D9AD9} => niepowodzenie przy usuwaniu. Odmowa dostępu.
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\MailRuUpdater => niepowodzenie przy usuwaniu. Odmowa dostępu.
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{8ED5CE8F-023E-4832-91DE-3DB97A109F2C} => niepowodzenie przy usuwaniu. Odmowa dostępu.
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\UNP\RunCampaignManager => niepowodzenie przy usuwaniu. Odmowa dostępu.

    poniżej ponowny skan FRST

    0
  • Pomocny post
    #4 20 Mar 2018 11:04
    Kolobos
    Spec od komputerów

    Nie ma to znaczenia, zadania i tak zostaly usuniete.

    Wykonaj jeszcze taki Fixlist.txt:
    CHR HKLM-x32\...\Chrome\Extension: [bhjhnafpiilpffhglajcaepjbnbjemci] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [hcadgijmedbfgciegjomfpjcdchlhnif] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [indjgiebmakhmnaplnlnanodkfiejfjd] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [lhemechcanjmilllmccjbjldonmnnjjj] - hxxps://clients2.google.com/service/update2/crx
    2018-03-20 09:26 - 2018-03-20 10:36 - 000000000 ____D C:\AdwCleaner


    Dodatki sie pojawiaja bo logujesz sie na swoje konto google, na ktorym masz wyeksportowane szkodliwe ustawienia. Usun dane synchronizacji z konta:
    https://support.google.com/chromebook/answer/2914794?hl=pl

    0