Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Uporczywe reklamy i wirus - Komputer został zainfekowany złośliwym oprogramowani

malishh 20 Mar 2018 20:28 318 3
  • #1 20 Mar 2018 20:28
    malishh
    Poziom 2  

    Witam,

    przez jakiś czas mój komputer użytkowany był przez mało uważnego użytkownika i doszło do jego infekcji. Nie mam zatem pojęcia co dokładnie zostało zainstalowane, mogę ewentualnie opisać objawy. Zaczęło się od sparaliżowania programu antywirusowego (Avast) i braku możliwości zainstalowania jakiegokolwiek innego. Problem rozwiązałem przy użyciu programów FRST64 i adwcleaner 7.0.8.0.

    Do tej pory zmagam się z bardzo uciążliwymi reklamami counterflix na niektórych stronach (np. Allegro), brakiem możliwości wyszukiwania miejsc w mapach Google (mapy działają, jednak nie ma reakcji na przycisk szukaj). Używam przeglądarek Opera oraz Firefox. Ponadto przy włączaniu komputera pojawia się taki ekran (patrz zdjęcia). Mimo wszystko Windows (Windows 7) startuje po wydaniu komendy "uruchom system Windows normalnie". Zmieniła się również grafika ładowania systemu. Poza tym komputer działa stabilnie, nie ma problemu w grach itd..

    Dołączam logi z programów SFRT64 i adwcleaner

    Uporczywe reklamy i wirus - Komputer został zainfekowany złośliwym oprogramowaniUporczywe reklamy i wirus - Komputer został zainfekowany złośliwym oprogramowaniUporczywe reklamy i wirus - Komputer został zainfekowany złośliwym oprogramowani

    0 3
  • Pomocny post
    #2 20 Mar 2018 23:41
    krzychupar
    Poziom 40  

    Otwórz notatnik systemowy i wklej:

    Task: {6A084D53-9549-45AF-9AED-735EA0812812} - System32\Tasks\Opera scheduled Autoupdate 1397233846 => C:\Program Files (x86)\Opera\launcher.exe [2018-03-08] (Opera Software)
    Task: C:\Windows\Tasks\{274CFACA-0DA8-05B9-67A2-B454F33FE200}.job => C:\Windows\system32\regsvr32.exe3/s /n /i:/rt C:\PROGRA~3\6661714d\27d93065.dll <==== UWAGA
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA
    HKU\S-1-5-21-3438932245-822929586-573189095-1000\...\MountPoints2: {2feda5e9-1fe6-11e4-a1f3-0009dd601079} - H:\AutoRun.exe
    HKU\S-1-5-21-3438932245-822929586-573189095-1000\...\MountPoints2: {4a44d4f8-58e1-11e7-89a2-4437e6ae75c0} - G:\HiSuiteDownLoader.exe
    HKU\S-1-5-21-3438932245-822929586-573189095-1000\...\MountPoints2: {6ba64ac1-b9b4-11e2-bb1c-806e6f6e6963} - E:\autorun.bat
    HKU\S-1-5-21-3438932245-822929586-573189095-1000\...\MountPoints2: {d3f914fc-1e5f-11e4-8023-0009dd601079} - H:\ICM_ML.exe
    HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE ->
    Tcpip\Parameters: [NameServer] 82.163.143.176 82.163.142.178
    Tcpip\..\Interfaces\{B30E4625-D83C-403F-899B-20A2B483B090}: [NameServer] 82.163.143.176 82.163.142.178
    HKU\S-1-5-21-3438932245-822929586-573189095-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%6...VTJFWGLlJIc4wsEZmFIrKWymr3CK3xHwkWIw,,&q={searchTerms}
    HKU\S-1-5-21-3438932245-822929586-573189095-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://%66%65%65%64.%68%65%6C%70%65%72%62%61...0viJeVPuIVnl5UueT6kiLmOovT9CBk2loZS-cPdQpzg,,,,
    SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://search.delta-homes.com/web/?utm_source...p;uid=SAMSUNGXHD252HJ_S17HJ9BS400853&ts=0
    SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://search.delta-homes.com/web/?utm_source...p;uid=SAMSUNGXHD252HJ_S17HJ9BS400853&ts=0




    SearchScopes: HKLM-x32 -> DefaultScope - brak wartości
    Toolbar: HKLM - Brak nazwy - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - Brak pliku
    Toolbar: HKLM - Brak nazwy - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - Brak pliku
    FF Extension: (HP Smart Web Printing) - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 [2015-02-02] [Przestarzałe] [Brak podpisu cyfrowego]
    FF HKU\S-1-5-21-3438932245-822929586-573189095-1000\...\Firefox\Extensions: [acewebextension@acestream.org] - C:\Users\Malish\AppData\Roaming\ACEStream\extensions\awe\firefox\acewebextension.xpi => nie znaleziono
    FF Plugin HKU\S-1-5-21-3438932245-822929586-573189095-1000: @acestream.net/acestreamplugin,version=3.1.1 -> C:\Users\Malish\AppData\Roaming\ACEStream\player\npace_plugin.dll [Brak pliku]
    CHR HKU\S-1-5-21-3438932245-822929586-573189095-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [mjbepbhonbojpoaenhckjocchgfiaofo] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] - hxxps://clients2.google.com/service/update2/crx
    S2 StarWindServiceAE; C:\Program Files (x86)\Alcohol Soft\Alcohol 52\StarWind\StarWindServiceAE.exe [X]
    S2 WinDefender; C:\Windows\windefender.exe [X]
    U3 a6qh54di; C:\Windows\System32\Drivers\a6qh54di.sys [0 ] (Advanced Micro Devices) <==== UWAGA (zerobajtowy plik/folder)
    S4 NVHDA; system32\drivers\nvhda64v.sys [X]
    S4 nvlddmkm; system32\DRIVERS\nvlddmkm.sys [X]
    S3 Winmon; \??\C:\Windows\System32\drivers\Winmon.sys [X]
    S3 WinmonFS; \??\C:\Windows\System32\drivers\WinmonFS.sys [X]
    S1 WinmonProcessMonitor; \??\C:\Windows\System32\drivers\WinmonProcessMonitor.sys [X]
    2018-03-20 19:10 - 2015-10-28 22:03 - 000000000 ___DC C:\AdwCleaner
    2018-01-29 23:07 - 2018-01-29 23:07 - 007570944 ____C () C:\Users\Malish\AppData\Local\agent.dat
    2018-01-29 23:07 - 2018-01-29 23:07 - 000070896 ____C () C:\Users\Malish\AppData\Local\Config.xml
    2018-01-29 23:07 - 2018-01-29 23:07 - 001983705 ____C () C:\Users\Malish\AppData\Local\Icetex.tst
    2018-01-29 23:06 - 2018-01-29 23:06 - 000140800 ____C () C:\Users\Malish\AppData\Local\installer.dat
    2018-01-29 23:07 - 2018-01-29 23:07 - 000005568 ____C () C:\Users\Malish\AppData\Local\md.xml
    2018-01-29 23:07 - 2018-01-29 23:07 - 000126464 ____C () C:\Users\Malish\AppData\Local\noah.dat
    2018-01-29 23:07 - 2018-01-29 23:07 - 000032038 ____C () C:\Users\Malish\AppData\Local\uninstall_temp.ico
    C:\Windows\Tasks\{080B0E47-7A7F-7F7D-7D11-0C787D04110C}.job
    C:\Windows\Tasks\{274CFACA-0DA8-05B9-67A2-B454F33FE200}.job
    C:\Windows\Tasks\{7E087D47-050A-097E-0511-7A097E0E110E}.job

    EmptyTemp:

    Plik zapisz pod nazwą fixlist.txt i umieść w folderze, gdzie masz FRST.exe.
    Uruchom FRST i kliknij w Fix/Napraw.

    0
  • #3 21 Mar 2018 01:02
    malishh
    Poziom 2  

    Rewelacja, problem z przeglądarką rozwiązany. Dziękuję bardzo. A czy da się coś zrobić ze startem systemu?

    0