Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Wirusy LITE , ruski mail TROJAN ! FRST

OnSide 19 Kwi 2018 16:40 345 9
  • #1 19 Kwi 2018 16:40
    OnSide
    Poziom 2  

    Witam.
    Mam problem, otóż od kilku dni otwierają mi się rosyjskie reklamy, wyszukiwarka zawarowała i otwiera rosyjskie strony. Przed filmami na YT wyskakuje reklama za reklamą. Usuwałem z przeglądarek dodatki, które same się wgrały jednak to wraca. Wyczytałem tyle, że jest to wirus i szybko możecie mi pomóc jeśli wkleję logi z FRST. Tak więc robię w załączniku, bo w temacie jestem kompletnie zielony. Da radę coś zdziałać?

    0 9
  • #3 19 Kwi 2018 18:42
    OnSide
    Poziom 2  

    Zrobiłem jak pisałeś i to powinno pomóc tak ? Do tego pytanko. Instalowały sie z tego badziewia takie apki. Jak sie ich pozbyc skoro nie ma ich w zainstalowanych ?


    Wirusy LITE , ruski mail TROJAN ! FRST

    0
  • #5 19 Kwi 2018 20:26
    Kolobos
    Spec od komputerów

    Zamiesc nowe logi z FRST, ze skanowania.

    0
  • Pomocny post
    #8 19 Kwi 2018 21:13
    Kolobos
    Spec od komputerów

    Odinstaluj:
    Lite
    YoutubeAdBlock
    Служба автоматического обновления программ

    Usun recznie te pliki:
    C:\Users\Lukasz\Desktop\Вoйти в Интeрнет.lnk
    C:\Users\Lukasz\Desktop\ВКонтакте.lnk
    C:\Users\Lukasz\Desktop\Одноклассники.lnk
    C:\Users\Lukasz\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk
    C:\Users\Lukasz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ВКонтакте.lnk
    C:\Users\Lukasz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Одноклассники.lnk
    C:\Users\Lukasz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\ВКонтакте.lnk
    C:\Users\Lukasz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Одноклассники.lnk

    Wykonaj Fixlist.txt:
    Task: {0647737D-891A-49DD-B9E8-7D4EAD7DD6D3} - System32\Tasks\Scheduler Update S-1-8-22 => C:\Windows\explorer.exe hxxp://kalolo.ru <==== UWAGA
    Task: {1AE969B9-CD83-4AEF-9ABB-3426FF2A3D1E} - \MailRuUpdater -> Brak pliku <==== UWAGA
    Task: C:\Windows\Tasks\aCiVgyVoIIPzTfE.job => C:\Program Files (x86)\HjcCgMesU\cwWMIY.dll
    () C:\Windows\System32\AppFrameHost.exe
    HKU\S-1-5-21-915307831-2843146783-1250353644-1001\...\Run: [KometaAutoLaunch_1CE9D5260D056AC8EFCE16DF4B753AB7] => "C:\Users\Lukasz\AppData\Local\Kometa\Application\kometa.exe" --no-startup-window /prefetch:5
    SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
    SearchScopes: HKLM-x32 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
    BHO: YoutubeAdBlock -> {C0D38E5A-7CF8-4105-8FE8-31B81443A114} -> C:\Program Files (x86)\cgZKNyMSZIE\tEtKZcTz.dll [2018-04-13] ()
    BHO-x32: YoutubeAdBlock -> {C0D38E5A-7CF8-4105-8FE8-31B81443A114} -> C:\Program Files (x86)\cgZKNyMSZIE\kicvoThm2.dll [2018-04-13] ()
    C:\Program Files\Mozilla Firefox\browser\features\{291DB7AE-2C1B-4863-B103-F71CA48986BA}.xpi
    FF Extension: (Google Slides Offline) - C:\Program Files\Mozilla Firefox\browser\features\{291DB7AE-2C1B-4863-B103-F71CA48986BA}.xpi [2018-04-13] [Brak podpisu cyfrowego]
    C:\Users\Lukasz\AppData\Local\Google\Chrome\User Data\Default\Extensions\hdocgkdfdbcaedenamciifpcglgmgbgj




    C:\Users\Lukasz\AppData\Local\Google\Chrome\User Data\Default\Extensions\hjjkhfonangkojdpjcdhldbcicegaoh
    CHR Extension: (Brak nazwy) - C:\Users\Lukasz\AppData\Local\Google\Chrome\User Data\Default\Extensions\hdocgkdfdbcaedenamciifpcglgmgbgj [2018-04-06]
    CHR Extension: (Adblocker for Youtube™) - C:\Users\Lukasz\AppData\Local\Google\Chrome\User Data\Default\Extensions\hjjkhfonangkojdpjcdhldbcicegaohc [2018-03-24]
    R2 AppFrameHost; C:\Windows\system32\AppFrameHost.exe [960512 2018-03-24] () [Brak podpisu cyfrowego]
    2018-04-19 16:12 - 2018-04-19 16:12 - 000002291 _____ C:\Users\Lukasz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Lite.lnk
    2018-04-19 16:12 - 2018-04-19 16:12 - 000002283 _____ C:\Users\Lukasz\Desktop\Lite.lnk
    2018-04-19 16:11 - 2018-04-19 16:12 - 000000000 ____D C:\Users\Lukasz\AppData\Local\Lite
    2018-04-18 20:09 - 2018-04-18 20:09 - 000002070 _____ C:\Users\Lukasz\Desktop\Вoйти в Интeрнет.lnk
    2018-04-13 19:16 - 2018-04-14 07:12 - 000000330 _____ C:\Windows\Tasks\aCiVgyVoIIPzTfE.job
    2018-04-13 19:16 - 2018-04-13 19:16 - 000002650 _____ C:\Windows\System32\Tasks\aCiVgyVoIIPzTfE
    2018-04-13 19:16 - 2018-04-13 19:16 - 000000000 ____D C:\Users\Lukasz\AppData\Local\XMEIDhqiauFdNdmlY
    2018-04-13 19:16 - 2018-04-13 19:16 - 000000000 ____D C:\Program Files (x86)\InyJpsXJMjUn
    2018-04-13 19:16 - 2018-04-13 19:16 - 000000000 ____D C:\Program Files (x86)\HjcCgMesU
    2018-04-13 19:16 - 2018-04-13 19:16 - 000000000 ____D C:\Program Files (x86)\cgZKNyMSZIE
    2018-03-25 10:02 - 2018-04-07 12:58 - 000000000 ____D C:\Users\Lukasz\AppData\Local\uZXQtoGdIWMmseQFj
    2018-03-24 20:58 - 2018-04-19 16:11 - 000000000 ____D C:\Users\Lukasz\AppData\Roaming\wget
    2018-03-24 20:58 - 2018-03-24 20:58 - 000000000 ____D C:\Users\Lukasz\AppData\Local\Вoйти в Интeрнет
    2018-03-24 20:57 - 2018-03-24 21:01 - 000960512 _____ C:\Windows\system32\AppFrameHost.exe
    2018-03-24 20:57 - 2018-03-24 20:58 - 000000000 ____D C:\Users\Lukasz\AppData\Local\yc
    2018-03-24 20:54 - 2018-03-24 20:54 - 000003504 _____ C:\Windows\System32\Tasks\Scheduler Update S-1-8-22
    2018-03-24 20:53 - 2018-03-24 21:03 - 000000000 ____D C:\Users\Lukasz\AppData\Local\etdctrl

    0
  • #9 20 Kwi 2018 13:54
    OnSide
    Poziom 2  

    Spoiler:

    Rezultat naprawy Farbar Recovery Scan Tool (x64) Wersja: 15.04.2018
    Uruchomiony przez Lukasz (20-04-2018 13:51:29) Run:3
    Uruchomiony z D:\FRST
    Załadowane profile: Lukasz (Dostępne profile: Lukasz)
    Tryb startu: Normal
    ==============================================

    fixlist - zawartość:
    *****************
    Task: {0647737D-891A-49DD-B9E8-7D4EAD7DD6D3} - System32\Tasks\Scheduler Update S-1-8-22 => C:\Windows\explorer.exe hxxp://kalolo.ru <==== UWAGA
    Task: {1AE969B9-CD83-4AEF-9ABB-3426FF2A3D1E} - \MailRuUpdater -> Brak pliku <==== UWAGA
    Task: C:\Windows\Tasks\aCiVgyVoIIPzTfE.job => C:\Program Files (x86)\HjcCgMesU\cwWMIY.dll
    () C:\Windows\System32\AppFrameHost.exe
    HKU\S-1-5-21-915307831-2843146783-1250353644-1001\...\Run: [KometaAutoLaunch_1CE9D5260D056AC8EFCE16DF4B753AB7] => "C:\Users\Lukasz\AppData\Local\Kometa\Application\kometa.exe" --no-startup-window /prefetch:5
    SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
    SearchScopes: HKLM-x32 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
    BHO: YoutubeAdBlock -> {C0D38E5A-7CF8-4105-8FE8-31B81443A114} -> C:\Program Files (x86)\cgZKNyMSZIE\tEtKZcTz.dll [2018-04-13] ()
    BHO-x32: YoutubeAdBlock -> {C0D38E5A-7CF8-4105-8FE8-31B81443A114} -> C:\Program Files (x86)\cgZKNyMSZIE\kicvoThm2.dll [2018-04-13] ()
    C:\Program Files\Mozilla Firefox\browser\features\{291DB7AE-2C1B-4863-B103-F71CA48986BA}.xpi
    FF Extension: (Google Slides Offline) - C:\Program Files\Mozilla Firefox\browser\features\{291DB7AE-2C1B-4863-B103-F71CA48986BA}.xpi [2018-04-13] [Brak podpisu cyfrowego]
    C:\Users\Lukasz\AppData\Local\Google\Chrome\User Data\Default\Extensions\hdocgkdfdbcaedenamciifpcglgmgbgj
    C:\Users\Lukasz\AppData\Local\Google\Chrome\User Data\Default\Extensions\hjjkhfonangkojdpjcdhldbcicegaoh
    CHR Extension: (Brak nazwy) - C:\Users\Lukasz\AppData\Local\Google\Chrome\User Data\Default\Extensions\hdocgkdfdbcaedenamciifpcglgmgbgj [2018-04-06]
    CHR Extension: (Adblocker for Youtube�) - C:\Users\Lukasz\AppData\Local\Google\Chrome\User Data\Default\Extensions\hjjkhfonangkojdpjcdhldbcicegaohc [2018-03-24]
    R2 AppFrameHost; C:\Windows\system32\AppFrameHost.exe [960512 2018-03-24] () [Brak podpisu cyfrowego]
    2018-04-19 16:12 - 2018-04-19 16:12 - 000002291 _____ C:\Users\Lukasz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Lite.lnk
    2018-04-19 16:12 - 2018-04-19 16:12 - 000002283 _____ C:\Users\Lukasz\Desktop\Lite.lnk
    2018-04-19 16:11 - 2018-04-19 16:12 - 000000000 ____D C:\Users\Lukasz\AppData\Local\Lite
    2018-04-18 20:09 - 2018-04-18 20:09 - 000002070 _____ C:\Users\Lukasz\Desktop\?o??? ? ???e????.lnk
    2018-04-13 19:16 - 2018-04-14 07:12 - 000000330 _____ C:\Windows\Tasks\aCiVgyVoIIPzTfE.job
    2018-04-13 19:16 - 2018-04-13 19:16 - 000002650 _____ C:\Windows\System32\Tasks\aCiVgyVoIIPzTfE
    2018-04-13 19:16 - 2018-04-13 19:16 - 000000000 ____D C:\Users\Lukasz\AppData\Local\XMEIDhqiauFdNdmlY
    2018-04-13 19:16 - 2018-04-13 19:16 - 000000000 ____D C:\Program Files (x86)\InyJpsXJMjUn
    2018-04-13 19:16 - 2018-04-13 19:16 - 000000000 ____D C:\Program Files (x86)\HjcCgMesU
    2018-04-13 19:16 - 2018-04-13 19:16 - 000000000 ____D C:\Program Files (x86)\cgZKNyMSZIE
    2018-03-25 10:02 - 2018-04-07 12:58 - 000000000 ____D C:\Users\Lukasz\AppData\Local\uZXQtoGdIWMmseQFj
    2018-03-24 20:58 - 2018-04-19 16:11 - 000000000 ____D C:\Users\Lukasz\AppData\Roaming\wget
    2018-03-24 20:58 - 2018-03-24 20:58 - 000000000 ____D C:\Users\Lukasz\AppData\Local\?o??? ? ???e????
    2018-03-24 20:57 - 2018-03-24 21:01 - 000960512 _____ C:\Windows\system32\AppFrameHost.exe
    2018-03-24 20:57 - 2018-03-24 20:58 - 000000000 ____D C:\Users\Lukasz\AppData\Local\yc
    2018-03-24 20:54 - 2018-03-24 20:54 - 000003504 _____ C:\Windows\System32\Tasks\Scheduler Update S-1-8-22
    2018-03-24 20:53 - 2018-03-24 21:03 - 000000000 ____D C:\Users\Lukasz\AppData\Local\etdctrl

    *****************

    "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{0647737D-891A-49DD-B9E8-7D4EAD7DD6D3}" => pomyślnie usunięto
    "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{0647737D-891A-49DD-B9E8-7D4EAD7DD6D3}" => pomyślnie usunięto
    C:\Windows\System32\Tasks\Scheduler Update S-1-8-22 => pomyślnie przeniesiono
    "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Scheduler Update S-1-8-22" => pomyślnie usunięto
    "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{1AE969B9-CD83-4AEF-9ABB-3426FF2A3D1E}" => pomyślnie usunięto
    "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{1AE969B9-CD83-4AEF-9ABB-3426FF2A3D1E}" => pomyślnie usunięto
    "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\MailRuUpdater" => pomyślnie usunięto
    "C:\Windows\Tasks\aCiVgyVoIIPzTfE.job" => nie znaleziono
    [3504] C:\Windows\System32\AppFrameHost.exe => proces pomyślnie zamknięty.
    "HKU\S-1-5-21-915307831-2843146783-1250353644-1001\Software\Microsoft\Windows\CurrentVersion\Run\\KometaAutoLaunch_1CE9D5260D056AC8EFCE16DF4B753AB7" => pomyślnie usunięto
    HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope => Wartość pomyślnie przywrócono
    HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\\DefaultScope => Wartość pomyślnie przywrócono
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C0D38E5A-7CF8-4105-8FE8-31B81443A114} => nie znaleziono
    "HKLM\Software\Classes\CLSID\{C0D38E5A-7CF8-4105-8FE8-31B81443A114}" => pomyślnie usunięto
    HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C0D38E5A-7CF8-4105-8FE8-31B81443A114} => nie znaleziono
    HKLM\Software\Wow6432Node\Classes\CLSID\{C0D38E5A-7CF8-4105-8FE8-31B81443A114} => nie znaleziono
    C:\Program Files\Mozilla Firefox\browser\features\{291DB7AE-2C1B-4863-B103-F71CA48986BA}.xpi => pomyślnie przeniesiono
    "C:\Program Files\Mozilla Firefox\browser\features\{291DB7AE-2C1B-4863-B103-F71CA48986BA}.xpi" => nie znaleziono
    C:\Users\Lukasz\AppData\Local\Google\Chrome\User Data\Default\Extensions\hdocgkdfdbcaedenamciifpcglgmgbgj => pomyślnie przeniesiono
    "C:\Users\Lukasz\AppData\Local\Google\Chrome\User Data\Default\Extensions\hjjkhfonangkojdpjcdhldbcicegaoh" => nie znaleziono
    CHR Extension: (Brak nazwy) - C:\Users\Lukasz\AppData\Local\Google\Chrome\User Data\Default\Extensions\hdocgkdfdbcaedenamciifpcglgmgbgj [2018-04-06] => Błąd: Nie znaleziono automatycznej naprawy dla tego wejścia.
    CHR Extension: (Adblocker for Youtube�) - C:\Users\Lukasz\AppData\Local\Google\Chrome\User Data\Default\Extensions\hjjkhfonangkojdpjcdhldbcicegaohc [2018-03-24] => Błąd: Nie znaleziono automatycznej naprawy dla tego wejścia.
    "HKLM\System\CurrentControlSet\Services\AppFrameHost" => pomyślnie usunięto
    AppFrameHost => serwis pomyślnie usunięto
    "C:\Users\Lukasz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Lite.lnk" => nie znaleziono
    "C:\Users\Lukasz\Desktop\Lite.lnk" => nie znaleziono
    C:\Users\Lukasz\AppData\Local\Lite => pomyślnie przeniesiono
    "C:\Users\Lukasz\Desktop\?o??? ? ???e????.lnk" => nie znaleziono
    "C:\Windows\Tasks\aCiVgyVoIIPzTfE.job" => nie znaleziono
    "C:\Windows\System32\Tasks\aCiVgyVoIIPzTfE" => nie znaleziono
    C:\Users\Lukasz\AppData\Local\XMEIDhqiauFdNdmlY => pomyślnie przeniesiono
    C:\Program Files (x86)\InyJpsXJMjUn => pomyślnie przeniesiono
    C:\Program Files (x86)\HjcCgMesU => pomyślnie przeniesiono
    C:\Program Files (x86)\cgZKNyMSZIE => pomyślnie przeniesiono
    C:\Users\Lukasz\AppData\Local\uZXQtoGdIWMmseQFj => pomyślnie przeniesiono
    C:\Users\Lukasz\AppData\Roaming\wget => pomyślnie przeniesiono
    "C:\Users\Lukasz\AppData\Local\?o??? ? ???e????" => nie znaleziono
    C:\Windows\system32\AppFrameHost.exe => pomyślnie przeniesiono
    C:\Users\Lukasz\AppData\Local\yc => pomyślnie przeniesiono
    "C:\Windows\System32\Tasks\Scheduler Update S-1-8-22" => nie znaleziono
    C:\Users\Lukasz\AppData\Local\etdctrl => pomyślnie przeniesiono

    ==== Koniec Fixlog 13:51:32 ====



    Już jest ok ? Bo reklamy na YT mnie juz mecza :/

    0
  • Pomocny post
    #10 20 Kwi 2018 20:09
    Kolobos
    Spec od komputerów

    To zainstaluj uBlock Origin do Chrome/FF.

    Usun katalog C:\FRST i to wszystko.

    0