Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Ukryty wirus wyskakujące reklamy

Jacubuss 23 Maj 2018 10:53 156 4
  • #1 23 Maj 2018 10:53
    Jacubuss
    Poziom 2  

    Witam mam problem z nieznanym głęboko siedzącym wirusem zainstalował się razem z pewnym torrentem od tzw xateba ( Serdecznie odradzam) podejrzewam że była to spora paczka wirusów część z nich usunął malwarebytes ale coś zostało... Jedyne objawy? Co jakiś czas ok 40min uruchamia mi się jakaś strona w internecie podejrzewam że mam także przy okazji keyloggera albo inne badziewie wrzucam logi i proszę o pomoc lub odpowiedź czy odrazu format czy wywalić dysk...

    0 4
  • Pomocny post
    #2 23 Maj 2018 11:38
    dt1
    Moderator - Komputery Serwis

    Witaj.
    Spróbuj wykonać taki fixlist:

    Code:
    HKLM-x32\...\Run: [HDD Regenerator] => "C:\Program Files (x86)\HDD Regenerator\Shell.exe" /1
    
    HKU\S-1-5-21-1118537072-982434313-2098293130-1001\...\Run: [CCleaner Monitoring] => C:\Program Files\CCleaner\CCleaner64.exe [10290608 2018-02-07] (Piriform Ltd)
    HKU\S-1-5-21-1118537072-982434313-2098293130-1001\...\MountPoints2: G - "G:\autorun.exe"
    HKU\S-1-5-21-1118537072-982434313-2098293130-1001\...\MountPoints2: {b644a114-2087-11e8-824f-0050b61cb175} - "H:\setup.exe"
    Tcpip\Parameters: [DhcpNameServer] 158.75.80.5
    Tcpip\..\Interfaces\{30C60444-0B13-432B-9D54-10B38B590D99}: [DhcpNameServer] 158.75.80.5
    Tcpip\..\Interfaces\{DCC40EDD-835B-4D26-8030-A1720BD11615}: [DhcpNameServer] 158.75.80.5
    S2 RtkAudioService; C:\Program Files\Realtek\Audio\HDA\RtkAudioService64.exe [X]
    2018-05-22 19:47 - 2018-05-22 19:47 - 000000000 ___HD C:\WINDOWS\msdownld.tmp
    2018-05-22 19:46 - 2018-05-22 19:47 - 000000000 ____D C:\WINDOWS\SysWOW64\directx
    2018-05-22 19:46 - 2018-05-22 19:46 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\by.xatab
    2014-11-21 06:59 - 2014-11-21 06:59 - 000059904 ____N (Microsoft Corporation) C:\Program Files (x86)\EyuvyYIURUNSe.exe
    ShellIconOverlayIdentifiers: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Brak pliku
    ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> Brak pliku
    Task: {3708C891-2CBA-48A8-8CF7-1188A751EE48} - System32\Tasks\CCleanerSkipUAC => C:\Program Files\CCleaner\CCleaner.exe [2018-02-07] (Piriform Ltd)
    Task: {6099DB64-230B-45B8-A96A-67F615A23312} - System32\Tasks\CCleaner Update => C:\Program Files\CCleaner\CCUpdate.exe [2018-02-07] (Piriform Ltd)
    Task: {88AF0C58-43E0-4D63-AF81-2F8B399F6EE5} - System32\Tasks\{F68558B7-5E71-CDB9-DA14-844975CB8DA8} => C:\WINDOWS\system32\OpenWith.exe [2014-11-21] (Microsoft Corporation)
    Task: {E0D4E494-F3A5-4F2B-80C5-769C995E1D15} - System32\Tasks\Microsoft\Windows\Application Experience\Microsoft Compatibility Appraiser => %windir%\system32\rundll32.exe aepdu.dll,AePduRunUpdate -nolegacy
    AlternateDataStreams: C:\ProgramData\TEMP:B755D674 [134]
    DNS Servers: 158.75.80.5
    EmptyTemp:

    0
  • #3 23 Maj 2018 13:41
    Jacubuss
    Poziom 2  

    Dzięki jak narazie nic nie wyskakuje znaczy się godzinkę jeżeli do weekendu będzie ok zamknę temat. Jeszcze jedno skąd masz tego fixa? Jakaś strona czy sam stworzyłeś?

    0
  • #5 23 Maj 2018 18:23
    dt1
    Moderator - Komputery Serwis

    Jacubuss napisał:
    skąd masz tego fixa? Jakaś strona czy sam stworzyłeś?


    Jedyna prawidłowa metoda Tworzenia fix'a to przeczytanie Twoich logów i ręczne jego utworzenie. Tworzenie Fixa z automatu nie ma sensu - programów do automatycznego usuwania zagrożeń są setki, one działają z automatu. Gdyby karmić FRST automatycznie wygenerowaną listą - nie różniłoby się to zupełnie niczym od całej reszty oprogramowania antywirusowego.

    Automat nie jest w stanie wychwycić wszystkich rzeczy, które wychwyci osoba analizująca Twoje logi na piechotę. Dlatego skuteczność FRST jest większa niż potężnych kombajnów antywirusowych.

    0