Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Wirus przejmuje mój komputer, Emelent.B!cl i inne!

modekkuba 27 Sie 2018 18:31 195 11
  • #1 27 Sie 2018 18:31
    modekkuba
    Poziom 3  

    Witam, bardzo proszę o pomoc gdyż nie mam doświadczenia z wirusami komputerowymi. Dzisiaj popełniłem błąd i uruchomiłem pewną aplikację z serwisu youtube. Po uruchomieniu jej wgrały mi się jakieś trojany, uruchamiają się procesy, które zajmują 100% procesora. Komputer zwolnił, co chwile zapora windows defender wywala mi komunikaty o koniach trojańskich. Usuwam je i po sekundzie ponowny komunikat o tym samym. Na dysku C potworzyło się mnóstwo folderów o dziwnych nazwach, w które nie mogę wejść. Otwierała się także co chwile aplikacja All-Radio 4.27 i jakiś błąd - coś z miner.exe. Nie mam pojęcia od czego zacząć, czy jest mi w stanie pomóc jakiś program? Nie ukrywam jestem spanikowany gdyż mało kiedy powgrywało mi się tego aż tyle. Gdziekolwiek nie kliknę w przeglądarce to otwierają mi się jakieś strony z reklamami. Jestem zielony w temacie. :( Dla rozjaśnienia sprawy wrzucam zdjęcia. Pozdrawiam.
    262_thumb.jpg[/img][/url] - trojany, które pokazuje windows defender
    g]Wirus przejmuje mój komputer, Emelent.B!cl i inne![/url] - dwa dziwne procesy które zajmują procesor, jest takich procesów więcej ale mają nazwy
    Wirus przejmuje mój komputer, Emelent.B!cl i inne! - foldery w które nie można wejść, jest ich więcej nie tylko w plikach programów
    [u422.png]535387422_thumb.jpg[/img][/url]- szczegóły o jednym z trojanów
    Wirus przejmuje mój komputer, Emelent.B!cl i inne! - jakieś dziwne procesy, chodzi mi o te : yoruba keyboard layout oraz raytown, moze są tez inne nowe których nie zauwazylem
    Wirus przejmuje mój komputer, Emelent.B!cl i inne! - co jakis czas wyskakuje takie coś

    0 11
  • #3 27 Sie 2018 19:05
    modekkuba
    Poziom 3  

    icooz napisał:
    Skopiowane z poprzedniego tematu :
    Przeskanuj komputer programem FRST https://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/ i zamieść wygenerowane logi frst.txt i addition.txt jako załączniki.

    PS. Kiedy mentalność ludzka się zmieni?...

    Widziałem poprzedni temat jeżeli o to chodzi. Ok, załączam załączniki. Teraz mi się uruchamia także co jakiś czas program Milizer, jakiś budzik.

    0
  • Pomocny post
    #4 27 Sie 2018 19:27
    krzychupar
    Poziom 40  

    Odinstaluj:

    YoutubeAdBlock (HKLM-x32\...\1655C0CA-7AE7-4012-8502-970C8675E5F8) (Version: 2.0.0.620 - Company Inc.) <==== UWAGA

    Otwórz notatnik systemowy i wklej:

    CloseProcesses:
    ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku
    ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku
    Task: {79CF2983-DE48-4042-8A7A-F450F61939BD} - \Microsoft\Windows\UNP\RunCampaignManager -> Brak pliku <==== UWAGA
    Task: {3CF4D6C1-E588-429D-9942-66266084D2DA} - System32\Tasks\XcVUIhnVilMQlot2 => rundll32 "C:\Program Files (x86)\PKzUFnxWU\RYdzhl.dll",#1
    Task: {3F331343-7B67-44B8-9ED4-B63FA1063EFD} - System32\Tasks\ELFGeoSXulPTtN => rundll32 "C:\Program Files (x86)\uHknEAdBTknU2\RRuYOdmzghvlv.dll",#1
    Task: {7EE47982-6571-44B1-8901-B385FFE86DB6} - System32\Tasks\beOCYtHeekifIoaptkd2 => rundll32 "C:\Program Files (x86)\psQGvPhyrVgGC\URBvavl.dll",#1
    Task: {98A91123-451A-4E78-86F5-7D558439B6B6} - System32\Tasks\S-1-5-21-1259291058-1136573033-1043580769-1134\{CDN5OC6G-P3YT-FQT-KXUG-IR7SEQQEODU1} => C:\Users\user\AppData\Roaming\wow64_microsoft-windows-t..phoneutil.resources_31bf3856ad364e35_10.0.17134.1_ru-ru_7075f1f8a024a234\nlmsprep.exe [] (Общие аудиоресурсы)
    Task: {496F1004-6121-44F7-B72C-6D2A28F88CD8} - System32\Tasks\emgZMQDtMWefewpaA2 => rundll32 "C:\Program Files (x86)\zjxymvIapaZRJpaBBpR\CBElRlA.dll",#1
    Task: {E485B8AC-C821-458D-B816-23A3A4B43B35} - System32\Tasks\{43AD3320-3762-457A-8D38-EFD446CC1D39} => C:\WINDOWS\system32\pcalua.exe -a "D:\user\Desktop\pulpit\INSTALKI ZAZWYCZAJ SAMPA\ZmodowaneGTA\Gta.San.Andreas\SAMPUninstall.exe" -d "D:\user\Desktop\pulpit\INSTALKI ZAZWYCZAJ SAMPA\ZmodowaneGTA\Gta.San.Andreas"
    Hosts:
    AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT [40]
    AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2 [432]
    GroupPolicy: Ograniczenia - Chrome <==== UWAGA
    CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <==== UWAGA
    CHR Extension: (Adblocker for Youtube™) - C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\folajkkkcdjpjmbghlodbemejliphaen [2018-08-27] [UpdateUrl: hxxps://clients88.google.com/service/update2/crx] <==== UWAGA
    "noorvbyh" => serwis został odblokowany. <==== UWAGA
    S2 noorvbyh; C:\WINDOWS\SysWOW64\noorvbyh\zpvopxnw.exe [0 ] () <==== UWAGA (zerobajtowy plik/folder)
    S1 bmutwmen; \??\C:\WINDOWS\system32\drivers\bmutwmen.sys [X]
    S1 cfcacsfh; \??\C:\WINDOWS\system32\drivers\cfcacsfh.sys [X]
    S1 igdvyfhy; \??\C:\WINDOWS\system32\drivers\igdvyfhy.sys [X]
    S1 ozldvjte; \??\C:\WINDOWS\system32\drivers\ozldvjte.sys [X]
    2018-08-27 16:07 - 2018-08-27 16:07 - 000000000 ____D C:\ProgramData\vEzMzLdBFPJQBvVB
    2018-08-27 16:07 - 2018-08-27 16:07 - 000000000 ____D C:\Program Files (x86)\uHknEAdBTknU2
    2018-08-27 16:07 - 2018-08-27 16:07 - 000000000 ____D C:\Program Files (x86)\psQGvPhyrVgGC
    2018-08-27 16:07 - 2018-08-27 16:07 - 000000000 ____D C:\Program Files (x86)\PKzUFnxWU
    2018-08-27 16:07 - 2018-08-27 16:07 - 000000000 ____D C:\Program Files (x86)\nmrUClIZwIE
    2018-08-27 16:07 - 2018-08-27 16:07 - 000000000 ____D C:\Program Files (x86)\NEisZSOoApUn
    EmptyTemp:

    Plik zapisz pod nazwą fixlist.txt i umieść w folderze, gdzie masz FRST.exe.
    Uruchom FRST i kliknij w Fix/Napraw.

    0
  • #5 27 Sie 2018 19:40
    modekkuba
    Poziom 3  

    Załączam fixlog. Zrobiłem wszystko tak jak napisałeś i nadal mi wykrywa tego Emelent i to tak co chwile. Z menadżera znikły dwa te procesy bez nazwy, ale to keyboard i inne nadal jest
    // win defender pokazuje, ze ten trojan dotyczy; file: C:\Users\user\AppData\Local\Microsoft\Windows\INetCache\IE\ROMSYPH6\X64R[1].exe

    0
  • #7 27 Sie 2018 20:31
    modekkuba
    Poziom 3  

    Chyba mi pomogłeś. :) Wrzucam logi

    0
  • Pomocny post
    #8 27 Sie 2018 20:43
    Kolobos
    Spec od komputerów

    Wykonaj jeszcze taki Fixlist.txt dla FRST:
    Task: {3B926080-EF34-42B8-A7AA-631914D0F4C9} - System32\Tasks\S-1-5-21-1259291058-1136573033-1043580769-1134\{CDN5OC6G-P3YT-FQT-KXUG-IR7SEQQEODU1} => C:\Users\user\AppData\Roaming\wow64_microsoft-windows-t..phoneutil.resources_31bf3856ad364e35_10.0.17134.1_ru-ru_7075f1f8a024a234\nlmsprep.exe
    U0 Partizan; system32\drivers\Partizan.sys [X]
    2018-08-27 16:07 - 2018-08-27 17:49 - 000000000 ____D C:\Users\user\AppData\Roaming\Windows MUI Service
    2018-08-27 16:07 - 2018-08-27 16:07 - 000000000 ____D C:\WINDOWS\SysWOW64\noorvbyh
    2018-08-27 16:06 - 2018-08-27 20:15 - 000000000 __SHD C:\Users\user\AppData\Roaming\wow64_microsoft-windows-t..phoneutil.resources_31bf3856ad364e35_10.0.17134.1_ru-ru_7075f1f8a024a234
    2018-08-27 16:06 - 2018-08-27 19:33 - 000000000 ____D C:\WINDOWS\System32\Tasks\S-1-5-21-1259291058-1136573033-1043580769-1134
    2018-08-27 16:06 - 2018-08-27 16:06 - 000000000 ____D C:\Users\user\AppData\Local\AdvinstAnalytics

    Po wykonaniu sprawdz czy wszystko dziala poprawnie i na koniec usun katalog C:\FRST.

    0
  • #9 27 Sie 2018 21:23
    modekkuba
    Poziom 3  

    Zrobiłem naprawę, zresetowałem i jak chcę usunąć z dysku C folder to pisze, ze potrzebuje uprawnien administratora. A jestem zalogowany jako admin, jak to usunąć? xd Poza tym jest juz chyba ok, jakieś pozostałe foldery, ktore sie potworzyly pousuwalem recznie, puste sa juz albo zostaly jakies pojedyncze confingi do tych trojanów.
    // nie wiem czy nie wlacza mi sie wolniej komputer teraz, albo to moje bledne odczucia

    0
  • Pomocny post
    #10 27 Sie 2018 22:40
    Kolobos
    Spec od komputerów

    Wykonaj Fixlist.txt:
    DeleteQuarantine:

    To usunie katalog FRST.

    0
  • #11 27 Sie 2018 23:26
    modekkuba
    Poziom 3  

    Dziekuje Ci bardzo za pomoc. :) Wszystko już mam ok na Twoje oko?

    Edytowałem. Nie cytuj w całości postu poprzedzającego. RADU23

    0
  • #12 27 Sie 2018 23:51
    Kolobos
    Spec od komputerów

    Tak i to juz wszystko.

    0