Elektroda.pl
Elektroda.pl
X

Search our partners

Find the latest content on electronic components. Datasheets.com
Elektroda.pl
Please add exception to AdBlock for elektroda.pl.
If you watch the ads, you support portal and users.

Wirus przejmuje mój komputer, Emelent.B!cl i inne!

modekkuba 27 Aug 2018 18:31 450 11
  • #1
    modekkuba
    Level 5  
    Witam, bardzo proszę o pomoc gdyż nie mam doświadczenia z wirusami komputerowymi. Dzisiaj popełniłem błąd i uruchomiłem pewną aplikację z serwisu youtube. Po uruchomieniu jej wgrały mi się jakieś trojany, uruchamiają się procesy, które zajmują 100% procesora. Komputer zwolnił, co chwile zapora windows defender wywala mi komunikaty o koniach trojańskich. Usuwam je i po sekundzie ponowny komunikat o tym samym. Na dysku C potworzyło się mnóstwo folderów o dziwnych nazwach, w które nie mogę wejść. Otwierała się także co chwile aplikacja All-Radio 4.27 i jakiś błąd - coś z miner.exe. Nie mam pojęcia od czego zacząć, czy jest mi w stanie pomóc jakiś program? Nie ukrywam jestem spanikowany gdyż mało kiedy powgrywało mi się tego aż tyle. Gdziekolwiek nie kliknę w przeglądarce to otwierają mi się jakieś strony z reklamami. Jestem zielony w temacie. :( Dla rozjaśnienia sprawy wrzucam zdjęcia. Pozdrawiam.
    262_thumb.jpg[/img][/url] - trojany, które pokazuje windows defender
    g]Wirus przejmuje mój komputer, Emelent.B!cl i inne![/url] - dwa dziwne procesy które zajmują procesor, jest takich procesów więcej ale mają nazwy
    Wirus przejmuje mój komputer, Emelent.B!cl i inne! - foldery w które nie można wejść, jest ich więcej nie tylko w plikach programów
    [u422.png]535387422_thumb.jpg[/img][/url]- szczegóły o jednym z trojanów
    Wirus przejmuje mój komputer, Emelent.B!cl i inne! - jakieś dziwne procesy, chodzi mi o te : yoruba keyboard layout oraz raytown, moze są tez inne nowe których nie zauwazylem
    Wirus przejmuje mój komputer, Emelent.B!cl i inne! - co jakis czas wyskakuje takie coś
  • #3
    modekkuba
    Level 5  
    icooz wrote:
    Skopiowane z poprzedniego tematu :
    Przeskanuj komputer programem FRST https://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/ i zamieść wygenerowane logi frst.txt i addition.txt jako załączniki.

    PS. Kiedy mentalność ludzka się zmieni?...

    Widziałem poprzedni temat jeżeli o to chodzi. Ok, załączam załączniki. Teraz mi się uruchamia także co jakiś czas program Milizer, jakiś budzik.
  • Helpful post
    #4
    krzychupar
    Level 43  
    Odinstaluj:

    YoutubeAdBlock (HKLM-x32\...\1655C0CA-7AE7-4012-8502-970C8675E5F8) (Version: 2.0.0.620 - Company Inc.) <==== UWAGA

    Otwórz notatnik systemowy i wklej:

    CloseProcesses:
    ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku
    ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku
    Task: {79CF2983-DE48-4042-8A7A-F450F61939BD} - \Microsoft\Windows\UNP\RunCampaignManager -> Brak pliku <==== UWAGA
    Task: {3CF4D6C1-E588-429D-9942-66266084D2DA} - System32\Tasks\XcVUIhnVilMQlot2 => rundll32 "C:\Program Files (x86)\PKzUFnxWU\RYdzhl.dll",#1
    Task: {3F331343-7B67-44B8-9ED4-B63FA1063EFD} - System32\Tasks\ELFGeoSXulPTtN => rundll32 "C:\Program Files (x86)\uHknEAdBTknU2\RRuYOdmzghvlv.dll",#1
    Task: {7EE47982-6571-44B1-8901-B385FFE86DB6} - System32\Tasks\beOCYtHeekifIoaptkd2 => rundll32 "C:\Program Files (x86)\psQGvPhyrVgGC\URBvavl.dll",#1
    Task: {98A91123-451A-4E78-86F5-7D558439B6B6} - System32\Tasks\S-1-5-21-1259291058-1136573033-1043580769-1134\{CDN5OC6G-P3YT-FQT-KXUG-IR7SEQQEODU1} => C:\Users\user\AppData\Roaming\wow64_microsoft-windows-t..phoneutil.resources_31bf3856ad364e35_10.0.17134.1_ru-ru_7075f1f8a024a234\nlmsprep.exe [] (Общие аудиоресурсы)
    Task: {496F1004-6121-44F7-B72C-6D2A28F88CD8} - System32\Tasks\emgZMQDtMWefewpaA2 => rundll32 "C:\Program Files (x86)\zjxymvIapaZRJpaBBpR\CBElRlA.dll",#1
    Task: {E485B8AC-C821-458D-B816-23A3A4B43B35} - System32\Tasks\{43AD3320-3762-457A-8D38-EFD446CC1D39} => C:\WINDOWS\system32\pcalua.exe -a "D:\user\Desktop\pulpit\INSTALKI ZAZWYCZAJ SAMPA\ZmodowaneGTA\Gta.San.Andreas\SAMPUninstall.exe" -d "D:\user\Desktop\pulpit\INSTALKI ZAZWYCZAJ SAMPA\ZmodowaneGTA\Gta.San.Andreas"
    Hosts:
    AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT [40]
    AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2 [432]
    GroupPolicy: Ograniczenia - Chrome <==== UWAGA
    CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <==== UWAGA
    CHR Extension: (Adblocker for Youtube™) - C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\folajkkkcdjpjmbghlodbemejliphaen [2018-08-27] [UpdateUrl: hxxps://clients88.google.com/service/update2/crx] <==== UWAGA
    "noorvbyh" => serwis został odblokowany. <==== UWAGA
    S2 noorvbyh; C:\WINDOWS\SysWOW64\noorvbyh\zpvopxnw.exe [0 ] () <==== UWAGA (zerobajtowy plik/folder)
    S1 bmutwmen; \??\C:\WINDOWS\system32\drivers\bmutwmen.sys [X]
    S1 cfcacsfh; \??\C:\WINDOWS\system32\drivers\cfcacsfh.sys [X]
    S1 igdvyfhy; \??\C:\WINDOWS\system32\drivers\igdvyfhy.sys [X]
    S1 ozldvjte; \??\C:\WINDOWS\system32\drivers\ozldvjte.sys [X]
    2018-08-27 16:07 - 2018-08-27 16:07 - 000000000 ____D C:\ProgramData\vEzMzLdBFPJQBvVB
    2018-08-27 16:07 - 2018-08-27 16:07 - 000000000 ____D C:\Program Files (x86)\uHknEAdBTknU2
    2018-08-27 16:07 - 2018-08-27 16:07 - 000000000 ____D C:\Program Files (x86)\psQGvPhyrVgGC
    2018-08-27 16:07 - 2018-08-27 16:07 - 000000000 ____D C:\Program Files (x86)\PKzUFnxWU
    2018-08-27 16:07 - 2018-08-27 16:07 - 000000000 ____D C:\Program Files (x86)\nmrUClIZwIE
    2018-08-27 16:07 - 2018-08-27 16:07 - 000000000 ____D C:\Program Files (x86)\NEisZSOoApUn
    EmptyTemp:

    Plik zapisz pod nazwą fixlist.txt i umieść w folderze, gdzie masz FRST.exe.
    Uruchom FRST i kliknij w Fix/Napraw.
  • #5
    modekkuba
    Level 5  
    Załączam fixlog. Zrobiłem wszystko tak jak napisałeś i nadal mi wykrywa tego Emelent i to tak co chwile. Z menadżera znikły dwa te procesy bez nazwy, ale to keyboard i inne nadal jest
    // win defender pokazuje, ze ten trojan dotyczy; file: C:\Users\user\AppData\Local\Microsoft\Windows\INetCache\IE\ROMSYPH6\X64R[1].exe
  • #7
    modekkuba
    Level 5  
    Chyba mi pomogłeś. :) Wrzucam logi
  • Helpful post
    #8
    Kolobos
    IT specialist
    Wykonaj jeszcze taki Fixlist.txt dla FRST:
    Task: {3B926080-EF34-42B8-A7AA-631914D0F4C9} - System32\Tasks\S-1-5-21-1259291058-1136573033-1043580769-1134\{CDN5OC6G-P3YT-FQT-KXUG-IR7SEQQEODU1} => C:\Users\user\AppData\Roaming\wow64_microsoft-windows-t..phoneutil.resources_31bf3856ad364e35_10.0.17134.1_ru-ru_7075f1f8a024a234\nlmsprep.exe
    U0 Partizan; system32\drivers\Partizan.sys [X]
    2018-08-27 16:07 - 2018-08-27 17:49 - 000000000 ____D C:\Users\user\AppData\Roaming\Windows MUI Service
    2018-08-27 16:07 - 2018-08-27 16:07 - 000000000 ____D C:\WINDOWS\SysWOW64\noorvbyh
    2018-08-27 16:06 - 2018-08-27 20:15 - 000000000 __SHD C:\Users\user\AppData\Roaming\wow64_microsoft-windows-t..phoneutil.resources_31bf3856ad364e35_10.0.17134.1_ru-ru_7075f1f8a024a234
    2018-08-27 16:06 - 2018-08-27 19:33 - 000000000 ____D C:\WINDOWS\System32\Tasks\S-1-5-21-1259291058-1136573033-1043580769-1134
    2018-08-27 16:06 - 2018-08-27 16:06 - 000000000 ____D C:\Users\user\AppData\Local\AdvinstAnalytics

    Po wykonaniu sprawdz czy wszystko dziala poprawnie i na koniec usun katalog C:\FRST.
  • #9
    modekkuba
    Level 5  
    Zrobiłem naprawę, zresetowałem i jak chcę usunąć z dysku C folder to pisze, ze potrzebuje uprawnien administratora. A jestem zalogowany jako admin, jak to usunąć? xd Poza tym jest juz chyba ok, jakieś pozostałe foldery, ktore sie potworzyly pousuwalem recznie, puste sa juz albo zostaly jakies pojedyncze confingi do tych trojanów.
    // nie wiem czy nie wlacza mi sie wolniej komputer teraz, albo to moje bledne odczucia
  • Helpful post
    #10
    Kolobos
    IT specialist
    Wykonaj Fixlist.txt:
    DeleteQuarantine:

    To usunie katalog FRST.
  • #11
    modekkuba
    Level 5  
    Dziekuje Ci bardzo za pomoc. :) Wszystko już mam ok na Twoje oko?

    Edytowałem. Nie cytuj w całości postu poprzedzającego. RADU23