Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

wirus Proxy - brak dostepu do internetu

poczwara 11 Wrz 2018 17:07 174 4
  • #1 11 Wrz 2018 17:07
    poczwara
    Poziom 6  

    Witam! Znajomy podrzucił mi komputer, na którym otworzył załącznik z "fakturą", na chwilę obecną automatycznie ustawia się adres serwera proxy na 127.0.0.0 przeskanowałem komputer AdwCleanerem i Kaspersky antivirus - problem niestety nie został rozwiązany, przesyłam pliki z FRST i bardzo byłbym wdzięczny za pomoc w rozwiązaniu problemu, z góry wielkie dzięki!

    0 4
  • #2 11 Wrz 2018 17:26
    rafcio363
    Poziom 30  

    Dobra praktyka w takich przypadkach to format + przeniesienie danych użytkownika.

    Moderowany przez dt1:

    W przypadku Kolegi porady dobrą praktyką będzie więcej takich porad nie udzielać. Jeśli Kolega nie potrafi usunąć problemów z systemu, to może Kolega sobie formatować dysk i instalować system do oporu, ale to na pewno nie jest dobrą praktyką, a sugerowanie takiej czynności to po prostu zaniżanie poziomu na Forum.

    0
  • #3 11 Wrz 2018 17:29
    poczwara
    Poziom 6  

    rafcio363 napisał:
    Dobra praktyka w takich przypadkach to format + przeniesienie danych użytkownika.

    zdaję sobie z tego sprawę ale są tutaj programy księgowe, płatnik itd, znajomy prosił, żeby zrobić to bez reinstalki, więc chciałbym nawet tylko doraźnie na jakiś czas mu to uruchomić na stałe i nie mieć telefonów co restart kompa, że "nie ma internetu" ;), przeniesienie danych płatnika nie jest problemem, ale program księgowy, którego po prostu nie znam a na infolinii nie za bardzo chcieli ze mną rozmawiać ;)

    0
  • Pomocny post
    #4 11 Wrz 2018 17:34
    Kolobos
    Spec od komputerów

    @rafcio363 wystarczy sie znac na czyms wiecej niz tylko wlaczenie komputera i formatowanie, wtedy mozna usunac infekcje zamiast bezmyslnie formatowac!

    @poczwara Uwazaj co robisz i nie uruchamiaj falszywych faktur, ktore dostajesz na maila!

    Wykonaj Fixlist.txt dla FRST:
    CloseProcesses:
    Task: {2BD05BA6-988D-4BD3-A9CD-9A39F80AF524} - \Microsoft\Windows\MemoryDiagnostic\CorruptionDetector -> Brak pliku <==== UWAGA
    Task: {5B184694-64C3-4633-94C5-945B3FA561D6} - \Microsoft\Windows\WindowsBackup\ConfigNotification -> Brak pliku <==== UWAGA
    Task: {60775A6D-D563-492D-9421-E10C6EA60020} - System32\Tasks\DriverMaxWelcome => C:\Program Files\Innovative Solutions\DriverMax\drivermax.exe
    Task: {614CDED3-8679-44A4-BF98-14D6A0890F8B} - System32\Tasks\WordFly Auto Updater 1.10.0.28 Pending Update => C:\Program Files\WordFly_1.10.0.28\Update\WordflyAutoUpdateClient.exe <==== UWAGA
    Task: {9F54B95F-5096-4803-AE61-E9B3AC5B616D} - \Microsoft\Windows\MemoryDiagnostic\DecompressionFailureDetector -> Brak pliku <==== UWAGA
    Task: {A0E4BB53-B4F8-43C7-AA1C-CB391796D5C6} - System32\Tasks\WordFly Auto Updater 1.10.0.28 Core => C:\Program Files\WordFly_1.10.0.28\Update\WordflyAutoUpdateClient.exe <==== UWAGA
    Task: {D21F6024-191F-4454-BBBC-09A650DA2549} - \Microsoft\Windows\Application Experience\AitAgent -> Brak pliku <==== UWAGA
    2018-09-11 15:37 - 2018-09-11 15:37 - 001639952 ___RH () C:\ProgramData\241CEB5C\241CEB32.dll
    HKU\S-1-5-21-1197851320-3283238057-499857917-1000\...\Run: [AdobeBridge] => [X]
    HKU\S-1-5-18\...\RunOnce: [SPReview] => "C:\Windows\System32\SPReview\SPReview.exe" /sp:1 /errorfwlink:"hxxp://go.microsoft.com/fwlink/?LinkID=122915" /build:7601
    HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE ->
    Startup: C:\Users\Ewunia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\iexplorer.lnk [2018-09-10]
    ShortcutTarget: iexplorer.lnk -> C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe (Microsoft Corporation)
    ProxyEnable: [.DEFAULT] => Proxy [funkcja włączona]
    ProxyServer: [.DEFAULT] => 127.0.0.1:1080
    AutoConfigURL: [.DEFAULT] => 127.0.0.1:1080
    ProxyServer: [S-1-5-21-1197851320-3283238057-499857917-1000] => 127.0.0.1:1080
    AutoConfigURL: [S-1-5-21-1197851320-3283238057-499857917-1000] => 127.0.0.1:1080
    RemoveProxy:
    StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.istartpageing.com/?type=sc&ts=...cor&uid=ST31000524AS_6VPCA3TMXXXX6VPCA3TM
    FF NewTab: Mozilla\Firefox\Profiles\w1hzeg1k.default -> hxxp://www.yoursites123.com/newtab/?type=nt&a...314&uid=ST31000524AS_6VPCA3TMXXXX6VPCA3TM




    FF HKLM\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Users\Ewunia\AppData\Roaming\Mozilla\Firefox\Profiles\w1hzeg1k.default\extensions\deskCutv2@gmail.com => nie znaleziono
    FF HKLM\...\Firefox\Extensions: [yahooprotected@gmail.com] - C:\Users\Ewunia\AppData\Roaming\Mozilla\Firefox\Profiles\w1hzeg1k.default\extensions\yahooprotected@gmail.com => nie znaleziono
    FF HKLM\...\Firefox\Extensions: [default_newtabff@gmail.com] - C:\Users\Ewunia\AppData\Roaming\Mozilla\Firefox\Profiles\w1hzeg1k.default\extensions\default_newtabff@gmail.com => nie znaleziono
    FF ExtraCheck: C:\Program Files\mozilla firefox\defaults\pref\itms.js [2015-04-03]
    CHR HKLM\...\Chrome\Extension: [amkpcclbbgegoafihnpgomddadjhcadd] - hxxps://chrome.google.com/webstore/detail/amkpcclbbgegoafihnpgomddadjhcadd
    CHR HKLM\...\Chrome\Extension: [jfmjfhklogoienhpfnppmbcbjfjnkonk] - <Brak Path/update_url>
    R2 241CEB5C; C:\ProgramData\241CEB5C\241CEB32.dll [1639952 2018-09-11] () [Brak podpisu cyfrowego]
    S1 wfdrvr_vt_1_10_0_28; system32\drivers\wfdrvr_vt_1_10_0_28.sys [X]
    2018-09-11 15:36 - 2018-09-11 16:29 - 000000000 __RHD C:\ProgramData\241CEB5C
    2018-09-11 15:17 - 2018-09-11 15:17 - 000350208 _____ C:\Users\Ewunia\AppData\Roaming\bRsZO.exe
    2018-09-11 13:48 - 2018-09-11 13:49 - 000000000 ____D C:\AdwCleaner
    2018-09-11 15:17 - 2018-09-11 15:17 - 000350208 _____ () C:\Users\Ewunia\AppData\Roaming\bRsZO.exe
    2018-09-11 10:18 - 2018-09-11 10:20 - 000185856 _____ () C:\Users\Ewunia\AppData\Roaming\DZ.dll
    2018-09-11 10:22 - 2018-09-11 10:22 - 000183824 _____ () C:\Users\Ewunia\AppData\Roaming\kBqrBpnq.dll
    2018-09-10 13:35 - 2018-09-10 13:35 - 000399360 _____ () C:\Users\Ewunia\AppData\Roaming\KDbpDZCc.exe
    2018-06-15 10:49 - 2018-06-15 10:49 - 000003584 _____ () C:\Users\Ewunia\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini

    Po wykonaniu usun katalog C:\FRST.

    Uzyj ponownie AdwCleaner i usun to co wykryje.

    Zrob pelny skan przy pomocy Mbam i usun to co wykryje:
    http://www.bleepingcomputer.com/download/malwarebytes-anti-malware/

    To wszystko.

    0
  • #5 11 Wrz 2018 17:37
    poczwara
    Poziom 6  

    Kolobos napisał:
    @rafcio363 wystarczy sie znac na czyms wiecej niz tylko wlaczenie komputera i formatowanie, wtedy mozna usunac infekcje zamiast bezmyslnie formatowac!

    @poczwara Uwazaj co robisz i nie uruchamiaj falszywych faktur, ktore dostajesz na maila!



    tak jak mówiłem, komputer znajomego, ja już się raz złapałem i takie wiadomości z automatu idą do kosza, nawet ich nie odczytuję :)
    Również uważam, że reinstalacja systemu to obejście a nie rozwiązanie problemu, muszę się zgłębić w FRST, żeby na przyszłość nie zawracać głowy na forum.
    Wielkie dzięki! :)

    0