Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Proxy samo się ustawia - prośba o fixlog

dezerter_6666 25 Wrz 2018 23:07 81 5
  • Pomocny post
    #2 25 Wrz 2018 23:42
    dt1
    Moderator - Komputery Serwis

    Witaj, to powinno starczyć:

    Code:
    ProxyServer: [S-1-5-21-2295296252-1056412494-3689118063-1001] => 127.0.0.1:1080
    
    RemoveProxy:
    R2 89DAE980; C:\ProgramData\89DAE980\89DAE964.dll [2505232 2018-09-24] () [Brak podpisu cyfrowego]
    2018-09-25 21:04 - 2018-09-25 21:05 - 000305664 _____ () C:\Users\marci\AppData\Roaming\DljY.dll
    2018-09-25 21:06 - 2018-09-25 21:06 - 000293392 _____ () C:\Users\marci\AppData\Roaming\jP.dll
    2018-09-24 19:09 - 2018-09-24 19:09 - 000306192 _____ () C:\Users\marci\AppData\Local\Temp\UjKitpfUI.dll
    2018-09-24 19:14 - 2018-09-24 19:15 - 000474624 _____ () C:\Users\marci\AppData\Local\Temp\UjKitpfUI.exe
    CustomCLSID: HKU\S-1-5-21-2295296252-1056412494-3689118063-1001_Classes\CLSID\{0E270DAA-1BE6-48F2-AC49-288503E5F56C}\InprocServer32 -> %%systemroot%%\system32\shell32.dll => Brak pliku
    Task: {9E1FC634-FE6E-43F4-824E-9124F23D4AC0} - System32\Tasks\CCleanerSkipUAC => C:\Program Files\CCleaner\CCleaner.exe [2018-09-13] (Piriform Ltd)
    Task: {A8B59083-0E59-4566-A69B-46A27925E5C9} - System32\Tasks\Driver Booster SkipUAC (marci) => C:\Program Files (x86)\IObit\Driver Booster\5.3.0\DriverBooster.exe
    AlternateDataStreams: C:\ProgramData\TEMP:CB0AACC9 [308]
    EmptyTemp:

    0
  • Pomocny post
    #3 26 Wrz 2018 08:24
    Kolobos
    Spec od komputerów

    Odinstaluj \Spybot - Search & Destroy 2.

    Jeszcze to:
    Startup: C:\Users\marci\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\iexplorer.lnk [2018-09-24]
    ShortcutTarget: iexplorer.lnk -> C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe (Microsoft Corporation)
    BootExecute: autocheck autochk * sdnclean64.exe
    C:\Users\marci\AppData\Roaming\Opera Software\Opera Stable\Extensions\pmpmnoinbkdojlnknogfeoagmhmhgakc
    OPR Extension: (AdBlocker Ultimate) - C:\Users\marci\AppData\Roaming\Opera Software\Opera Stable\Extensions\pmpmnoinbkdojlnknogfeoagmhmhgakc [2018-04-26]
    C:\Users\Marcin\AppData\Roaming\Opera Software\Opera Stable\WidevineCDM\1.4.8.885\_platform_specific\win_x86\widevinecdmadapter.dll
    OPR Extension: (AdBlocker Ultimate) - C:\Users\Marcin\AppData\Roaming\Opera Software\Opera Stable\WidevineCDM\1.4.8.885\_platform_specific\win_x86\widevinecdmadapter.dll []
    2018-09-25 22:28 - 2018-09-25 22:28 - 000000000 ____D C:\AdwCleaner
    2018-09-25 21:06 - 2018-09-25 21:06 - 000293392 _____ C:\Users\marci\AppData\Roaming\jP.dll
    2018-09-25 21:04 - 2018-09-25 21:05 - 000305664 _____ C:\Users\marci\AppData\Roaming\DljY.dll
    2018-09-25 14:43 - 2018-09-25 22:43 - 000000000 ____D C:\ProgramData\Spybot - Search & Destroy
    2018-09-25 14:43 - 2018-09-25 22:43 - 000000000 ____D C:\Program Files (x86)\Spybot - Search & Destroy 2
    2018-09-25 14:43 - 2018-09-25 14:43 - 000000000 ____D C:\WINDOWS\System32\Tasks\Safer-Networking
    2018-09-25 14:36 - 2018-09-25 14:41 - 069910960 _____ (Safer-Networking Ltd. ) C:\Users\marci\Desktop\spybotsd-2.7.64.0.exe
    2018-09-24 19:04 - 2018-09-25 22:32 - 000000000 ____D C:\ProgramData\89DAE980

    Po wykonaniu wszystkiego usun katalog C:\FRST i to wszystko.

    0
  • #4 26 Wrz 2018 08:38
    dezerter_6666
    Poziom 6  

    Dzięki za pomoc, na jednym komputerze zadziałało. Okazuje się jednak, że jeszcze na drugim ktoś próbował otworzyć tajemniczą fakturę, kiedy na pierwszym nie działała.
    Także proszę jeszcze o fixlist dla poniższych logów.

    PS. Czy to możliwe, że Avast i Windows Defender przeoczyły tego trojana?

    0
  • Pomocny post
    #5 26 Wrz 2018 08:45
    Kolobos
    Spec od komputerów

    Jak sam widzisz, skoro doszlo do infekcji to znaczy, ze go nie wykryly. Dlatego najlepiej nauczyc uzytkownikow, zeby nie infekowali i nie uruchamiali podejrzanych faktur, ktore nimi nie sa, tak bedzie prosciej.

    Wykonaj Fixlist.txt dla FRST:
    CloseProcesses:
    2018-09-24 06:19 - 002650128 ___RH () c:\ProgramData\0D77FCEA\0D77FC64.dll
    HKU\S-1-5-21-2594582630-1059066050-803890506-1001\Software\Classes\exefile: <==== UWAGA
    Startup: C:\Users\Waldek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\iexplorer.lnk [2018-09-24]
    ShortcutTarget: iexplorer.lnk -> C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe (Microsoft Corporation)
    ProxyEnable: [.DEFAULT] => Proxy [funkcja włączona]
    ProxyServer: [.DEFAULT] => 127.0.0.1:1080
    ProxyEnable: [S-1-5-21-2594582630-1059066050-803890506-1001] => Proxy [funkcja włączona]
    ProxyServer: [S-1-5-21-2594582630-1059066050-803890506-1001] => 127.0.0.1:1080
    ManualProxies: 1127.0.0.1:1080
    RemoveProxy:
    CHR HKLM-x32\...\Chrome\Extension: [nlnpeeaafijaebcdgkdeojkpnkfkjdnh] - hxxps://clients2.google.com/service/update2/crx
    R2 0D77FCEA; C:\ProgramData\0D77FCEA\0D77FC64.dll [2650128 2018-09-24] () [Brak podpisu cyfrowego]
    2018-09-25 06:25 - 2018-09-25 06:25 - 000303632 _____ C:\Users\Waldek\AppData\Roaming\WFBibrBf.dll
    2018-09-25 06:23 - 2018-09-25 06:23 - 000305664 _____ C:\Users\Waldek\AppData\Roaming\OVpPH.dll
    2018-09-24 07:11 - 2018-09-24 07:12 - 000000000 ____D C:\AdwCleaner
    2018-09-24 06:18 - 2018-09-24 18:55 - 000000000 ____D C:\ProgramData\0D77FCEA

    Po wykonaniu usun katalog C:\FRST i to wszystko.

    0
  • #6 26 Wrz 2018 08:55
    dezerter_6666
    Poziom 6  

    OK, teraz wszystko gra. Najgorzej będzie nauczyć bycia podejrzliwym.

    0