Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

[Rozwiązano] Wirus zmieniający proxy (127.0.0.1) - mail z fakturą .rar

Bwqn 03 Paź 2018 11:35 426 5
  • #1 03 Paź 2018 11:35
    Bwqn
    Poziom 5  

    Witam serdecznie,
    Na własne życzenie zainfekowałem sobie komputer. Najprawdopodobniej po przez maila z fakturą do pobrania .rar. Sam niewiem dlaczego to kliknąłem, zazwyczaj jestem wyczulony na tego typu maile no ale stało się.
    Wirus zmienia ustawienia proxy które jak sie je zmieni/usunie to po kilku minutach wracają. Uniemożliwia to prace przeglądarek i wielu programów korzystających z internetu (komputer służbowy).
    Podgląd: https://imgur.com/a/wQP1CMV

    Próbowałem skanować i usuwać wirusy kilkoma najpopularniejszymi skanerami typu AdwCleaner, ccCleaner, Spybot itp. Żaden nie pomógł. Usunięcie wpisów z rejestru również nic nie daje.
    Znalazłem dwa podobne tematy na forum, jednak komendy z ich wpisów Fixlist.txt w moim przypadku nie pomogły, pewnie trzeba je napisać specialnie pod mój system.
    Z góry dziękuje za pomoc i poświęcony czas.

    0 5
  • #2 03 Paź 2018 12:34
    calixto
    Poziom 15  

    Zainstaluj antywirus typu BitDefender lub Kaspersky. Są 30 dniowe bezpłatne wersje. Jeśli masz maila z tym wirusem, to zapisz plik na dysku bez rozpakowywania, następnie wejdź na stronę VirusTotal i wgraj tam pobrany plik z wirusem.
    Zobaczysz przez które oprogramowanie antywirusowe jest on wykrywany, być może znajdziesz więcej danych na temat możliwych sposobów jego usunięcia.

    0
  • Pomocny post
    #4 03 Paź 2018 13:01
    Kolobos
    Spec od komputerów

    Odinstaluj:
    Trojan Remover
    Spybot - Search & Destroy

    Pamietaj zeby usunac falszywa fakture, ktora dostales na maile i przez ktora zainfekowales system.

    Wykonaj Fixlist.txt dla FRST:
    CloseProcesses:
    Task: {037C94E6-8882-48B1-8BA0-62A58D947F6F} - System32\Tasks\TR_FastScan_Daily_Sklep => C:\Program Files (x86)\Trojan Remover\Trjscan.exe [2018-09-17] (Simply Super Software)
    Task: {3B66D725-B942-4898-9489-3EA4C538751D} - System32\Tasks\TR_Updater => C:\Program Files (x86)\Trojan Remover\Trupd.exe [2018-09-17] (Simply Super Software)
    Task: {6B8A4C08-273E-4E8C-8B2E-1A05D519F086} - System32\Tasks\TR_AntiHijack => C:\Program Files (x86)\Trojan Remover\TRAntiHJ.exe
    Task: {72C58DBF-F69B-4788-9224-05B444F04A39} - \Microsoft\Windows\UNP\RunCampaignManager -> Brak pliku <==== UWAGA
    Task: {94464BA1-D23D-4CED-BCEC-89410C1FE830} - System32\Tasks\TR_FastScan_AtLogon => C:\Program Files (x86)\Trojan Remover\Trjscan.exe [2018-09-17] (Simply Super Software)
    2018-09-25 09:45 - 2018-09-25 09:45 - 002513936 ___RH () C:\ProgramData\EF9A2A78\EF9A2A64.dll
    2018-10-01 11:44 - 2018-10-01 11:44 - 001607184 ___RH () C:\ProgramData\EF9A2A78\EF9A2A32.dll
    HKU\S-1-5-21-4208099528-1647260160-3080100413-1001\...\Run: [Napisy24Update] => C:\Program Files (x86)\Napisy24\Napisy24Update.exe [3990528 2018-02-02] (Napisy24.pl)
    HKU\S-1-5-21-4208099528-1647260160-3080100413-1001\...\Run: [Napisy24.pl] => C:\Program Files (x86)\Napisy24\Napisy24.exe [7006208 2018-02-02] (Napisy24.pl)
    Startup: C:\Users\Sklep.DESKTOP-PBQ5B5I\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\iexplorer.lnk [2018-09-25]
    ShortcutTarget: iexplorer.lnk -> C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe (Brak pliku)
    BootExecute: autocheck autochk * sdnclean64.exe
    ProxyEnable: [S-1-5-21-4208099528-1647260160-3080100413-1001] => Proxy [funkcja włączona]
    ProxyServer: [S-1-5-21-4208099528-1647260160-3080100413-1001] => 127.0.0.1:1080
    RemoveProxy:
    FF user.js: detected! => C:\Users\Sklep.DESKTOP-PBQ5B5I\AppData\Roaming\Mozilla\Firefox\Profiles\xqjz6xng.default\user.js [2018-08-24]
    R2 EF9A2A78; C:\ProgramData\EF9A2A78\EF9A2A64.dll [2513936 2018-09-25] () [Brak podpisu cyfrowego]
    2018-09-29 13:35 - 2018-10-01 10:10 - 000000000 ____D C:\Program Files (x86)\Spybot - Search & Destroy 2
    2018-09-29 13:35 - 2018-10-01 10:09 - 000000000 ____D C:\ProgramData\Spybot - Search & Destroy
    2018-09-29 13:35 - 2018-09-29 13:35 - 000000000 ____D C:\WINDOWS\System32\Tasks\Safer-Networking
    2018-09-29 13:25 - 2018-09-29 13:25 - 000004138 _____ C:\WINDOWS\System32\Tasks\TR_FastScan_Daily_Sklep
    2018-09-29 13:25 - 2018-09-29 13:25 - 000004024 _____ C:\WINDOWS\System32\Tasks\TR_FastScan_AtLogon
    2018-09-29 13:25 - 2018-09-29 13:25 - 000003930 _____ C:\WINDOWS\System32\Tasks\TR_Updater
    2018-09-29 13:25 - 2018-09-29 13:25 - 000003790 _____ C:\WINDOWS\System32\Tasks\TR_AntiHijack
    2018-09-29 13:25 - 2018-09-29 13:25 - 000001284 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Trojan Remover Updater.lnk
    2018-09-29 13:25 - 2018-09-29 13:25 - 000001233 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Trojan Remover.lnk
    2018-09-29 13:25 - 2018-09-29 13:25 - 000001214 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Trojan Remover FastScan.lnk
    2018-09-29 13:25 - 2018-09-29 13:25 - 000000000 ____D C:\Users\Sklep.DESKTOP-PBQ5B5I\Documents\Simply Super Software
    2018-09-29 13:25 - 2018-09-29 13:25 - 000000000 ____D C:\ProgramData\Simply Super Software
    2018-09-29 13:25 - 2018-09-29 13:25 - 000000000 ____D C:\Program Files (x86)\Trojan Remover
    2018-09-25 09:45 - 2018-10-03 09:23 - 000000000 ____D C:\ProgramData\EF9A2A78

    Po wykonaniu usun katalog C:\FRST i to wszystko.

    2
  • #5 03 Paź 2018 14:19
    Bwqn
    Poziom 5  

    Kaspersky niestety nic nie pomógł...
    za to kolega Kolobos już tak :D
    Dzięki wielkie za pomoc, walczyłem z tym dziadostwem kilka dni.
    Szacun za wiedze.
    ZAMYKAMY

    0
  • #6 03 Paź 2018 14:20
    Bwqn
    Poziom 5  

    Kaspersky niestety nic nie pomógł...
    za to kolega Kolobos już tak :D
    Dzięki wielkie za pomoc, walczyłem z tym dziadostwem kilka dni.
    Szacun za wiedze.
    ZAMYKAMY

    Dodano po 1 [minuty]:

    Problem rozwiązany wg instrukcji kolegi Kolobos.

    0