Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

WIN10\ nie znajduje modułu, przestawia proxy systemowe, wirus

afjio 30 Paź 2018 20:28 66 2
  • #1 30 Paź 2018 20:28
    afjio
    Poziom 2  

    Cześć,

    Do mojego laptopa dorwał się jakiś wirus. Po każdym włączeniu wyrzuca błąd "błąd podczas uruchamiania pliku C:\programData\20C1F2F8\20C1F232.dll. nie znaleziono modułu"
    Ten folder jest ukryty, dostęp jest dopiero przez ścieżkę adresu. Sprawdziłem na innym komputerze i tego folderu (20C1F2F8) nawet nie ma.
    System w laptopie nie ma dostępu do internetu, mimo bycia podłączonym pod WiFi, wyszukiwarka zaczyna działać dopiero po zmianie proxy na inne niż systemowe.

    Skanowałem Kasperskym - usunął HEUR:trojan downloader vbs.sload.gen i trojan.script.generic, Malwarebyte też coś usunął, ADWcleaner wykrywa 3 problemy, jednak nie może ich usunąć.
    Prawdopodobnie wirus wdarł się przez maila z wyimaginowaną fakturą z adresu expander-plus
    Dodatkowo nie zgadza się rozmiar plików na dysku, zaznaczyłem dwa główne gdzie trzymam swoje pliki (mój i systemowy "użytkownicy"), system wyliczył, że zajmują one 170 GB, natomiast w "Ten komputer" na dysku C jest zajęte 130 GB z 240. To ma jednak mniejsze znaczenie.
    Proszę o pomoc, co mogę zrobić?

    Załączam logi z adw i frst
    Jeśli coś jest nie tak to doprecyzuje/poprawię

    0 2
  • Pomocny post
    #2 30 Paź 2018 20:50
    Kolobos
    Spec od komputerów

    Wykonaj Fixlist.txt dla FRST:
    CloseProcesses:
    2018-10-15 12:10 - 2018-10-15 12:10 - 002556944 ___RH () c:\ProgramData\20C1F2F8\20C1F264.dll
    HKU\S-1-5-21-682830826-822386967-401952757-1001\Software\Classes\exefile: <==== ATTENTION
    Startup: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\iexplorer.lnk [2018-10-15]
    ShortcutTarget: iexplorer.lnk -> C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe (Microsoft Corporation)
    ProxyEnable: [S-1-5-21-682830826-822386967-401952757-1001] => Proxy is enabled.
    ProxyServer: [S-1-5-21-682830826-822386967-401952757-1001] => 127.0.0.1:1080
    ManualProxies: 1127.0.0.1:1080
    RemoveProxy:
    FF NetworkProxy: Mozilla\Firefox\Profiles\ycvmq7kz.default -> type", 4
    CHR HKLM\...\Chrome\Extension: [amkpcclbbgegoafihnpgomddadjhcadd] - hxxps://chrome.google.com/webstore/detail/amkpcclbbgegoafihnpgomddadjhcadd
    CHR HKLM-x32\...\Chrome\Extension: [amkpcclbbgegoafihnpgomddadjhcadd] - hxxps://chrome.google.com/webstore/detail/amkpcclbbgegoafihnpgomddadjhcadd
    R2 20C1F2F8; C:\ProgramData\20C1F2F8\20C1F264.dll [2556944 2018-10-15] () [File not signed]
    2018-10-30 17:11 - 2018-10-30 17:18 - 000000000 ____D C:\AdwCleaner
    2018-10-15 12:09 - 2018-10-30 19:40 - 000000000 ____D C:\ProgramData\20C1F2F8

    Po wykonaniu usun katalog C:\FRST i to wszystko.

    Na przyszlosc nie uruchamiaj falszywych zainfekowanych faktur, ktore dostajesz mailem!

    0
  • #3 30 Paź 2018 22:59
    afjio
    Poziom 2  

    Wielkie dzięki, zrobiłem jak napisałeś, komunikat zniknął, internet działa.
    Laptop jest mojego taty, uczulę go jeszcze, by nie otwierał takich podejrzanych rzeczy i spojrzał od kogo jest mail, zanim pobierze niepotrzebne rzeczy.
    Z czystej ciekawości zostaje jeszcze zagadka rozmiaru plików na dysku, folder danych i Użytkownicy mają razem 170 GB, foldery Windows (25 GB) i Program Files też trochę ważą, a we właściwościach dysku pokazuje, że jest zajęte 130 GB. Ktoś może wie o co chodzi?

    0