Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Wirus gmaegames.pro/redirect-from-banner.html

tomekkz1 03 Lis 2018 14:11 123 8
  • #1 03 Lis 2018 14:11
    tomekkz1
    Poziom 10  

    Witam
    Na komputerze pojawił się wirus, który przy każdym uruchomieniu systemu Windows włącza przeglądarkę Chrome, ze stroną o adresie gmaegames.xxx/redirect-from-banner.html. Prosiłbym o pomoc, jak się pozbyć tego wirusa. W załączniku daje pliki FRST.txt oraz Addition.txt. Myślę że powinny one pomóc w rozwiązaniu problemu. Z góry dzięki serdeczne :D

    Ps. kopiuje temat kolegi, logi własne, wcześniej przeskanowano i usunięto antywirusami:
    Dr.Web CureIt!
    Malwarebytes Anti-Malware

    0 8
  • #2 03 Lis 2018 14:13
    Kolobos
    Spec od komputerów

    Zamiesciles tylko addition.txt ze zmieniona nazwa, brak frst.txt!

    Do Fixlist.txt mozesz juz wkleic:
    Task: {67DC185F-857F-491F-86C4-E02B5AD3E4B7} - System32\Tasks\Opera scheduled Autoupdate 1509829419 => c:\program files\opera\launcher.exe [2018-10-17] (Opera Software)
    Task: {B7226CCB-321C-461D-9CBF-6D5320199127} - System32\Tasks\{59CEC8EC-3599-4BEB-8809-C04E39DA0C98} => C:\Program Files (x86)\Mozilla Firefox\firefox.exe
    Task: {F2C72DEC-3BF9-4FD1-A69D-7620E22DDA21} - System32\Tasks\{909F7937-383B-482D-9B59-76D52C220ABA} => E:\ChomikBox\Gateway to Caen (rysiulo)\Close Combat Gateway to Caen v. 1.0\Close Combat Gateway to Caen v. 1.0\Close Combat Gateway to Caen\CCE.exe

    0
  • #3 03 Lis 2018 14:47
    tomekkz1
    Poziom 10  

    temat edytowany poprawiłem już co trzeba :)

    0
  • #4 03 Lis 2018 15:05
    Kolobos
    Spec od komputerów

    Chyba juz wczesniej usunales wpis, ktory odpowiadal za uruchamianie tej strony.

    Wykonaj Fixlist.txt dla FRST:
    Task: {67DC185F-857F-491F-86C4-E02B5AD3E4B7} - System32\Tasks\Opera scheduled Autoupdate 1509829419 => c:\program files\opera\launcher.exe [2018-10-17] (Opera Software)
    Task: {B7226CCB-321C-461D-9CBF-6D5320199127} - System32\Tasks\{59CEC8EC-3599-4BEB-8809-C04E39DA0C98} => C:\Program Files (x86)\Mozilla Firefox\firefox.exe
    Task: {F2C72DEC-3BF9-4FD1-A69D-7620E22DDA21} - System32\Tasks\{909F7937-383B-482D-9B59-76D52C220ABA} => E:\ChomikBox\Gateway to Caen (rysiulo)\Close Combat Gateway to Caen v. 1.0\Close Combat Gateway to Caen v. 1.0\Close Combat Gateway to Caen\CCE.exe
    HKU\S-1-5-21-1193183119-2576270237-1509001447-1000\...\Run: [GalaxyClient] => [X]
    HKU\S-1-5-21-1193183119-2576270237-1509001447-1000\...\MountPoints2: D - D:\setup.exe
    HKU\S-1-5-21-1193183119-2576270237-1509001447-1000\...\MountPoints2: {0afb05f4-4e76-11e7-8c8a-4ccc6a0d2c20} - H:\HiSuiteDownLoader.exe
    HKU\S-1-5-21-1193183119-2576270237-1509001447-1000\...\MountPoints2: {0afb0608-4e76-11e7-8c8a-4ccc6a0d2c20} - H:\HiSuiteDownLoader.exe
    HKU\S-1-5-21-1193183119-2576270237-1509001447-1000\...\MountPoints2: {29b54605-0bd3-11e7-855b-806e6f6e6963} - C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL F:\setup.exe
    HKU\S-1-5-21-1193183119-2576270237-1509001447-1000\...\MountPoints2: {5d79d4bc-0c00-11e7-8e0f-4ccc6a0d2c20} - D:\setup.exe
    HKU\S-1-5-21-1193183119-2576270237-1509001447-1000\...\MountPoints2: {5d79d4c3-0c00-11e7-8e0f-4ccc6a0d2c20} - H:\setup.exe
    HKU\S-1-5-21-1193183119-2576270237-1509001447-1000\...\MountPoints2: {c856c8f0-8636-11e7-af34-4ccc6a0d2c20} - H:\HiSuiteDownLoader.exe
    Toolbar: HKU\S-1-5-21-1193183119-2576270237-1509001447-1000 -> Brak nazwy - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - Brak pliku
    CHR HomePage: Default -> inline.go.mail.ru
    CHR DefaultSearchURL: Default -> hxxps://inline.go.mail.ru/search?inline_comp=dse&q={searchTerms}&fr=chxtn11.0.3
    CHR DefaultSearchKeyword: Default -> mail.ru
    CHR DefaultSuggestURL: Default -> hxxp://suggests.go.mail.ru/chrome?q={searchTerms}
    S3 MSICDSetup; \??\F:\CDriver64.sys [X]
    S3 NTIOLib_1_0_C; \??\F:\NTIOLib_X64.sys [X]
    S3 pccsmcfd; system32\DRIVERS\pccsmcfdx64.sys [X]
    2018-11-03 14:28 - 2018-11-03 14:30 - 000000000 ____D C:\AdwCleaner
    2018-11-03 02:37 - 2017-11-04 22:03 - 000003888 _____ C:\Windows\System32\Tasks\Opera scheduled Autoupdate 1509829419
    2018-11-03 02:37 - 2017-11-02 00:16 - 000003172 _____ C:\Windows\System32\Tasks\{909F7937-383B-482D-9B59-76D52C220ABA}
    2018-11-03 02:37 - 2017-09-29 21:44 - 000002978 _____ C:\Windows\System32\Tasks\{59CEC8EC-3599-4BEB-8809-C04E39DA0C98}

    Po wykonaniu sprawdz czy strona nadal sie otwiera.

    0
  • #5 03 Lis 2018 15:16
    tomekkz1
    Poziom 10  

    Ale co mam z tym zrobić? Jestem laikiem. Bardzo bym prosił krok po kroku.

    Poprawiłem pisownię. Dbaj o nią proszę. RADU23

    0
  • #6 03 Lis 2018 15:21
    Kolobos
    Spec od komputerów

    To samo co wszyscy, skoro reszta potrafi to i Ty tez dasz rade. W wiekszosci watkow masz podane co dokladnie zrobic, nie mowiac juz o wpisaniu w google: frst fixlist.
    Nie jestes laikiem tylko leniem.

    0
  • #7 03 Lis 2018 15:36
    tomekkz1
    Poziom 10  

    Kolobos napisał:
    To samo co wszyscy, skoro reszta potrafi to i Ty tez dasz rade. W wiekszosci watkow masz podane co dokladnie zrobic, nie mowiac juz o wpisaniu w google: frst fixlist.
    Nie jestes laikiem tylko leniem.


    dziękuje za pomoc, ale to ty jesteś leniem, zapewne pyta cie kolejna osoba o to samo. Dlatego zalecam ulepszenie instrukcji

    1) czyli tworze plik w notatniku o nazwie fixlist

    2) następnie wklejam to co ty mi podałeś:

    Task: {67DC185F-857F-491F-86C4-E02B5AD3E4B7} - System32\Tasks\Opera scheduled Autoupdate 1509829419 => c:\program files\opera\launcher.exe [2018-10-17] (Opera Software)
    Task: {B7226CCB-321C-461D-9CBF-6D5320199127} - System32\Tasks\{59CEC8EC-3599-4BEB-8809-C04E39DA0C98} => C:\Program Files (x86)\Mozilla Firefox\firefox.exe
    Task: {F2C72DEC-3BF9-4FD1-A69D-7620E22DDA21} - System32\Tasks\{909F7937-383B-482D-9B59-76D52C220ABA} => E:\ChomikBox\Gateway to Caen (rysiulo)\Close Combat Gateway to Caen v. 1.0\Close Combat Gateway to Caen v. 1.0\Close Combat Gateway to Caen\CCE.exe
    HKU\S-1-5-21-1193183119-2576270237-1509001447-1000\...\Run: [GalaxyClient] => [X]
    HKU\S-1-5-21-1193183119-2576270237-1509001447-1000\...\MountPoints2: D - D:\setup.exe
    HKU\S-1-5-21-1193183119-2576270237-1509001447-1000\...\MountPoints2: {0afb05f4-4e76-11e7-8c8a-4ccc6a0d2c20} - H:\HiSuiteDownLoader.exe
    HKU\S-1-5-21-1193183119-2576270237-1509001447-1000\...\MountPoints2: {0afb0608-4e76-11e7-8c8a-4ccc6a0d2c20} - H:\HiSuiteDownLoader.exe
    HKU\S-1-5-21-1193183119-2576270237-1509001447-1000\...\MountPoints2: {29b54605-0bd3-11e7-855b-806e6f6e6963} - C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL F:\setup.exe
    HKU\S-1-5-21-1193183119-2576270237-1509001447-1000\...\MountPoints2: {5d79d4bc-0c00-11e7-8e0f-4ccc6a0d2c20} - D:\setup.exe
    HKU\S-1-5-21-1193183119-2576270237-1509001447-1000\...\MountPoints2: {5d79d4c3-0c00-11e7-8e0f-4ccc6a0d2c20} - H:\setup.exe
    HKU\S-1-5-21-1193183119-2576270237-1509001447-1000\...\MountPoints2: {c856c8f0-8636-11e7-af34-4ccc6a0d2c20} - H:\HiSuiteDownLoader.exe
    Toolbar: HKU\S-1-5-21-1193183119-2576270237-1509001447-1000 -> Brak nazwy - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - Brak pliku
    CHR HomePage: Default -> inline.go.mail.ru
    CHR DefaultSearchURL: Default -> hxxps://inline.go.mail.ru/search?inline_comp=dse&q={searchTerms}&fr=chxtn11.0.3
    CHR DefaultSearchKeyword: Default -> mail.ru
    CHR DefaultSuggestURL: Default -> hxxp://suggests.go.mail.ru/chrome?q={searchTerms}
    S3 MSICDSetup; \??\F:\CDriver64.sys [X]
    S3 NTIOLib_1_0_C; \??\F:\NTIOLib_X64.sys [X]
    S3 pccsmcfd; system32\DRIVERS\pccsmcfdx64.sys [X]
    2018-11-03 14:28 - 2018-11-03 14:30 - 000000000 ____D C:\AdwCleaner
    2018-11-03 02:37 - 2017-11-04 22:03 - 000003888 _____ C:\Windows\System32\Tasks\Opera scheduled Autoupdate 1509829419
    2018-11-03 02:37 - 2017-11-02 00:16 - 000003172 _____ C:\Windows\System32\Tasks\{909F7937-383B-482D-9B59-76D52C220ABA}
    2018-11-03 02:37 - 2017-09-29 21:44 - 000002978 _____ C:\Windows\System32\Tasks\{59CEC8EC-3599-4BEB-8809-C04E39DA0C98}

    3) następnie plik przenoszę tam gdzie mam program FRST

    4) uruchamiam program jako admin i naciskam napraw

    czy zgadza sie?

    0
  • #8 03 Lis 2018 15:49
    Kolobos
    Spec od komputerów

    Zgadza sie, FRST jest w uzyciu juz tyle lat, ze nikt juz o to nie pyta, z wyjatkiem wyjatkowo leniwych uzytkownikow.

    0
  • #9 03 Lis 2018 16:07
    tomekkz1
    Poziom 10  

    Albo osób które 1 raz słyszą o tym programie i nigdy nie miały problemów z wirusami, jeszcze raz dzięki i jeszcze raz zalecam instrukcje.

    0