Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Czy jest to wirus - dziwna nazwa

Sayax 11 Lis 2018 12:19 159 7
  • #1 11 Lis 2018 12:19
    Sayax
    Poziom 3  

    Czy ktoś z was wie czy jest to wirus? Bądź w jaki sposób mógłbym to wywalić(dodam iż nie chciałbym robić formatu)? Zawsze dostaje tą informację po włączeniu kompa


    Czy jest to wirus - dziwna nazwa

    0 7
  • Pomocny post
    #2 11 Lis 2018 12:24
    Kolobos
    Spec od komputerów

    Tak, to infekcja.

    Uzyj AdwCleaner, opcja Scan/Szukaj i Clean/Usun: http://www.bleepingcomputer.com/download/adwcleaner/

    Zamiesc w zalaczniku logi ze skanowania z FRST (Frst.txt oraz Addition.txt):
    http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/

    Zrob pelny skan przy pomocy Mbam i usun to co wykryje:
    http://www.bleepingcomputer.com/download/malwarebytes-anti-malware/

    0
  • Pomocny post
    #4 11 Lis 2018 12:50
    Kolobos
    Spec od komputerów

    Odinstaluj: SafeFinder

    Obok frst.exe utworz plik Fixlist.txt z zawartoscia:
    CloseProcesses:
    Task: {060976C8-C92E-425D-97A5-92ADC8DB4C58} - System32\Tasks\EGDwIDfrVjLvW2 => C:\Windows\system32\wscript.exe "C:\ProgramData\zTXZmVxyKBKDhdVB\apLnoND.wsf"
    Task: {17058CB1-B408-4E7B-B472-BA6922B2C37D} - System32\Tasks\Chromium tedel => "wscript.exe" "C:\ProgramData\{98BB5DD8-12F9-D71E-943F-495C0E7DC292}\feto" "68747470733a2f2f64326234366537617832617466692e636c6f756466726f6e742e6e6574" "//B" "//E:jscript" "--IsErIk"
    Task: {33ED796A-405F-4BE8-B4F3-695D4D1B34CB} - System32\Tasks\Opera scheduled Autoupdate 1541891850 => C:\Users\Bartek\AppData\Local\Programs\Opera\launcher.exe [2018-11-06] (Opera Software)
    Task: {5BD64ADC-C37B-4288-839A-36E6137F8056} - System32\Tasks\{37A0B3B6-910B-03FA-F41E-0D009E14565B}\Cahac => C:\Users\Bartek\AppData\Local\HOCODE~1\Cahac.exe
    Hosts:
    HKU\S-1-5-21-828296282-3175719921-1231544051-1001\...\Run: [Blogger] => C:\ProgramData\Blogger\Blogger.exe [80384 2018-11-11] ()
    HKU\S-1-5-21-828296282-3175719921-1231544051-1001\...\Run: [Chromium] => c:\users\bartek\appdata\local\chromium\application\chrome.exe [829440 2017-02-15] (The Chromium Authors)
    HKU\S-1-5-21-828296282-3175719921-1231544051-1001\...\Run: [8448589] => "C:\Users\Bartek\AppData\Roaming\y4jujhfxt0f\ijq0xfyr0kj.exe" /VERYSILENT
    HKU\S-1-5-21-828296282-3175719921-1231544051-1001\...\Run: [4838355] => "C:\Users\Bartek\AppData\Roaming\l340gcx2q2v\2p3zkl0wkft.exe" /VERYSILENT
    InternetURL: C:\Users\Bartek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\BznMMQqmAG.url ->
    Startup: C:\Users\Bartek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\gfagjitv.lnk [2018-11-11]
    ShortcutTarget: gfagjitv.lnk -> C:\Windows\System32\cmd.exe (Microsoft Corporation)
    GroupPolicy: Ograniczenia - Windows Defender <==== UWAGA
    HKU\S-1-5-21-828296282-3175719921-1231544051-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%6...9oDNM9bXGA4bMI9U0EIdTouSZZEw6TyXjtoyyl&q={searchTerms}
    HKU\S-1-5-21-828296282-3175719921-1231544051-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://%66%65%65%64.%68%65%6C%70%65%72%62%61...1rLVlRxaFQ-gn1Kz7AhKBGPrQa7KFZHijSP6i8iBSSgTl




    HKU\S-1-5-21-828296282-3175719921-1231544051-1001\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://www.msn.com/pl-pl/?ocid=iehp
    SearchScopes: HKLM-x32 -> DefaultScope - brak wartości
    C:\Users\Bartek\AppData\Roaming\Opera Software\Opera Stable\Extensions\gkcgcddlhhlldmjffagogcoalhmfigoh
    OPR Extension: (Adblocker for Youtube™) - C:\Users\Bartek\AppData\Roaming\Opera Software\Opera Stable\Extensions\gkcgcddlhhlldmjffagogcoalhmfigoh [2018-11-11]
    S2 EventSvc; C:\ProgramData\Microsoft\Windows\EventSvc\eventsvc.exe [360448 2018-07-24] (CloudBees, Inc.) [Brak podpisu cyfrowego] <==== UWAGA
    S2 SysSvc; C:\Users\Bartek\AppData\Local\NtvHost\syssvc.exe [360448 2018-07-24] (CloudBees, Inc.) [Brak podpisu cyfrowego]
    U3 aswbdisk; Brak ImagePath
    2018-11-11 02:50 - 2018-11-11 02:51 - 000000000 ____D C:\AdwCleaner
    2018-11-11 02:27 - 2018-11-11 02:46 - 000000000 ____D C:\Program Files\5CSYQJ2FPS
    2018-11-11 02:23 - 2018-11-11 02:46 - 000000000 ____D C:\Program Files\OICEC8615J
    2018-11-11 02:16 - 2018-11-11 02:16 - 000000266 __RSH C:\Users\Bartek\ntuser.pol
    2018-11-11 02:09 - 2018-11-11 02:43 - 000000000 ____D C:\Program Files\9HMI4UT4T4
    2018-11-11 01:44 - 2018-11-11 02:52 - 000000000 ____D C:\Users\Bartek\AppData\Local\WServices
    2018-11-11 01:44 - 2018-11-11 02:43 - 000000000 ____D C:\Program Files (x86)\IwTmDCzJJIE
    2018-11-11 01:44 - 2018-11-11 02:28 - 000000034 _____ C:\Users\Public\Documents\{DE764086-1C0A-4DD3-90BA-0B93BDD794BE}
    2018-11-11 01:44 - 2018-11-11 02:19 - 000000000 ____D C:\Program Files (x86)\pbjpUXEkQjxU2
    2018-11-11 01:44 - 2018-11-11 02:16 - 000000000 ____D C:\Program Files (x86)\UmTwpSvRUOfSC
    2018-11-11 01:44 - 2018-11-11 02:16 - 000000000 ____D C:\Program Files (x86)\eEvEEOxmU
    2018-11-11 01:44 - 2018-11-11 02:16 - 000000000 ____D C:\Program Files (x86)\BHXQvOBMsgKdEntstUR
    2018-11-11 01:44 - 2018-11-11 02:03 - 000000000 ____D C:\Program Files (x86)\hGGLWjvHZZUn
    2018-11-11 01:44 - 2018-11-11 01:50 - 000000000 ____D C:\ProgramData\zTXZmVxyKBKDhdVB
    2018-11-11 01:44 - 2018-11-11 01:46 - 000000000 ____D C:\Users\Bartek\AppData\Local\NtvHost
    2018-11-11 01:44 - 2018-11-11 01:44 - 000002890 _____ C:\Windows\System32\Tasks\EGDwIDfrVjLvW2
    2018-11-11 01:44 - 2018-11-11 01:44 - 000002688 __RSH C:\ProgramData\ntuser.pol
    2018-11-11 01:43 - 2018-11-11 12:00 - 000001528 _____ C:\Windows\Tasks\Okawville.job
    2018-11-11 01:43 - 2018-11-11 02:46 - 000000000 ____D C:\Program Files (x86)\SHSK
    2018-11-11 01:43 - 2018-11-11 01:53 - 000000000 ____D C:\Program Files\Okawville
    2018-11-11 01:43 - 2018-11-11 01:49 - 000000000 ____D C:\Users\Bartek\AppData\Local\chromium
    2018-11-11 01:43 - 2018-11-11 01:43 - 000037552 _____ (Basil) C:\Windows\system32\Drivers\WinDivert64.sys
    2018-11-11 01:43 - 2018-11-11 01:43 - 000013914 _____ C:\Windows\System32\Tasks\Okawville
    2018-11-11 01:42 - 2018-11-11 02:42 - 000000000 ____D C:\ProgramData\{98BB5DD8-12F9-D71E-943F-495C0E7DC292}
    2018-11-11 01:42 - 2018-11-11 01:49 - 000000000 ____D C:\Users\Bartek\AppData\Local\Hocodemabo
    2018-11-11 01:42 - 2018-11-11 01:42 - 000003916 _____ C:\Windows\System32\Tasks\Chromium tedel
    2018-11-11 01:42 - 2018-11-11 01:42 - 000000000 ____D C:\Windows\System32\Tasks\{37A0B3B6-910B-03FA-F41E-0D009E14565B}
    2018-11-11 01:35 - 2018-11-11 02:44 - 000000000 ____D C:\Users\Bartek\AppData\Local\William
    2018-11-11 01:35 - 2018-11-11 01:35 - 000000000 ____D C:\Users\Bartek\AppData\Local\AdvinstAnalytics
    2018-11-11 01:24 - 2018-11-11 01:24 - 000000000 ____D C:\Users\Bartek\AppData\Roaming\Mozilla
    2018-11-11 01:23 - 2018-11-11 01:23 - 007800320 _____ C:\Users\Bartek\AppData\Local\agent.dat
    2018-11-11 01:23 - 2018-11-11 01:23 - 002020458 _____ C:\Users\Bartek\AppData\Local\HomeSoft.tst
    2018-11-11 01:23 - 2018-11-11 01:23 - 001895381 _____ C:\Users\Bartek\AppData\Local\Isphase.bin
    2018-11-11 01:23 - 2018-11-11 01:23 - 000722944 _____ C:\Users\Bartek\AppData\Local\sham.db
    2018-11-11 01:23 - 2018-11-11 01:23 - 000278509 _____ C:\Users\Bartek\AppData\Local\Quodex.tst
    2018-11-11 01:23 - 2018-11-11 01:23 - 000140800 _____ C:\Users\Bartek\AppData\Local\installer.dat
    2018-11-11 01:23 - 2018-11-11 01:23 - 000126464 _____ C:\Users\Bartek\AppData\Local\noah.dat
    2018-11-11 01:23 - 2018-11-11 01:23 - 000070896 _____ C:\Users\Bartek\AppData\Local\Config.xml
    2018-11-11 01:23 - 2018-11-11 01:23 - 000005568 _____ C:\Users\Bartek\AppData\Local\md.xml
    2018-11-11 01:19 - 2018-11-11 01:19 - 000000000 ____D C:\ProgramData\Blogger
    2018-11-11 01:16 - 2018-11-11 01:17 - 000000000 ____D C:\ProgramData\Vaer
    2018-11-11 01:23 - 2018-11-11 01:23 - 007800320 _____ () C:\Users\Bartek\AppData\Local\agent.dat
    2018-11-11 01:23 - 2018-11-11 01:23 - 000070896 _____ () C:\Users\Bartek\AppData\Local\Config.xml
    2018-11-11 01:23 - 2018-11-11 01:23 - 002020458 _____ () C:\Users\Bartek\AppData\Local\HomeSoft.tst
    2018-11-11 01:23 - 2018-11-11 01:23 - 000140800 _____ () C:\Users\Bartek\AppData\Local\installer.dat
    2018-11-11 01:23 - 2018-11-11 01:23 - 001895381 _____ () C:\Users\Bartek\AppData\Local\Isphase.bin
    2018-11-11 01:23 - 2018-11-11 01:23 - 000005568 _____ () C:\Users\Bartek\AppData\Local\md.xml
    2018-11-11 01:23 - 2018-11-11 01:23 - 000126464 _____ () C:\Users\Bartek\AppData\Local\noah.dat
    2018-11-11 01:23 - 2018-11-11 01:23 - 000278509 _____ () C:\Users\Bartek\AppData\Local\Quodex.tst
    2018-11-11 01:23 - 2018-11-11 01:23 - 000722944 _____ () C:\Users\Bartek\AppData\Local\sham.db
    2018-11-11 01:23 - 2018-11-11 01:23 - 000032038 _____ () C:\Users\Bartek\AppData\Local\uninstall_temp.ico
    Task: {F074077E-F7DE-4CAB-A988-66194768381E} - System32\Tasks\Okawville => C:\Program Files\Okawville\Okawville.exe

    W FRST wybierz Napraw. Po wykonaniu usun katalog C:\FRST.

    Na przyszlosc nie sciagaj zainfekowanych aktywatorow!

    0
  • #5 11 Lis 2018 13:03
    Sayax
    Poziom 3  

    Dzięki za powyżej! Mam jeszcze jedno pytanie gdyz nod32 wykrywa mi caly czas to co widoczne na screenie. I nie wiem czy co w ktorejs z zakladki czy dalej cos siedzi;/


    Czy jest to wirus - dziwna nazwa

    0
  • #6 11 Lis 2018 13:05
    Kolobos
    Spec od komputerów

    Zamiesc nowe logi, ze skanowania, moze cos jeszcze zostalo.

    Ktora przegladarka otwiera ta strone?

    0
  • #8 11 Lis 2018 13:14
    Kolobos
    Spec od komputerów

    Zgraj zakladki z Opery, odinstaluj ja oraz usun katalog z ustawieniami:
    C:\Users\Bartek\AppData\Roaming\Opera Software\
    Po wykonaniu zainstaluj ponownie i sprawdz czy nadal probuje otworzyc ta strone.

    0