Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Proxy Virus localhost:1080

santroy 17 Lis 2018 14:48 108 4
  • #1 17 Lis 2018 14:48
    santroy
    Poziom 2  

    Dzień dobry,

    Bardzo proszę o skrypt usuwający tego wirusa w C:\ProgramData\3009CF9D. Udało mi się usunąć cały katalog wraz z .ddl za pomocą FRST, ale cholerstwo i tak powraca po jakimś czasie.

    0 4
  • Pomocny post
    #2 17 Lis 2018 14:55
    RADU23
    Moderator - Komputery Serwis

    Otwórz notatnik i wklej zawartość:

    Cytat:
    HKU\S-1-5-21-1754687855-1840044488-420498223-1000\...\MountPoints2: {fa006b10-cbd5-11e8-9485-001e37c232a7} - F:\SETUP.EXE
    FF Plugin: @microsoft.com/GENUINE -> disabled [Brak pliku]
    FF Plugin-x32: @microsoft.com/GENUINE -> disabled [Brak pliku]
    S2 033812D8; C:\PROGRA~3\033812D8\03381264.DLL [X]
    ProxyEnable: [S-1-5-21-1754687855-1840044488-420498223-1000] => Proxy [funkcja włączona]
    ProxyServer: [S-1-5-21-1754687855-1840044488-420498223-1000] => 127.0.0.1:1080
    ManualProxies: 1127.0.0.1:1080
    2018-11-09 13:11 - 2018-11-09 13:11 - 000000000 ____D C:\AdwCleaner
    ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku


    Plik zapisz pod nazwą fixlist.txt i umieść w folderze, gdzie masz FRST.exe.
    Uruchom FRST i kliknij w Fix/Napraw.

    Po tym wykonaj skanowanie MBAM oraz ADWcleaner i usuń wszystko co wykryją
    https://www.malwarebytes.com/dl-confirm/
    http://www.bleepingcomputer.com/download/adwcleaner/

    0
  • Pomocny post
    #3 17 Lis 2018 14:59
    krzychupar
    Poziom 40  

    Otwórz notatnik systemowy i wklej:

    CloseProcesses:
    Task: {3391847B-9EE7-4590-BCAB-FB1316C452AB} - System32\Tasks\Avast Software\Overseer => C:\Program Files\Common Files\AVAST Software\Overseer\overseer.exe [2018-11-15] (AVAST Software)
    HKU\S-1-5-21-1754687855-1840044488-420498223-1000\...\MountPoints2: {fa006b10-cbd5-11e8-9485-001e37c232a7} - F:\SETUP.EXE
    ProxyEnable: [S-1-5-21-1754687855-1840044488-420498223-1000] => Proxy [funkcja włączona]
    ProxyServer: [S-1-5-21-1754687855-1840044488-420498223-1000] => 127.0.0.1:1080
    ManualProxies: 1127.0.0.1:1080
    RemoveProxy:
    R2 3009CF9D; C:\ProgramData\3009CF9D\3009CF64.dll [2710544 2018-11-15] () [Brak podpisu cyfrowego]
    S2 033812D8; C:\PROGRA~3\033812D8\03381264.DLL [X]
    2018-11-15 03:35 - 2018-11-17 14:32 - 000000000 ____D C:\ProgramData\3009CF9D
    2018-11-10 17:18 - 2018-11-10 17:18 - 071794688 _____ C:\Windows\system32\config\SOFTWARE.iobit
    2018-11-10 17:18 - 2018-11-10 17:18 - 044154880 _____ C:\Windows\system32\config\COMPONENTS.iobit
    2018-11-10 17:18 - 2018-11-10 17:18 - 000253952 _____ C:\Windows\system32\config\DEFAULT.iobit
    2018-11-10 17:18 - 2018-11-10 17:18 - 000028672 _____ C:\Windows\system32\config\SAM.iobit
    2018-11-10 17:18 - 2018-11-10 17:18 - 000024576 _____ C:\Windows\system32\config\SECURITY.iobit
    2018-11-10 17:15 - 2018-11-15 13:54 - 000000000 ____D C:\Users\PC\AppData\Roaming\IObit
    2018-11-10 17:15 - 2018-11-15 13:54 - 000000000 ____D C:\Users\PC\AppData\LocalLow\IObit
    2018-11-10 17:15 - 2018-11-10 17:15 - 000000000 ____D C:\ProgramData\{F86B0233-9A85-4589-8AAF-524CC4F8211B}
    2018-11-10 17:14 - 2018-11-15 13:54 - 000000000 ____D C:\ProgramData\IObit
    2018-11-10 17:14 - 2018-11-15 13:54 - 000000000 ____D C:\Program Files (x86)\IObit
    2018-11-09 13:11 - 2018-11-09 13:11 - 000000000 ____D C:\AdwCleaner
    2018-10-09 07:05 - 2018-10-09 07:05 - 000309760 _____ () C:\Users\PC\AppData\Roaming\hDgz.dll
    2018-10-04 16:45 - 2018-10-04 16:45 - 000304128 _____ () C:\Users\PC\AppData\Roaming\mrfWERdQIaZ.dll
    2018-11-17 14:32 - 2018-11-17 14:32 - 000520262 _____ (Adobe Systems, Incorporated) C:\Users\PC\AppData\Roaming\ocEDgHXbj.dll
    2018-10-27 10:28 - 2018-10-27 10:28 - 000293376 _____ () C:\Users\PC\AppData\Roaming\Xcd.dll
    2018-08-31 16:50 - 2018-08-31 16:50 - 000007597 _____ () C:\Users\PC\AppData\Local\Resmon.ResmonCfg
    EmptyTemp:

    Plik zapisz pod nazwą fixlist.txt i umieść w folderze, gdzie masz FRST.exe.
    Uruchom FRST i kliknij w Fix/Napraw.

    0
  • #4 17 Lis 2018 15:11
    santroy
    Poziom 2  

    RADU23 niestety po wykonaniu fixlisty, adwcleaner wykrył ale nie usunął wirusa po restarcie. Dalej go wykrywał.
    Fixlist od krzychupar wyeliminował problem.

    Dziękuję bardzo wszystkim za pomoc :).

    0
  • #5 18 Lis 2018 14:05
    Kolobos
    Spec od komputerów

    @krzychupar ktory to juz raz zwracam Ci uwage na ten sam wpis?!

    Jak zwykle pomijasz:
    Startup: C:\Users\PC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\iexplorer.lnk [2018-10-27]
    ShortcutTarget: iexplorer.lnk -> C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe (Microsoft Corporation)

    0