Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

[Rozwiązano] Zawirusowowany komputer, wyskakujące reklamy

jurmun 26 Lis 2018 23:45 120 5
  • #1 26 Lis 2018 23:45
    jurmun
    Poziom 13  

    Witam, od pewnego czasu borykam się z wyskakującymi reklamami i samo otwierającymi się nowymi kartami w przeglądarce internetowej.
    Przeskanowałem komputer programami AdwCleaner oraz Malwarebytes. Usunęłem wszystko co znalazły, natomiast to nie rozwiązało mojego problemu.
    Załączam skrypty z programu FRST i proszę o ich interpretacje oraz skrypt naprawczy.
    Z góry dziękuję, Jurmun

    0 5
  • Pomocny post
    #2 26 Lis 2018 23:54
    RADU23
    Moderator - Komputery Serwis

    Otwórz notatnik i wklej zawartość:

    Cytat:
    HKLM\...\Run: [] => [X]
    HKLM-x32\...\Run: [] => [X]
    HKLM Group Policy restriction on software: %systemroot%\system32\mrt.exe <==== UWAGA
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA
    HKU\S-1-5-21-4048503618-3635627949-1813198395-1001\...\Run: [] => [X]
    HKU\S-1-5-21-4048503618-3635627949-1813198395-1001\...\MountPoints2: {10ef965e-6dc3-11e8-8021-bbb2606b6421} - "F:\AutoRun.exe"
    HKU\S-1-5-21-4048503618-3635627949-1813198395-1001\...\MountPoints2: {97dce458-56fc-11e6-9bef-d8cb8a9cfe27} - "L:\HiSuiteDownLoader.exe"
    CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <==== UWAGA
    SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
    SearchScopes: HKLM-x32 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
    SearchScopes: HKU\S-1-5-21-4048503618-3635627949-1813198395-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxps://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IESR02&pc=UE04
    SearchScopes: HKU\S-1-5-21-4048503618-3635627949-1813198395-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxps://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IESR02&pc=UE04
    CHR HKLM\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [ofoeigeaodhbjogdigckajfhjbonaofg] - hxxps://clients2.google.com/service/update2/crx
    S2 AviraUpdaterService; "C:\Program Files (x86)\Avira\SoftwareUpdater\Avira.SoftwareUpdater.ServiceHost.exe" [X]
    U4 WinDefend; Brak ImagePath
    2018-11-25 00:35 - 2018-02-10 03:38 - 000000000 ____D C:\AdwCleaner
    CustomCLSID: HKU\S-1-5-21-4048503618-3635627949-1813198395-1001_Classes\CLSID\{1BF42E4C-4AF4-4CFD-A1A0-CF2960B8F63E}\InprocServer32 -> C:\Users\Tomek\AppData\Local\Microsoft\OneDrive\18.192.0920.0015\amd64\FileSyncShell64.dll => Brak pliku
    CustomCLSID: HKU\S-1-5-21-4048503618-3635627949-1813198395-1001_Classes\CLSID\{7AFDFDDB-F914-11E4-8377-6C3BE50D980C}\InprocServer32 -> C:\Users\Tomek\AppData\Local\Microsoft\OneDrive\18.192.0920.0015\amd64\FileSyncShell64.dll => Brak pliku
    CustomCLSID: HKU\S-1-5-21-4048503618-3635627949-1813198395-1001_Classes\CLSID\{82CA8DE3-01AD-4CEA-9D75-BE4C51810A9E}\InprocServer32 -> C:\Users\Tomek\AppData\Local\Microsoft\OneDrive\18.192.0920.0015\amd64\FileSyncShell64.dll => Brak pliku
    ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku
    ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku
    Task: {16635DF4-AE20-4B33-B260-3CEC1DE969CB} - \CCleanerSkipUAC -> Brak pliku <==== UWAGA
    Task: {190A93E3-4B45-409B-80F1-B8ADDEE8CF24} - \Microsoft\Windows\UNP\RunCampaignManager -> Brak pliku <==== UWAGA
    Task: {3F9E226F-D5A2-431D-80AF-76573ADCC7A6} - \SessionAgent -> Brak pliku <==== UWAGA
    Task: {48F06839-066D-4365-876B-D8D1D7767FE3} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> Brak pliku <==== UWAGA
    80.241.222.139 1l-hit.mail.ru
    80.241.222.139 www.1l-hit.mail.ru
    80.241.222.139 ad.mail.ru
    80.241.222.139 www.ad.mail.ru


    Plik zapisz pod nazwą fixlist.txt i umieść w folderze, gdzie masz FRST.exe.
    Uruchom FRST i kliknij w Fix/Napraw.

    0
  • #3 27 Lis 2018 00:27
    krzychupar
    Poziom 41  

    Dorzuć jeszcze do fixlisty to:
    Hosts:
    HKLM\...\Run: [winlogui] => C:\WINDOWS\system32\winlogui.exe -o pool.minexmr.com:4444 -u 47KYx6QmWdbVotVxXTttQBQCQ2uX8vnkZNSnu6xuJNweYNC99pdCrk42ke5AeAMx1aYDyz8vbQKXs8oQkc9v9xMjBtN7R9W

    0
  • Pomocny post
    #5 27 Lis 2018 08:34
    Kolobos
    Spec od komputerów

    Wykonaj taki Fixlist.txt:
    Task: {279B8DAC-1D70-4CEC-83FD-8CF9CB75DC6B} - System32\Tasks\Jzrqbmesel => C:\Users\Tomek\AppData\Roaming\Bdg1i1Fe\e9TWglMc.exe
    Task: C:\WINDOWS\Tasks\CreateExplorerShellUnelevatedTask.job => C:\WINDOWS\explorer.exe
    Task: C:\WINDOWS\Tasks\Jzrqbmesel.job => C:\Users\Tomek\AppData\Roaming\Bdg1i1Fe\e9TWglMc.exe
    Hosts:
    Tcpip\..\Interfaces\{7d71fc96-bbd8-4e8f-85c8-846277835162}: [NameServer] 172.98.193.42,192.99.85.244
    2018-11-18 23:32 - 2018-11-25 00:36 - 000000400 _____ C:\WINDOWS\Tasks\Jzrqbmesel.job
    2018-11-18 23:32 - 2018-11-25 00:13 - 000002470 _____ C:\WINDOWS\System32\Tasks\Jzrqbmesel
    C:\Users\Tomek\AppData\Roaming\Bdg1i1Fe\

    0
  • #6 07 Gru 2018 18:42
    jurmun
    Poziom 13  

    Witam, po wykonaniu skryptu wszystko wróciło do normy. Dziękuję serdecznie wszystkim za pomoc.

    0