Elektroda.pl
Elektroda.pl
X
CControls
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

[Rozwiązano] Wirus gmaegames.pro przy uruchomieniu komputera

oldziaczeek 05 Gru 2018 16:50 114 3
  • #1 05 Gru 2018 16:50
    oldziaczeek
    Poziom 2  

    Od kilku dni mam problem z wyskakującym przy uruchamianiu komputera okienku z wirusem gmaegames.pro
    Szukam w internecie jakiegoś rozwiązania i widzę, że skuteczny jest program FRST jednak nie do końca wiem jak go użyć, aby pozbyć się problemu, dlatego pilnie proszę o pomoc.

    0 3
  • CControls
  • Pomocny post
    #2 05 Gru 2018 17:31
    Kolobos
    Spec od komputerów

    Masz o wiele wiecej szkodliwych programow. Otwierajaca sie strona to najmniej wazna rzecz.

    Zgraj zakladki z Chrome, profil utworzony przez infekcje zostanie usuniety.
    W Chrome zmien profil na Default.

    Odinstaluj:
    Image Rest
    Qtrax Player
    Setup

    Wykonaj Fixlist.txt dla FRST:
    globalupdate Helper (HKLM\...\{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}) (Version: 1.3.25.0 - globalupdate Inc.) Hidden <==== UWAGA

    Po wykonaniu odinstaluj:
    globalupdate Helper

    Uzyj AdwCleaner, opcja Scan/Szukaj i Clean/Usun: http://www.bleepingcomputer.com/download/adwcleaner/

    Wykonaj kolejny Fixlist.txt:
    CustomCLSID: HKU\S-1-5-21-352654626-1907717073-533160366-1000_Classes\CLSID\{72B8D742-7E31-43b2-BC14-4EBB151B7A15}\InprocServer32 -> => Brak pliku
    CustomCLSID: HKU\S-1-5-21-352654626-1907717073-533160366-1000_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> C:\Users\cyfrowy_1948\AppData\Roaming\GG\ggdrive\ggdrive-menu.dll => Brak pliku
    ShellIconOverlayIdentifiers: [GGDriveOverlay1] -> {E68D0A50-3C40-4712-B90D-DCFA93FF2534} => -> Brak pliku
    ShellIconOverlayIdentifiers: [GGDriveOverlay2] -> {E68D0A51-3C40-4712-B90D-DCFA93FF2534} => -> Brak pliku
    ShellIconOverlayIdentifiers: [GGDriveOverlay3] -> {E68D0A52-3C40-4712-B90D-DCFA93FF2534} => -> Brak pliku
    ShellIconOverlayIdentifiers: [GGDriveOverlay4] -> {E68D0A53-3C40-4712-B90D-DCFA93FF2534} => -> Brak pliku
    ContextMenuHandlers1: [KuaiZip2ShlExt] -> {6ADF19E3-77A3-4395-ADB4-9FD7D351EB3F} => -> Brak pliku
    ContextMenuHandlers1: [_Movavivc11] -> {1C604495-4D32-476e-8D7E-FBF50F6C80BF} => -> Brak pliku
    ContextMenuHandlers2: [KuaiZip2ShlExt] -> {6ADF19E3-77A3-4395-ADB4-9FD7D351EB3F} => -> Brak pliku
    ContextMenuHandlers3: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku
    ContextMenuHandlers4: [KuaiZip2ShlExt] -> {6ADF19E3-77A3-4395-ADB4-9FD7D351EB3F} => -> Brak pliku
    ContextMenuHandlers6: [_Movavivc11] -> {1C604495-4D32-476e-8D7E-FBF50F6C80BF} => -> Brak pliku
    ContextMenuHandlers1_S-1-5-21-352654626-1907717073-533160366-1000: [GGDriveMenu] -> {E68D0A55-3C40-4712-B90D-DCFA93FF2534} => C:\Users\cyfrowy_1948\AppData\Roaming\GG\ggdrive\ggdrive-menu.dll -> Brak pliku
    ContextMenuHandlers4_S-1-5-21-352654626-1907717073-533160366-1000: [GGDriveMenu] -> {E68D0A55-3C40-4712-B90D-DCFA93FF2534} => C:\Users\cyfrowy_1948\AppData\Roaming\GG\ggdrive\ggdrive-menu.dll -> Brak pliku
    ContextMenuHandlers5_S-1-5-21-352654626-1907717073-533160366-1000: [GGDriveMenu] -> {E68D0A55-3C40-4712-B90D-DCFA93FF2534} => C:\Users\cyfrowy_1948\AppData\Roaming\GG\ggdrive\ggdrive-menu.dll -> Brak pliku
    Task: {02862407-D69C-4912-9CE3-DBBEA14AD3EE} - System32\Tasks\e90186b0-1e34-457e-ad9a-4ca388762d5c-5_user => C:\Program Files\CinemaxMe-version2.0\e90186b0-1e34-457e-ad9a-4ca388762d5c-5.exe <==== UWAGA




    Task: {242146C7-BA57-4761-B742-D3D789545A46} - System32\Tasks\{FA66EE91-B01E-43DE-9342-23D7602E2981} => C:\Windows\system32\pcalua.exe -a C:\Windows\system32\pcwrun.exe -c "C:\Program Files\Windows Phone\WindowsPhone.exe"
    Task: {273C65C9-B8B5-4801-BAD0-792989FAD8E9} - System32\Tasks\compare_for_fun_notification_service => C:\Program Files\compare for fun\compare_for_fun_notification_service.exe <==== UWAGA
    Task: {2D203D55-CAEE-49EB-994C-73E5C6410723} - System32\Tasks\CreateChoiceProcessTask => C:\Windows\System32\browserchoice.exe
    Task: {31479873-6436-418E-A2A6-2E909DCD436C} - System32\Tasks\temp_e90186b0-1e34-457e-ad9a-4ca388762d5c-2 => C:\Users\CYFROW~1\AppData\Local\Temp\nsw29B0.tmp\e90186b0-1e34-457e-ad9a-4ca388762d5c-2.exe <==== UWAGA
    Task: {4055501E-A2BC-4A03-B7BD-221BCF0BBC6F} - System32\Tasks\cyfrowy_1948 => cmd.exe /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v cyfrowy_1948 /t REG_SZ /d "explorer.exe hxxp://dipladoks.org" <==== UWAGA
    Task: {4C3DBE52-6DEB-4805-BBE5-5DCF080B8B7C} - System32\Tasks\{BB686BFB-978D-4949-8DC7-F2D706134347} => C:\Windows\system32\pcalua.exe -a "C:\Program Files\AVAST Software\Avast\aswRunDll.exe" -c "C:\Program Files\AVAST Software\Avast\Setup\setiface.dll" RunSetup
    Task: {593DCB2C-5B1B-40C9-B408-72557A56BB92} - System32\Tasks\{6AD61558-4F03-4196-BC75-0A8304096E74} => C:\Windows\system32\pcalua.exe -a C:\Windows\system32\pcwrun.exe -c "C:\Program Files\Windows Phone\WindowsPhone.exe"
    Task: {8348571D-FD5C-4D1C-AA75-EC99D9302E4F} - System32\Tasks\db66fb0661a3d0c2a460619494d6f006 => rundll32.exe "C:\Program Files\InstallShield Installation Information\eq5psx.dll",e62dc6c6547f46bda862da2d05af6862 <==== UWAGA
    Task: {93E54A42-CE3B-473C-8934-69AE660B7221} - \AVAST Software\Avast upgrade utility -> Brak pliku <==== UWAGA
    Task: {94F3E4DC-B39E-498A-9237-DE9145DF26A6} - \Avast Software\Overseer -> Brak pliku <==== UWAGA
    Task: {BA021A80-4252-4A4B-BFF2-1D5CE13672C3} - System32\Tasks\Image Rest => C:\Windows\system32\rundll32.exe "C:\Users\cyfrowy_1948\AppData\Local\Image Rest\xBin\ImageRest.dll",#3 <==== UWAGA
    Task: {BD145818-AF1A-4FD3-8B3A-7A12C38D17A5} - System32\Tasks\{DA127808-3801-4151-B9E7-F576D769406B} => C:\Program Files\The Sims 4\Game\Bin\TS4.exe
    Task: {D7BC1BB6-7440-4DA3-89BD-BEDF7682C0AE} - System32\Tasks\{EB23AAD1-90AE-43E8-ADB6-F2983E6AFA3D} => C:\Windows\system32\pcalua.exe -a C:\Users\cyfrowy_1948\Desktop\S-VNX2__-203WF-EURES-32BIT_.exe -d C:\Users\cyfrowy_1948\Desktop
    Task: {E8C739EC-90E8-4266-B9BB-79C22067451B} - System32\Tasks\{FDCB623B-88AB-4010-9A47-9DBFEC9EA9DD} => C:\Windows\system32\pcalua.exe -a "C:\Program Files\Common Files\Blacktamdom\uninstall.exe" -c shuz -f "C:\Program Files\Common Files\Blacktamdom\uninstall.dat" -a uninstallme 2EBE862B-6477-46A4-91C9-24C73619AA79 DeviceId=6d1bf624-1abd-e8b8-8d9b-d665137fec20 BarcodeId=50027003 ChannelId=3 DistributerName=APSnapdoAMRev
    Task: {FAFF5F0B-2F2E-4C36-BEAF-EA07F32C64EF} - System32\Tasks\UCBrowserUpdater => C:\Program Files\UCBrowser\Application\update_task.exe <==== UWAGA
    Task: C:\WINDOWS\Tasks\compare_for_fun_notification_service.job => C:\Program Files\compare for fun\compare_for_fun_notification_service.exeǫ/url='hxxp:/cdn.selectbestopt.com/notf_sys/index.html' /crregname='compare for fun' /appid='73143' /srcid='2913' /bic='04b6ce5ceabf92d6d22ef7c9aa3ec537' /verifier='9d4268c0800f6e98203a40ca2f4b89c9' /installerversion='1.50.3.10' /statsdomain='hxxp:/stats.buildomserv.com/data.gif?' /errorsdomain='hxxp:/stats.buildomserv.com/data.gif?' /monetizationdomain='hxxp:/logs.buildomserv.com/monetization.gif <==== UWAGA
    ShortcutWithArgument: C:\Users\cyfrowy_1948\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\771f8bd89de33137\Feedback.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory=ChromeDefaultData --app-id=gfdkimpbcpahaombhbimeihdjnejgicl
    ShortcutWithArgument: C:\Users\cyfrowy_1948\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\360c22b137d62ce9\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory=ChromeDefaultData
    Hosts:
    HKU\S-1-5-21-352654626-1907717073-533160366-1000\...\Run: [cyfrowy_1948] => explorer.exe hxxp://dipladoks.org <==== UWAGA
    AppInit_DLLs: C:\ProgramData\Ronzap\Plusflex.dll => Brak pliku
    GroupPolicy: Ograniczenia - Chrome <==== UWAGA
    GroupPolicy\User: Ograniczenia ? <==== UWAGA
    CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <==== UWAGA
    HKU\S-1-5-21-352654626-1907717073-533160366-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61...n0UbbPepn3mSz4EyRkS8CcyC3Fq-WWSzFW5w,,&q={searchTerms}
    HKU\S-1-5-21-352654626-1907717073-533160366-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.istartsurf.com/web/?type=dspp&...ST250DM000-1BD141_9VYJX5ZPXXXX9VYJX5ZP&q={searchTerms}
    HKU\S-1-5-21-352654626-1907717073-533160366-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.gazeta.pl/0,0.html?p=190
    HKU\S-1-5-21-352654626-1907717073-533160366-1000\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxp://www.actina.pl
    SearchScopes: HKLM -> DefaultScope - brak wartości
    SearchScopes: HKLM -> ielnksrch URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61...n0UbbPepn3mSz4EyRkS8CcyC3Fq-WWSzFW5w,,&q={searchTerms}
    SearchScopes: HKU\S-1-5-21-352654626-1907717073-533160366-1000 -> DefaultScope {C755D7BC-A64B-407A-A86B-D6C516CD7E5E} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1
    SearchScopes: HKU\S-1-5-21-352654626-1907717073-533160366-1000 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = hxxp://www.istartsurf.com/web/?utm_source=b&a...5ZP&ts=1435240202&type=default&q={searchTerms}
    SearchScopes: HKU\S-1-5-21-352654626-1907717073-533160366-1000 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = hxxp://www.istartsurf.com/web/?utm_source=b&a...5ZP&ts=1435240202&type=default&q={searchTerms}
    SearchScopes: HKU\S-1-5-21-352654626-1907717073-533160366-1000 -> {9714D0C4-56FA-4410-825F-343C71980EDA} URL = hxxp://www.istartsurf.com/web/?utm_source=b&a...5ZP&ts=1435240202&type=default&q={searchTerms}
    SearchScopes: HKU\S-1-5-21-352654626-1907717073-533160366-1000 -> {C755D7BC-A64B-407A-A86B-D6C516CD7E5E} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1
    Toolbar: HKU\S-1-5-21-352654626-1907717073-533160366-1000 -> Brak nazwy - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - Brak pliku
    FF NewTab: Mozilla\Firefox\Profiles\luhxnoho.default -> C:\ProgramData\Ronzaps\ff.NT
    FF Extension: (Brak nazwy) - C:\Users\cyfrowy_1948\AppData\Roaming\Mozilla\Firefox\Profiles\luhxnoho.default\extensions\9d2db1ce83264e61a7ee63d4f@f932995ed00643899218cf824d695.com [nie znaleziono]
    FF SearchPlugin: C:\Users\cyfrowy_1948\AppData\Roaming\Mozilla\Firefox\Profiles\luhxnoho.default\searchplugins\dsrlte.xml [2015-02-11]
    FF SearchPlugin: C:\Users\cyfrowy_1948\AppData\Roaming\Mozilla\Firefox\Profiles\luhxnoho.default\searchplugins\findit.xml [2016-10-15]
    FF HKLM\...\Thunderbird\Extensions: [eplgTb@eset.com] - C:\Program Files\ESET\ESET Smart Security\Mozilla Thunderbird => nie znaleziono
    FF Plugin: @staging.google.com/globalUpdate Update;version=10 -> C:\Program Files\globalUpdate\Update\1.3.25.0\npglobalupdateUpdate4.dll [Brak pliku]
    FF Plugin: @staging.google.com/globalUpdate Update;version=4 -> C:\Program Files\globalUpdate\Update\1.3.25.0\npglobalupdateUpdate4.dll [Brak pliku]
    CHR DefaultProfile: ChromeDefaultData
    CHR HomePage: ChromeDefaultData -> hxxps://www.google.pl/webhp?sourceid=chrome-instant&ion=1&espv=2&ie=UTF-8
    CHR StartupUrls: ChromeDefaultData -> "hxxps://www.google.pl/"
    C:\Users\cyfrowy_1948\AppData\Local\Google\Chrome\User Data\ChromeDefaultData
    CHR Profile: C:\Users\cyfrowy_1948\AppData\Local\Google\Chrome\User Data\ChromeDefaultData [2018-12-05] <==== UWAGA
    8-11-05]
    C:\Users\cyfrowy_1948\AppData\Local\Google\Chrome\User Data\Default\Extensions\dkdiphcpgeoipjdhnnldnmifhpokfojg
    CHR Extension: (Web Shield Lite) - C:\Users\cyfrowy_1948\AppData\Local\Google\Chrome\User Data\Default\Extensions\dkdiphcpgeoipjdhnnldnmifhpokfojg [2016-11-21]
    CHR HKLM\...\Chrome\Extension: [dkdiphcpgeoipjdhnnldnmifhpokfojg] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] - hxxps://clients2.google.com/service/update2/crx
    2016-10-15 15:34 - 2016-10-15 15:34 - 007203328 ____C () C:\Users\cyfrowy_1948\AppData\Roaming\agent.dat
    2016-10-15 15:34 - 2016-10-15 15:34 - 000070704 ____C () C:\Users\cyfrowy_1948\AppData\Roaming\Config.xml
    2016-10-15 15:34 - 2016-10-15 15:34 - 000018672 ____C () C:\Users\cyfrowy_1948\AppData\Roaming\InstallationConfiguration.xml
    2016-10-15 15:34 - 2016-10-15 15:34 - 000140288 ____C () C:\Users\cyfrowy_1948\AppData\Roaming\Installer.dat
    2016-10-15 15:34 - 2016-10-15 15:34 - 000018432 ____C () C:\Users\cyfrowy_1948\AppData\Roaming\Main.dat
    2016-10-15 15:34 - 2016-10-15 15:34 - 000005568 ____C () C:\Users\cyfrowy_1948\AppData\Roaming\md.xml
    2016-10-15 15:34 - 2016-10-15 15:34 - 000126464 ____C () C:\Users\cyfrowy_1948\AppData\Roaming\noah.dat
    2016-10-15 15:35 - 2016-10-15 15:35 - 000001150 ____C () C:\Users\cyfrowy_1948\AppData\Roaming\uninstall_temp.ico
    2013-11-24 17:50 - 2013-12-08 21:15 - 000000000 ____C () C:\Users\cyfrowy_1948\AppData\Roaming\Work - Home
    2016-10-15 15:34 - 2016-10-15 15:34 - 001906431 ____C () C:\Users\cyfrowy_1948\AppData\Roaming\ZathDax.tst

    Po wykonaniu zrob pelny skan przy pomocy Mbam i usun to co wykryje:
    http://www.bleepingcomputer.com/download/malwarebytes-anti-malware/

    Usun katalog C:\FRST i to wszystko.

    0
  • CControls
  • #3 05 Gru 2018 19:29
    oldziaczeek
    Poziom 2  

    Super, wszystko działa jak należy. Dzięki wielkie za pomoc

    0
  • #4 05 Gru 2018 19:30
    oldziaczeek
    Poziom 2  

    Super, wszystko działa jak należy. Dzięki wielkie za pomoc

    Dodano po 46 [sekundy]:

    Zgodnie z zaleceniami, które otrzymałam od innego użytkownika.

    0