Witamy na forum PC Format Zapraszamy do REJESTRACJI


Użytkownicy przeglądający ten wątek: 1 gości

Rosyjski wirus-Pomocy!

#1
Sad  Rosyjski wirus-Pomocy!
Witam otóż od kilku dni posiadam taki problem, że moja przeglądarka Google Chrome co 20-30 min otwiera różnego rodzaju strony. Nie za bardzo wiem co może być tego przyczyną i prosiłbym o pomoc. Przeczytałem kilka podobnych wątków na waszym forum i pomoc zawsze kończyła się sukcesem. Jeszcze raz byłbym wszystkim wdzięczny za pomoc :D

Poniżej wrzucam skany

FRST: http://www.wklejto.pl/533413

Addition: http://www.wklejto.pl/533409

Shortcut: http://www.wklejto.pl/533416


PS. Mam problem ze zrobieniem log z ADWCleaner. Otóż skanuje on mi komputer ale żeby zapisać log najpierw muszę usunąć znaleziony problem, zresetować laptopa i dopiero potem mogę zapisać log. No chyba , że takim tokiem miało się to odbyć to od razu zaktualizuję postOczko
 System operacyjny: windows_ten Przeglądarka: chrome
#2
RE: Rosyjski wirus-Pomocy!
Logi są zniekształcone - na "wklejto" trzeba wklejać tekst, a nie plik.
Popraw to.

---------------------


Cytat:Task: {B618952D-4270-41E0-A9FA-CDB23E7DB82D} - System32Tasks{533020E2-D074-0C6B-1EF4-E43AF8773B13} => C:WINDOWSYOEhiiYVKezT.exe [2017-09-29] (Microsoft Corporation)
Znasz to?

---------------------------------



Cytat:S3 mracdrv; C:WINDOWSSystem32driversmracdrv.sys [6637344 2017-12-22] (LLC Mail.Ru)
S4 mracsvc; C:WINDOWSSystem32mracsvc.exe [7409368 2017-12-22] (LLC Mail.Ru)
CHR HomePage: Default -> inline.go.mail.ru
CHR DefaultSearchURL: Default -> hxxps://inline.go.mail.ru/search?inline_comp=dse&q={searchTerms}&fr=chxtn12.0.23
CHR DefaultSearchKeyword: Default -> inline.go.mail.ru
CHR DefaultSuggestURL: Default -> hxxp://suggests.go.mail.ru/chrome?q={searchTerms}

FF Homepage: MozillaFirefoxProfilesgjipwps1.default-1444465404970 -> hxxp://mail.ru/cnt/10445?gp=811141FF Extension: (Домашняя страница Mail.Ru) - C:UsersdomAppDataRoamingMozillaFirefoxProfilesgjipwps1.default-1444465404970Extensionshomepage@mail.ru.xpi [2018-04-25]
FF Extension: (Поиск Mail.Ru) - C:UsersdomAppDataRoamingMozillaFirefoxProfilesgjipwps1.default-1444465404970Extensionssearch@mail.ru.xpi [2018-04-25]
FF Extension: (Пульт) - C:UsersdomAppDataRoamingMozillaFirefoxProfilesgjipwps1.default-1444465404970Extensions{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7}.xpi [2018-04-25]
Jest ruska infekcja.

----------------------

Adw-Cleaner teraz działa trochę inaczej, sam się w tym jeszcze gubię.
Chyba działa to tak:

Cytat:najpierw kliknij na SKANUJ TERAZ, a potem kliknij na PLIKI DZIENNIKA, dwuklikiem otwórz go, i podaj go dla mnie
.
 System operacyjny: windows_seven Przeglądarka: seamonkey
#3
RE: Rosyjski wirus-Pomocy!
Zatem skopiowałem teraz tekst z notatnika i wkleiłem go na stronę. Podsyłam linki jeszcze raz. Jeżeli będą dalej zniekształcone mogę go w .rar spakować i podesłać linka. Z Adw zrobiłem skan i dałem "Anuluj" i w Plikach Dziennika był już zapis.

Adw-Cleaner: http://www.wklejto.pl/533634

Addition: http://www.wklejto.pl/533638

FRST: http://www.wklejto.pl/533640

Shortcut:: http://www.wklejto.pl/533642

Niestety nie wiem co to jest. Podejrzewam, że może to być jeden z plików po automatycznej aktualizacji systemu Win 10. Laptop w tamtym okresie bardzo zwolnił ale wraz z następną aktualizacją wszystko wróciło do normy.
 System operacyjny: windows_ten Przeglądarka: chrome
#4
RE: Rosyjski wirus-Pomocy!
1) Uruchom FRST. NA klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego:

Kod:
Task: {21A70180-5344-47B9-8518-6CD8F5A6FBB2} - System32\Tasks\{A7180AF1-6F5B-5AC2-B836-B95A258E4F11} => C:\WINDOWS\eGDTXROXcdwyc.exe [2017-09-29] (Microsoft Corporation)
Task: {B618952D-4270-41E0-A9FA-CDB23E7DB82D} - System32\Tasks\{533020E2-D074-0C6B-1EF4-E43AF8773B13} => C:\WINDOWS\YOEhiiYVKezT.exe [2017-09-29] (Microsoft Corporation)
C:\WINDOWS\eGDTXROXcdwyc.exe
C:\WINDOWS\YOEhiiYVKezT.exe
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\Services\mracsvc
SearchScopes: HKU\S-1-5-21-3355562393-1714835012-843126507-1001 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={searchTerms}&fr=ntg&product_id=%7B0B4D3721-2C89-4EA1-B6D5-8DBDBF4D5BD0%7D&gp=811142
SearchScopes: HKU\S-1-5-21-3355562393-1714835012-843126507-1001 -> {1DBB61C7-DD9F-4FA5-AE60-23B2FC14ADA5} URL = hxxps://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=435371&p={searchTerms}
SearchScopes: HKU\S-1-5-21-3355562393-1714835012-843126507-1001 -> {9751039E-DDA2-4266-90A6-A5F47138956E} URL =
SearchScopes: HKU\S-1-5-21-3355562393-1714835012-843126507-1001 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={searchTerms}&fr=ntg&product_id=%7B0B4D3721-2C89-4EA1-B6D5-8DBDBF4D5BD0%7D&gp=811142
BHO: AVG Web TuneUp -> {95B7759C-8C7F-4BF1-B163-73684A933233} -> C:\Program Files\AVG Web TuneUp\4.3.9.626\AVG Web TuneUp.dll => Brak pliku
FF Homepage: Mozilla\Firefox\Profiles\gjipwps1.default-1444465404970 -> hxxp://mail.ru/cnt/10445?gp=811141
FF Extension: (Домашняя страница Mail.Ru) - C:\Users\dom\AppData\Roaming\Mozilla\Firefox\Profiles\gjipwps1.default-1444465404970\Extensions\homepage@mail.ru.xpi [2018-04-25]
FF Extension: (Поиск Mail.Ru) - C:\Users\dom\AppData\Roaming\Mozilla\Firefox\Profiles\gjipwps1.default-1444465404970\Extensions\search@mail.ru.xpi [2018-04-25]
FF Extension: (Пульт) - C:\Users\dom\AppData\Roaming\Mozilla\Firefox\Profiles\gjipwps1.default-1444465404970\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7}.xpi [2018-04-25]
CHR HomePage: Default -> inline.go.mail.ru
CHR DefaultSearchURL: Default -> hxxps://inline.go.mail.ru/search?inline_comp=dse&q={searchTerms}&fr=chxtn12.0.23
CHR DefaultSearchKeyword: Default -> inline.go.mail.ru
CHR DefaultSuggestURL: Default -> hxxp://suggests.go.mail.ru/chrome?q={searchTerms}
CHR HKLM-x32\...\Chrome\Extension: [bhjhnafpiilpffhglajcaepjbnbjemci] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [hcadgijmedbfgciegjomfpjcdchlhnif] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [lhemechcanjmilllmccjbjldonmnnjjj] - hxxps://clients2.google.com/service/update2/crx
S4 mracsvc; C:\WINDOWS\System32\mracsvc.exe [7409368 2017-12-22] (LLC Mail.Ru)
S3 mracdrv; C:\WINDOWS\System32\drivers\mracdrv.sys [6637344 2017-12-22] (LLC Mail.Ru)
C:\WINDOWS\Minidump\*.dmp
Task: {0D347EC2-F6FC-4E8D-AE5D-D76FA33C4409} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku <==== UWAGA
Task: {26A5F95B-B182-4B66-BA83-B93FCFD3F16F} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku <==== UWAGA
Task: {2D8CF303-9718-4D88-A4CE-60884777DF54} - \Microsoft\Windows\UNP\RunCampaignManager -> Brak pliku <==== UWAGA
Task: {58586F5E-D02E-443F-B8B2-B10AEFA93FBB} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku <==== UWAGA
Task: {5E32EBC8-C3CE-4792-8267-92E50E5356F3} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku <==== UWAGA
Task: {86DB32D2-36BA-47C0-A2F6-74AF92E7CCFE} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku <==== UWAGA
Task: {93B783C9-D720-4285-9C31-0BB4E81F32E8} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku <==== UWAGA
Task: {C8F1128F-7A06-435B-9EE6-C5C7E81AA750} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku <==== UWAGA
Task: {E1B53F7C-9FF6-4047-A02D-2C963D2D06D0} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku <==== UWAGA
Task: {E6E2303B-A262-4CB5-9C00-BED21A6CBA4B} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku <==== UWAGA
Task: {F60CFBC1-84BE-4DB1-806D-9F2DC66D9189} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku <==== UWAGA
Task: {FE174BD2-40B0-4AD0-B74A-4D5DC7FE2837} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku <==== UWAGA
FirewallRules: [{288E5E0F-C708-4ED9-AC24-DDC7CF91C671}] => (Allow) C:\WINDOWS\SysWOW64\msiexec.exe
FirewallRules: [{FB341B3E-97D8-48A9-8DED-B6A430D04C2D}] => (Allow) C:\WINDOWS\YOEhiiYVKezT.exe
FirewallRules: [{60E23F67-DD1C-4A94-84CB-87A0A24829E7}] => (Allow) C:\WINDOWS\eGDTXROXcdwyc.exe
FirewallRules: [{49292A28-3C9F-4EB0-AF9A-A8D5067B6ABA}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
GroupPolicy: Ograniczenia <==== UWAGA
GroupPolicy\User: Ograniczenia <==== UWAGA
BHO-x32: AVG Web TuneUp -> {95B7759C-8C7F-4BF1-B163-73684A933233} -> C:\Program Files (x86)\AVG Web TuneUp\4.3.9.626\AVG Web TuneUp.dll => Brak pliku
Edge HomeButtonPage: HKU\S-1-5-21-3355562393-1714835012-843126507-1001 -> hxxp://www.delta-homes.com/?type=hp&ts=1444460585&z=ba00b83c341fbd93e2163dfg6z9zezez3qae3wfbfo&from=wpm07163&uid=ST320LT020-9YG142_W04A6XRPXXXXW04A6XRP
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:

Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).

2) Zrób nowe logi FRST.

3) Napisz, jak oceniasz sytuację po tym usuwaniu?

.
 System operacyjny: windows_seven Przeglądarka: seamonkey
#5
RE: Rosyjski wirus-Pomocy!
Witam niestety problem nadal występuje. Mimo nie największej wiedzy na temat komputerów, po wykonaniu naprawy i wykonaniu kolejnych kroków, czyli wykonanie ponownego skanu, w starych jak i nowych plikach "Addition" zauważyłem w "Zaplanowanych procesach" odnośnik do strony która przekierowuje mnie byle gdzie.

Tutaj wrzucam nowe skany:

-Addition: http://www.wklejto.pl/534194

-Shortcut: http://www.wklejto.pl/534196

-Fixlog: http://www.wklejto.pl/534199

-FRST: http://www.wklejto.pl/534200


Wiem że nie zrobiłem tego poprawnie wklejając ten fragment tutaj, ale oto znaleziony przeze mnie wspólny wątek który może nadal być problemem.

Task: {C88268B2-33ED-4CEB-91EF-D8A556FF0A10} - System32\Tasks\{B4DC93C5-DFDA-8965-6C5D-382FE4087E0C} => "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" hxxp://jijitel.net/cl/?guid=xw8ovqxzgj7q0co8uvkgc0p6y2gt7h9v&prid=1&pid=4_1324_0

Nigdy wcześniej nie korzystałem z forum i zanim znalazłbym jak to zrobić poprawnie minęło by zapewne kilka dni Duży uśmiech Jęzor
 System operacyjny: windows_ten Przeglądarka: chrome
#6
RE: Rosyjski wirus-Pomocy!
Uruchom FRST. NA klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego:

Cytat:Task: {C88268B2-33ED-4CEB-91EF-D8A556FF0A10} - System32\Tasks\{B4DC93C5-DFDA-8965-6C5D-382FE4087E0C} => "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" hxxp://jijitel.net/cl/?guid=xw8ovqxzgj7q0co8uvkgc0p6y2gt7h9v&prid=1&pid=4_1324_0
C:\Users\dom\AppData\Local\UOSRMDOVJrS.exe
EmptyTemp:
Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).

Zrób nowe logi FRST - już bez Shortcut.
.
 System operacyjny: windows_seven Przeglądarka: seamonkey
#7
RE: Rosyjski wirus-Pomocy!
Dziękuje bardzo za pomoc. Problem został rozwiązany i wszystko wróciło już do normy :D
 System operacyjny: windows_ten Przeglądarka: chrome
Programy: Polecane / Nowe / Inne




Podobne wątki (Rosyjski wirus-Pomocy!)
Wątek: Autor Odpowiedzi: Wyświetleń: Ostatni post
  Rosyjski adware otwiera niechciane strony vsnvsky 1 5247 08.06.2017, 21:47
Ostatni post: morderca
  Wirus. Pomocy!. Ważne miss unfortunate 9 4729 29.12.2015, 00:26
Ostatni post: morderca
  WIRUS UKASH POMOCY!!! kwiatek25 6 3238 09.08.2013, 17:04
Ostatni post: kwiatek25

Skocz do:


Wybrane wątki (Rosyjski wirus-Pomocy!)
Wątek: Autor Odpowiedzi: Wyświetleń: Ostatni post
  przekierowanie w Chrome robert14-83 2 5006 25.05.2018 12:45
Ostatni post: robert14-83
  Sms i potencjalna kradzież Majki_77 5 4752 25.05.2018 10:30
Ostatni post: ptrick
  WIrus, blokujący antywirusy Slaox 1 4651 24.05.2018 08:23
Ostatni post: morderca
  "svchost próbuje połączyć się z internetem" - Comodo Mojmor23 11 10131 20.05.2018 21:32
Ostatni post: Illidan
  Co poradzić na ataki DDoS ? Alpha_Centauri 0 4607 16.05.2018 23:18
Ostatni post: Alpha_Centauri
  Długie otwieranie się przeglądarki i sytemu ricardo59 8 5022 12.05.2018 17:56
Ostatni post: ricardo59
  Win32:Malware-gen vader00x 1 4974 08.05.2018 18:44
Ostatni post: morderca
  Czy ten antywirus mi zadziała,jaki antywirus jest dobry - wątek główny II pepe0619 111 138061 06.05.2018 21:35
Ostatni post: Illidan
  Niepotrzebne strony z firefox greg8403 1 4822 02.05.2018 17:50
Ostatni post: morderca
Ściana Kopalnia z svchost w tle Matieo96 3 6022 26.04.2018 01:49
Ostatni post: Illidan
  TeamViewer nie uruchamia się. ~Anonim 2 2190 26.04.2018 01:46
Ostatni post: Illidan
  zły obraz Win 7 orzel132 9 5605 24.04.2018 01:24
Ostatni post: Illidan
  Cloudflare "One more step" lotand 18 11449 19.04.2018 19:45
Ostatni post: AgentS
  SYSTEM_SERVICE_EXCEPTION cyberbrain666666 2 5383 02.04.2018 03:28
Ostatni post: Illidan
  Komputer wolniej chodzi,explorer.exe ma duży zasób procesu tayeenek 1 4838 29.03.2018 16:07
Ostatni post: Illidan