Witamy na forum PC Format Zapraszamy do REJESTRACJI


Użytkownicy przeglądający ten wątek: 1 gości

Rosyjski wirus-Pomocy!

#1
Sad  Rosyjski wirus-Pomocy!
Witam otóż od kilku dni posiadam taki problem, że moja przeglądarka Google Chrome co 20-30 min otwiera różnego rodzaju strony. Nie za bardzo wiem co może być tego przyczyną i prosiłbym o pomoc. Przeczytałem kilka podobnych wątków na waszym forum i pomoc zawsze kończyła się sukcesem. Jeszcze raz byłbym wszystkim wdzięczny za pomoc :D

Poniżej wrzucam skany

FRST: http://www.wklejto.pl/533413

Addition: http://www.wklejto.pl/533409

Shortcut: http://www.wklejto.pl/533416


PS. Mam problem ze zrobieniem log z ADWCleaner. Otóż skanuje on mi komputer ale żeby zapisać log najpierw muszę usunąć znaleziony problem, zresetować laptopa i dopiero potem mogę zapisać log. No chyba , że takim tokiem miało się to odbyć to od razu zaktualizuję postOczko
 System operacyjny: windows_ten Przeglądarka: chrome
#2
RE: Rosyjski wirus-Pomocy!
Logi są zniekształcone - na "wklejto" trzeba wklejać tekst, a nie plik.
Popraw to.

---------------------


Cytat:Task: {B618952D-4270-41E0-A9FA-CDB23E7DB82D} - System32Tasks{533020E2-D074-0C6B-1EF4-E43AF8773B13} => C:WINDOWSYOEhiiYVKezT.exe [2017-09-29] (Microsoft Corporation)
Znasz to?

---------------------------------



Cytat:S3 mracdrv; C:WINDOWSSystem32driversmracdrv.sys [6637344 2017-12-22] (LLC Mail.Ru)
S4 mracsvc; C:WINDOWSSystem32mracsvc.exe [7409368 2017-12-22] (LLC Mail.Ru)
CHR HomePage: Default -> inline.go.mail.ru
CHR DefaultSearchURL: Default -> hxxps://inline.go.mail.ru/search?inline_comp=dse&q={searchTerms}&fr=chxtn12.0.23
CHR DefaultSearchKeyword: Default -> inline.go.mail.ru
CHR DefaultSuggestURL: Default -> hxxp://suggests.go.mail.ru/chrome?q={searchTerms}

FF Homepage: MozillaFirefoxProfilesgjipwps1.default-1444465404970 -> hxxp://mail.ru/cnt/10445?gp=811141FF Extension: (Домашняя страница Mail.Ru) - C:UsersdomAppDataRoamingMozillaFirefoxProfilesgjipwps1.default-1444465404970Extensionshomepage@mail.ru.xpi [2018-04-25]
FF Extension: (Поиск Mail.Ru) - C:UsersdomAppDataRoamingMozillaFirefoxProfilesgjipwps1.default-1444465404970Extensionssearch@mail.ru.xpi [2018-04-25]
FF Extension: (Пульт) - C:UsersdomAppDataRoamingMozillaFirefoxProfilesgjipwps1.default-1444465404970Extensions{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7}.xpi [2018-04-25]
Jest ruska infekcja.

----------------------

Adw-Cleaner teraz działa trochę inaczej, sam się w tym jeszcze gubię.
Chyba działa to tak:

Cytat:najpierw kliknij na SKANUJ TERAZ, a potem kliknij na PLIKI DZIENNIKA, dwuklikiem otwórz go, i podaj go dla mnie
.
 System operacyjny: windows_seven Przeglądarka: seamonkey
#3
RE: Rosyjski wirus-Pomocy!
Zatem skopiowałem teraz tekst z notatnika i wkleiłem go na stronę. Podsyłam linki jeszcze raz. Jeżeli będą dalej zniekształcone mogę go w .rar spakować i podesłać linka. Z Adw zrobiłem skan i dałem "Anuluj" i w Plikach Dziennika był już zapis.

Adw-Cleaner: http://www.wklejto.pl/533634

Addition: http://www.wklejto.pl/533638

FRST: http://www.wklejto.pl/533640

Shortcut:: http://www.wklejto.pl/533642

Niestety nie wiem co to jest. Podejrzewam, że może to być jeden z plików po automatycznej aktualizacji systemu Win 10. Laptop w tamtym okresie bardzo zwolnił ale wraz z następną aktualizacją wszystko wróciło do normy.
 System operacyjny: windows_ten Przeglądarka: chrome
#4
RE: Rosyjski wirus-Pomocy!
1) Uruchom FRST. NA klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego:

Kod:
Task: {21A70180-5344-47B9-8518-6CD8F5A6FBB2} - System32\Tasks\{A7180AF1-6F5B-5AC2-B836-B95A258E4F11} => C:\WINDOWS\eGDTXROXcdwyc.exe [2017-09-29] (Microsoft Corporation)
Task: {B618952D-4270-41E0-A9FA-CDB23E7DB82D} - System32\Tasks\{533020E2-D074-0C6B-1EF4-E43AF8773B13} => C:\WINDOWS\YOEhiiYVKezT.exe [2017-09-29] (Microsoft Corporation)
C:\WINDOWS\eGDTXROXcdwyc.exe
C:\WINDOWS\YOEhiiYVKezT.exe
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\Services\mracsvc
SearchScopes: HKU\S-1-5-21-3355562393-1714835012-843126507-1001 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={searchTerms}&fr=ntg&product_id=%7B0B4D3721-2C89-4EA1-B6D5-8DBDBF4D5BD0%7D&gp=811142
SearchScopes: HKU\S-1-5-21-3355562393-1714835012-843126507-1001 -> {1DBB61C7-DD9F-4FA5-AE60-23B2FC14ADA5} URL = hxxps://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=435371&p={searchTerms}
SearchScopes: HKU\S-1-5-21-3355562393-1714835012-843126507-1001 -> {9751039E-DDA2-4266-90A6-A5F47138956E} URL =
SearchScopes: HKU\S-1-5-21-3355562393-1714835012-843126507-1001 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={searchTerms}&fr=ntg&product_id=%7B0B4D3721-2C89-4EA1-B6D5-8DBDBF4D5BD0%7D&gp=811142
BHO: AVG Web TuneUp -> {95B7759C-8C7F-4BF1-B163-73684A933233} -> C:\Program Files\AVG Web TuneUp\4.3.9.626\AVG Web TuneUp.dll => Brak pliku
FF Homepage: Mozilla\Firefox\Profiles\gjipwps1.default-1444465404970 -> hxxp://mail.ru/cnt/10445?gp=811141
FF Extension: (Домашняя страница Mail.Ru) - C:\Users\dom\AppData\Roaming\Mozilla\Firefox\Profiles\gjipwps1.default-1444465404970\Extensions\homepage@mail.ru.xpi [2018-04-25]
FF Extension: (Поиск Mail.Ru) - C:\Users\dom\AppData\Roaming\Mozilla\Firefox\Profiles\gjipwps1.default-1444465404970\Extensions\search@mail.ru.xpi [2018-04-25]
FF Extension: (Пульт) - C:\Users\dom\AppData\Roaming\Mozilla\Firefox\Profiles\gjipwps1.default-1444465404970\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7}.xpi [2018-04-25]
CHR HomePage: Default -> inline.go.mail.ru
CHR DefaultSearchURL: Default -> hxxps://inline.go.mail.ru/search?inline_comp=dse&q={searchTerms}&fr=chxtn12.0.23
CHR DefaultSearchKeyword: Default -> inline.go.mail.ru
CHR DefaultSuggestURL: Default -> hxxp://suggests.go.mail.ru/chrome?q={searchTerms}
CHR HKLM-x32\...\Chrome\Extension: [bhjhnafpiilpffhglajcaepjbnbjemci] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [hcadgijmedbfgciegjomfpjcdchlhnif] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [lhemechcanjmilllmccjbjldonmnnjjj] - hxxps://clients2.google.com/service/update2/crx
S4 mracsvc; C:\WINDOWS\System32\mracsvc.exe [7409368 2017-12-22] (LLC Mail.Ru)
S3 mracdrv; C:\WINDOWS\System32\drivers\mracdrv.sys [6637344 2017-12-22] (LLC Mail.Ru)
C:\WINDOWS\Minidump\*.dmp
Task: {0D347EC2-F6FC-4E8D-AE5D-D76FA33C4409} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku <==== UWAGA
Task: {26A5F95B-B182-4B66-BA83-B93FCFD3F16F} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku <==== UWAGA
Task: {2D8CF303-9718-4D88-A4CE-60884777DF54} - \Microsoft\Windows\UNP\RunCampaignManager -> Brak pliku <==== UWAGA
Task: {58586F5E-D02E-443F-B8B2-B10AEFA93FBB} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku <==== UWAGA
Task: {5E32EBC8-C3CE-4792-8267-92E50E5356F3} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku <==== UWAGA
Task: {86DB32D2-36BA-47C0-A2F6-74AF92E7CCFE} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku <==== UWAGA
Task: {93B783C9-D720-4285-9C31-0BB4E81F32E8} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku <==== UWAGA
Task: {C8F1128F-7A06-435B-9EE6-C5C7E81AA750} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku <==== UWAGA
Task: {E1B53F7C-9FF6-4047-A02D-2C963D2D06D0} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku <==== UWAGA
Task: {E6E2303B-A262-4CB5-9C00-BED21A6CBA4B} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku <==== UWAGA
Task: {F60CFBC1-84BE-4DB1-806D-9F2DC66D9189} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku <==== UWAGA
Task: {FE174BD2-40B0-4AD0-B74A-4D5DC7FE2837} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku <==== UWAGA
FirewallRules: [{288E5E0F-C708-4ED9-AC24-DDC7CF91C671}] => (Allow) C:\WINDOWS\SysWOW64\msiexec.exe
FirewallRules: [{FB341B3E-97D8-48A9-8DED-B6A430D04C2D}] => (Allow) C:\WINDOWS\YOEhiiYVKezT.exe
FirewallRules: [{60E23F67-DD1C-4A94-84CB-87A0A24829E7}] => (Allow) C:\WINDOWS\eGDTXROXcdwyc.exe
FirewallRules: [{49292A28-3C9F-4EB0-AF9A-A8D5067B6ABA}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
GroupPolicy: Ograniczenia <==== UWAGA
GroupPolicy\User: Ograniczenia <==== UWAGA
BHO-x32: AVG Web TuneUp -> {95B7759C-8C7F-4BF1-B163-73684A933233} -> C:\Program Files (x86)\AVG Web TuneUp\4.3.9.626\AVG Web TuneUp.dll => Brak pliku
Edge HomeButtonPage: HKU\S-1-5-21-3355562393-1714835012-843126507-1001 -> hxxp://www.delta-homes.com/?type=hp&ts=1444460585&z=ba00b83c341fbd93e2163dfg6z9zezez3qae3wfbfo&from=wpm07163&uid=ST320LT020-9YG142_W04A6XRPXXXXW04A6XRP
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:

Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).

2) Zrób nowe logi FRST.

3) Napisz, jak oceniasz sytuację po tym usuwaniu?

.
 System operacyjny: windows_seven Przeglądarka: seamonkey
#5
RE: Rosyjski wirus-Pomocy!
Witam niestety problem nadal występuje. Mimo nie największej wiedzy na temat komputerów, po wykonaniu naprawy i wykonaniu kolejnych kroków, czyli wykonanie ponownego skanu, w starych jak i nowych plikach "Addition" zauważyłem w "Zaplanowanych procesach" odnośnik do strony która przekierowuje mnie byle gdzie.

Tutaj wrzucam nowe skany:

-Addition: http://www.wklejto.pl/534194

-Shortcut: http://www.wklejto.pl/534196

-Fixlog: http://www.wklejto.pl/534199

-FRST: http://www.wklejto.pl/534200


Wiem że nie zrobiłem tego poprawnie wklejając ten fragment tutaj, ale oto znaleziony przeze mnie wspólny wątek który może nadal być problemem.

Task: {C88268B2-33ED-4CEB-91EF-D8A556FF0A10} - System32\Tasks\{B4DC93C5-DFDA-8965-6C5D-382FE4087E0C} => "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" hxxp://jijitel.net/cl/?guid=xw8ovqxzgj7q0co8uvkgc0p6y2gt7h9v&prid=1&pid=4_1324_0

Nigdy wcześniej nie korzystałem z forum i zanim znalazłbym jak to zrobić poprawnie minęło by zapewne kilka dni Duży uśmiech Jęzor
 System operacyjny: windows_ten Przeglądarka: chrome
#6
RE: Rosyjski wirus-Pomocy!
Uruchom FRST. NA klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego:

Cytat:Task: {C88268B2-33ED-4CEB-91EF-D8A556FF0A10} - System32\Tasks\{B4DC93C5-DFDA-8965-6C5D-382FE4087E0C} => "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" hxxp://jijitel.net/cl/?guid=xw8ovqxzgj7q0co8uvkgc0p6y2gt7h9v&prid=1&pid=4_1324_0
C:\Users\dom\AppData\Local\UOSRMDOVJrS.exe
EmptyTemp:
Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).

Zrób nowe logi FRST - już bez Shortcut.
.
 System operacyjny: windows_seven Przeglądarka: seamonkey
#7
RE: Rosyjski wirus-Pomocy!
Dziękuje bardzo za pomoc. Problem został rozwiązany i wszystko wróciło już do normy :D
 System operacyjny: windows_ten Przeglądarka: chrome
Programy: Polecane / Nowe / Inne




Podobne wątki (Rosyjski wirus-Pomocy!)
Wątek: Autor Odpowiedzi: Wyświetleń: Ostatni post
  Rosyjski adware otwiera niechciane strony vsnvsky 1 5259 08.06.2017, 21:47
Ostatni post: morderca
  Wirus. Pomocy!. Ważne miss unfortunate 9 4730 29.12.2015, 00:26
Ostatni post: morderca
  WIRUS UKASH POMOCY!!! kwiatek25 6 3238 09.08.2013, 17:04
Ostatni post: kwiatek25

Skocz do:


Wybrane wątki (Rosyjski wirus-Pomocy!)
Wątek: Autor Odpowiedzi: Wyświetleń: Ostatni post
  Problem z instalacją/pobieraniem plików - podejrzenie infekcji OS aqu32 5 4336 05.12.2017 23:00
Ostatni post: broda99
  Wyskakujące strony internetowe Kasieru 6 4916 04.12.2017 18:43
Ostatni post: Kasieru
  usuwanie wirusów maciomen201 13 8884 02.12.2017 17:31
Ostatni post: broda99
  Usuwanie konta na forum ~Anonim 2 4006 30.11.2017 19:55
Ostatni post: broda99
  Aktywność urządzeń google - nieznane urządzenie TimeToTheGames 2 898 30.11.2017 12:42
Ostatni post: TimeToTheGames
  Nawracający wirus Juver 7 4655 28.11.2017 20:17
Ostatni post: Juver
  router a bezpieczenstwo miro.sav 3 4270 28.11.2017 16:46
Ostatni post: Michu_PL
  Trojan w przeglądarce (logi) pomocy. Krashan88 2 4323 26.11.2017 23:47
Ostatni post: Krashan88
  chrome otwierające sie reklamy w kartach kacper9765 5 4344 26.11.2017 17:56
Ostatni post: morderca
  Konsola zamyka się Nexen 5 4413 26.11.2017 17:53
Ostatni post: morderca
Sad Problem z adware elex.shrtcln, Malwarebytes sobie z nim nie radzi luq8912 2 7244 25.11.2017 15:24
Ostatni post: luq8912
  Wyskakujące karty jureczek51 1 4146 22.11.2017 16:23
Ostatni post: morderca
  12kotov.ru włącza się przy stracie windows Jaskotka 7 4527 20.11.2017 15:16
Ostatni post: broda99
  Problem ze startem win7, pada dysk? Lu85 1 4259 18.11.2017 05:07
Ostatni post: broda99
  Wirus znikąd Muerte 17 13837 15.11.2017 01:08
Ostatni post: Illidan