Liczba postów: 6
Liczba wątków: 1
Dołączył: 14.03.2019
14.03.2019, 23:02
Samoistne otwieranie niechcianych stron Google Chrome
Witam wszystkich!
Wczoraj podczas pobierania programów do edycji audio musiałem złapać jakiś syf. Wczoraj jeszcze wszystko było ok, ale dzisiaj po włączeniu komputera co jakiś czas w mojej domyślnej przeglądarce google chrome wyświetlają się strony z reklamami i cały komputer ogólnie zrobił się lekko "zamulony".
Używałem już programu ADWCleaner oraz pełen skan na windows defender ale nic nie pomogło,
pracuję na Windows 10.
Jestem całkowicie zielony w tym temacie i proszę o pomoc, pozdrawiam!
OTL.txt:
http://www.wklejto.pl/722366
RSIT.txt:
http://www.wklejto.pl/722373
Liczba postów: 2422
Liczba wątków: 4
Dołączył: 27.07.2012
15.03.2019, 00:11
RE: Samoistne otwieranie niechcianych stron Google Chrome
Zrób logi z
FRST >
http://forum.pcformat.pl/WAZNE-Jak-zaloz...ec-WAZNE-t
Przed skanem zaznacz "Addition.txt" oraz "Shortcut.txt"
Jeśli logi się zmieszczą całe, to rozbijaj je na części.
.
Liczba postów: 6
Liczba wątków: 1
Dołączył: 14.03.2019
15.03.2019, 01:13
RE: Samoistne otwieranie niechcianych stron Google Chrome
Podczas próby włączenia FRSTa dostaję komunikat:
"System Windows chronił ten komputer
Filtr SmartScreen usługi Windows Defender uniemożliwił uruchomienie nierozpoznanej aplikacji. Uruchomienie tej aplikacji może narazić komputer na zagrożenie."
Liczba postów: 2422
Liczba wątków: 4
Dołączył: 27.07.2012
15.03.2019, 09:34
(Ten post był ostatnio modyfikowany: 15.03.2019, 09:40 przez morderca.)
RE: Samoistne otwieranie niechcianych stron Google Chrome
Ściągnij i użyj FRST w Trybie Awaryjnym.
Tryb awaryjny Windows 10:
przycisk Start > Ustawienia > Aktualizacja i zabezpieczenia > Odzyskiwanie > Uruchamianie zaawansowane > Uruchom teraz > system zrestartuje i pojawi się ekran z opcjami > Ustawienia zaawansowane > Ustawienia uruchamiania > Tryb awaryjny
W logach widać, że infekcja nastąpiła 13 marca o godzinie 16:24.
Co i skąd wtedy ściągałeś z netu?
Liczba postów: 6
Liczba wątków: 1
Dołączył: 14.03.2019
15.03.2019, 19:36
RE: Samoistne otwieranie niechcianych stron Google Chrome
Ściągałem takie programy:
Antares Auto Tune v22.911.7 AU.VST4
Auto-Tune 8.1.1 Setup
Antares Auto-Tune v7.6.8 AU.VST3 macOS [HOOK][dada]
Cockos REAPER v5.35 Setup + Keygen
Wszystko z uTorrent.
FRST.txt:
http://www.wklejto.pl/722642
Addition.txt:
http://www.wklejto.pl/722643
Shortcut.txt:
http://www.wklejto.pl/722644
Liczba postów: 2422
Liczba wątków: 4
Dołączył: 27.07.2012
15.03.2019, 20:58
RE: Samoistne otwieranie niechcianych stron Google Chrome
Cytat:Wszystko z uTorrent.
Teraz wiesz, skąd masz te wszystkie infekcje.
Uruchom FRST. Na klawiaturze naciśnij jednocześnie
CTRL+
Y.Otworzy się Notatnik - wklej do niego:
Kod:
Task: {0933F0D8-EA53-456B-B4BD-362B7B9BCF35} - System32\Tasks\tFhvygztNQVmokWetdU2 => rundll32 "C:\Program Files (x86)\bqzrWnnidGJDC\aoIizOp.dll",#1
Task: {193609F7-572F-4365-A516-952AF531F38C} - System32\Tasks\MHsfjoHBjBJoAwMyz2 => rundll32 "C:\Program Files (x86)\KfnsJXyRyJHoDyJWuMR\gyRxuwa.dll",#1
Task: {1C1064A1-1C28-450B-9FD3-163246E05DCC} - System32\Tasks\nwgunOXjCbxKL2 => C:\WINDOWS\system32\wscript.exe "C:\ProgramData\DQtKumvopDKCWKVB\legCpWr.wsf"
Task: {877B5C32-91D4-48FD-ADF0-FB6380E3F59D} - System32\Tasks\QNMJEtYKScqTlLB2 => rundll32 "C:\Program Files (x86)\aeVSlgaHU\AifKVa.dll",#1
Task: {98841299-B415-4AD3-B361-FB7725906DD7} - System32\Tasks\JLSktnhopmhFxt => rundll32 "C:\Program Files (x86)\EhGTHpYbMZVU2\ZAviEfpKgVQaf.dll",#1
RemoveDirectory: C:\Program Files (x86)\aeVSlgaHU
RemoveDirectory: C:\Program Files (x86)\EhGTHpYbMZVU2
RemoveDirectory: C:\Program Files (x86)\bqzrWnnidGJDC
RemoveDirectory: C:\ProgramData\DQtKumvopDKCWKVB
RemoveDirectory: C:\Program Files (x86)\KfnsJXyRyJHoDyJWuMR
RemoveDirectory: C:\ProgramData\Voyasollam
RemoveDirectory: C:\Users\Tomek\AppData\Roaming\ujt5dzgmsjy
RemoveDirectory: C:\Users\Tomek\AppData\Roaming\yyamdasyx0t
RemoveDirectory: C:\Program Files (x86)\PdUEJHwTcIE
RemoveDirectory: C:\Program Files (x86)\InterLok
RemoveDirectory: C:\Program Files\FN4Q4K3AU7
RemoveDirectory: C:\Program Files (x86)\NDeBlRjARAUn
RemoveDirectory: C:\Program Files\A67YSJFGJI
RemoveDirectory: C:\Program Files (x86)\SmartData
RemoveDirectory: C:\Program Files (x86)\Frank
RemoveDirectory: C:\Users\Tomek\AppData\Local\AdvinstAnalytics
HKU\S-1-5-21-3961432204-3820564081-1209684141-1001\...\Run: [3877674] => C:\Users\Tomek\AppData\Roaming\ujt5dzgmsjy\gw5ykgz52d1.exe [859918 2019-03-13] ( ) [Brak podpisu cyfrowego]
HKU\S-1-5-21-3961432204-3820564081-1209684141-1001\...\Run: [9281220] => C:\Users\Tomek\AppData\Roaming\yyamdasyx0t\lb5ssndxryx.exe [859918 2019-03-13] ( ) [Brak podpisu cyfrowego]
HKU\S-1-5-21-3961432204-3820564081-1209684141-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRHOjYN9_5EdL7qPpMxldvM_sEGJZAe-C6UafLcg6L_siz4TqSaxfg-jMPLYscwP8eY4PBb3M48tQFqVtaFyR7vsRstzdo3XgJI6NNXle0WCWpu2qTkmd-NupdzEPI0C_8TCkEtsdhGyAVlRS3sKqp4Im0ofJvNVH8h3RBeN6mTJlwme8v48qwTNdqCQ,,&q={searchTerms}
HKU\S-1-5-21-3961432204-3820564081-1209684141-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRHOjYN9_5EdL7qPpMxldvM_sEGJZAe-C6UafLcg6L_siz4TqSaxfg-jMPLYscwP8eY4PBb3M48tQFqVtaFyR7vsRstzdo3XgFz8aqPE5MpCFcILakjGTnYBor_os5pCC_3jpKLSvJIH2tjBTJLa4gXOaXWREmJHq-mHEgvxdthvMTEPr2gscf6U5C5A,,
BHO: YoutubeAdBlock -> {33594515-D1AE-4483-BD6B-76A43DEACD5D} -> C:\Program Files (x86)\PdUEJHwTcIE\tP81cXe1.dll [2019-03-13] () [Brak podpisu cyfrowego]
AppInit_DLLs: C:\ProgramData\Voyasollam\Doning.dll => Brak pliku
AppInit_DLLs-x32: C:\ProgramData\Voyasollam\Indigoity.dll => Brak pliku
BHO-x32: YoutubeAdBlock -> {33594515-D1AE-4483-BD6B-76A43DEACD5D} -> C:\Program Files (x86)\PdUEJHwTcIE\k9nObfmCp.dll [2019-03-13] () [Brak podpisu cyfrowego]
FF NewTab: Mozilla\Firefox\Profiles\chsr6629.default -> file:///C:/ProgramData/Voyasollams/ff.NT
FF Extension: (Brak nazwy) - C:\Program Files\Mozilla Firefox\browser\features\{91C54DC0-6B37-4DDB-A763-D5C4588C9A23}.xpi [2019-03-13] [Brak podpisu cyfrowego]
CHR DefaultSearchURL: Default -> hxxps://search.mysearch.com/web?q={searchTerms}&redirect=CYV
CHR DefaultSearchKeyword: Default -> Mysearch
CHR DefaultSuggestURL: Default -> hxxps://lss.sse-iacapps.com/lss/api?token=be3b0df7-25c9-39e3-86fb-ba89d85a0912&q={searchTerms}
OPR Extension: (Adblocker for Youtube™) - C:\Users\Tomek\AppData\Roaming\Opera Software\Opera Stable\Extensions\ccjimlclmlpjmabfimmbjnmeeocnicdb [2019-03-13]
2019-03-13 16:27 - 2019-03-13 16:27 - 007892480 _____ C:\Users\Tomek\AppData\Local\agent.dat
2019-03-13 16:27 - 2019-03-13 16:27 - 002035587 _____ C:\Users\Tomek\AppData\Local\Blacktax.tst
2019-03-13 16:27 - 2019-03-13 16:27 - 001632256 _____ (TODO: <Company name>) C:\Users\Tomek\AppData\Local\Blacktax.exe
2019-03-13 16:27 - 2019-03-13 16:27 - 000722944 _____ C:\Users\Tomek\AppData\Local\sha.db
2019-03-13 16:27 - 2019-03-13 16:27 - 000140800 _____ C:\Users\Tomek\AppData\Local\installer.dat
2019-03-13 16:27 - 2019-03-13 16:27 - 000126464 _____ C:\Users\Tomek\AppData\Local\noah.dat
2019-03-13 16:27 - 2019-03-13 16:27 - 000070896 _____ C:\Users\Tomek\AppData\Local\Config.xml
2019-03-13 16:27 - 2019-03-13 16:27 - 000005568 _____ C:\Users\Tomek\AppData\Local\md.xml
019-03-13 16:26 - 2019-03-13 16:26 - 000003356 _____ C:\WINDOWS\System32\Tasks\JLSktnhopmhFxt
2019-03-13 16:26 - 2019-03-13 16:26 - 000003044 _____ C:\WINDOWS\System32\Tasks\nwgunOXjCbxKL2
2019-03-13 16:26 - 2019-03-13 16:26 - 000003034 _____ C:\WINDOWS\System32\Tasks\MHsfjoHBjBJoAwMyz2
2019-03-13 16:26 - 2019-03-13 16:26 - 000003026 _____ C:\WINDOWS\System32\Tasks\tFhvygztNQVmokWetdU2
2019-03-13 16:26 - 2019-03-13 16:26 - 000003008 _____ C:\WINDOWS\System32\Tasks\QNMJEtYKScqTlLB2
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA
Task: {4A3976E5-E561-41E9-BB3F-2325A050E78A} - \Microsoft\Windows\UNP\RunCampaignManager -> Brak pliku <==== UWAGA
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
HKU\S-1-5-21-3961432204-3820564081-1209684141-1001\...\Run: [Chromium] => c:\users\tomek\appdata\local\chromium\application\chrome.exe [4149760 2017-09-22] (The Chromium Authors) [Brak podpisu cyfrowego]
GroupPolicy: Ograniczenia - Chrome <==== UWAGA
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <==== UWAGA
HOSTS:
EmptyTemp:
Na klawiaturze naciśnij jednocześnie
CTRL+
S. W FRST kliknij na Fix (NAPRAW).
Zrób nowe logi FRST.
.
Liczba postów: 6
Liczba wątków: 1
Dołączył: 14.03.2019
16.03.2019, 05:19
RE: Samoistne otwieranie niechcianych stron Google Chrome
Liczba postów: 2422
Liczba wątków: 4
Dołączył: 27.07.2012
16.03.2019, 10:02
RE: Samoistne otwieranie niechcianych stron Google Chrome
Uruchom FRST. Na klawiaturze naciśnij jednocześnie
CTRL+
Y.Otworzy się Notatnik - wklej do niego:
Kod:
CHR DefaultSearchURL: Default -> hxxps://search.mysearch.com/web?q={searchTerms}&redirect=CYV
CHR DefaultSearchKeyword: Default -> Mysearch
CHR DefaultSuggestURL: Default -> hxxps://lss.sse-iacapps.com/lss/api?token=be3b0df7-25c9-39e3-86fb-ba89d85a0912&q={searchTerms}
CHR Extension: (Adblocker for Youtube™) - C:\Users\Tomek\AppData\Local\Google\Chrome\User Data\Default\Extensions\mabddghecjmmeacphpjcmjjchiamlegg [2019-03-13] [UpdateUrl:hxxps://clients88.google.com/service/update2/crx] <==== UWAGA
C:\Users\Tomek\AppData\Local\uninstall_temp.ico
C:\Users\Tomek\Downloads\3 utwory do których mo-na biega- — skrót .lnk
EmptyTemp:
Na klawiaturze naciśnij jednocześnie
CTRL+
S. W FRST kliknij na Fix (NAPRAW).
Uaktualnij
Javę, postępując wg
https://www.fixitpc.pl/topic/5-dezynfekc...ent-179769
.
Liczba postów: 6
Liczba wątków: 1
Dołączył: 14.03.2019
18.03.2019, 18:35
RE: Samoistne otwieranie niechcianych stron Google Chrome
Zrobiłem wszystko według instrukcji i wygląda na to, że wszystko wróciło do normy, podesłać jeszcze logi?
Liczba postów: 2422
Liczba wątków: 4
Dołączył: 27.07.2012
18.03.2019, 19:48
RE: Samoistne otwieranie niechcianych stron Google Chrome
Skoro wszystko jest OK, to nie widzę potrzeby dawania nowych logów.
.