Deksior utworzono 13 kwietnia 2017 utworzono 13 kwietnia 2017 Witam. Od jakiegoś czasu mam dziwne problemy z przeglądarkami internetowymi, aczkolwiek gdy włączam jakąś stronę np. facebook to pojawia mi się komunikat: w Operze: Błąd SSL a w Chrome: Że połączenie nie jest bezpieczne i mnie nie łączy z daną stroną. Po jakimś czasie już ten błąd nie wyskakuje i się łączy z facebookiem ale nie do końca ponieważ strona ładuje się i ładuje bez końca i bez efektu. Dlatego pobrałem ADWCleaner, który wykrył kilka błędów po czym zostały usunięte oprócz jednego, cały czas skanuje, czyszczę i uruchamiam ponownie a to "zagrożenie" cały czas jest wykrywane przez adw i nie jest usuwane, poczytałem trochę o tym i wyczytałem, że jest to jakieś oprogramowanie szpiegujące, wykradające dane czy coś takiego i stąd myśl, że to przez to mam problemy z przeglądarkami. To "zagrożenie" to: \root\subscription\. Poniżej załączam zdjęcie tego błędu. Proszę o jak najszybszą pomoc, myślę, że logi by pomogły dlatego poniżej załączam logi z FRST i to zagrożenie. Dodam, że ani Malware ani Avast nic nie wykrywają. Z góry dziękuję. Skan z FRST.txt
Twój_Anioł_Stróż komentarz 13 kwietnia 2017 komentarz 13 kwietnia 2017 (edytowane) jest infekcja 1) Otwórz Notatnik i wklej w nim: Cytuj WMI_ActiveScriptEventConsumer_ASEC: <===== UWAGA Task: {55476213-955C-4D74-90FC-0B43B28BFFB8} - System32\Tasks\Rqutyaninit Agent => C:\Program Files\Dermupy\xrehege.exe RemoveDirectory: C:\Program Files\Maoha RemoveDirectory: C:\Program Files\Dermupy ShortcutWithArgument: C:\Users\Microsoft Windows\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Microsoft Windows\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/ ShortcutWithArgument: C:\Users\Microsoft Windows\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Microsoft Windows\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/ ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Microsoft Windows\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/ ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Microsoft Windows\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/ FirewallRules: [{59916F88-8F1C-474D-AD89-CB3FDF64B1D8}] => (Allow) C:\Program Files\Maoha\MaohaAP\MaohaWifiSvr.exe EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe Uruchom FRST i kliknij przycisk Fix (NAPRAW). 2) Zrób nowe logi FRST. przed skanem zaznacz: Additional.txt Shortcut.txt, Edytowane 13 kwietnia 2017 przez Twój_Anioł_Stróż 1
Deksior komentarz 18 kwietnia 2017 Autor komentarz 18 kwietnia 2017 Dnia 13.04.2017 o 17:07, Twój_Anioł_Stróż napisał: jest infekcja 1) Otwórz Notatnik i wklej w nim: Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe Uruchom FRST i kliknij przycisk Fix (NAPRAW). 2) Zrób nowe logi FRST. przed skanem zaznacz: Additional.txt Shortcut.txt, Zrobiłem co podpowiedziałeś, skany: Addition.txt FRST.txt Shortcut.txt
Twój_Anioł_Stróż komentarz 18 kwietnia 2017 komentarz 18 kwietnia 2017 (edytowane) 1) Cytuj CHR DefaultProfile: ChromeDefaultData Adware podstawiło w Google Chrome całkowicie nowy profil ChromeDefaultData (nazwa wyświetlana user0), który należy usunąć. Czyli: Ustawienia > karta Ustawienia > Osoby > Dodaj Osobę, następnie zaloguj się na nowy profil, zamknij okno poprzedniego, w Ustawieniach skasuj "user0". 2) Otwórz Notatnik i wklej w nim: Cytuj HKLM\...\Providers\59agja1f: C:\Program Files\Rqutyaninit Agent\local32spl.dll ShellExecuteHooks: Brak nazwy - {6D33367A-1948-11E7-B369-64006A5CFC23} - C:\Users\Microsoft Windows\AppData\Roaming\Weqeriedecok\Atuaspkuhose.dll -> Brak pliku RemoveDirectory: C:\Users\Microsoft Windows\AppData\Roaming\Weqeriedecok RemoveDirectory: C:\Program Files\Rqutyaninit Agent RemoveDirectory: C:\Program Files\UCBrowser RemoveDirectory: C:\Users\Microsoft Windows\AppData\Local\Joruph CHR DefaultProfile: ChromeDefaultData CHR StartupUrls: ChromeDefaultData -> "hxxps://www.google.pl/" CHR Profile: C:\Users\Microsoft Windows\AppData\Local\Google\Chrome\User Data\ChromeDefaultData [2017-04-18] <==== UWAGA CHR Extension: (Prezentacje Google) - C:\Users\Microsoft Windows\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\aapocclcgogkmnckokdopfmhonfmgoek [2017-04-13] CHR Extension: (Dokumenty Google) - C:\Users\Microsoft Windows\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\aohghmighlieiainnegkcijnfilokake [2017-04-13] CHR Extension: (Dysk Google) - C:\Users\Microsoft Windows\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\apdfllckaahabafndbhieahigkjlhalf [2017-04-04] CHR Extension: (YouTube) - C:\Users\Microsoft Windows\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2017-04-04] CHR Extension: (Avast SafePrice) - C:\Users\Microsoft Windows\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\eofcbnmajmjmplflapaojjnihcjkigck [2017-04-12] CHR Extension: (Arkusze Google) - C:\Users\Microsoft Windows\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\felcaaldnbdncclmgdcncolpebgiejap [2017-04-04] CHR Extension: (Dokumenty Google offline) - C:\Users\Microsoft Windows\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\ghbmnnjooekpmoecnnnilnnbdlolhkhi [2017-04-04] CHR Extension: (Avast Online Security) - C:\Users\Microsoft Windows\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\gomekmidlodglbbmalcneegieacbdmki [2017-04-12] CHR Extension: (Płatności w sklepie Chrome Web Store) - C:\Users\Microsoft Windows\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2017-04-04] CHR Extension: (Gmail) - C:\Users\Microsoft Windows\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\pjkljhegncpnkpknbcohdijeoejaedia [2017-04-04] CHR Extension: (Chrome Media Router) - C:\Users\Microsoft Windows\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\pkedcjkdefgpdelpbcmbmeomcjbeemfm [2017-04-04] S3 athur; system32\DRIVERS\athur.sys [X] S3 MBAMWebProtection; \??\C:\Windows\system32\drivers\mwac.sys [X] HOSTS: EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe Uruchom FRST i kliknij przycisk Fix (NAPRAW). 3) Zrób nowe logi FRST - już bez Shortcut. Edytowane 18 kwietnia 2017 przez Twój_Anioł_Stróż 1
Deksior komentarz 19 kwietnia 2017 Autor komentarz 19 kwietnia 2017 23 godziny temu, Twój_Anioł_Stróż napisał: 1) Adware podstawiło w Google Chrome całkowicie nowy profil ChromeDefaultData (nazwa wyświetlana user0), który należy usunąć. Czyli: Ustawienia > karta Ustawienia > Osoby > Dodaj Osobę, następnie zaloguj się na nowy profil, zamknij okno poprzedniego, w Ustawieniach skasuj "user0". 2) Otwórz Notatnik i wklej w nim: Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe Uruchom FRST i kliknij przycisk Fix (NAPRAW). 3) Zrób nowe logi FRST - już bez Shortcut. Zrobione, łap logi: Addition.txt FRST.txt
Twój_Anioł_Stróż komentarz 19 kwietnia 2017 komentarz 19 kwietnia 2017 W nowych logach nie widzę już niczego podejrzanego, więc chyba możemy kończyć: Otwórz Notatnik i wklej w nim: DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok FRST. Uruchom FRST i kliknij w Fix (NAPRAW). przez SHIFT+DEL usuń pozostały folder C:\FRST. W Adw-Cleaner kliknij u góry po lewej na PLIK, potem na ODINSTALUJ. Folder C:\Users\Microsoft Windows\Downloads\FRST-OlderVersion usuń poprzez SHIFT+DEL . 1
Deksior komentarz 20 kwietnia 2017 Autor komentarz 20 kwietnia 2017 22 godziny temu, Twój_Anioł_Stróż napisał: W nowych logach nie widzę już niczego podejrzanego, więc chyba możemy kończyć: Otwórz Notatnik i wklej w nim: Plik zapisz pod nazwą fixlist.txt i umieść obok FRST. Uruchom FRST i kliknij w Fix (NAPRAW). przez SHIFT+DEL usuń pozostały folder C:\FRST. W Adw-Cleaner kliknij u góry po lewej na PLIK, potem na ODINSTALUJ. Folder C:\Users\Microsoft Windows\Downloads\FRST-OlderVersion usuń poprzez SHIFT+DEL . Okej, bardzo dziękuję za pomoc, do zamknięcia.
Wciąż szukasz rozwiązania problemu? Napisz teraz na forum!
Możesz zadać pytanie bez konieczności rejestracji - wystarczy, że wypełnisz formularz.