x-kom hosting

Ruskie wirusy

Traczyk
utworzono
utworzono

Siemanko, od jakiś dwóch tygodni męczę się z ruskimi wirusami, same z automatu się instalują a jedyny program, który je blokował (Malwarebytes w licencji Premium) właśnie wygasł. 
Próbowałem to usunąć ADWcleaner'em, CCleaner'em i AVG. Nie chciałbym formatować systemu dlatego zgłaszam się na forum, które ogarnia takie sprawy.

 

Dodaję logi z ADWCleanera. 

 

Cytuj

# AdwCleaner 7.0.8.0 - Logfile created on Fri Feb 09 16:37:19 2018
# Updated on 2018/08/02 by Malwarebytes 
# Running on Windows 10 Pro (X64)
# Mode: clean
# Support: https://www.malwarebytes.com/support

***** [ Services ] *****

No malicious services deleted.

***** [ Folders ] *****

Deleted: C:\Users\dogie\AppData\Local\Поиcк в Интeрнете
Deleted: C:\Users\dogie\AppData\Local\Вoйти в Интeрнет
Deleted: C:\Users\dogie\AppData\Roaming\Microsoft\Windows\Start Menu\Боковая панель - Комета
Deleted: C:\Users\dogie\AppData\Roaming\Microsoft\Windows\Start Menu\Кнопка Пуск — Комета
Deleted: C:\ProgramData\Mail.Ru
Deleted: C:\Users\All Users\Mail.Ru
Deleted: C:\Users\dogie\AppData\Local\Mail.Ru


***** [ Files ] *****

No malicious files deleted.

***** [ DLL ] *****

No malicious DLLs cleaned.

***** [ WMI ] *****

No malicious WMI cleaned.

***** [ Shortcuts ] *****

No malicious shortcuts cleaned.

***** [ Tasks ] *****

No malicious tasks deleted.

***** [ Registry ] *****

Deleted: [Key] - HKU\S-1-5-21-2830326015-2191271163-3246040492-1001\Software\Microsoft\Gosearch
Deleted: [Key] - HKU\S-1-5-21-2830326015-2191271163-3246040492-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-02032018021245664\Software\Microsoft\Gosearch
Deleted: [Key] - HKU\S-1-5-21-2830326015-2191271163-3246040492-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-02032018021309255\Software\Microsoft\Gosearch
Deleted: [Key] - HKCU\Software\Microsoft\Gosearch
Deleted: [Key] - HKU\S-1-5-21-2830326015-2191271163-3246040492-1001\Software\Microsoft\Windows\CurrentVersion\Uninstall\MailRuUpdater
Deleted: [Key] - HKU\S-1-5-21-2830326015-2191271163-3246040492-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-02032018021245664\Software\Microsoft\Windows\CurrentVersion\Uninstall\MailRuUpdater
Deleted: [Key] - HKU\S-1-5-21-2830326015-2191271163-3246040492-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-02032018021309255\Software\Microsoft\Windows\CurrentVersion\Uninstall\MailRuUpdater
Deleted: [Key] - HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\MailRuUpdater
Deleted: [Key] - HKU\S-1-5-21-2830326015-2191271163-3246040492-1001\Software\dobreprogramy
Deleted: [Key] - HKU\S-1-5-21-2830326015-2191271163-3246040492-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-02032018021245664\Software\dobreprogramy
Deleted: [Key] - HKU\S-1-5-21-2830326015-2191271163-3246040492-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-02032018021309255\Software\dobreprogramy
Deleted: [Key] - HKCU\Software\dobreprogramy
Deleted: [Value] - HKU\S-1-5-21-2830326015-2191271163-3246040492-1001\Software\Microsoft\Windows\CurrentVersion\Run|MailRuUpdater
Deleted: [Value] - HKU\S-1-5-21-2830326015-2191271163-3246040492-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run|MailRuUpdater
Deleted: [Value] - HKU\S-1-5-21-2830326015-2191271163-3246040492-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-02032018021245664\Software\Microsoft\Windows\CurrentVersion\Run|MailRuUpdater
Deleted: [Value] - HKU\S-1-5-21-2830326015-2191271163-3246040492-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-02032018021245664\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run|MailRuUpdater
Deleted: [Value] - HKU\S-1-5-21-2830326015-2191271163-3246040492-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-02032018021309255\Software\Microsoft\Windows\CurrentVersion\Run|MailRuUpdater
Deleted: [Value] - HKU\S-1-5-21-2830326015-2191271163-3246040492-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-02032018021309255\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run|MailRuUpdater
Deleted: [Value] - HKCU\Software\Microsoft\Windows\CurrentVersion\Run|MailRuUpdater
Deleted: [Key] - HKU\S-1-5-21-2830326015-2191271163-3246040492-1001\Software\NetBox
Deleted: [Key] - HKU\S-1-5-21-2830326015-2191271163-3246040492-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-02032018021245664\Software\NetBox
Deleted: [Key] - HKU\S-1-5-21-2830326015-2191271163-3246040492-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-02032018021309255\Software\NetBox
Deleted: [Key] - HKCU\Software\NetBox
Deleted: [Key] - HKLM\SOFTWARE\Mail.Ru
Deleted: [Key] - HKU\S-1-5-21-2830326015-2191271163-3246040492-1001\Software\Mail.Ru
Deleted: [Key] - HKU\S-1-5-21-2830326015-2191271163-3246040492-1001\Software\AppDataLow\Software\Mail.Ru
Deleted: [Key] - HKU\S-1-5-21-2830326015-2191271163-3246040492-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-02032018021245664\Software\Mail.Ru
Deleted: [Key] - HKU\S-1-5-21-2830326015-2191271163-3246040492-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-02032018021245664\Software\AppDataLow\Software\Mail.Ru
Deleted: [Key] - HKU\S-1-5-21-2830326015-2191271163-3246040492-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-02032018021309255\Software\Mail.Ru
Deleted: [Key] - HKU\S-1-5-21-2830326015-2191271163-3246040492-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-02032018021309255\Software\AppDataLow\Software\Mail.Ru
Deleted: [Key] - HKCU\Software\Mail.Ru
Deleted: [Key] - HKCU\Software\AppDataLow\Software\Mail.Ru


***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries deleted.

***** [ Chromium (and derivatives) ] *****

No malicious Chromium entries deleted.

*************************

::Tracing keys deleted
::Winsock settings cleared
::Additional Actions: 0

*************************

C:/AdwCleaner/AdwCleaner[C0].txt - [4911 B] - [2018/1/24 16:39:51]
C:/AdwCleaner/AdwCleaner[C1].txt - [1561 B] - [2018/1/24 21:0:35]
C:/AdwCleaner/AdwCleaner[C2].txt - [4247 B] - [2018/1/26 15:40:51]
C:/AdwCleaner/AdwCleaner[S0].txt - [5634 B] - [2018/1/24 16:39:25]
C:/AdwCleaner/AdwCleaner[S1].txt - [1613 B] - [2018/1/24 21:0:11]
C:/AdwCleaner/AdwCleaner[S2].txt - [7297 B] - [2018/1/26 15:7:12]
C:/AdwCleaner/AdwCleaner[S3].txt - [4432 B] - [2018/1/26 15:40:25]
C:/AdwCleaner/AdwCleaner[S4].txt - [6351 B] - [2018/2/9 16:32:32]


########## EOF - C:\AdwCleaner\AdwCleaner[C3].txt ##########

 

Traczyk
komentarz
komentarz

Proszę bardzo :] 

Addition.txt

FRST.txt

Shortcut.txt

Twój_Anioł_Stróż
komentarz
komentarz (edytowane)

Uruchom FRST. NA klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego:

Cytuj

FirewallRules: [{1B408EF3-2762-4F9C-8B8A-C1CE2142A99A}] => (Allow) C:\Users\dogie\AppData\Local\Kometa\Application\kometa.exe

RemoveDirectory: C:\Users\dogie\AppData\Local\Kometa
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA
HKU\S-1-5-21-2830326015-2191271163-3246040492-1001\...\Run: [mrupdsrv] => "C:\Users\dogie\AppData\Local\Mail.Ru\Update Service\mrupdsrv.exe" --u
GroupPolicy: Ograniczenia <==== UWAGA
GroupPolicy\User: Ograniczenia <==== UWAGA
RemoveDirectory: C:\Users\dogie\AppData\Local\Mail.Ru
SearchScopes: HKU\S-1-5-21-2830326015-2191271163-3246040492-1001 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL =
FF Plugin: adobe.com/AdobeAAMDetect -> C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\CCM\Utilities\npAdobeAAMDetect64.dll [Brak pliku]
FF Plugin-x32: adobe.com/AdobeAAMDetect -> C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\CCM\Utilities\npAdobeAAMDetect32.dll [Brak pliku]
CHR Extension: (Пульс) - C:\Users\dogie\AppData\Local\Google\Chrome\User Data\Default\Extensions\dloebpogmbloiggbbkganacecpobmlde [2018-01-27]
CHR Extension: (Пульс) - C:\Users\dogie\AppData\Local\Google\Chrome\User Data\Default\Extensions\ngdlmklkpclkhjopnhihdedhjgjmhlaa [2018-01-27]
CHR HKLM-x32\...\Chrome\Extension: [dloebpogmbloiggbbkganacecpobmlde] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ngdlmklkpclkhjopnhihdedhjgjmhlaa] - hxxps://clients2.google.com/service/update2/crx
RemoveDirectory: C:\Users\dogie\AppData\Local\yc
RemoveDirectory: C:\Users\dogie\AppData\Roaming\curl
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Hi-Rez Studios\Hi-Rez Diagnostics and Support.lnk
ShellIconOverlayIdentifiers: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Brak pliku
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Hi-Rez Studios\Uninstall All Hi-Rez Games.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EditPad Lite\EditPad Lite Help.lnk
InternetURL: C:\Users\dogie\Favorites\Links\Интернет.url -> URL: hxxp://afrosav.ru/?utm_source=favorites03&utm_content=3bf7ee58168a6c8ccb9b26d13a212804&utm_term=F1FDDD6BB0C74D44B8219FD274D4E0E9&utmd=20180126
C:\Users\dogie\Favorites\Links\Интернет.url
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
HOSTS:
EmptyTemp:


Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).

 

Napisz, czy problem znikł?

.

Traczyk
komentarz
komentarz

Niestety, to samo :C 

Twój_Anioł_Stróż
komentarz
komentarz

Zrób nowe logi FRST.

przed skanem zaznacz: Additional.txt Shortcut.txt,

.

Twój_Anioł_Stróż
komentarz
komentarz
Cytuj

 

CHR Extension: (Пульс) - C:\Users\dogie\AppData\Local\Google\Chrome\User Data\Default\Extensions\dloebpogmbloiggbbkganacecpobmlde [2018-01-27]

CHR Extension: (Пульс) - C:\Users\dogie\AppData\Local\Google\Chrome\User Data\Default\Extensions\ngdlmklkpclkhjopnhihdedhjgjmhlaa [2018-01-27]

 

Uruchom Google Chrome
> Naciśnij klawisze: lewy Alt+F
najedź myszką na opcję Więcej narzędzi
kliknij na Rozszerzenia
> kliknij na ikonkę Kosza po prawej od Пульс

 

I nic więcej podejrzanego w logach nie ma.

.

 

 

Traczyk
komentarz
komentarz

Problem w tym, że niestety nie mam takiego rozszerzenia. Dodam też, że mam jakiś problem na YT i np. jak słucham muzykę i już się kończy to na początku następnej piosenki muszę odpalić przeglądarkę, ponieważ muszę nacisnąć "PLAY", albo proponuje mi jakieś ROSYJSKIE filmiki i pokazuje je, że już oglądałem tak jakby ktoś korzystał z mojego konta YT.

Dodam jeszcze, że nie korzystam z Chrome a Opery.

Twój_Anioł_Stróż
komentarz
komentarz (edytowane)

Z Opery to prawie nic w logach nie ma.

 

Otwórz Notatnik i wklej w nim:

Cytuj

OPR Extension: (0) - C:\Users\dogie\AppData\Roaming\Opera Software\Opera Stable\Extensions\jnoejnlbkbnckikbkmnpippafneemknp [2018-01-27]

C:\Users\dogie\AppData\Local\Google\Chrome\User Data\Default\Extensions\dloebpogmbloiggbbkganacecpobmlde
C:\Users\dogie\AppData\Local\Google\Chrome\User Data\Default\Extensions\ngdlmklkpclkhjopnhihdedhjgjmhlaa
EmptyTemp:


Plik zapisz pod nazwą fixlist.txt i umieść na pulpicie.
Uruchom FRST i kliknij przycisk Fix (NAPRAW).

 

Traczyk
komentarz
komentarz

Wygląda na to, że mam spokój z tym dziadostwem. Wielkie dzięki.

Wciąż szukasz rozwiązania problemu? Napisz teraz na forum!

Możesz zadać pytanie bez konieczności rejestracji - wystarczy, że wypełnisz formularz.

×
×
  • Dodaj nową pozycję...

Powiadomienie o plikach cookie

Strona wykorzystuje pliki cookies w celu prawidłowego świadczenia usług i wygody użytkowników. Warunki przechowywania i dostępu do plików cookies możesz zmienić w ustawieniach przeglądarki.