Skocz do zawartości


tablety.pl
Zdjęcie
- - - - -

Win 10 wyskakujące strony internetowe dodatkowe programy




  • Zamknięty Temat jest zamknięty
4 odpowiedzi w tym temacie

#1 snajper1977

snajper1977

    Second Rank

  • Użytkownicy +
  • 117 postów
  • Płeć:Mężczyzna
  • Lokalizacja:Wrocław

Napisano 28 03 2018 - 20:12

Witam

Dzisiaj chyba załapana infekcja, bo pojawiły się jakieś dodatkowe programy typu Panda Viever lub System Helper.

Coś przechwytuje kliki na stronach internetowych i wtedy ładuje inne z reklamami i nawet z porno. Co chwila wyskakuje Microsoft Edge z jakąś reklamą.

 

link do skanu z gmera adwcleanera oraz frst

 

http://www.wklejto.pl/513907

 

http://www.wklejto.pl/513917

 

http://www.wklejto.pl/513918

 

http://www.wklejto.pl/513919



#2 wirusolog

wirusolog

    Expert

  • Moderatorzy
  • 5790 postów
  • Płeć:Mężczyzna

Napisano 28 03 2018 - 21:34

1) Spróbuj odinstalować te programy:

SafeFinder (HKLM-x32\...\{8BFDC051-2F88-4F23-B1D6-0AAEEFF6FB41}) (Version: 1.0.0.0 - Linkury) <==== UWAGA
Stzc9KCVhJxe Updater version 1.2.0.4 (HKLM-x32\...\Stzc9KCVhJxe Updater_is1) (Version: 1.2.0.4 - ) <==== UWAGA

 

2) Otwórz Notatnik i wklej w nim:

Task: {28B65A4D-4F24-4A9B-B996-F2F8AA6B1A16} - System32\Tasks\Browse => C:\Browse\Browse.exe [2018-03-27] (Freegate Inc.)
Task: {80BF86F5-EF54-4072-9FFF-8F2932BA9FA0} - System32\Tasks\Stzc9KCVhJxe => stzc9kcvhjxe.exe <==== UWAGA
Task: {C803CB7B-2293-47A4-A0BA-F57E16C73C70} - System32\Tasks\cmdsrv => C:\Browse\cmdsrvs.exe [2018-03-13] (Secrypt Inc.)
Task: {D22D2F04-4136-43ED-8D15-A2B32D68E3F5} - System32\Tasks\{7E7F0F47-7E0C-7909-7E11-08057F0C110F} => C:\windows\system32\WindowsPowershell\v1.0\powershell.exe -nologo -executionpolicy bypass -noninteractive -windowstyle hidden -EncodedCommand JABFAHIAcgBvAHIAQQBjAHQAaQBvAG4AUAByAGUAZgBlAHIAZQBuAGMAZQA9ACIAcwB0AG8AcAAiADsAJABzAGMAPQAiAFMAaQBsAGUAbgB0AGwAeQBDAG8AbgB0AGkAbgB1AGUAIgA7ACQAVwBhAHIAbgBpAG4AZwBQAHIAZQBmAGUAcgBlAG4AYwBlAD0AJABzAGMAOwAkAFAAcgBvAGcA (dane wartości zawierają 9956 znaków więcej). <==== UWAGA
RemoveDirectory: C:\Browse
RemoveDirectory: C:\Program Files (x86)\Stzc9KCVhJxe Updater
RemoveDirectory: C:\Users\katar\AppData\Roaming\ih5m0bqpblb
RemoveDirectory: C:\Program Files\YXY1KJWXMX
RemoveDirectory: C:\Program Files (x86)\dmpYwNbvAIE
Tcpip\..\Interfaces\{1019295d-f95f-485c-9ede-f87995ea97b5}: [NameServer] 82.163.142.8,95.211.158.136

CHR Extension: (System Table) - C:\Users\katar\AppData\Local\Google\Chrome\User Data\Default\SystemTable\1.2_0 [2018-03-28]
HKU\S-1-5-21-3795475947-1204096230-717403566-1002\...\Run: [6908058] => C:\Users\katar\AppData\Roaming\ih5m0bqpblb\r4q00i4cqe4.exe [925961 2018-03-28] ( )
HKU\S-1-5-21-3795475947-1204096230-717403566-1002\...\Run: [NAG6TKPP5OCNHEU] => C:\Program Files\YXY1KJWXMX\YXY1KJWXM.exe [666112 2018-03-28] (GULSU)
AppInit_DLLs-x32: C:\ProgramData\Quoteex\RedTough.dll => Brak pliku

SearchScopes: HKLM-x32 -> DefaultScope - brak wartości
BHO-x32: YoutubeAdBlock -> {C0D38E5A-7CF8-4105-8FE8-31B81443A114} -> C:\Program Files (x86)\dmpYwNbvAIE\khgOyRBa.dll => Brak pliku
C:\Users\katar\AppData\Local\Temp\is-SU4FF.tmp
HKU\S-1-5-21-3795475947-1204096230-717403566-1002\...\StartupApproved\Run: => "NAG6TKPP5OCNHEU"
S2 gupdate; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /svc [X]
S3 gupdatem; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /medsvc [X]
C:\windows\UpdateAssistantV2
2018-03-28 18:39 - 2018-03-28 18:39 - 000037552 _____ (Basil) C:\windows\system32\Drivers\WinDivert64.sys
2018-03-28 18:38 - 2018-03-28 18:38 - 000000000 ____D C:\Users\katar\AppData\Roaming\ih5m0bqpblb
2018-03-28 18:38 - 2018-03-28 18:38 - 000000000 ____D C:\ProgramData\3447a93524
2018-03-28 18:38 - 2018-03-28 18:38 - 000000000 ____D C:\Program Files\YXY1KJWXMX
2018-03-28 18:37 - 2018-03-28 19:27 - 000000000 ____D C:\Program Files (x86)\five
2018-03-28 18:37 - 2018-03-28 18:37 - 000000000 ____D C:\Program Files (x86)\Multitimer
2018-03-28 18:36 - 2018-03-28 18:37 - 000000000 ____D C:\Program Files (x86)\Stzc9KCVhJxe Updater
2018-03-28 18:36 - 2018-03-28 18:36 - 000021602 _____ C:\windows\System32\Tasks\Stzc9KCVhJxe
2018-03-28 18:36 - 2018-03-28 18:36 - 000000000 ____D C:\Users\katar\AppData\Roaming\Mozilla
2018-03-28 18:35 - 2018-03-28 18:36 - 000000000 ____D C:\Program Files (x86)\Stzc9KCVhJxe
2018-03-28 18:35 - 2018-03-28 18:35 - 000000000 ____D C:\Users\katar\AppData\LocalLow\yQvJhxdeQJQrX
2018-03-28 18:33 - 2018-03-28 19:32 - 000000000 ____D C:\Applications
2018-03-28 18:33 - 2018-03-28 18:33 - 000003326 _____ C:\windows\System32\Tasks\cmdsrv
2018-03-28 18:33 - 2018-03-28 18:33 - 000003324 _____ C:\windows\System32\Tasks\Browse
2018-03-28 18:33 - 2018-03-28 18:33 - 000000000 ____D C:\Program Files\Shadowsocks
2018-03-28 18:33 - 2018-03-28 18:33 - 000000000 ____D C:\Browse
2018-03-28 18:32 - 2018-03-28 18:32 - 007595520 _____ C:\Users\katar\AppData\Local\agent.dat
2018-03-28 18:32 - 2018-03-28 18:32 - 001984781 _____ C:\Users\katar\AppData\Local\SolLa.tst
2018-03-28 18:32 - 2018-03-28 18:32 - 001895382 _____ C:\Users\katar\AppData\Local\Rankcore.bin
2018-03-28 18:32 - 2018-03-28 18:32 - 000278509 _____ C:\Users\katar\AppData\Local\Solo-Ing.tst
2018-03-28 18:32 - 2018-03-28 18:32 - 000126464 _____ C:\Users\katar\AppData\Local\noah.dat
2018-03-28 18:32 - 2018-03-28 18:32 - 000070896 _____ C:\Users\katar\AppData\Local\Config.xml
2018-03-28 18:32 - 2018-03-28 18:32 - 000024386 _____ C:\windows\System32\Tasks\{7E7F0F47-7E0C-7909-7E11-08057F0C110F}
2018-03-28 18:32 - 2018-03-28 18:32 - 000005568 _____ C:\Users\katar\AppData\Local\md.xml
2018-03-28 18:32 - 2018-03-28 18:31 - 001814528 _____ (TODO: <Company name>) C:\Users\katar\AppData\Local\Solo-Ing.exe
2018-03-28 18:32 - 2018-03-28 18:31 - 001814528 _____ (TODO: <Company name>) C:\Users\katar\AppData\Local\SolLa.exe
2018-03-28 18:31 - 2018-03-28 19:21 - 000929792 _____ C:\Users\katar\AppData\Local\sham.db
2018-03-28 18:31 - 2018-03-28 18:31 - 000140800 _____ C:\Users\katar\AppData\Local\installer.dat
HOSTS:
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść w folderze C:\Users\katar\Downloads
Uruchom FRST i kliknij przycisk Fix (NAPRAW).

 

3)

Chrome:
=======
CHR res: Zainfekowany resources.pak (Adware script). Przeinstaluj Chrome. <==== UWAGA

Przeinstaluj Chrome.

 

4) Zrób nowe logi FRST.

.



#3 snajper1977

snajper1977

    Second Rank

  • Użytkownicy +
  • 117 postów
  • Płeć:Mężczyzna
  • Lokalizacja:Wrocław

Napisano 29 03 2018 - 20:52

SafeFinder nie udało się odinstalować, pojawia się taki komunikat:

 

29ckq9w.png

 

Chrome przeinstalowany,

Nowe logi FRST po fixowaniu.

 

http://www.wklejto.pl/514214

 

http://www.wklejto.pl/514215

 

Dodatkowo, co jakiś czas wyskakuje taki komunikat tak sam z siebie:

 

52gu4h.png



#4 wirusolog

wirusolog

    Expert

  • Moderatorzy
  • 5790 postów
  • Płeć:Mężczyzna

Napisano 11 04 2018 - 16:36

Przez dwa tygodnie strona "searchengines" była niedostępna, więc po tak długim czasie  temat pewnie jest już nieaktualny.

 

Otwórz Notatnik i wklej w nim:

http://www.wklejto.pl/518406

Plik zapisz pod nazwą fixlist.txt i umieść w folderze C:\Users\katar\Downloads
Uruchom FRST i kliknij przycisk Fix (NAPRAW).

.



#5 snajper1977

snajper1977

    Second Rank

  • Użytkownicy +
  • 117 postów
  • Płeć:Mężczyzna
  • Lokalizacja:Wrocław

Napisano 11 10 2018 - 09:00

Ten wątek też można zamknąć, nie mam kontaktu już z osobą, której ten problem dotyczył, więc nie wiem, czy pomogło, czy nie :P






Użytkownicy przeglądający ten temat: 0

0 użytkowników, 0 gości, 0 anonimowych