• Ogłoszenie:

Wirus przeglądarkowy - krawazasiroglo.ru

Bezpieczeństwo systemów, usuwanie wirusów, dobieranie programów antywirusowych. Obowiązkowe logi w tym dziale: trzy z FRST + Gmer.

Wirus przeglądarkowy - krawazasiroglo.ru

Postprzez soypolaco 30 Lis 2016, 20:14

reklama
Dzień dobry!

Zdecydowałem się napisać posta, ponieważ mam do czynienia z bardzo denerwującym wirusem. Nie znam jego fachowej nazwy, ale objawia się jako link krawazasiroglo.ru - za każdym razem gdy uruchamiam przeglądarke (testowane na: Chrome, Firefox, Explorer) = pojawia się. Nie jest on przekierowaniem do konkretnej strony, a bardziej odnośnikiem, który wyrzuca mnie na losowo wybraną stronę o różnych tematykach (podgląd w zdjęciach). Dodatkowo znacznie spowalnia pracę komputera, a ponadto zauważyłem coś, czego nie miałem wcześniej - przy wizytach na Google ponad prawidłowymi wyszukaniami znajdują się co najmniej 3 linki od Banggood.

Poniżej zostawiam logi + log z gmer. Posiadałem program UltraISO, tak jak we wskazówkach - został usunięty wraz z plikiem spdt.sys

Addition.txt http://www.wklej.org/id/2975396/
FRST.txt http://www.wklej.org/id/2975377/
Shortcut.txt http://www.wklej.org/id/2975379/

GMER http://wklej.org/id/2975473/

Oraz screeny (drugi edytowany na potrzeby zamazania obecności nieodpowiednich treści)

Image
Image
Image

Liczę na pomoc, w miarę możliwości postaram się jakoś odwdzięczyć.

Pozdrawiam!
soypolaco
~user
 
Posty: 1
Dołączenie: 30 Lis 2016, 18:50



Wirus przeglądarkowy - krawazasiroglo.ru

Postprzez ordynat 30 Lis 2016, 22:34

Otwórz Notatnik i wklej w nim:
C:\Users\Erysik51\AppData\Local\smss.exe
C:\Windows\pss\Empty.pif
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^Erysik51^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Empty.pif
C:\Users\Erysik51\AppData\Roaming\HPRewriter2
ShortcutWithArgument: C:\Users\Erysik51\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Ехрlоrеr.lnk -> C:\Users\Erysik51\AppData\Roaming\HPRewriter2\RewRun3.exe () -> 3 0 <===== Cyrillic
ShortcutWithArgument: C:\Users\Erysik51\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnеt Ехрlоrеr (Nо Аdd-оns).lnk -> C:\Users\Erysik51\AppData\Roaming\HPRewriter2\RewRun3.exe () -> 3 0 <===== Cyrillic
ShortcutWithArgument: C:\Users\Erysik51\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> "hxxp://safesurfs.net/?ssid=1470753163&a=1057912&src=sh&uuid=6aec0caf-8614-4418-8d4a-5c454b1b3c94"
ShortcutWithArgument: C:\Users\Erysik51\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gооglе Сhrоmе.lnk -> C:\Users\Erysik51\AppData\Roaming\HPRewriter2\RewRun3.exe () -> 1 0 <===== Cyrillic
ShortcutWithArgument: C:\Users\Erysik51\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Моzillа Firеfох.lnk -> C:\Users\Erysik51\AppData\Roaming\HPRewriter2\RewRun3.exe () -> 2 0 <===== Cyrillic
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gооglе Сhrоmе.lnk -> C:\Users\Erysik51\AppData\Roaming\HPRewriter2\RewRun3.exe () -> 1 0 <===== Cyrillic
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Моzillа Firеfох.lnk -> C:\Users\Erysik51\AppData\Roaming\HPRewriter2\RewRun3.exe () -> 2 0 <===== Cyrillic
Task: C:\Windows\Tasks\Update Service for Youtube AdBlock.job => C:\Program Files\Youtube AdBlock\cLrebO4.exe <==== UWAGA
Task: C:\Windows\Tasks\Update Service for Youtube AdBlock2.job => C:\Program Files\Youtube AdBlock\cLrebO4.exe <==== UWAGA
Task: {F7B804D3-5B69-4ED4-9D54-BFE031AC4C7B} - System32\Tasks\Update Service for Youtube AdBlock => C:\Program Files\Youtube AdBlock\cLrebO4.exe [2016-11-25] () <==== UWAGA
Task: {6DACD1AB-4006-4958-A678-46462F06246E} - System32\Tasks\Update Service for Youtube AdBlock2 => C:\Program Files\Youtube AdBlock\cLrebO4.exe [2016-11-25] () <==== UWAGA
CustomCLSID: HKU\S-1-5-21-2953242956-50052321-2812450776-1000_Classes\CLSID\{67F4D210-BFC2-4ADD-9A2A-C9B9E1F42C4F}\InprocServer32 -> E:\Programy\Kingsoft\WPS Office\9.1.0.5214\office6\qingshellext.dll => Brak pliku
C:\Program Files\Youtube AdBlock
C:\ProgramData\Ament.ini
testsigning: ==> Ustawiony "Tryb testu". Sprawdź obecność niepodpisanego sterownika <===== UWAGA
C:\Users\Erysik51\AppData\Local\Conduit
S3 ewusbmbb; system32\DRIVERS\ewusbwwan.sys [X]
S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X]
S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X]
S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
CHR Extension: (Brak nazwy) - C:\Users\Erysik51\AppData\Local\Google\Chrome\User Data\System Profile\Extensions\bpaigipchjaojenjiblmkljcphndjjdn [2016-11-25]
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://istart.webssearches.com/?type=sc&ts=1410027031&from=wpc&uid=TOSHIBAXMK1652GSX_683DP10GTXX683DP10GT
BHO: Youtube AdBlock -> {95E84BD3-3604-4AAC-B2CA-D9AC3E55B64B} -> C:\Program Files\Youtube AdBlock\IEEF\BrlPhfnI.dll [2016-11-25] ()
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=56626&homepage=hxxp://istart.webssearches.com/?type=hp&ts=1410027031&from=wpc&uid=TOSHIBAXMK1652GSX_683DP10GTXX683DP10GT
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://istart.webssearches.com/web/?type=ds&ts=1410027031&from=wpc&uid=TOSHIBAXMK1652GSX_683DP10GTXX683DP10GT&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://istart.webssearches.com/?type=hp&ts=1410027031&from=wpc&uid=TOSHIBAXMK1652GSX_683DP10GTXX683DP10GT
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://istart.webssearches.com/web/?type=ds&ts=1410027031&from=wpc&uid=TOSHIBAXMK1652GSX_683DP10GTXX683DP10GT&q={searchTerms}
HKU\S-1-5-21-2953242956-50052321-2812450776-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=56626&homepage=hxxp://istart.webssearches.com/?type=hp&ts=1410027031&from=wpc&uid=TOSHIBAXMK1652GSX_683DP10GTXX683DP10GT
HKU\S-1-5-21-2953242956-50052321-2812450776-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://istart.webssearches.com/?type=hp&ts=1410027031&from=wpc&uid=TOSHIBAXMK1652GSX_683DP10GTXX683DP10GT
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://istart.webssearches.com/web/?type=ds&ts=1410027031&from=wpc&uid=TOSHIBAXMK1652GSX_683DP10GTXX683DP10GT&q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://istart.webssearches.com/web/?type=ds&ts=1410027031&from=wpc&uid=TOSHIBAXMK1652GSX_683DP10GTXX683DP10GT&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2953242956-50052321-2812450776-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://istart.webssearches.com/web/?type=ds&ts=1410027031&from=wpc&uid=TOSHIBAXMK1652GSX_683DP10GTXX683DP10GT&q={searchTerms}
ManualProxies: 0hxxp://stoppblock.org/wpad.dat?c7587111c4ea75d2994ca2d68af4ca9f14043048
GroupPolicy: Ograniczenia - Chrome <======= UWAGA
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA
HKU\S-1-5-21-2953242956-50052321-2812450776-1000\...\Policies\Explorer: [TaskbarNoNotification] 1
HKU\S-1-5-21-2953242956-50052321-2812450776-1000\...\Policies\Explorer: [NoSecurityTab] 1
HKU\S-1-5-21-2953242956-50052321-2812450776-1000\...\Run: [AdobeBridge] => [X]
HKLM\...\Run: [] => [X]
HKLM\...\Run: [Driver Genius] => [X]
HKLM\...\Run: [Windows Defender] => [X]
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Tok-Cirrhatus
HOSTS:
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix (NAPRAW).

Zrób nowe logi FRST.
.
ordynat
~user
 
Posty: 4765
Dołączenie: 02 Kwi 2010, 11:18
Pochwały: 866




Powróć do Bezpieczeństwo

Kto jest na forum

Użytkownicy przeglądający to forum: Brak zarejestrowanych użytkowników oraz 17 gości