Skocz do zawartości
Olmer

Reklamy na stronach i dziwny proces.

Rekomendowane odpowiedzi

Witam, przez moją nieuwagę przypałętał mi się jakiś syf na komputerze. Częściowo poradziłem sobie za pomocą adwcleaner'em i rkill'em, ale jeszcze coś zostało. Ogólnie na przeglądarce na stronach zaczęły pojawiać się dziwne reklamy (imitujące prawdziwe elementy strony), co jakiś czas odpala się jakiś proces o nazwie składającej się z losowych znaków i przy uruchamianiu systemu pojawia się linia komend  i błąd że nie może uruchomić pliku run.bat (może jakaś pozostałość po usuniętym syfie, dodaje zdjęcie). Z góry dziękuje za pomoc.

Addition.txt

FRST.txt

Shortcut.txt

blad.png

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.
Otworzy się Notatnik - wklej do niego:

Spoiler

C:\Users\dom\AppData\Local\WServices\svb98s12e.exe
C:\Users\dom\AppData\Local\WServices\pdqjw9d8as123hdk.exe
RemoveDirectory: C:\Users\dom\AppData\Local\WServices
HKLM-x32\...\Run: [] => [X]
HKLM-x32\...\Run: [Intel Graphic Media Accelerator] => cmd /c start /MIN %localappdata%\Microsoft\Windows\Intel\run.bat & exit
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA
HKU\S-1-5-21-2873098329-2865010418-1003574698-1000\...\Run: [Opos] => [X]
HKU\S-1-5-21-2873098329-2865010418-1003574698-1000\...\Run: [GoogleChromeAutoLaunch_E2B03182C29EF7A5D59690143152C5DA] => C:\Program Files (x86)\Google\Chrome\Application\chrome.exe [1589080 2018-10-23] (Google Inc.)
HKU\S-1-5-21-2873098329-2865010418-1003574698-1000\...\Run: [view] => C:\Users\dom\AppData\Roaming\view\viewU.exe [39424 2018-10-31] ( GoldDay Corp)
HKU\S-1-5-21-2873098329-2865010418-1003574698-1000\...\Policies\Explorer: []
HKU\S-1-5-21-2873098329-2865010418-1003574698-1000\...\Winlogon: [Shell] C:\Windows\explorer.exe [2872320 2010-11-21] (Microsoft Corporation) <==== UWAGA
GroupPolicy: Ograniczenia ? <==== UWAGA
GroupPolicy\User: Ograniczenia ? <==== UWAGA
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <==== UWAGA
SearchScopes: HKU\S-1-5-21-2873098329-2865010418-1003574698-1000 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL =
FF Homepage: Mozilla\Firefox\Profiles\90kpk92t.default -> hxxps://inline.go.mail.ru/homepage?inline_comp=hp&inline_hp_cnt=11956636
CHR HomePage: Default -> inline.go.mail.ru
CHR NewTab: Default ->  Active:"chrome-extension://jjgmamfgfagkcjcgjcaokkmnnfijpcdi/index.html"
CHR Session Restore: Default -> [funkcja włączona]
CHR HKLM-x32\...\Chrome\Extension: [fppjhfcgnalgfiimdflmikpifodndljf] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [gbnhehnpnbiioheicppmmmjaekcdfigc] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [hegneaniplmfjcmohoclabblbahcbjoe] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ikpcpgklmefncbfgbdifkaphbaapgafh] - hxxps://clients2.google.com/service/update2/crx
R2 Key Symbols Notifier; C:\Users\dom\AppData\Local\WServices\svb98s12e.exe [1833984 2018-10-31] () [Brak podpisu cyfrowego]
S3 BRDriver64_1_3_3_E02B25FC; \??\C:\ProgramData\BitRaider\support\1.3.3\E02B25FC\BRDriver64.sys [X]
Task: {04BF8576-02C7-4D87-A05E-39E4A500255D} - System32\Tasks\Windows Disk Defragment Utility => c:\windows\temp\amz.exe <==== UWAGA
Task: {09184B3B-36F8-4134-9F4D-EB26C67E192B} - System32\Tasks\{405711E0-656A-4014-AC9E-73C2EF1630C9} => C:\Windows\system32\pcalua.exe -a "C:\Program Files (x86)\InstallShield Installation Information\{304D46E1-364B-45AB-9170-53E200DB4E85}\setup.exe" -c -runfromtemp -l0x0409 -removeonly
Task: {9E379639-DF85-468B-BEC8-87FC3636012E} - System32\Tasks\{076EA303-4B9C-4DF9-AF31-558CA27F8695} => C:\Windows\system32\pcalua.exe -a "C:\Program Files (x86)\smartCARS\365\en-US\installer.exe" -c /allownoinstall
Task: {C9996377-4FA2-4317-A050-31B0D3EA7DDE} - System32\Tasks\WindowsDiskCleanup => c:\windows\temp\scvhost.exe [2018-08-12] (DIMON Incorporated) <==== UWAGA
ShortcutWithArgument: C:\Users\dom\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Node.js command prompt.lnk -> C:\Windows\System32\cmd.exe (Microsoft Corporation) -> /k "C:\Program Files\nodejs\nodevars.bat"
ShortcutWithArgument: C:\Users\dom\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\a3a1d6b8109861c5\Google Hangouts.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory=Default --app-id=nckgahadagoaajjgafhacjanaoiihapd
C:\ProgramData\boost_interprocess
C:\Users\dom\AppData\Roaming\FC29FA0894FE.ini
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Warships\Deinstalacja programu World of Warships.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FSCloud\FSCloud.lnk
HOSTS:
EmptyTemp:

Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).

 

jessi

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Podsyłam log po naprawie. Nie ma już procesu (przynajmniej na razie nic nie widzę) i linia komend już się nie odpala wraz z systemem. Niestety jest problem z przeglądarką. Na youtube, po uruchomieniu strony, nagle się odświeża i pojawiają się w proponowanych dziwne filmiki, np. miniaturka wskazuje na filmik który znam, ale z dziwnym tytułem o tle matrymonialnym, "powiększaniu tego i tamtego" itp. a po wejściu w filmik otwierają się strony zewnętrzne o wątpliwej zawartości.

Fixlog.txt

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.
Otworzy się Notatnik - wklej do niego:

Spoiler

Task: {53AA097F-F306-4950-92ED-5AE85CBF9D2B} - System32\Tasks\WindowsMediaSharing => C:\windows\winsvc.exe [2018-10-06] (Microsoft Corporation)
Task: {788F3B98-E678-4563-9B58-43E3A87AC065} - System32\Tasks\{E3687746-5EAE-4FFE-BA3A-34960DB8E8EB} => C:\Windows\system32\pcalua.exe -a C:\Users\dom\Downloads\FreeTrack_V2.2.exe -d C:\Users\dom\Downloads
FirewallRules: [TCP Query User{53FE50AF-D790-429F-A4F4-7ADC41FC7AD4}C:\users\dom\appdata\local\akamai\netsession_win.exe] => (Block) C:\users\dom\appdata\local\akamai\netsession_win.exe
FirewallRules: [UDP Query User{16D00853-2C1F-427F-B6D3-EE2B5ED861FF}C:\users\dom\appdata\local\akamai\netsession_win.exe] => (Block) C:\users\dom\appdata\local\akamai\netsession_win.exe
C:\users\dom\appdata\local\akamai\netsession_win.exe
FirewallRules: [TCP Query User{95500D1B-3BAE-4D4F-9399-A392CF874FD0}C:\users\dom\appdata\local\akamai\netsession_win.exe] => (Allow) C:\users\dom\appdata\local\akamai\netsession_win.exe
FirewallRules: [UDP Query User{8122086A-6533-4C15-827B-1366C1D0FABF}C:\users\dom\appdata\local\akamai\netsession_win.exe] => (Allow) C:\users\dom\appdata\local\akamai\netsession_win.exe
FirewallRules: [{7DA5BE60-2DDF-488F-9B08-1A99321D384D}] => (Allow) 㩃啜敳獲摜浯䅜灰慄慴剜慯業杮癜敩屷楶睥攮數
FirewallRules: [{2B296F70-E1DD-4974-83F8-BF11A062C88B}] => (Allow) 㩃啜敳獲摜浯䅜灰慄慴剜慯業杮癜敩屷楶睥⹕硥e
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA
HKU\S-1-5-21-2873098329-2865010418-1003574698-1000\...\Run: [GoogleChromeAutoLaunch_E2B03182C29EF7A5D59690143152C5DA] => C:\Program Files (x86)\Google\Chrome\Application\chrome.exe [1589080 2018-10-23] (Google Inc.)
CHR NewTab: Default ->  Active:"chrome-extension://jjgmamfgfagkcjcgjcaokkmnnfijpcdi/index.html"
CHR Session Restore: Default -> [funkcja włączona]
CHR HKU\S-1-5-21-2873098329-2865010418-1003574698-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [hegneaniplmfjcmohoclabblbahcbjoe] - hxxp://clients2.google.com/service/update2/crx
EmptyTemp:

Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).

 

Przeinstaluj przeglądarkę, na której to występuje.

 

jessi

 

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Zrobiłem i jest problem. Po zastosowaniu instrukcji, komputer się zrestartował. W tym momencie odinstalowałem chroma (z niego korzystam). Później dla pewności zrestartowałem komputer i gdy chciałem zainstalować przeglądarke na nowo, nie mogłem. Wyśietla się komunikat jak na załączonym zdjęciu. Ja nic nie zmieniałem nigdy w regułach i szczerze mówiąc nie wiem co robić. Później puściłem skan FRST jeszcze raz, wszystkie pliki w załączniku. 

 

edit:

 

firefoxa również odinstalowałem i udało się normalnie go zainstalować. Problemów na nim nie zaobserwowałem.

chrome.png

Addition.txt

Fixlog.txt

FRST.txt

Shortcut.txt

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Cytat

Sprawdź usługę "winmgmt" lub napraw WMI.

Sprawdzimy "winmgmt" - jeśli jest uszkodzone, to spróbujemy naprawić.

Jeśli natomiast uszkodzone jest "WMI", - to trzeba będzie przeinstalować System.

Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.
Otworzy się Notatnik - wklej do niego:

Spoiler

Task: {EC0C88D5-0FC3-48E9-AC0C-D257280A2911} - System32\Tasks\GoogleUpdateTaskUserS-1-5-21-2873098329-2865010418-1003574698-1000UA => C:\Users\dom\AppData\Local\Google\Update\GoogleUpdate.exe
Task: {F3F3F01E-9B02-4847-BB19-0E0EE362D009} - System32\Tasks\GoogleUpdateTaskUserS-1-5-21-2873098329-2865010418-1003574698-1000Core => C:\Users\dom\AppData\Local\Google\Update\GoogleUpdate.exe
HKU\S-1-5-21-2873098329-2865010418-1003574698-1000\Software\Classes\.scr: EAGLESCR =>  <==== UWAGA
Reg: reg query HKLM\SYSTEM\CurrentControlSet\services\Winmgmt /s

Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).

 

jessi

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Niestety ale nie pomogło. Szukając w internecie natrafiłem na radę aby użyć Malwarebytes i to pomogło, raport w załączniku. Czy powinienem jeszcze coś zrobić?

raport.txt

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Cytat

aby użyć Malwarebytes i to pomogło

Skoro to pomogło, to chyba nic więcej nie ma potrzeby robić

 

jessi

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się

  • Ostatnio przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników przeglądających tę stronę.

×
×
  • Dodaj nową pozycję...