Skocz do zawartości

Temat został przeniesiony do archiwum

Ten temat przebywa obecnie w archiwum. Dodawanie nowych odpowiedzi zostało zablokowane.

SzlugPL

JAKIEŚ SYFY W INTERNECIE

Rekomendowane odpowiedzi

HKLM\...\Providers\2kt45msa: C:\Program Files (x86)\Dfutainghajit Client\local64spl.dll [308224 2017-02-22] ()
ShellExecuteHooks: No Name - {BDC00790-F447-11E6-8378-64006A5CFC23} -  -> No File
ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} =>  -> No File
RemoveDirectory: C:\Users\R&K\AppData\Roaming\Saqtherclaki
RemoveDirectory: C:\Program Files (x86)\Dfutainghajit Client
RemoveDirectory: C:\Program Files\HXN0XVP2CW
RemoveDirectory: C:\Program Files\8U9ZD67E9S
RemoveDirectory: C:\Users\R&K\AppData\Roaming\com
RemoveDirectory: C:\WINDOWS\System32\Tasks\Dfutainghajit Client

Zapisz sobie to pod fixlist.txt obok frst i w frst daj Fix (napraw)

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Zrobiłem to... nadal wyskakuję po otworzeniu chrome strona startowa "http://qtipr.com/" HELP

 

Fix result of Farbar Recovery Scan Tool (x64) Version: 23-02-2017 01

Ran by R&K (23-02-2017 19:44:15) Run:1

Running from C:\Users\R&K\Downloads

Loaded Profiles: R&K (Available Profiles: R&K)

Boot Mode: Normal

==============================================

 

fixlist content:

*****************

HKLM\...\Providers\2kt45msa: C:\Program Files (x86)\Dfutainghajit Client\local64spl.dll [308224 2017-02-22] ()

ShellExecuteHooks: No Name - {BDC00790-F447-11E6-8378-64006A5CFC23} - -> No File

ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} => -> No File

RemoveDirectory: C:\Users\R&K\AppData\Roaming\Saqtherclaki

RemoveDirectory: C:\Program Files (x86)\Dfutainghajit Client

RemoveDirectory: C:\Program Files\HXN0XVP2CW

RemoveDirectory: C:\Program Files\8U9ZD67E9S

RemoveDirectory: C:\Users\R&K\AppData\Roaming\com

RemoveDirectory: C:\WINDOWS\System32\Tasks\Dfutainghajit Client

*****************

 

HKLM\SYSTEM\CurrentControlSet\Control\Print\Providers\2kt45msa => key removed successfully

HKLM\SYSTEM\CurrentControlSet\Control\Print\Providers\\order 2kt45msa => removed successfully

HKLM\Software\Microsoft\Windows\CurrentVersion\explorer\ShellExecuteHooks\\{BDC00790-F447-11E6-8378-64006A5CFC23} => value removed successfully

HKCR\CLSID\{BDC00790-F447-11E6-8378-64006A5CFC23} => key not found.

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\KzShlobj => key removed successfully

HKCR\CLSID\{AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} => key not found.

"C:\Users\R&K\AppData\Roaming\Saqtherclaki" => removed successfully.

could not remove "C:\Program Files (x86)\Dfutainghajit Client\local64spl.dll" => Scheduled to remove on reboot.

could not remove "C:\Program Files (x86)\Dfutainghajit Client" => Scheduled to remove on reboot.

"C:\Program Files\HXN0XVP2CW" => removed successfully.

"C:\Program Files\8U9ZD67E9S" => removed successfully.

"C:\Users\R&K\AppData\Roaming\com" => removed successfully.

"C:\WINDOWS\System32\Tasks\Dfutainghajit Client" => File

 

Result of scheduled files to move (Boot Mode: Normal) (Date&Time: 23-02-2017 19:45:21)

 

C:\Program Files (x86)\Dfutainghajit Client\local64spl.dll => removed successfully

C:\Program Files (x86)\Dfutainghajit Client => removed successfully

 

==== End of Fixlog 19:45:21 ====

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Sorki wielkie chłopie zapomniałem spojrzeć w drugi log a tam śmieci.

Jeszcze jeden fixlist:

ShortcutWithArgument: C:\Users\R&K\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) ->  --load-extension="C:\Users\R&K\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/
ShortcutWithArgument: C:\Users\R&K\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) ->  --load-extension="C:\Users\R&K\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/
ShortcutWithArgument: C:\Users\R&K\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\48499db33039e897\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory="Profile 4"
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) ->  --load-extension="C:\Users\R&K\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/
ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) ->  --load-extension="C:\Users\R&K\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/
Task: {EF6E9E7D-8BD4-459A-BF32-4CB240B86943} - \Drqury -> No File <==== ATTENTION
Task: {B8ABC9AA-2C6C-4235-80B0-09853CE49B2D} - System32\Tasks\Dfutainghajit Client => C:\Program Files (x86)\Plowiseprunoght\dcheru.exe 
RemoveDirectory: C:\Program Files (x86)\Plowiseprunoght


Potem daj od nowa logi

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Widze że dalej syf się pojawia.

Lepiej przejdź w tryb awaryjny bo to będzie się rozprzestrzeniać szybciej niż my usuwamy.

Task: {812D2271-3F0C-435F-A440-AB52B1F917CB} - System32\Tasks\BikaQ_FetchAndUpgrade_CanBeDel => C:\Program Files (x86)\BikaQRss\BikaQ.exe [2017-02-23] (IEC)
Task: {9E73E540-B279-46B5-B390-0474A81BDA35} - System32\Tasks\Milimili => C:\Program Files (x86)\MIO\MIO.exe [2017-02-23] ()
WMI_ActiveScriptEventConsumer_ASEC: <===== ATTENTION
RemoveDirectory: C:\Program Files (x86)\BikaQRss\BikaQ.exe
RemoveDirectory: C:\WINDOWS\System32\Tasks\Milimili
RemoveDirectory: C:\WINDOWS\System32\Tasks\BikaQ_FetchAndUpgrade_CanBeDel
RemoveDirectory: C:\Users\R&K\AppData\Roaming\WinSnare
RemoveDirectory: C:\Users\R&K\AppData\Roaming\WinSAPSvc
RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\BikaQ
RemoveDirectory: C:\Program Files (x86)\WinSnare(4.1.5)
RemoveDirectory: C:\Program Files (x86)\MIO
RemoveDirectory: C:\Program Files (x86)\BikaQRss
RemoveDirectory: C:\Program Files\2kt45msa
R2 WinSAPSvc; C:\Users\R&K\AppData\Roaming\WinSAPSvc\WinSAP.dll [184832 2017-02-23] (TODO: <Company name>) [File not signed]

 

W programfiles i roamingu tworzy ci się mnóstwo syfu proponuje samemu też tam zajrzeć poza logami.

+ propoonuje pobrać najszybciej malwarebytes zaaktualizować następnie awaryjny i full scan.

Zapewne Elex-a złapałeś.

Kolega z tematu wyżej The Dude ma podobne śmieci.

Używałeś jakiegoś downloadera czy co ?

 

21:11

dodatkowa linijka do skryptu:

R2 WinSAPSvc; C:\Users\R&K\AppData\Roaming\WinSAPSvc\WinSAP.dll [184832 2017-02-23] (TODO: <Company name>) [File not signed]

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

No kurde normalnie NIC nie pomaga z tym fixlist i w ogóle :( trzeba coś mocniejszego uzyć xD

 

Po prostu brat pobrał mc z nwm jakiej strony nie było mnie przy tym no i po resecie kompa zaczeło się

 

przeinstalowac i juz xD

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Jak mówiłem malwarebytes w awaryjnym powinien sobie poradzić

tylko bez dostepu do sieci na wszelki wypadek niby usługi powinny siedzieć cicho w awaryjnym ale pal licho może będzie żywe.

Pierwszy raz siedział dll w startupie teraz usługa się pojawiła i na dodatek to: WMI_ActiveScriptEventConsumer_ASEC: <===== ATTENTION

https://www.bleepingcomputer.com/news/security/yeabests-cc-a-fileless-infection-using-wmi-to-hijack-your-browser/

Niby tu mówią że te skrypty wykonują się co 10 sekund.

Sporo zmian w infekcjach zaszło od czasu gdy ostatnio się w to bawiłem.

Brata podedukuj że się nie pobiera z byle czego ale chyba teraz i tak widzi efekty więc błedu następnym razem nie popełni.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Czyli mam uruchomić kompa w trybie awaryjnym i uruchomić program malwarebytes?

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Tak dokładnie

Wpierw zaaktualizuj go w normalnym coby bazy miał najnowsze.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

już po wszystkim chyba xD nic nie pojawia się narazie xD

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

już po wszystkim chyba xD nic nie pojawia się narazie xD

Możesz wrzucić jeszcze raz logi może filutka spojrzy :P

Malwarebytes widać pomógł.

Pamiętasz co tam wykrywał ? poza PuP

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

  • Ostatnio przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników przeglądających tę stronę.

  • Tematy

  • Odpowiedzi

    • ja mam płytę za 400zł od kilku lat i nic złego się z nią nie dzieje. Nie zmieniam sprzętu właśnie dlatego, że działa bezproblemowo. Mam inne podejście. Jako, że mam jakąś tam wiedzę komputerową to kupuje to co potrzebuje. Nie potrzebuje super karty dźwiękowej, sieciowej,  2 kart sieciowych, 2 dźwiękowych, 20 portów USB z tyłu i sata, najlepszej sekcji zasilania. To wszystko mocno podnosi koszta i nagle robi się 2k zł za płytę lub więcej a tych dodatków nigdy nie wykorzystam wręcz będą przeszkadzać bo to dodatkowe coś co może się popsuć i coś co będzie się ładowało przy starcie systemu więc sam system będzie startował dłużej. Wydajnościowo nic się nie zmieni czy to płyta za 500zł czy za 3000zł. Ta płyta za 500zł jest dobra a jak trzeba będzie wymienić płytę bo  to nie będzie szkoda bo dużo nie kosztowała. Przydałoby się wbudowane wifi i 4 banki pamięci ale w przyszłości pamięć pewnie pójdzie do zmiany na jakąś 8000-10000Mhz z większą pojemnością więc obecna pójdzie na sprzedaż.  
    • Szczerze to wydawało mi się że kilka plików, bardziej tak z pamięci napisałem. Jak będę miał chwilę to zassam jakiś film i sprawdzę.
    • Ale tak bylo od wiekow to na prawde zejdz na ziemie i nie skladaj klockow. Wyplata opodatkowana a podatek od nieruchomopsci to calkowicie odmienne tematy. No masz racje na 2024 co wychodzi na duzy + bo drugi spada na 12% do 85K
    • @kola01Ok, dzięki za ogólne wyjaśnienie jak działają chłodzenia i stwierdzenie czy moje chłodzenie, którego nigdy w życiu na własne uszy nie słyszałeś jest ciche lub głośne😆 Bardzo wiele to zmienia w moim życiu, dobra robota👏  Jak "głośny" jest Fortis 5 dual przy swoim maksymalnym RPM 1400 w porównaniu z różnymi aio możesz przeczytać tutaj:  https://www.purepc.pl/test-silentiumpc-fortis-5-i-fortis-5-dual-fan-coolery-dla-procesorow-z-dobrym-stosunkiem-ceny-do-wydajnosci-i-cichymi-wentylator?page=0,7 Może uwierzysz 
    • Nic sobie nie pomyliłem. Z premedytacją nie użyłem nazwy gdyż mowiny o tanich asrocakch, model nie ma znaczenia. Ogólnie beka bo gdy mówię o karcie dźwiękowej narracja zmieniana jest na taką że dobra karta dźwiękowa nie jest potrzebna, można kupić inna, można kupić dac itp (TO SĄ DODATKOWE KOSZTY). Jak mówię o sekcji zasilania to narracja brzmi że pomylelem się z modelem płyty. Cały dowcip polega na tym że to 400zl to nie wiele jak na różnice w tym co dostajemy w tych mobasach. Tzn lepsza dźwiękowka, lepsza sekcja zasilania, lepsze wyposażenie. OGÓŁEM LEPSZA PŁYTA. Jeśli komuś wystarcza biedny kodek audio czy biedna sekcja zasilania to fajnie ale niech nie mówi że ta płyta jest dobra. Jest WYSTARCZAJĄCA dla niego i to wszystko. To tak jak z tymi bułkami z biedronki, dla kogoś są wystarczające, ja wolę kuoic 3x droższe i nie jest odnrazanego barachła. Argumenty że za 900zl płyty też mają kiepskie kodeki audio jest śmieszny bo wystarczy poszukać w specyfikacji technicznej i znaleźć taka która ma normalne audio, wyposażenie czy co tam nas interesuje. Nadal nikt nie odpowiedział, dlaczego nie polecają tanich asrockow na am4? Bo różnica pomiędzy dobrą płyta jest po prostu mniejsza i mówimy o mniejszej skali.  Edit: teraz spojrzałem na morele, nowy tomahawk kosztuje 871zl. Różnica pomiedzy "wystarczającymi" asrockami zaczyna topnieć wiec za niedługo ten post będzie nieaktualny bo i tak wszyscy będą polecali MSI. Obecnie to już 350zl czyli żaden pieniądz. 
  • Aktywni użytkownicy

×
×
  • Dodaj nową pozycję...