Skocz do zawartości

Temat został przeniesiony do archiwum

Ten temat przebywa obecnie w archiwum. Dodawanie nowych odpowiedzi zostało zablokowane.

SzlugPL

JAKIEŚ SYFY W INTERNECIE

Rekomendowane odpowiedzi

HKLM\...\Providers\2kt45msa: C:\Program Files (x86)\Dfutainghajit Client\local64spl.dll [308224 2017-02-22] ()
ShellExecuteHooks: No Name - {BDC00790-F447-11E6-8378-64006A5CFC23} -  -> No File
ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} =>  -> No File
RemoveDirectory: C:\Users\R&K\AppData\Roaming\Saqtherclaki
RemoveDirectory: C:\Program Files (x86)\Dfutainghajit Client
RemoveDirectory: C:\Program Files\HXN0XVP2CW
RemoveDirectory: C:\Program Files\8U9ZD67E9S
RemoveDirectory: C:\Users\R&K\AppData\Roaming\com
RemoveDirectory: C:\WINDOWS\System32\Tasks\Dfutainghajit Client

Zapisz sobie to pod fixlist.txt obok frst i w frst daj Fix (napraw)

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Zrobiłem to... nadal wyskakuję po otworzeniu chrome strona startowa "http://qtipr.com/" HELP

 

Fix result of Farbar Recovery Scan Tool (x64) Version: 23-02-2017 01

Ran by R&K (23-02-2017 19:44:15) Run:1

Running from C:\Users\R&K\Downloads

Loaded Profiles: R&K (Available Profiles: R&K)

Boot Mode: Normal

==============================================

 

fixlist content:

*****************

HKLM\...\Providers\2kt45msa: C:\Program Files (x86)\Dfutainghajit Client\local64spl.dll [308224 2017-02-22] ()

ShellExecuteHooks: No Name - {BDC00790-F447-11E6-8378-64006A5CFC23} - -> No File

ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} => -> No File

RemoveDirectory: C:\Users\R&K\AppData\Roaming\Saqtherclaki

RemoveDirectory: C:\Program Files (x86)\Dfutainghajit Client

RemoveDirectory: C:\Program Files\HXN0XVP2CW

RemoveDirectory: C:\Program Files\8U9ZD67E9S

RemoveDirectory: C:\Users\R&K\AppData\Roaming\com

RemoveDirectory: C:\WINDOWS\System32\Tasks\Dfutainghajit Client

*****************

 

HKLM\SYSTEM\CurrentControlSet\Control\Print\Providers\2kt45msa => key removed successfully

HKLM\SYSTEM\CurrentControlSet\Control\Print\Providers\\order 2kt45msa => removed successfully

HKLM\Software\Microsoft\Windows\CurrentVersion\explorer\ShellExecuteHooks\\{BDC00790-F447-11E6-8378-64006A5CFC23} => value removed successfully

HKCR\CLSID\{BDC00790-F447-11E6-8378-64006A5CFC23} => key not found.

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\KzShlobj => key removed successfully

HKCR\CLSID\{AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} => key not found.

"C:\Users\R&K\AppData\Roaming\Saqtherclaki" => removed successfully.

could not remove "C:\Program Files (x86)\Dfutainghajit Client\local64spl.dll" => Scheduled to remove on reboot.

could not remove "C:\Program Files (x86)\Dfutainghajit Client" => Scheduled to remove on reboot.

"C:\Program Files\HXN0XVP2CW" => removed successfully.

"C:\Program Files\8U9ZD67E9S" => removed successfully.

"C:\Users\R&K\AppData\Roaming\com" => removed successfully.

"C:\WINDOWS\System32\Tasks\Dfutainghajit Client" => File

 

Result of scheduled files to move (Boot Mode: Normal) (Date&Time: 23-02-2017 19:45:21)

 

C:\Program Files (x86)\Dfutainghajit Client\local64spl.dll => removed successfully

C:\Program Files (x86)\Dfutainghajit Client => removed successfully

 

==== End of Fixlog 19:45:21 ====

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Sorki wielkie chłopie zapomniałem spojrzeć w drugi log a tam śmieci.

Jeszcze jeden fixlist:

ShortcutWithArgument: C:\Users\R&K\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) ->  --load-extension="C:\Users\R&K\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/
ShortcutWithArgument: C:\Users\R&K\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) ->  --load-extension="C:\Users\R&K\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/
ShortcutWithArgument: C:\Users\R&K\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\48499db33039e897\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory="Profile 4"
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) ->  --load-extension="C:\Users\R&K\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/
ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) ->  --load-extension="C:\Users\R&K\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/
Task: {EF6E9E7D-8BD4-459A-BF32-4CB240B86943} - \Drqury -> No File <==== ATTENTION
Task: {B8ABC9AA-2C6C-4235-80B0-09853CE49B2D} - System32\Tasks\Dfutainghajit Client => C:\Program Files (x86)\Plowiseprunoght\dcheru.exe 
RemoveDirectory: C:\Program Files (x86)\Plowiseprunoght


Potem daj od nowa logi

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Widze że dalej syf się pojawia.

Lepiej przejdź w tryb awaryjny bo to będzie się rozprzestrzeniać szybciej niż my usuwamy.

Task: {812D2271-3F0C-435F-A440-AB52B1F917CB} - System32\Tasks\BikaQ_FetchAndUpgrade_CanBeDel => C:\Program Files (x86)\BikaQRss\BikaQ.exe [2017-02-23] (IEC)
Task: {9E73E540-B279-46B5-B390-0474A81BDA35} - System32\Tasks\Milimili => C:\Program Files (x86)\MIO\MIO.exe [2017-02-23] ()
WMI_ActiveScriptEventConsumer_ASEC: <===== ATTENTION
RemoveDirectory: C:\Program Files (x86)\BikaQRss\BikaQ.exe
RemoveDirectory: C:\WINDOWS\System32\Tasks\Milimili
RemoveDirectory: C:\WINDOWS\System32\Tasks\BikaQ_FetchAndUpgrade_CanBeDel
RemoveDirectory: C:\Users\R&K\AppData\Roaming\WinSnare
RemoveDirectory: C:\Users\R&K\AppData\Roaming\WinSAPSvc
RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\BikaQ
RemoveDirectory: C:\Program Files (x86)\WinSnare(4.1.5)
RemoveDirectory: C:\Program Files (x86)\MIO
RemoveDirectory: C:\Program Files (x86)\BikaQRss
RemoveDirectory: C:\Program Files\2kt45msa
R2 WinSAPSvc; C:\Users\R&K\AppData\Roaming\WinSAPSvc\WinSAP.dll [184832 2017-02-23] (TODO: <Company name>) [File not signed]

 

W programfiles i roamingu tworzy ci się mnóstwo syfu proponuje samemu też tam zajrzeć poza logami.

+ propoonuje pobrać najszybciej malwarebytes zaaktualizować następnie awaryjny i full scan.

Zapewne Elex-a złapałeś.

Kolega z tematu wyżej The Dude ma podobne śmieci.

Używałeś jakiegoś downloadera czy co ?

 

21:11

dodatkowa linijka do skryptu:

R2 WinSAPSvc; C:\Users\R&K\AppData\Roaming\WinSAPSvc\WinSAP.dll [184832 2017-02-23] (TODO: <Company name>) [File not signed]

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

No kurde normalnie NIC nie pomaga z tym fixlist i w ogóle :( trzeba coś mocniejszego uzyć xD

 

Po prostu brat pobrał mc z nwm jakiej strony nie było mnie przy tym no i po resecie kompa zaczeło się

 

przeinstalowac i juz xD

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Jak mówiłem malwarebytes w awaryjnym powinien sobie poradzić

tylko bez dostepu do sieci na wszelki wypadek niby usługi powinny siedzieć cicho w awaryjnym ale pal licho może będzie żywe.

Pierwszy raz siedział dll w startupie teraz usługa się pojawiła i na dodatek to: WMI_ActiveScriptEventConsumer_ASEC: <===== ATTENTION

https://www.bleepingcomputer.com/news/security/yeabests-cc-a-fileless-infection-using-wmi-to-hijack-your-browser/

Niby tu mówią że te skrypty wykonują się co 10 sekund.

Sporo zmian w infekcjach zaszło od czasu gdy ostatnio się w to bawiłem.

Brata podedukuj że się nie pobiera z byle czego ale chyba teraz i tak widzi efekty więc błedu następnym razem nie popełni.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Czyli mam uruchomić kompa w trybie awaryjnym i uruchomić program malwarebytes?

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Tak dokładnie

Wpierw zaaktualizuj go w normalnym coby bazy miał najnowsze.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

już po wszystkim chyba xD nic nie pojawia się narazie xD

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

już po wszystkim chyba xD nic nie pojawia się narazie xD

Możesz wrzucić jeszcze raz logi może filutka spojrzy :P

Malwarebytes widać pomógł.

Pamiętasz co tam wykrywał ? poza PuP

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

  • Ostatnio przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników przeglądających tę stronę.

×
×
  • Dodaj nową pozycję...