Skocz do zawartości

Temat został przeniesiony do archiwum

Ten temat przebywa obecnie w archiwum. Dodawanie nowych odpowiedzi zostało zablokowane.

SzlugPL

JAKIEŚ SYFY W INTERNECIE

dodany przez SzlugPL, w Internet, sieci i bezpieczeństwo

Rekomendowane odpowiedzi

Kiciuk    0

Kiciuk
Napisano 

HKLM\...\Providers\2kt45msa: C:\Program Files (x86)\Dfutainghajit Client\local64spl.dll [308224 2017-02-22] ()
ShellExecuteHooks: No Name - {BDC00790-F447-11E6-8378-64006A5CFC23} -  -> No File
ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} =>  -> No File
RemoveDirectory: C:\Users\R&K\AppData\Roaming\Saqtherclaki
RemoveDirectory: C:\Program Files (x86)\Dfutainghajit Client
RemoveDirectory: C:\Program Files\HXN0XVP2CW
RemoveDirectory: C:\Program Files\8U9ZD67E9S
RemoveDirectory: C:\Users\R&K\AppData\Roaming\com
RemoveDirectory: C:\WINDOWS\System32\Tasks\Dfutainghajit Client

Zapisz sobie to pod fixlist.txt obok frst i w frst daj Fix (napraw)

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach

SzlugPL    0

SzlugPL
Napisano

Zrobiłem to... nadal wyskakuję po otworzeniu chrome strona startowa "http://qtipr.com/" HELP

 

Fix result of Farbar Recovery Scan Tool (x64) Version: 23-02-2017 01

Ran by R&K (23-02-2017 19:44:15) Run:1

Running from C:\Users\R&K\Downloads

Loaded Profiles: R&K (Available Profiles: R&K)

Boot Mode: Normal

==============================================

 

fixlist content:

*****************

HKLM\...\Providers\2kt45msa: C:\Program Files (x86)\Dfutainghajit Client\local64spl.dll [308224 2017-02-22] ()

ShellExecuteHooks: No Name - {BDC00790-F447-11E6-8378-64006A5CFC23} - -> No File

ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} => -> No File

RemoveDirectory: C:\Users\R&K\AppData\Roaming\Saqtherclaki

RemoveDirectory: C:\Program Files (x86)\Dfutainghajit Client

RemoveDirectory: C:\Program Files\HXN0XVP2CW

RemoveDirectory: C:\Program Files\8U9ZD67E9S

RemoveDirectory: C:\Users\R&K\AppData\Roaming\com

RemoveDirectory: C:\WINDOWS\System32\Tasks\Dfutainghajit Client

*****************

 

HKLM\SYSTEM\CurrentControlSet\Control\Print\Providers\2kt45msa => key removed successfully

HKLM\SYSTEM\CurrentControlSet\Control\Print\Providers\\order 2kt45msa => removed successfully

HKLM\Software\Microsoft\Windows\CurrentVersion\explorer\ShellExecuteHooks\\{BDC00790-F447-11E6-8378-64006A5CFC23} => value removed successfully

HKCR\CLSID\{BDC00790-F447-11E6-8378-64006A5CFC23} => key not found.

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\KzShlobj => key removed successfully

HKCR\CLSID\{AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} => key not found.

"C:\Users\R&K\AppData\Roaming\Saqtherclaki" => removed successfully.

could not remove "C:\Program Files (x86)\Dfutainghajit Client\local64spl.dll" => Scheduled to remove on reboot.

could not remove "C:\Program Files (x86)\Dfutainghajit Client" => Scheduled to remove on reboot.

"C:\Program Files\HXN0XVP2CW" => removed successfully.

"C:\Program Files\8U9ZD67E9S" => removed successfully.

"C:\Users\R&K\AppData\Roaming\com" => removed successfully.

"C:\WINDOWS\System32\Tasks\Dfutainghajit Client" => File

 

Result of scheduled files to move (Boot Mode: Normal) (Date&Time: 23-02-2017 19:45:21)

 

C:\Program Files (x86)\Dfutainghajit Client\local64spl.dll => removed successfully

C:\Program Files (x86)\Dfutainghajit Client => removed successfully

 

==== End of Fixlog 19:45:21 ====

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach

Kiciuk    0

Kiciuk
Napisano

Sorki wielkie chłopie zapomniałem spojrzeć w drugi log a tam śmieci.

Jeszcze jeden fixlist:

ShortcutWithArgument: C:\Users\R&K\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) ->  --load-extension="C:\Users\R&K\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/
ShortcutWithArgument: C:\Users\R&K\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) ->  --load-extension="C:\Users\R&K\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/
ShortcutWithArgument: C:\Users\R&K\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\48499db33039e897\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory="Profile 4"
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) ->  --load-extension="C:\Users\R&K\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/
ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) ->  --load-extension="C:\Users\R&K\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/
Task: {EF6E9E7D-8BD4-459A-BF32-4CB240B86943} - \Drqury -> No File <==== ATTENTION
Task: {B8ABC9AA-2C6C-4235-80B0-09853CE49B2D} - System32\Tasks\Dfutainghajit Client => C:\Program Files (x86)\Plowiseprunoght\dcheru.exe 
RemoveDirectory: C:\Program Files (x86)\Plowiseprunoght

Potem daj od nowa logi

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach

Kiciuk    0

Kiciuk
Napisano

Widze że dalej syf się pojawia.

Lepiej przejdź w tryb awaryjny bo to będzie się rozprzestrzeniać szybciej niż my usuwamy.

Task: {812D2271-3F0C-435F-A440-AB52B1F917CB} - System32\Tasks\BikaQ_FetchAndUpgrade_CanBeDel => C:\Program Files (x86)\BikaQRss\BikaQ.exe [2017-02-23] (IEC)
Task: {9E73E540-B279-46B5-B390-0474A81BDA35} - System32\Tasks\Milimili => C:\Program Files (x86)\MIO\MIO.exe [2017-02-23] ()
WMI_ActiveScriptEventConsumer_ASEC: <===== ATTENTION
RemoveDirectory: C:\Program Files (x86)\BikaQRss\BikaQ.exe
RemoveDirectory: C:\WINDOWS\System32\Tasks\Milimili
RemoveDirectory: C:\WINDOWS\System32\Tasks\BikaQ_FetchAndUpgrade_CanBeDel
RemoveDirectory: C:\Users\R&K\AppData\Roaming\WinSnare
RemoveDirectory: C:\Users\R&K\AppData\Roaming\WinSAPSvc
RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\BikaQ
RemoveDirectory: C:\Program Files (x86)\WinSnare(4.1.5)
RemoveDirectory: C:\Program Files (x86)\MIO
RemoveDirectory: C:\Program Files (x86)\BikaQRss
RemoveDirectory: C:\Program Files\2kt45msa
R2 WinSAPSvc; C:\Users\R&K\AppData\Roaming\WinSAPSvc\WinSAP.dll [184832 2017-02-23] (TODO: <Company name>) [File not signed]

 

W programfiles i roamingu tworzy ci się mnóstwo syfu proponuje samemu też tam zajrzeć poza logami.

+ propoonuje pobrać najszybciej malwarebytes zaaktualizować następnie awaryjny i full scan.

Zapewne Elex-a złapałeś.

Kolega z tematu wyżej The Dude ma podobne śmieci.

Używałeś jakiegoś downloadera czy co ?

 

21:11

dodatkowa linijka do skryptu:

R2 WinSAPSvc; C:\Users\R&K\AppData\Roaming\WinSAPSvc\WinSAP.dll [184832 2017-02-23] (TODO: <Company name>) [File not signed]

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach

SzlugPL    0

SzlugPL
Napisano

No kurde normalnie NIC nie pomaga z tym fixlist i w ogóle :( trzeba coś mocniejszego uzyć xD

 

Po prostu brat pobrał mc z nwm jakiej strony nie było mnie przy tym no i po resecie kompa zaczeło się

 

przeinstalowac i juz xD

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach

Kiciuk    0

Kiciuk
Napisano

Jak mówiłem malwarebytes w awaryjnym powinien sobie poradzić

tylko bez dostepu do sieci na wszelki wypadek niby usługi powinny siedzieć cicho w awaryjnym ale pal licho może będzie żywe.

Pierwszy raz siedział dll w startupie teraz usługa się pojawiła i na dodatek to: WMI_ActiveScriptEventConsumer_ASEC: <===== ATTENTION

https://www.bleepingcomputer.com/news/security/yeabests-cc-a-fileless-infection-using-wmi-to-hijack-your-browser/

Niby tu mówią że te skrypty wykonują się co 10 sekund.

Sporo zmian w infekcjach zaszło od czasu gdy ostatnio się w to bawiłem.

Brata podedukuj że się nie pobiera z byle czego ale chyba teraz i tak widzi efekty więc błedu następnym razem nie popełni.

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach

SzlugPL    0

SzlugPL
Napisano

Czyli mam uruchomić kompa w trybie awaryjnym i uruchomić program malwarebytes?

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach

Kiciuk    0

Kiciuk
Napisano

Tak dokładnie

Wpierw zaaktualizuj go w normalnym coby bazy miał najnowsze.

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach

SzlugPL    0

SzlugPL
Napisano

już po wszystkim chyba xD nic nie pojawia się narazie xD

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach

Kiciuk    0

Kiciuk
Napisano

już po wszystkim chyba xD nic nie pojawia się narazie xD

Możesz wrzucić jeszcze raz logi może filutka spojrzy :P

Malwarebytes widać pomógł.

Pamiętasz co tam wykrywał ? poza PuP

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach
Przejdź do listy tematów

  • Ostatnio przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników przeglądających tę stronę.

  • Popularne aktualnie

  • Odpowiedzi

    • L4rson
      wybór zasilacza

      Przez L4rson · Napisano

      A orientujesz się jak to jest z zakupem zasilacza na firmę? gwarancja też 10 lat?
    • Art385
      INNO3D GeForce RTX 4070 Super Twin X2 OC - "budżetowy" 4070S warty uwagi

      Przez Art385 · Napisano

      Teraz wystarczy założyć wątek na forum nv i wszystko. Jak wątek bardzo uwiera to mod go usunie i nie było problemu. Wszyscy szczęśliwi
    • lukadd
      Red Dead Redemption 2

      Przez lukadd · Napisano

      U mnie ten błąd wyskakiwał jak właśnie przekręciłem gpu, albo miałem za niskie napięcie dla danych taktów. Prawidłowo ustawione gpu I robiłem sesje godzinami. Ich poprawka nic nie zmieniła w moim przypadku setki godzin w to grałem od premiery.
    • Norrberrto
      Biała karta graficzna 7900 lub 4070

      Przez Norrberrto · Napisano

      potanieć znaczy się że jak coś nowego wejdzie?
    • MSky7
      BIG FORMAT GAMING DISPLAYS - dyskusja o dużych ekranach w roli monitora

      Przez MSky7 · Napisano

      Google Gemini odpowiada tak na Twoje pytanie:   Regulamin użytkowania LG TV OLED 42 Artykuł 1: Cel Niniejszy regulamin ma na celu zapewnienie optymalnego doświadczenia graczy korzystających z telewizora LG TV OLED 42. Celem jest dbanie o wyjątkową jakość obrazu i wydajność tego urządzenia, aby w pełni wykorzystać jego potencjał. Artykuł 2: Definicje Ambitne gry AAA: Gry o wysokiej jakości grafiki i wymagające dużej mocy obliczeniowej, znane z zaawansowanej rozgrywki i wciągających światów. Najwyższe ustawienia: Maksymalne ustawienia graficzne dostępne w grze, zapewniające najlepszą jakość obrazu i szczegółów. Artykuł 3: Zasady użytkowania Na telewizorze LG TV OLED 42 można grać wyłącznie w ambitne gry AAA. Podczas grania w gry należy zawsze stosować najwyższe ustawienia graficzne. Nie należy używać telewizora do grania w gry o niskiej jakości graficznej lub prostej rozgrywce. Nie należy używać telewizora do grania w gry przez dłuższy czas bez przerwy. Zaleca się robienie krótkich przerw co 30-60 minut. Należy dbać o odpowiednią temperaturę i wilgotność w pomieszczeniu, w którym znajduje się telewizor. Należy regularnie czyścić ekran telewizora miękką, suchą szmatką. Nie należy używać żadnych chemikaliów ani rozpuszczalników do czyszczenia ekranu telewizora. Należy postępować zgodnie z instrukcją obsługi telewizora LG TV OLED 42. Artykuł 4: Sankcje W przypadku naruszenia niniejszego regulaminu użytkownik może utracić gwarancję na telewizor LG TV OLED 42. Artykuł 5: Wejście w życie Niniejszy regulamin wchodzi w życie z dniem opublikowania.

  • Aktywni użytkownicy

×
×
  • Dodaj nową pozycję...