Malware gameorplay.info - jak to usunąć?

[Mayson24 0]

Witam, pomóżcie, mam ten sam problem...

 

 

FRST:

 

http://www69.zippyshare.com/v/nNgJMCgo/file.html

Addition.txt

[Gość]

-->>@Mayson24

 

Przez Panel Sterowania odinstaluj App Explorer.

 

Uruchom FRST a następnie (poprzez skrót klawiszowy CTRL + Y) otwórz notatnik systemowy. Wklej w nim poniższą zawartość:

 

ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Brak pliku
ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Brak pliku
ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Brak pliku
ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Brak pliku
ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Brak pliku
ShellIconOverlayIdentifiers: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Brak pliku
ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Brak pliku
ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Brak pliku
ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Brak pliku
ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Brak pliku
ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Brak pliku
ShellIconOverlayIdentifiers-x32: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Brak pliku
ContextMenuHandlers4: [PowerISO] -> {967B2D40-8B7D-4127-9049-61EA0C2C6DCE} =>  -> Brak pliku
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> Brak pliku
ContextMenuHandlers6: [PowerISO] -> {967B2D40-8B7D-4127-9049-61EA0C2C6DCE} =>  -> Brak pliku
Task: {0E93EE25-C4FE-4442-98C3-5AB5A7146510} - System32\Tasks\scofi => cmd.exe /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v scofi /t REG_SZ /d "explorer.exe hxxp://exinariuminix.info" <==== UWAGA
Task: {1FF11584-D8CF-479C-8A8B-01626F2A98C3} - System32\Tasks\OneDrive Standalone Update Task v2 => C:\Users\scofi\AppData\Local\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe
Task: {677B3080-FD47-43B5-9C21-3CE666A907EA} - System32\Tasks\App Explorer => C:\Users\scofi\AppData\Local\Host App Service\Engine\HostAppServiceUpdater.exe [2018-03-02] (SweetLabs, Inc) <==== UWAGA
HKU\S-1-5-21-1925906388-2480350806-3545138791-1001\...\Run: [scofi] => explorer.exe hxxp://exinariuminix.info <==== UWAGA
SearchScopes: HKU\S-1-5-21-1925906388-2480350806-3545138791-1001 -> DefaultScope {D6F2E91F-E3B0-4A58-A319-CE668A632D95} URL =
EmptyTemp:

Poprzez skrót klawiszowy CTRL + S zapisz zmiany w notatniku a następnie w FRST kliknij na Napraw. Na zakończenie naprawy FRST poprosi o restart systemu. Napisz później czy problem ustąpił.

Edytowane 29 Marca 2018 przez Gość

[Mayson24 0]

Dzięki wielkie, pomogłoo!

[celny98 0]

Witam posiadam ten sam problem można prosić o pomoc ?

Addition.txt

frst2.txt

 

 

3 plik ponieważ ciągle był problem z wielkością pliku

frst1.txt

frst3.txt

[filutka78 11]

-->>@celny98

 

Otwórz Notatnik i wklej w nim:

Task: {6DFF2942-EB8D-4B99-A937-E6561EB80899} - System32\Tasks\zanet => cmd.exe /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v zanet /t REG_SZ /d "explorer.exe hxxp://exinariuminix.info" <==== UWAGA

HKU\S-1-5-21-2736357013-985040161-66673251-1002\...\Run: [zanet] => explorer.exe hxxp://exinariuminix.info <==== UWAGA

RemoveDirectory: C:\82ace7d6-0197-474d-bf4b-a2043e72329b

HKLM Group Policy restriction on software: %systemroot%\system32\mrt.exe <==== UWAGA

EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść w folderze C:\Users\zanet\Downloads

Uruchom FRST i kliknij przycisk Fix (NAPRAW).

 

Napisz, czy problem znikł?

 

---------------------

 

Java 8 Update 144 (HKLM-x32\...\{26A24AE4-039D-4CA4-87B4-2F32180144F0}) (Version: 8.0.1440.1 - Oracle Corporation)

Java 8 Update 151 (HKLM-x32\...\{26A24AE4-039D-4CA4-87B4-2F32180151F0}) (Version: 8.0.1510.12 - Oracle Corporation)

Java 8 Update 161 (HKLM-x32\...\{26A24AE4-039D-4CA4-87B4-2F32180161F0}) (Version: 8.0.1610.12 - Oracle Corporation)

Przy najbliższej aktualizacji Javy, wg strony https://www.fixitpc.pl/topic/5-dezynfekcja-kroki-finalizuj%C4%85ce-temat/#entry179769

dopilnuj, by nowa Java samoczynnie usunęła stare wersje Javy.

 

F.

Edytowane 30 Marca 2018 przez filutka78

[celny98 0]

Pomogło bardzo dziękuję za szybką odpowiedź.

[Patrick4a 0]

Tez zlapalem to dziadostwo, prosze o pomoc, jestem zielony w tych sprawach jak cos bedzie nie tak z plikami to prosze pisac i wytlumaczyc co mam zrobic zeby bylo dobrze.

 

 

Addition

FRST.txt

[filutka78 11]

-->>@Patrick4a

 

Otwórz Notatnik i wklej w nim:

Task: {9E35FF30-98D0-46CE-A3D2-C5641362E813} - System32\Tasks\Patryk => cmd.exe /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v Patryk /t REG_SZ /d "explorer.exe hxxp://exinariuminix.info" <==== UWAGA

StartRegedit:

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Patryk"=-

EndRegedit:

EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść w folderze F:\Download

Uruchom FRST i kliknij przycisk Fix (NAPRAW).

 

Napisz, czy problem znikł?

 

F.

[Patrick4a 0]

narazie dziala, dzieki

[danys1200 0]

witam.czy zechciałby ktoś pomóc,już dwa razy robiłem format przez to ustrojstwo

FRST.txt

Addition.txt

[filutka78 11]

-->>@danys1200

 

Otwórz Notatnik i wklej w nim:

Task: {41C18756-7B92-485E-8435-16013BD6417F} - \daniel -> Brak pliku <==== UWAGA

HKU\S-1-5-21-1776705200-258503478-3260956208-1001\...\Run: [daniel] => explorer.exe hxxp://exinariuminix.info <==== UWAGA

S4 nvvhci; \SystemRoot\System32\drivers\nvvhci.sys [X]

EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść w folderze C:\Users\daniel\Downloads

Uruchom FRST i kliknij przycisk Fix (NAPRAW).

 

Napisz, czy problem znikł?

 

F.

Edytowane 2 Kwietnia 2018 przez filutka78

[danys1200 0]

-->>@danys1200

 

Otwórz Notatnik i wklej w nim:

 

Plik zapisz pod nazwą fixlist.txt i umieść w folderze C:\Users\daniel\Downloads

Uruchom FRST i kliknij przycisk Fix (NAPRAW).

 

Napisz, czy problem znikł?

 

F.

tak pomogło wielkie dzięki

czy jest jakiś sposób by się przed tym uchronić w przyszłości?

pozdrawiam

[filutka78 11]

czy jest jakiś sposób by się przed tym uchronić w przyszłości?

Tak, jest sposób, i to bardzo prosty: nie korzystać z zagranicznych stron z grami.

 

F.

[casperklug 0]

Witam, prośba o pomoc, piliki w załączniku.

Addition_03-04-2018 17.10.08.txt

FRST_03-04-2018 17.10.08.txt

[filutka78 11]

-->>@casperklug

 

Otwórz Notatnik i wklej w nim:

Task: {FE29F5FC-C155-418A-8860-A02AD06FEA10} - System32\Tasks\kacper => cmd.exe /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v kacper /t REG_SZ /d "explorer.exe hxxp://exinariuminix.info" <==== UWAGA

StartRegedit:

Windows Registry Editor Version 5.00

 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

"kacper"=-

EndRegedit:

S3 MSICDSetup; \??\E:\CDriver.sys [X]

2018-03-21 21:25 - 2014-08-21 14:31 - 015397208 ____N C:\Users\kacpe\Downloads\spyhunterS.exe

2018-03-21 21:23 - 2018-03-21 21:23 - 000000000 ____D C:\Program Files (x86)\Enigma Software Group

2018-03-21 21:22 - 2018-03-21 22:04 - 000000000 ____D C:\WINDOWS\4FC9DA9DF608454E8191D7EFFDCC5726.TMP

EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść w folderze C:\Users\kacpe\Downloads

Uruchom FRST i kliknij przycisk Fix (NAPRAW).

 

Napisz, czy problem znikł?

 

F.

Edytowane 3 Kwietnia 2018 przez filutka78

[casperklug 0]

Na razie wygląda ok, dziękuję bardzo!

[arjjel 0]

HELP!

FRST.txt

Addition.txt

[filutka78 11]

-->>@arjjel

 

Otwórz Notatnik i wklej w nim:

Task: {30DD5F3B-7BED-4A0F-9E9C-AB29539710A9} - System32\Tasks\Komputer => cmd.exe /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v Komputer /t REG_SZ /d "explorer.exe hxxp://exinariuminix.info" <==== UWAGA

StartRegedit:

Windows Registry Editor Version 5.00

 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

"Komputer"=-

EndRegedit:

S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X]

S3 gdrv; \??\C:\Windows\gdrv.sys [X]

S3 MSICDSetup; \??\E:\CDriver64.sys [X]

S3 NTIOLib_1_0_C; \??\E:\NTIOLib_X64.sys [X]

S1 ZAM; \??\C:\Windows\System32\drivers\zam64.sys [X]

S1 ZAM_Guard; \??\C:\Windows\System32\drivers\zamguard64.sys [X]

HKU\S-1-5-21-474231750-4061604138-3688272429-1000\...\Policies\Explorer: []

HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA

HKU\S-1-5-21-474231750-4061604138-3688272429-1000\...\Run: [Akamai NetSession Interface] => "C:\Users\Komputer\AppData\Local\Akamai\netsession_win.exe"

C:\Users\Komputer\AppData\Local\Akamai\netsession_win.exe

RemoveDirectory: C:\ProgramData\boost_interprocess

EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść w folderze C:\Users\Komputer\Downloads

Uruchom FRST i kliknij przycisk Fix (NAPRAW).

 

Napisz, czy problem znikł?

 

F.

Edytowane 3 Kwietnia 2018 przez filutka78

[arjjel 0]

Teraz jest ok. Dziękuję Bardzo.

[Denan06 0]

Mam ten sam problem. Proszę o pomoc!FRST.txt

 

Za duży plik na jeden post

Addition.txt

[filutka78 11]

-->>@Denan06

 

1) Uruchom Google Chrome

> Naciśnij klawisze: lewy Alt+F i kliknij przycisk Ustawienia >

> Sekcja: Po uruchomieniu > wybierz: Otwórz konkretną stronę lub zestaw stron >

> Kliknij: Wybierz strony >

> Usuń: mail.ru,

 

2) Otwórz Notatnik i wklej w nim:

Task: {FCAF0E35-70AE-46C0-B129-E3F969F47E86} - System32\Tasks\Janek => cmd.exe /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v Janek /t REG_SZ /d "explorer.exe hxxp://exinariuminix.info" <==== UWAGA

HKU\S-1-5-21-2968814812-2780733394-3510048762-1000\...\Run: [Janek] => explorer.exe hxxp://exinariuminix.info <==== UWAGA

SearchScopes: HKU\S-1-5-21-2968814812-2780733394-3510048762-1000 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={searchTerms}&fr=ntg&product_id=%7BCEAA8BDF-0E22-4BF7-8642-CBCBF8B018D7%7D&gp=811142

FF Plugin-x32: @microsoft.com/WLPG,version=16.4.3528.0331 -> C:\Program Files (x86)\Windows Live\Photo Gallery\NPWLPG.dll [brak pliku]

CHR HomePage: Default -> inline.go.mail.ru

CHR StartupUrls: Default -> "hxxp://www.google.com/","hxxps://www.google.pl/","hxxp://mail.ru/cnt/10445?gp=811138"

CHR DefaultSearchURL: Default -> hxxps://inline.go.mail.ru/search?inline_comp=dse&q={searchTerms}&fr=chxtn12.0.23

CHR DefaultSearchKeyword: Default -> inline.go.mail.ru

CHR DefaultSuggestURL: Default -> hxxp://suggests.go.mail.ru/chrome?q={searchTerms}

GroupPolicy: Ograniczenia <==== UWAGA

GroupPolicy\User: Ograniczenia <==== UWAGA

CHR HKLM-x32\...\Chrome\Extension: [bhjhnafpiilpffhglajcaepjbnbjemci] - hxxps://clients2.google.com/service/update2/crx

Task: {844BFFEA-CAC6-414C-8893-AA18BB5CAFBA} - \Microsoft\Windows\UNP\RunCampaignManager -> Brak pliku <==== UWAGA

Task: {C68CBB03-87D8-407B-A538-AD8DBAFA2181} - System32\Tasks\{30A1C717-0E4E-4C2A-A1D5-056B4F9E02DA} => C:\WINDOWS\system32\pcalua.exe -a D:\cmr2.0\CMR2.exe -d D:\cmr2.0

Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}

HKLM Group Policy restriction on software: %systemroot%\system32\mrt.exe <==== UWAGA

CHR HKLM-x32\...\Chrome\Extension: [hcadgijmedbfgciegjomfpjcdchlhnif] - hxxps://clients2.google.com/service/update2/crx

CHR HKLM-x32\...\Chrome\Extension: [ngdlmklkpclkhjopnhihdedhjgjmhlaa] - hxxps://clients2.google.com/service/update2/crx

EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść na pulpicie.

Uruchom FRST i kliknij przycisk Fix (NAPRAW).

 

3) Uruchom FRST.

W polu SEARCH (SZUKAJ) wklej:

*mail.ru*.*

kliknij na przycisk "Search Files (Szukaj Plików)".

Raport z tego będzie tam, gdzie jest FRST.

 

4) Uruchom FRST.

W polu SEARCH (SZUKAJ) wklej:

mail.ru

kliknij na przycisk "Search Registry" (Szukaj w Rejestrze).

Raport z tego będzie tam, gdzie jest FRST.

 

5) Zrób nowe logi FRST.

przed skanem zaznacz: Additional.txt Shortcut.txt,

 

F.

Edytowane 5 Kwietnia 2018 przez filutka78

[Denan06 0]

Problem ustał

Wysyłam wszystkie logi jakie zrobiłem

 

.

 

.

 

.

 

.

FRST.txt

Addition.txt

Shortcut.txt

Search.txt

SearchReg.txt

[filutka78 11]

-->>@Denan06

 

1) Uruchom Google Chrome

> Naciśnij klawisze: lewy Alt+F i kliknij przycisk Ustawienia >

> Sekcja: Po uruchomieniu > wybierz: Otwórz konkretną stronę lub zestaw stron >

> Kliknij: Wybierz strony >

> Usuń: mail.ru, wpisz nowy adres strony głównej i kliknij przycisk OK.

 

2) Otwórz Notatnik i wklej w nim:

RemoveDirectory: C:\Users\Janek\AppData\Local\Mail.Ru

StartRegedit:

Windows Registry Editor Version 5.00

 

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\IESearchPlugin.MailRuBHO]

 

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\IESearchPlugin.MailRuBHO.1]

 

[HKEY_USERS\S-1-5-21-2968814812-2780733394-3510048762-1000\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store]

"C:\Users\Janek\AppData\Local\Mail.Ru\MailRuUpdater.exe"=-

EndRegedit:

EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść na pulpicie.

Uruchom FRST i kliknij przycisk Fix (NAPRAW).

 

Powinno już być OK.

 

F.

Edytowane 5 Kwietnia 2018 przez filutka78

[Denan06 0]

Podążałem według instrukcji i problem ustał, ale jeszcze wysyłam ostateczne logi

 

.

 

.

 

.

 

.

FRST.txt

Addition.txt

Shortcut.txt

Search.txt

SearchReg.txt

[filutka78 11]

-->>@Denan06

 

CHR HomePage: Default -> hxxp://mail.ru/cnt/10445?gp=811138

W dalszym ciągu strona "mail.ru" jest ustawiona jako domyślna strona główna.

Tego FRST nie zmieni, więc pogrzeb jeszcze w ustawieniach Chrome.

 

Poza tym:

Otwórz Notatnik i wklej w nim:

C:\Users\Janek\Documents\Euro Truck Simulator 2\readme.rtf.lnk 
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Movie Maker.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Photo Gallery.lnk 
StartRegedit:
Windows Registry Editor Version 5.00

[HKEY_USERS\S-1-5-21-2968814812-2780733394-3510048762-1000\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store]
"C:\Users\Janek\AppData\Local\Mail.Ru\MailRuUpdater.exe"=-
EndRegedit:
RemoveDirectory: C:\AdwCleaner\Quarantine\gxIX4a2dRE
RemoveDirectory: C:\AdwCleaner\Quarantine\exuieaoEiI
CHR HomePage: Default -> hxxp://mail.ru/cnt/10445?gp=811138
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść na pulpicie

Uruchom FRST i kliknij przycisk Fix (NAPRAW).

 

F.

Edytowane 5 Kwietnia 2018 przez filutka78