Skocz do zawartości

Temat został przeniesiony do archiwum

Ten temat przebywa obecnie w archiwum. Dodawanie nowych odpowiedzi zostało zablokowane.

smOK__

regsvr32.exe

Rekomendowane odpowiedzi

Witam, od 2-3 dni niepokoi mnie pewien proces który sam się uruchamia (ten co w temacie) i zjada 50% zuzycia procka. Jak go wyłącze to wszystko spada do zera. Wyczytałem, że dzięki niemu można wykradać dane itp. Proszę o sprawdzenie logów

 

frst: http://wklej.org/id/3402980/

 

dodam, że ostatnio przypadkowo nadziałem się i zainstalowałem jakiś program który był prawdopodobnie 'zawirusowany' i zainstalował mi jakieś toolbary, ale od razu po instalacji przywróciłem system do czasu sprzed instalacji i wszystko zniknęło. Możliwe jednak, że jakieś pozostałości zostały czy coś.

Z góry dziękuję za pomoc.

 

ps. skanowałem pc adw cleanerem wlasnie po tej akcji i usunąłem wszystko co było.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
Gość

Brakuje Addition.txt.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
Gość

CHR res: Zainfekowany resources.pak (Adware script). Przeinstaluj Chrome. <==== UWAGA

Przeinstaluj Google Chrome.

 

Uruchom FRST a następnie (poprzez skrót klawiszowy CTRL + Y) otwórz notatnik systemowy. Wklej w nim poniższą zawartość:

 

CloseProcesses:
Task: {3A8DE3E9-C7CA-4735-9E21-9F9681C9CD3F} - System32\Tasks\97B6FA56-37E1-7260-9E3D-9AAB3BEEE1ED => C:\Windows\SysWOW64\regsvr32.exe /n /s /i:"/4e6edc577044939c /q" "C:\Users\Przybych\AppData\Local\674085~1\{FD7BB~1."
Task: {7DF38A01-DADD-47CF-BA5E-E831B9B507FC} - System32\Tasks\{040E0B47-0979-0C7E-7D11-0D7D7A0A1178} => C:\Windows\system32\WindowsPowershell\v1.0\powershell.exe -nologo -executionpolicy bypass -noninteractive -windowstyle hidden -EncodedCommand OwAkAEUAcgByAG8AcgBBAGMAdABpAG8AbgBQAHIAZQBmAGUAcgBlAG4AYwBlAD0AIgBzAHQAbwBwACIAOwAkAHMAYwA9ACIAUwBpAGwAZQBuAHQAbAB5AEMAbwBuAHQAaQBuAHUAZQAiADsAJABXAGEAcgBuAGkAbgBnAFAAcgBlAGYAZQByAGUAbgBjAGUAPQAkAHMAYwA7ACQAUAByAG8A (dane wartości zawierają 9592 znaków więcej). <==== UWAGA
Task: {A8A4BB43-B320-42E1-AA63-035DC598F5D4} - System32\Tasks\{728E5B0A-1AF6-D364-1FD9-BDDEA049AC27} => C:\Windows\system32\regsvr32.exe /s /n /i:"/rt" "C:\PROGRA~3\919b3aac\fd7bbaed.dll" <==== UWAGA
MSCONFIG\startupreg: AceStream => C:\Users\Przybych\AppData\Roaming\ACEStream\engine\ace_engine.exe
GroupPolicy: Ograniczenia <==== UWAGA
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <==== UWAGA
Tcpip\Parameters: [NameServer] 82.163.143.176 82.163.142.178
Tcpip\..\Interfaces\{9294948B-A655-4951-967C-85B37655CD87}: [NameServer] 82.163.143.176 82.163.142.178
Tcpip\..\Interfaces\{9294948B-A655-4951-967C-85B37655CD87}: [DhcpNameServer] 82.163.143.176
Tcpip\..\Interfaces\{98198AE8-74E2-4FE3-B5C6-3A0CE9AC54B5}: [NameServer] 82.163.143.176 82.163.142.178
SearchScopes: HKU\S-1-5-21-3226513637-2768024663-4001120972-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
FF HKU\S-1-5-21-3226513637-2768024663-4001120972-1000\...\Firefox\Extensions: [acewebextension_unlisted@acestream.org] - C:\Users\Przybych\AppData\Roaming\ACEStream\extensions\awe\firefox\acewebextension_unlisted.xpi => nie znaleziono
FF Plugin HKU\S-1-5-21-3226513637-2768024663-4001120972-1000: @acestream.net/acestreamplugin,version=3.1.16.1 -> C:\Users\Przybych\AppData\Roaming\ACEStream\player\npace_plugin.dll [brak pliku]
CHR HKU\S-1-5-21-3226513637-2768024663-4001120972-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [mjbepbhonbojpoaenhckjocchgfiaofo] - hxxps://clients2.google.com/service/update2/crx
2018-04-07 14:13 - 2018-04-07 14:14 - 000000000 ____D C:\Users\Przybych\AppData\Local\67408584-37DE-699F-35FE-5E119C366268
2018-03-29 16:04 - 2018-03-29 16:04 - 000000000 __SHD C:\82ace7d6-0197-474d-bf4b-a2043e72329b
2018-03-28 18:26 - 2018-03-28 18:26 - 007595520 _____ C:\Users\Przybych\AppData\Local\agent.dat
2018-03-28 18:26 - 2018-03-28 18:26 - 001984781 _____ C:\Users\Przybych\AppData\Local\Tres-Ity.tst
2018-03-28 18:26 - 2018-03-28 18:26 - 001895382 _____ C:\Users\Przybych\AppData\Local\Daltsing.bin
2018-03-28 18:26 - 2018-03-28 18:26 - 000278509 _____ C:\Users\Przybych\AppData\Local\Holdcof.tst
2018-03-28 18:26 - 2018-03-28 18:26 - 000126464 _____ C:\Users\Przybych\AppData\Local\noah.dat
2018-03-28 18:26 - 2018-03-28 18:26 - 000070896 _____ C:\Users\Przybych\AppData\Local\Config.xml
2018-03-28 18:26 - 2018-03-28 18:26 - 000005568 _____ C:\Users\Przybych\AppData\Local\md.xml
2018-03-28 18:25 - 2018-03-28 18:26 - 000929792 _____ C:\Users\Przybych\AppData\Local\sham.db
2018-03-28 18:25 - 2018-03-28 18:25 - 000140800 _____ C:\Users\Przybych\AppData\Local\installer.dat
Hosts:
EmptyTemp:

Poprzez skrót klawiszowy CTRL + S zapisz zmiany w notatniku a następnie w FRST kliknij na Napraw. Na zakończenie naprawy FRST poprosi o restart systemu. Napisz później czy problem ustąpił.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

dziękuję! Na razie wygląda ok :) Jak by coś się zmieniło to napiszę. Jeszcze raz dziękuję za pomoc.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

  • Ostatnio przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników przeglądających tę stronę.

×
×
  • Dodaj nową pozycję...