Skocz do zawartości
naglyhenryk

dinoraptzor.org jak to ogarnąć ?

dodany przez naglyhenryk, w Internet, sieci i bezpieczeństwo

Rekomendowane odpowiedzi

Gość   

Gość
Napisano

Uruchom FRST a następnie (poprzez skrót klawiszowy CTRL + Y) otwórz notatnik systemowy. Wklej w nim poniższą zawartość:

 

CloseProcesses:
ContextMenuHandlers4: [PowerISO] -> {967B2D40-8B7D-4127-9049-61EA0C2C6DCE} =>  -> Brak pliku
ContextMenuHandlers6: [PowerISO] -> {967B2D40-8B7D-4127-9049-61EA0C2C6DCE} =>  -> Brak pliku
FirewallRules: [{AB0656BB-345C-4AE2-8838-F01BBCA342B6}] => (Allow) C:\Program Files (x86)\Steam\Steam.exe Brak pliku
FirewallRules: [{DC7A097A-1A9E-4BE8-B875-5FB5E52F5B01}] => (Allow) C:\Program Files (x86)\Steam\Steam.exe Brak pliku
FirewallRules: [{B906FBFF-5FEF-4158-9BB0-935E70C6DB69}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7x64\steamwebhelper.exe Brak pliku
FirewallRules: [{F5914CEB-D842-43EB-8380-03113D097C94}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7x64\steamwebhelper.exe Brak pliku
FirewallRules: [{B7CFCA2A-94FC-4BE8-909B-0E09409152BD}] => (Allow) T:\steam\Steam.exe Brak pliku
FirewallRules: [{3F9A483E-D4EF-483B-A0D2-9BB0D3DE1E09}] => (Allow) T:\steam\Steam.exe Brak pliku
FirewallRules: [{5E525127-1986-4C32-8F6B-42B61E6F190B}] => (Allow) T:\steam\bin\cef\cef.win7\steamwebhelper.exe Brak pliku
FirewallRules: [{5CE9AE62-E331-43F7-B3B9-223CAE0C9EFD}] => (Allow) T:\steam\bin\cef\cef.win7\steamwebhelper.exe Brak pliku
FirewallRules: [{9CA338C0-6747-4687-9AD6-9685FBA44AE9}] => (Allow) T:\steamX\bin\cef\cef.win7\steamwebhelper.exe Brak pliku
FirewallRules: [{B6AA07D6-1FE8-454D-A996-86B2E1081DD2}] => (Allow) T:\steamX\bin\cef\cef.win7\steamwebhelper.exe Brak pliku
HKLM\...\Winlogon: [userinit] C:\Windows\SysWOW64\userinit.exe, <==== UWAGA
HKU\S-1-5-21-1655413208-1212863795-750088227-1000\...\Run: [Mateusz] => explorer.exe hxxp://dinoraptzor.org <==== UWAGA
GroupPolicyScripts: Ograniczenia <==== UWAGA
FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ograniczenia <==== UWAGA
Task: {C77FC064-BD37-47D6-82B8-A2F754802ACE} - System32\Tasks\Mateusz => cmd.exe /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v Mateusz /t REG_SZ /d "explorer.exe hxxp://dinoraptzor.org" <==== UWAGA
FF Plugin: @microsoft.com/GENUINE -> disabled [brak pliku]
FF Plugin-x32: @microsoft.com/GENUINE -> disabled [brak pliku]
CHR HKLM-x32\...\Chrome\Extension: [ofoeigeaodhbjogdigckajfhjbonaofg]
S3 MSICDSetup; \??\D:\CDriver64.sys [X]
S3 NTIOLib_1_0_4; \??\C:\Program Files (x86)\MSI\Live Update 5\NTIOLib_X64.sys [X]
S3 NTIOLib_1_0_C; \??\D:\NTIOLib_X64.sys [X]
S3 RtlWlanu; system32\DRIVERS\rtwlanu.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
2019-12-02 22:18 - 2019-12-02 22:18 - 008218800 _____ (Malwarebytes) C:\Users\Mateusz\Downloads\adwcleaner_8.0.0(1).exe
2019-12-02 22:08 - 2019-12-02 22:08 - 000000000 ____D C:\Users\Mateusz\Downloads\FRST-OlderVersion
C:\Program Files (x86)\*.tmp
EmptyTemp:

Poprzez skrót klawiszowy CTRL + S (albo przez Plik -> Zapisz) zapisz zmiany w notatniku a następnie w FRST kliknij na Napraw. Na zakończenie naprawy FRST poprosi o restart systemu. Po restarcie powinno być już ok.

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach

Gość   

Gość
Napisano

Witam podpinam się pod temat też mam z tym problem mógłby mi ktoś pomóc ?

Popraw wklejkę bo 2x dałeś Addition.txt.

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach

Knight Dee.Bee.    0

Knight Dee.Bee.
Napisano

witam, cześć toska78 mam serdeczną prośbę, otóż też podpinam się pod temat, gdyż również mam problem z dinoraptzor.org. Strona otwiera się każdorazowo przy włączeniu PC a podczas pracy widzę migoczące okienka z rejestru systemu windows. Nie mam żadnego antywirusa i wklejałem logi do FRST które wysyłałaś innym użytkownikom ale nie działa. Używam firefoxa. Jestem kompletnie zielony co mam robić ? Mam coś wkleić coś potrzebujesz ? Jakieś wyniki ? Pozdrawiam i pilnie proszę o pomoc gdyż boję się nawet zalogować do konta bankowego. :(

 

 

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach

Gość   

Gość
Napisano (edytowane)

Nie mam żadnego antywirusa i wklejałem logi do FRST które wysyłałaś innym użytkownikom ale nie działa.

Bo to tak nie działa, każdy z tą infekcją powinien podać logi z FRST (FRST.txt i Addition.txt) i na ich podstawie można podać instrukcję usuwania, która dla każdego przypadku (znaczy komputera) będzie inna.

I nie, nie jestem kobietą.

Edytowane przez Gość

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach

Gość   

Gość
Napisano

Zrób i podaj nowe logi z FRST, oczywiście ze skanowania. Po jego zakończeniu narzędzie wygeneruje, tak jak pisałem, 2 logi.

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach

Gość   

Gość
Napisano

Nie, ma być jak poniżej:

 

ooojpg_qarxppa.jpg

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach

Gość   

Gość
Napisano

Popraw link do FRST bo jest zły.

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach

Knight Dee.Bee.    0

Knight Dee.Bee.
Napisano (edytowane)

nie chce sie poprawić  i coś mi wariuje formatowanie (drugi link działa a pierwszy nijak nie chce) ale wystarczy skopiować i wkleić na górze przeglądarki to wtedy działa :)

Edytowane przez damian555666777

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach

Gość   

Gość
Napisano (edytowane)

nie chce sie poprawić  i coś mi wariuje formatowanie (drugi link działa a pierwszy nijak nie chce) ale wystarczy skopiować i wkleić na górze przeglądarki to wtedy działa :)

Uruchom FRST a następnie (poprzez skrót klawiszowy CTRL + Y) otwórz notatnik systemowy. Wklej w nim poniższą zawartość:

 

CloseProcesses:
FirewallRules: [{787A8940-14F7-44AC-9AD9-0709E4784A17}] => (Allow) %ProgramFiles%\Zune\Zune.exe Brak pliku
FirewallRules: [{0B5CE006-7B22-49DB-852D-68F49607C87C}] => (Allow) %ProgramFiles%\Zune\ZuneNSS.exe Brak pliku
FirewallRules: [{DD54E6E9-3094-4428-8BB5-09C4C2840042}] => (Allow) %ProgramFiles%\Zune\ZuneNSS.exe Brak pliku
FirewallRules: [{AB58F968-829A-45A6-9FEC-071EB252E237}] => (Allow) %ProgramFiles%\Zune\ZuneNSS.exe Brak pliku
FirewallRules: [{1A8C183A-87C8-4F7B-9875-303AD295BBE0}] => (Allow) %ProgramFiles%\Zune\ZuneNSS.exe Brak pliku
FirewallRules: [{F9AB3DE4-6AFA-4132-8539-A7D04977B370}] => (Allow) %ProgramFiles%\Zune\ZuneNSS.exe Brak pliku
FirewallRules: [{34310734-F59B-4E30-AEF5-43F34E0F640B}] => (Allow) %ProgramFiles%\Zune\ZuneNSS.exe Brak pliku
FirewallRules: [{5A760EFC-4670-4812-B104-B5FA5E79BAFD}] => (Allow) %ProgramFiles%\Zune\ZuneNSS.exe Brak pliku
FirewallRules: [{1695AAB1-4513-4041-B3FE-1FC7C7929A77}] => (Allow) %ProgramFiles%\Zune\ZuneNSS.exe Brak pliku
HKU\S-1-5-21-881970328-615411277-1854507329-1000\...\Run: [Damian] => explorer.exe hxxp://dinoraptzor.org <==== UWAGA
HKU\S-1-5-18\...\RunOnce: [sPReview] => "C:\Windows\System32\SPReview\SPReview.exe" /sp:1 /errorfwlink:"hxxp://go.microsoft.com/fwlink/?LinkID=122915" /build:7601
Task: {BD0E9F3F-622C-4F08-804D-B9602D44E2B9} - System32\Tasks\Damian => cmd.exe /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v Damian /t REG_SZ /d "explorer.exe hxxp://dinoraptzor.org" <==== UWAGA
S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X]
S3 tsusbhub; system32\drivers\tsusbhub.sys [X]
EmptyTemp:

Poprzez skrót klawiszowy CTRL + S (albo przez Plik -> Zapisz) zapisz zmiany w notatniku a następnie w FRST kliknij na Napraw. Na zakończenie naprawy FRST poprosi o restart systemu. Po restarcie powinno być już ok ale masz podmienione 2 pliki systemowe tzn:

 

C:\Windows\system32\User32.dll

[2019-10-16 20:50] - [2016-11-10 17:32] - 001008640 _____ (Microsoft Corporation) E573BD9AB55C8E333C202B9E255F972E

 

C:\Windows\SysWOW64\User32.dll

[2019-12-03 17:33] - [2019-12-03 17:33] - 000833024 _____ (Microsoft Corporation) 2C9CC9F492CA596B1B9FC1AE5E916356

Więc po restarcie ponownie uruchom FRST i w okienku Szukaj wpisz/wklej:

 

user32.dll

a następnie kliknij na Szukaj plików. Pokaż raport z wyszukiwania.

 

Uruchom FRST a następnie (poprzez skrót klawiszowy CTRL + Y) otwórz notatnik systemowy. Wklej w nim poniższą zawartość:

 

CloseProcesses:
HKU\S-1-5-21-2640296398-1694573905-1871380501-1001\...\Run: [Zyga] => cmd.exe /c start www.dinoraptzor.org
Task: {8580119F-10BA-45C1-A840-446898DD10B0} - System32\Tasks\Zyga => cmd.exe /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v Zyga /t REG_SZ /d "cmd.exe /c start www.dinoraptzor.org"
2019-12-03 16:55 - 2019-12-03 16:55 - 000000000 ____D C:\Users\Zyga\Desktop\FRST-OlderVersion
EmptyTemp:

Poprzez skrót klawiszowy CTRL + S (albo przez Plik -> Zapisz) zapisz zmiany w notatniku a następnie w FRST kliknij na Napraw. Na zakończenie naprawy FRST poprosi o restart systemu. Po restarcie powinno być już ok.

Edytowane przez Gość

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach

Gość   

Gość
Napisano

pomogło dzieki :)

Ale dobrze by było jeszcze podmienić te pliki co zacytowałem bo nie mają podpisu cyfrowego.

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach

filutka78    11

filutka78
Napisano
podmienić te pliki co zacytowałem bo nie mają podpisu cyfrowego

Problem w tym, że takie pliki "user32.dll" świadczą, że System został zainstalowany jako "nielegalny".

 

F.

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach

Gość   

Gość
Napisano (edytowane)

Problem w tym, że takie pliki "user32.dll" świadczą, że System został zainstalowany jako "nielegalny".

 

F.

Nie wiem czy te pliki mają negatywny wpływ na działanie systemu ale to jest raczej wskazówka a nie problem skoro można je podmienić bez problemu na wersje z podpisem cyfrowym.Teraz to i tak rzadko się widzi w logach te pliki bez podpisu cyfrowego. Nie to co 3 czy 4 lata temu gdzie występowały w co 3-cim logu.

Edytowane przez Gość

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach

naglyhenryk    0

naglyhenryk
Napisano

Toska78 --> Po uruchomieniu systemu to mi wyskakuje w notatniku.

 

 

 

[.ShellClassInfo]

LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach

Gość   

Gość
Napisano (edytowane)

Toska78 --> Po uruchomieniu systemu to mi wyskakuje w notatniku.

.ShellClassInfo]

LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787

Zrób i podaj nowe logi ze skanowania w FRST, bez Shortcut.txt.

Edytowane przez Gość

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach

Gość   

Gość
Napisano

W logach nie ma nic związanego z tym wpisem. Ale znalazłem coś takiego Mój link.

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach

naglyhenryk    0

naglyhenryk
Napisano

Jak ogarnąć jakieś głupie reklamy po bokach w chrome ? Jakieś randki sex shopy itp :)

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
Przejdź do listy tematów

  • Ostatnio przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników przeglądających tę stronę.

×
×
  • Dodaj nową pozycję...