Napisano: 19 Maj 2019 14:50

Nekim slucajem sam posetio neki ruski sajt i od tada sam izlozen brutalnim napadima. Instalirani su mi neki programi, koje sam (nadam se uspesno) deinstalirao, a Firefox nonstop sam otvara nove jeizcke sa nekim nebuloznim adresama.
U toku noci ih je toliko ispootvarao da je laptop blokirao i pojavio mi se plavi ekran, koji sam nekako uspeo da saniram. Kao sto sam naveo, nakon toga sam u Firefoxu sve pozatvarao , pobrisao kolacice i restartovao sa onemogucenim dodacima.
Taj ruski sajt je postavio svoj pretrazivac kao podrazumevani i to sam uklonio.
Plavi ekran je bio rekao bih zbog preopterecenja memorije, jer sada se ne pojavljuje, ali je ostalo to otvaranje stranica, pokusao sam da blokiram java skripte ali nisam uspeo.
Eto, nadam se da sam dobro objasnio. U prilogu su izvestaji od FRST-a.
Dopuna: 19 Maj 2019 14:53

Eh, setio sam se jos necega, Windows DEfender je otkrio 3 malware-a od kojih 1 trojanac, i stavio u karantin a ja sam odredio da ih izbrise.

Scan result of Farbar Recovery Scan Tool (FRST) (x64) Version: 19-05.2019
Ran by ZokiVale (administrator) on DESKTOP-HB07RRJ (Dell Inc. Inspiron N5050) (19-05-2019 15:36:09)
Running from C:\Users\ZokiVale\Desktop
Loaded Profiles: ZokiVale (Available Profiles: ZokiVale)
Platform: Windows 10 Enterprise 10240.17443 (X64) Language: English (United States)
Default browser: FF
Boot Mode: Normal
HKU\S-1-5-21-112308427-2752319856-531434809-1001\Software\Microsoft\Internet Explorer\Main,Start Page = [Link mogu videti samo ulogovani korisnici]
Otvori Notepad i iskopiraj sljedeæi tekst koji se nalazi unutar Kod polja.

HKU\S-1-5-21-112308427-2752319856-531434809-1001\...\Run: [4377349] => C:\Users\ZokiVale\AppData\Local\Temp\is-GVGP3.tmp\Mechiine.exe [9190654 2019-05-16] ( ) [File not signed] <==== ATTENTION
HKU\S-1-5-21-112308427-2752319856-531434809-1001\...\Run: [2592201] => C:\Users\ZokiVale\AppData\Local\Temp\is-ILQJM.tmp\Mechiine.exe [9190654 2019-05-16] ( ) [File not signed] <==== ATTENTION
FF HKLM\...\Firefox\Extensions: [] - C:\Program Files (x86)\Up Pro\up_pro-
FF Extension: (Up Pro) - C:\Program Files (x86)\Up Pro\up_pro- [2017-12-08]
FF ExtraCheck: C:\Program Files\mozilla firefox\browser\defaults\preferences\firefox.js [2019-05-19]
C:\Program Files (x86)\Up Pro

U okviru Notepad-a klikni na File --> Save As
Pod Encoding izaberi UTF-8.
Fajl nazovi Fixlist i saèuvaj na Desktop
Dvoklikom ponovo pokreni FRST.exe
Klikni na Fix i saèekaj dok program ne završi.
Ukoliko program zatraži restart raèunara, omoguæi mu da to nesmetano obavi.
Nakon završetka rada, otvoriæe se fixlog.txt, sa sadržajem koji treba da kopiraš u temu.
Takoðe, na Desktop-u æe se nalaziti (fixlog.txt).

Zavrseno, nije trazen restart. Evo log u prilogu.
U medjuvremenu sam instalirao <BAM i ocistio gamad, ali koliko vidim onaj js je ostao.
Hvala na pomoci.
  • Pridružio: 26 Avg 2010
  • Poruke: 10622
  • Gde živiš: Hypnos Control Room, Tokyo Metropolitan Government Building

Preuzmi Malwarebytes Anti-Malware sa ovog ili ovog ili ovog linka i instaliraj aplikaciju.
Pokreni mb3-setup-consumer-{verzija}.exe i isprati uputstva za instalaciju programa. Nakon instalacije, klikni na Finish

Prilikom prvog pokretanja, program će prikazati prozor "dobrodošlice". Slobodno zatvori taj prozor.
Napomena: Premium funkcije programa su već aktivirane i važe 13 dana od trenutka instalacije. Premium funkcije možeš isključiti preko Settings > My Account tab podešavanja.

• Podešavanja skenera - u Settings, klikni na Protection tab. Ispod Scan Options sekcije, uključi "Scan for rootkits" opciju.
• Pripremi podešavanja za Threat Scan - u Dashboard , klikni na Scan Now dugme. MBAM će ažurirati bazu i započeti skeniranje.

Kada se skeniranje završi, ako je infekcija detektovana, obrati pažnju da je sve označeno, pa klikni na Remove Selected. Restartuj računar ako program upita za restart.
• Dostavi log: Pod Reports izaberi trenutni datum izveštaja Scan Report i potom klikni na View Report.

Izvezi log na Desktop;
- Klikni na Export dugme na dnu, pa onda izaberi 'Text file (*.txt)'
# U Save File dijalogu koji se pojavi, klikni na Desktop. U File name: polje, upiši "mbam" (bez navodnika) i klikni na Save.
- Pojaviće se poruka "Your file has been successfully exported", klikni Ok i zatvori prozor.

• U odgovoru prikači mbam.txt log koristeći "Prikači fajl" opciju.

Evo loga, u stvari to je drugi log skeniranja, od nocas. Prvi je bio pre ciscenja sa FRST.
U medjuvremenu, i pre toga i posle toga uredno blokira neki trojan i aplikaciju utorrent koja do sada nije pravila probleme. Saljem oba loga.
Sad si čist, a ovo što ti se javlja je blokiranje IP adrese (tj. opsega IP adresa). Realtime zaštitu u Malwarebytesu možeš slobodno ugasiti.
Možeš li m idati više detalja o js-u koji je ostao?

Na zalost, ne. Kada je MBAM zavrsio skeniranje i potrpao svasta u karantin, ja sam oznacio sve i pritisnuo da ocisti. Kada je zavrsio prikazao je da je ostao neki java skript (digackog naziva sa ekstenzijom .js). Ocekivao sam da ce da se pojavi u izvestaju, medjutim nema ga. Sad, tako je kako je. Ni ovaj utorent vise ne smara. Hvala na pomoci.

