Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Chiński wirus - prośba o usunięcie.

konio011 24 Lis 2015 11:38 2442 19
  • #1 24 Lis 2015 11:38
    konio011
    Poziom 5  

    Witam, mam ten sam problem. Nie wiem zupełnie co robić, teraz mi nawet zniknął pasek zadań.
    Bardzo proszę o pomoc, ale tak powoli, bo nie znam się za bardzo. Komputer formatowałem zaledwie miesiąc temu i chciałbym, żeby obyło się bez tego. Proszę o rady i wskazówki krok po kroku.

    Post wydzieliłem do nowego tematu. Proszę, byś nie podczepiał się pod wątki innych Autorów. swiercm

    0 19
  • #2 24 Lis 2015 11:50
    Kolobos
    Spec od komputerów

    @konio011 ten sam tzn? "chinski wirus" czy problem z DX?

    Uzyj AdwCleaner, opcja Scan i Clean/Szukaj i Usun: https://toolslib.net/downloads/viewdownload/1-adwcleaner/

    Zrob pelny skan przy pomocy Mbam i usun to co wykryje:
    http://www.bleepingcomputer.com/download/malwarebytes-anti-malware/

    Zamiesc logi z FRST w zalaczniku (frst.txt oraz addition.txt):
    http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/

    0
  • #3 24 Lis 2015 12:03
    konio011
    Poziom 5  

    Tak chodzi właśnie o tego chińskiego wirusa.
    Zadziałałem wcześniej już AdwCleanerem, coś usunęło trochę, minęła chwila i mam sytuację jak teraz.

    http://www.wklej.org/id/1856136/ - Addition

    http://www.wklej.org/id/1856138/ - FRST

    Uruchomiłem ponownie system. Mam pasek zadań i pulpit (a na nim wszystko), co teraz powinienem zrobić?

    Post edytowałem. swiercm

    0
  • Pomocny post
    #4 24 Lis 2015 12:06
    Kolobos
    Spec od komputerów

    Odinstaluj:
    Setup
    Web Companion

    Obok frst.exe utworz plik fixlist.txt z zawartoscia:
    Task: C:\Windows\Tasks\APSnotifierPP3.job => <==== UWAGA
    HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\QQPCRTP => ""="service"
    HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\QQPCRTP => ""="service"
    IE trusted site: HKU\.DEFAULT\...\webcompanion.com -> hxxp://webcompanion.com
    IE trusted site: HKU\S-1-5-21-3120294140-3571193941-1474822199-1000\...\webcompanion.com -> hxxp://webcompanion.com
    () C:\Users\Andrzej\AppData\Roaming\NetService\netservice.exe
    (Filefacts.net) C:\Program Files\Smart File Advisor\SFAUpdater.exe
    (Sky123.Org) C:\Program Files\Tencent\win.exe
    (© 2015 Microsoft Corporation) C:\Users\Andrzej\AppData\Local\Microsoft\BingSvc\BingSvc.exe
    HKLM\...\Run: [Smart File Advisor] => C:\Program Files\Smart File Advisor\sfa.exe [282384 2015-03-22] (Filefacts.net)
    HKLM\...\Run: [SFAUpdater] => C:\Program Files\Smart File Advisor\SFAUpdater.exe [656144 2015-03-18] (Filefacts.net)
    HKLM\...\Run: [win] => C:\Program Files\Tencent\win.exe [184320 2015-11-15] (Sky123.Org)
    HKLM\...\Run: [mbot_pl_014010155] => [X]
    HKU\S-1-5-21-3120294140-3571193941-1474822199-1000\...\Run: [BingSvc] => C:\Users\Andrzej\AppData\Local\Microsoft\BingSvc\BingSvc.exe [144008 2015-11-12] (© 2015 Microsoft Corporation)
    HKU\S-1-5-21-3120294140-3571193941-1474822199-1000\...\Run: [Web Companion] => C:\Program Files\Lavasoft\Web Companion\Application\WebCompanion.exe [1385744 2015-11-01] (Lavasoft)
    GroupPolicy: Ograniczenia - Chrome <======= UWAGA
    HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://f.jiss360.cn
    HKU\S-1-5-21-3120294140-3571193941-1474822199-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://f.jiss360.cn/
    SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1
    SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1
    SearchScopes: HKU\S-1-5-21-3120294140-3571193941-1474822199-1000 -> DefaultScope {A060E7FB-91F5-4c7c-BD0F-4A11A581D878} URL = hxxps://www.baidu.com/s?wd={searchTerms}&tn=98012088_5_dg&ch=11




    SearchScopes: HKU\S-1-5-21-3120294140-3571193941-1474822199-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1
    SearchScopes: HKU\S-1-5-21-3120294140-3571193941-1474822199-1000 -> {3F84D748-016D-459B-9FE2-812C25FA6B03} URL = hxxps://search.yahoo.com/search?fr=chr-greent...mp;ei=utf-8&ilc=12&type=435371&p={searchTerms}
    SearchScopes: HKU\S-1-5-21-3120294140-3571193941-1474822199-1000 -> {A060E7FB-91F5-4c7c-BD0F-4A11A581D878} URL = hxxps://www.baidu.com/s?wd={searchTerms}&tn=98012088_5_dg&ch=11
    SearchScopes: HKU\S-1-5-21-3120294140-3571193941-1474822199-1000 -> {C0C3A6C6-03BC-4195-8FCB-AEA091301353} URL = hxxps://pl.search.yahoo.com/search?fr=vmn&..._WCYID10195_swoc_campaign_151101__yaie&p={searchTerms}
    BHO: Ó¦Óñ¦Ň»Ľü°˛×°˛ĺĽţ -> {50F4150A-48B2-417A-BE4C-C83F580FB904} -> C:\Program Files\Common Files\Tencent\QQPhoneManager\2.0.201.3198\npQQPhoneManagerExt.dll [2014-05-30] (腾讯公司)
    FF NewTab: hxxps://pl.search.yahoo.com/?fr=vmn&type=..._ya__hp_WCYID10195_swoc_campaign_151101__yaff
    FF SelectedSearchEngine: Yahoo®
    FF Keyword.URL: hxxps://search.yahoo.com/search?fr=greentree_...mp;ei=utf-8&ilc=12&type=435371&p=
    FF Plugin: @qq.com/npAndroidAssistant -> C:\Program Files\Common Files\Tencent\QQPhoneManager\2.0.201.3198\npQQPhoneManagerExt.dll [2014-05-30] (腾讯公司)
    FF SearchPlugin: C:\Users\Andrzej\AppData\Roaming\Mozilla\Firefox\Profiles\az92y0zj.default-1445209601734\searchplugins\yahoo-lavasoft.xml [2015-11-01]
    CHR DefaultSearchURL: Default -> hxxps://search.yahoo.com/search?fr=chr-yo_gc&ei=utf-8&ilc=12&type=435371&p={searchTerms}
    CHR DefaultSearchKeyword: Default -> yahoo.com search
    CHR DefaultSuggestURL: Default -> hxxps://ff.search.yahoo.com/gossip?output=fxjson&command={searchTerms}
    R2 NetTcpHandler; C:\Users\Andrzej\AppData\Roaming\NetService\netservice.exe [173088 2015-07-09] ()
    R3 TSSK; C:\Windows\System32\tssk.sys [67896 2015-11-24] (电脑管家)
    U3 at3hc2uf; C:\Windows\system32\Drivers\at3hc2uf.sys [0 ] (Intel Corporation) <==== UWAGA (zerobajtowy plik/folder)
    S3 IntcAzAudAddService; system32\drivers\RTKVHDA.sys [X]
    R1 QMUdisk; \??\C:\Program Files\Tencent\QQPCMgr\10.10.16444.223\QMUdisk.sys [X]
    R4 TAOKernelDriver; System32\Drivers\TAOKernel.sys [X]
    R3 TS888; \??\C:\Program Files\Tencent\QQPCMgr\10.10.16444.223\TS888.sys [X]
    R4 TsFltMgr; system32\drivers\TsFltMgr.sys [X]
    2015-11-24 11:43 - 2015-11-24 11:43 - 01718784 _____ (Farbar) C:\Users\Andrzej\Downloads\FRST.exe
    2015-11-24 11:23 - 2015-11-24 11:23 - 00000266 __RSH C:\ProgramData\ntuser.pol
    2015-11-24 11:23 - 2015-11-24 11:23 - 00000000 ____D C:\Users\Andrzej\AppData\Roaming\shortCutStore
    2015-11-24 05:00 - 2015-11-24 05:00 - 00000000 ____D C:\ProgramData\TXQMPC
    2015-11-24 04:59 - 2015-11-24 11:13 - 00030392 _____ (Tencent) C:\Windows\system32\Drivers\TS888.sys
    2015-11-24 04:59 - 2015-11-24 04:59 - 00000000 _____ C:\Windows\Tasks\APSnotifierPP3.job
    2015-11-24 04:28 - 2015-11-24 04:28 - 00628688 _____ (CMI Limited) C:\Users\Andrzej\AppData\Local\nsg1940.tmp
    2015-11-24 04:28 - 2015-11-24 04:28 - 00000000 __SHD C:\Users\Andrzej\AppData\Roaming\AnyProtectEx
    2015-11-24 03:20 - 2015-11-24 06:00 - 00000000 ____D C:\Program Files\Common Files\Tencent
    2015-11-24 03:20 - 2015-11-24 03:16 - 00067896 _____ (电脑管家) C:\Windows\system32\TSSK.sys
    2015-11-24 03:19 - 2015-11-24 03:24 - 00000000 ____D C:\Users\Andrzej\AppData\Local\158FEF0A-1448335141-E011-A1EE-1C7508CCDA86
    2015-11-24 03:18 - 2015-11-24 11:23 - 00000000 ____D C:\Users\Andrzej\AppData\Roaming\RunDir
    2015-11-24 03:18 - 2015-11-24 03:18 - 00000000 ____D C:\Users\Andrzej\AppData\Roaming\NetService
    2015-11-24 03:16 - 2015-11-24 03:17 - 00000000 ____D C:\Program Files\158FEF0A-1448331389-E011-A1EE-1C7508CCDA86
    2015-11-24 03:16 - 2015-11-24 03:16 - 00000000 ____D C:\Users\Andrzej\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\VOPackage
    2015-11-24 03:15 - 2015-11-24 05:26 - 00000000 ____D C:\Users\Andrzej\AppData\Roaming\Tencent
    2015-11-24 03:15 - 2015-11-24 05:01 - 00000000 ____D C:\ProgramData\Tencent
    2015-11-24 03:14 - 2015-11-24 03:23 - 00000000 ____D C:\Program Files\Tencent
    2015-11-24 03:14 - 2015-11-24 03:14 - 00000000 ____D C:\Program Files\Huorong
    2015-11-24 03:12 - 2015-11-24 03:13 - 01177320 _____ () C:\Users\Andrzej\Downloads\Inventor2014cv105__5543_i1755300988_il37404.exe
    2015-11-24 04:28 - 2015-11-24 04:28 - 0628688 _____ (CMI Limited) C:\Users\Andrzej\AppData\Local\nsg1940.tmp
    EmptyTemp:

    W FRST wybierz Napraw.

    0
  • #5 24 Lis 2015 12:11
    konio011
    Poziom 5  

    Przepraszam za niekumatość, tak jak pisałem nie znam się za bardzo.

    Rozumiem, że mam usuwać zgodnie z wypisaną ścieżką pliki po kolei? W takim razie już AppData nie widzę.

    0
  • #6 24 Lis 2015 12:16
    Kolobos
    Spec od komputerów

    Te trzy pierwsze mozesz pominac, skrypt to usunie. Ale reszte juz wykonaj, adresy usuwasz we wlasciwosciach skrotow.

    0
  • #7 24 Lis 2015 12:21
    konio011
    Poziom 5  

    Ok, ale dalej jest po /Andrzej/ AppDaa, którego znaleźć nie mogę, bo rozumiem, że tu chodzi o to, żebym po kolei szedł ścieżką i usuwał? Nie rozumiem do końca zapisu i dlatego może tak to opornie idzie wytłumaczenie mi.

    0
  • Pomocny post
    #8 24 Lis 2015 12:21
    Kolobos
    Spec od komputerów

    Te skroty masz w menu start -> programy/akcesoria i szybkie uruchamianie na pasku start, nie trzeba niczego szukac.

    Mozesz tez nacisnac klawisz z logo windows + r i wpisac: C:\Users\Andrzej\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ otworzy sie katalog i tam masz te skroty.

    Powinien to rowniez usuwac adwcleaner ale widac tego nie zrobil.

    Usun dodane adresy ze skrotow:
    C:\Users\Andrzej\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> www.aqovd.com?oem=mbtkplv3&uid=5WV0N9T8_0AS&tm=1448360592 <==== UWAGA

    C:\Users\Andrzej\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> www.aqovd.com?oem=mbtkplv3&uid=5WV0N9T8_0AS&tm=1448360592 <==== UWAGA

    C:\Users\Andrzej\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> www.aqovd.com?oem=mbtkplv3&uid=5WV0N9T8_0AS&tm=1448360592 <==== UWAGA

    C:\Users\Andrzej\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> www.aqovd.com?oem=mbtkplv3&uid=5WV0N9T8_0AS&tm=1448360592 <==== UWAGA

    C:\Users\Andrzej\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> www.aqovd.com?oem=mbtkplv3&uid=5WV0N9T8_0AS&tm=1448360592 <==== UWAGA

    C:\Users\Andrzej\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> www.aqovd.com?oem=mbtkplv3&uid=5WV0N9T8_0AS&tm=1448360592 <==== UWAGA

    C:\Users\Andrzej\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> www.aqovd.com?oem=mbtkplv3&uid=5WV0N9T8_0AS&tm=1448360592 <==== UWAGA

    Samych skrotow nie usuwaj, jedynie adresy dopisane we wlasciwosciach. Moze zostaw to sobie na koniec, a na razie wykonaj to co podalem wczesniej.

    0
  • #9 24 Lis 2015 12:25
    konio011
    Poziom 5  

    Ok, czyli jak nacisnę Windows +R i potem wpiszę tamto i OK, to wyświetlają sie pliki tak jakby w folderze , czyli rozumiem, że wszystkie są do kasacji?

    0
  • #10 24 Lis 2015 12:27
    Kolobos
    Spec od komputerów

    NIE! Przeciez napisalem Ci to juz pare razy! Masz wejsc we wlasciwosci wymienionych skrotow i tam usunac dopisany adres i NIC wiecej.

    Ale tak jak pisalem zostaw to na koniec i na razie wykonaj to co podalem wczesniej.

    0
  • #11 24 Lis 2015 12:29
    konio011
    Poziom 5  

    Ok, to zrobię to co dalej najpierw - WebCompanion odinstalowałem, a Setup gdzie mam znaleźć? Co to jest? - w Panelu nie ma?

    0
  • #12 24 Lis 2015 12:30
    Kolobos
    Spec od komputerów

    Powinien być bo jest na liście, sprawdź dobrze. Jeżeli nie ma to pomiń i wykonaj resztę.

    0
  • #13 24 Lis 2015 12:33
    konio011
    Poziom 5  

    fixlist nie został odnaleziony, powinien być w tym samym miejscu co narzędzie. Tak zrobiłem.

    0
  • #14 24 Lis 2015 12:36
    Acorus 20
    Spec od komputerów

    Masz umieścić tam gdzie jest FRST czyli C:\Users\Andrzej\Downloads

    0
  • Pomocny post
    #15 24 Lis 2015 12:37
    Kolobos
    Spec od komputerów

    Nie zrobiłeś, gdybyś zrobił to by zadziałało.

    Plik ma się nazywać fixlist.txt, a nie fixlist.txt.txt lub jakieś wersje z literówkami i ma być w katalogu w którym masz frst C:\Users\Andrzej\Downloads.

    Dodaj do fixlist.txt jeszcze:
    ShortcutWithArgument: C:\Users\Andrzej\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> www.aqovd.com?oem=mbtkplv3&uid=5WV0N9T8_0AS&tm=1448360592 <==== UWAGA
    ShortcutWithArgument: C:\Users\Andrzej\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> www.aqovd.com?oem=mbtkplv3&uid=5WV0N9T8_0AS&tm=1448360592 <==== UWAGA
    ShortcutWithArgument: C:\Users\Andrzej\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> www.aqovd.com?oem=mbtkplv3&uid=5WV0N9T8_0AS&tm=1448360592 <==== UWAGA
    ShortcutWithArgument: C:\Users\Andrzej\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> www.aqovd.com?oem=mbtkplv3&uid=5WV0N9T8_0AS&tm=1448360592 <==== UWAGA
    ShortcutWithArgument: C:\Users\Andrzej\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> www.aqovd.com?oem=mbtkplv3&uid=5WV0N9T8_0AS&tm=1448360592 <==== UWAGA
    ShortcutWithArgument: C:\Users\Andrzej\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> www.aqovd.com?oem=mbtkplv3&uid=5WV0N9T8_0AS&tm=1448360592 <==== UWAGA
    ShortcutWithArgument: C:\Users\Andrzej\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> www.aqovd.com?oem=mbtkplv3&uid=5WV0N9T8_0AS&tm=1448360592 <==== UWAGA

    Powinno się samo naprawić. Po wykonaniu zamieść fixlog.txt, który się utworzy.

    0
  • #17 24 Lis 2015 12:51
    Kolobos
    Spec od komputerów

    Nie, frst juz to zrobil za Ciebie.

    Zamiesc nowe logi z FRST, ze skanowania.

    0
  • #19 24 Lis 2015 13:12
    Kolobos
    Spec od komputerów

    Nowy fixlist.txt dla FRST:
    Winsock: Catalog9 01 C:\Windows\system32\LavasoftTcpService.dll [345360 2015-11-01] (Lavasoft Limited)
    Winsock: Catalog9 02 C:\Windows\system32\LavasoftTcpService.dll [345360 2015-11-01] (Lavasoft Limited)
    Winsock: Catalog9 03 C:\Windows\system32\LavasoftTcpService.dll [345360 2015-11-01] (Lavasoft Limited)
    Winsock: Catalog9 04 C:\Windows\system32\LavasoftTcpService.dll [345360 2015-11-01] (Lavasoft Limited)
    Winsock: Catalog9 23 C:\Windows\system32\LavasoftTcpService.dll [345360 2015-11-01] (Lavasoft Limited)
    CHR HKU\S-1-5-21-3120294140-3571193941-1474822199-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fcfenmboojpjinhpgggodefccipikbpd] - hxxps://clients2.google.com/service/update2/crx
    U3 acnzwyx5; C:\Windows\system32\Drivers\acnzwyx5.sys [0 ] (Advanced Micro Devices) <==== UWAGA (zerobajtowy plik/folder)
    CMD: netsh winsock reset

    Po wykonaniu usun katalog C:\FRST i to wszystko.

    2
  • #20 24 Lis 2015 13:18
    konio011
    Poziom 5  

    Ok, dzieki wielkie za cierpliwość. Zrobiłem wszystko - mam nadzieję, że już bedzie super :)

    0