Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Instalujące się chińskie programy

termito17 20 Gru 2015 22:26 807 3
  • #1 20 Gru 2015 22:26
    termito17
    Poziom 9  

    Witam,
    bardzo proszę o pomoc. Zainstalował mi się jakiś syf - instalują się chińskie programy, mogę je usunąć, ale po pewnym czasie instalują się na nowo. W załączeniu logi FRST.

    0 3
  • #2 21 Gru 2015 09:49
    Kolobos
    Spec od komputerów

    @wujo340 po co o to pytasz skoro te informacje sa w logach?

    @krzysztof212 adwc nie usunie tego falszywego antywirusa. Do tego autor juz uzyl adwc co rowniez widac w logach.

    @termito17


    W meandzerze urzadzen usun wszystkie: Karta Microsoft 6to4

    Nie uzywaj wiecej combofix.

    Obok frst.exe utworz plik fixlist.txt z zawartoscia:
    CloseProcesses:
    Task: {813E2F3B-7B00-4DD9-A8C7-1B9D5D24C944} - System32\Tasks\{C9826EB9-CDB6-4DD1-87CB-3BB6828A1409} => pcalua.exe -a C:\Windows\SysWOW64\Macromed\Flash\FlashUtil32_18_0_0_160_Plugin.exe -c -maintain plugin
    Task: {A785EFCC-5025-4FA8-A6B8-53CBB6BFD85F} - System32\Tasks\{7D12CF01-EF7B-42AC-8EA1-9A399A764BB4} => pcalua.exe -a C:\Windows\SysWOW64\Macromed\Flash\FlashUtil32_13_0_0_214_Plugin.exe -c -maintain plugin
    Task: {E7D78D6D-A6A1-4F85-909A-8D565BDCBF09} - System32\Tasks\{B607C2F8-EC03-4ADB-BB11-60AA46DD333B} => pcalua.exe -a "C:\Program Files (x86)\ADSafe\uninst.exe"
    HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\QQPCRTP => ""="service"
    HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\QQPCRTP => ""="service"
    HKLM-x32\...\Run: [Rs] => C:\Program Files (x86)\Intel\Rs.exe [188416 2015-12-05] ()
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA
    HKU\S-1-5-21-2385546387-248535175-2504217820-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.hao123.com/?tn=29065018_243_hao_pg
    HKU\S-1-5-21-2385546387-248535175-2504217820-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.hao123.com/?tn=29065018_243_hao_pg
    URLSearchHook: HKLM-x32 -> Domyślne = {CCC7B151-1D8C-11E3-B2AD-F3EF3D58318D}
    S2 ADSafeSvc; C:\Program Files (x86)\ADSafe\ADSafeSvc.exe [X]
    S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2015-12-20] ()
    U3 anpcfisk; C:\Windows\System32\Drivers\anpcfisk.sys [0 ] (Microsoft Corporation) <==== UWAGA (zerobajtowy plik/folder)
    S3 catchme; \??\C:\ComboFix\catchme.sys [X]
    R1 QMUdisk; \??\C:\Program Files (x86)\Tencent\QQPCMgr\11.1.16923.222\QMUdisk64.sys [X]
    S1 softaal; \??\C:\Program Files (x86)\Tencent\QQPCMgr\11.1.16923.222\softaal64.sys [X]
    R4 TAOKernelDriver; System32\Drivers\TAOKernel64.sys [X]
    2015-12-20 22:07 - 2015-12-20 22:18 - 00000000 ____D C:\Users\Termit\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\腾讯软件
    2015-12-20 18:26 - 2015-12-20 18:26 - 00016486 _____ C:\ComboFix.txt
    2015-12-20 18:06 - 2015-12-20 18:26 - 00000000 ____D C:\Qoobox




    2015-12-20 18:06 - 2011-06-26 07:45 - 00256000 _____ C:\Windows\PEV.exe
    2015-12-20 18:06 - 2010-11-07 18:20 - 00208896 _____ C:\Windows\MBR.exe
    2015-12-20 18:06 - 2009-04-20 05:56 - 00060416 _____ (NirSoft) C:\Windows\NIRCMD.exe
    2015-12-20 18:06 - 2000-08-31 01:00 - 00518144 _____ (SteelWerX) C:\Windows\SWREG.exe
    2015-12-20 18:06 - 2000-08-31 01:00 - 00406528 _____ (SteelWerX) C:\Windows\SWSC.exe
    2015-12-20 18:06 - 2000-08-31 01:00 - 00098816 _____ C:\Windows\sed.exe
    2015-12-20 18:06 - 2000-08-31 01:00 - 00080412 _____ C:\Windows\grep.exe
    2015-12-20 18:06 - 2000-08-31 01:00 - 00068096 _____ C:\Windows\zip.exe
    2015-12-20 18:05 - 2015-12-20 18:06 - 00000000 ____D C:\32788R22FWJFW
    2015-12-20 17:54 - 2015-12-20 22:17 - 00028984 _____ (Tencent) C:\Windows\SysWOW64\Drivers\TS888x64.sys
    2015-12-20 17:54 - 2015-12-20 17:54 - 00005120 _____ C:\Users\Termit\AppData\Roaming\GiftBag.db
    2015-12-20 17:41 - 2015-12-20 22:07 - 00087864 _____ (电脑管家) C:\Windows\system32\Drivers\TFsFltX64.sys
    2015-12-20 17:41 - 2015-12-20 17:41 - 00000000 ____D C:\ProgramData\TXQMPC
    2015-12-20 17:41 - 2015-12-20 17:41 - 00000000 ____D C:\Program Files\Common Files\Tencent
    2015-12-20 17:40 - 2015-12-20 17:55 - 00000000 ____D C:\Users\Termit\AppData\Roaming\Tencent
    2015-12-20 17:40 - 2015-12-20 17:54 - 00000000 ____D C:\ProgramData\Tencent
    2015-12-20 17:40 - 2015-12-20 17:40 - 00000000 ____D C:\Program Files (x86)\Tencent
    2015-12-20 14:39 - 2015-12-20 14:39 - 00000000 _____ C:\autoexec.bat
    2015-12-20 14:38 - 2015-12-20 14:38 - 00022704 _____ C:\Windows\system32\Drivers\EsgScanner.sys
    2015-12-20 14:30 - 2015-12-20 15:03 - 00000000 ____D C:\AdwCleaner
    2015-12-20 14:26 - 2015-12-20 14:26 - 00002994 _____ C:\Windows\System32\Tasks\{B607C2F8-EC03-4ADB-BB11-60AA46DD333B}
    2015-12-20 14:23 - 2015-12-20 17:55 - 00232192 _____ (Shanghai Damo Network Sci. & Tech. Co. Ltd.) C:\Windows\system32\Drivers\DMProtectEx64.sys
    EmptyTemp:

    W FRST wybierz Napraw.

    Po wykonaniu zamiesc nowe logi z FRST, ze skanowania.

    0
  • Pomocny post
    #4 21 Gru 2015 14:38
    Kolobos
    Spec od komputerów

    Usun katalog C:\FRST i to wszystko.
    Instalujące się chińskie programy

    0