Chiński wirus - prośba o analizę logów.

Question

Witam. Zainstalowałem chińskie coś i za nic nie mogę tego usunąć. Może ktoś mi z tym pomóc? Nie chcę robić formatu, bo to komputer z mnóstwem indywidualnych ustawień. System Windows XP.

Acorus 20 · Accepted Answer

Otwórz notatnik systemowy i wklej: Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze. Uruchom jako administrator FRST i kliknij w Fix/Napraw.

Kolobos · Accepted Answer

Sprawdz czy masz w biosie opcje USB Keyboard Support i wlacz jezeli jest. Zmien Adobe Reader 9.5.0 - Polish na najnowsza wersje lub na Foxit: Sprobuj takiego Fixlist.txt: CloseProcesses: Task: C:\WINDOWS\Tasks\DriverDoc_UPDATES.job => C:\Program Files\DriverDoc\Solvusoftdd.exe (Tencent) C:\Program Files\Tencent\QQPCMgr\11.2.17058.221\QQPCRTP.exe (Tencent) C:\Program Files\Tencent\QQPCMgr\11.2.17058.221\QQPCTray.exe (Tencent) C:\Program Files\Tencent\QQPCMgr\11.2.17058.221\plugins\QMNetMon\QQPCNetFlow.exe (Tencent) C:\Program Files\Tencent\QQPCMgr\11.2.17058.221\QQPCRealTimeSpeedup.exe (Tencent) C:\Program Files\Tencent\QQPCMgr\11.2.17058.221\QMDL.exe (Tencent) C:\Program Files\Common Files\Tencent\QQDownload\130\Tencentdl.exe HKLM\...\Run: [ QQPCTray] => C:\Program Files\Tencent\QQPCMgr\11.2.17058.221\QQPCTray.exe [355296 2016-02-06] (Tencent) HKU\S-1-5-21-1078081533-1547161642-1177238915-1004\...\Run: [C] => cmd /c (@attrib -H -R -S C:\WINDOWS\system32\GroupPolicy\Machine\Registry.pol >nul)&(@copy/b/y C:\WINDOWS\system32\GroupPolicy\Machine\R C:\WINDOWS\system32\GroupPolicy\Machine\Registry.pol >nul)&(@at (dane wartości zawierają 100 znaków więcej). HKU\S-1-5-21-1078081533-1547161642-1177238915-1004\...\Run: [MSMSGS] => C:\Program Files\Messenger\msmsgs.exe [1695232 2008-04-14] (Microsoft Corporation) HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.hao123.com/?tn=90340616_hao_pg HKU\S-1-5-21-1078081533-1547161642-1177238915-1004\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.hao123.com/?tn=90340616_hao_pg URLSearchHook: HKLM -> Domyślne = {CCC7B151-1D8C-11E3-B2AD-F3EF3D58318D} URLSearchHook: UWAGA => Brak domyślnego URLSearchHook FF Plugin: @q-q.com/npAndroidAssistant -> C:\Program Files\Common Files\Tencent\QQPhoneManager\2.0.201.3192pQQPhoneManagerExt.dll FF Extension: Web Protector - C:\Documents and Settings\Tomek\Dane aplikacji\Mozilla\Firefox\Profiles\ykf2kbk9.default\Extensions\{d84bab45-b127-f7e0-f2fc-947924d7c73b} [2015-04-27] R2 QQPCRTP; C:\Program Files\Tencent\QQPCMgr\11.2.17058.221\QQPCRTP.exe [301728 2016-02-06] (Tencent) R1 QMIEProtect; C:\Program Files\Tencent\QQPCMgr\11.2.17058.221\QMIEProtect.sys [50488 2016-01-12] () R1 QMUdisk; C:\Program Files\Tencent\QQPCMgr\11.2.17058.221\QMUdisk.sys [78776 2016-02-06] (Tencent) R2 QQSysMon; C:\Program Files\Tencent\QQPCMgr\11.2.17058.221\QQSysMon.sys [108984 2016-02-06] (电脑管家) R1 softaal; C:\Program Files\Tencent\QQPCMgr\11.2.17058.221\softaal.sys [36280 2016-02-06] (Tencent) R3 TAOAccelerator; C:\WINDOWS\system32\Drivers\TAOAccelerator.sys [114616 2016-02-06] (Tencent) R1 TAOKernelDriver; C:\WINDOWS\system32\Drivers\TAOKernelXP.sys [95032 2016-02-06] (Tencent Technology(Shenzhen) Company Limited) R1 TFsFlt; C:\WINDOWS\System32\Drivers\TFsFlt.sys [150072 2016-02-06] (电脑管家) R3 TS888; C:\Program Files\Tencent\QQPCMgr\11.2.17058.221\TS888.sys [30392 2016-02-08] (Tencent) R1 TSDefenseBt; C:\WINDOWS\System32\DRIVERS\TSDefenseBt.sys [14008 2016-02-06] (Tencent) R0 TsFltMgr; C:\WINDOWS\System32\drivers\TsFltMgr.sys [128280 2016-01-14] (电脑管家) R1 TSKSP; C:\Program Files\Tencent\QQPCMgr\11.2.17058.221\TSKsp.sys [210072 2016-02-06] (电脑管家) S3 TSSK; C:\WINDOWS\System32	ssk.sys [74040 2015-12-28] (电脑管家) R4 TSSysKit; C:\Program Files\Tencent\QQPCMgr\11.2.17058.221\TSSysKit.sys [102200 2016-02-06] (电脑管家) 2016-02-08 11:36 - 2016-02-06 09:28 - 00114616 _____ (Tencent) C:\WINDOWS\system32\Drivers\TAOAccelerator.sys 2016-02-08 11:36 - 2016-02-06 09:28 - 00095032 _____ (Tencent Technology(Shenzhen) Company Limited) C:\WINDOWS\system32\Drivers\TAOKernelXP.sys 2016-02-08 11:35 - 2016-02-08 11:35 - 00030392 _____ (Tencent) C:\WINDOWS\system32\Drivers\TS888.sys 2016-02-08 11:34 - 2016-02-08 11:34 - 00000000 ____D C:\Documents and Settings\All Users\TXQMPC 2016-02-08 10:30 - 2016-02-08 10:33 - 00000000 ___SD C:\ComboFix 2016-02-08 10:29 - 2016-02-08 10:29 - 05657667 ____R (Swearware) C:\Documents and Settings\Tomek\Pulpit\ComboFix.exe 2016-02-08 09:13 - 2016-02-08 11:54 - 00000000 ____D C:\Documents and Settings\Tomek\Dane aplikacji\Tencent 2016-02-08 09:13 - 2016-02-08 09:31 - 00000000 ____D C:\Program Files\Common Files\Tencent 2016-02-06 09:30 - 2016-02-06 09:28 - 00014008 ____N (Tencent) C:\WINDOWS\system32\Drivers\TSDefenseBt.sys 2016-02-06 09:28 - 2016-02-06 09:28 - 00150072 ____N (电脑管家) C:\WINDOWS\system32\Drivers\TFsFlt.sys 2016-02-06 09:28 - 2016-01-14 10:47 - 00128280 ____N (电脑管家) C:\WINDOWS\system32\Drivers\TsFltMgr.sys 2016-02-06 09:28 - 2015-12-28 16:38 - 00074040 _____ (电脑管家) C:\WINDOWS\system32\TSSK.sys 2016-02-06 09:26 - 2016-02-08 11:54 - 00000000 ____D C:\Documents and Settings\All Users\Dane aplikacji\Tencent 2016-02-06 09:26 - 2016-02-06 09:26 - 00000000 ____D C:\Program Files\Tencent 2016-02-06 12:21 - 2015-12-17 08:54 - 00000000 ____D C:\AdwCleaner DisableService: QQPCRTP DisableService: QMIEProtect DisableService: QMUdisk DisableService: QQSysMon DisableService: softaal DisableService: TAOAccelerator DisableService: TAOKernelDriver DisableService: TFsFlt DisableService: TS888 DisableService: TSDefenseBt DisableService: TsFltMgr DisableService: TSKSP DisableService: TSSK DisableService: TSSysKit RemoveDirectory: C:\Program Files\Tencent\ RemoveDirectory: C:\Program Files\Common Files\Tencent\ EmptyTemp: Reboot:

Kolobos · Answer

Fixlist wykonaj w trybie awaryjnym, chociaz i tak watpie zeby wszystko sie dalo latwo usunac. Dlatego koniecznie zamiesc nowe logi ze skanowania po wykonaniu.

Cobra · Answer

Nie mogę uruchomić trybu awaryjnego, bo mam klawiaturę na USB i nie widzi jej w DOS. Coś wieczorem wykombinuje na PS i będę działał. Zrobiłem to w normalnym trybie i nie pomogło.

Killlu · Answer

USB support w biosie ustaw na enabled i wtedy wejdź do trybu awaryjnego.

Acorus 20 · Answer

Wykonaj w trybie awaryjnym. Otwórz notatnik systemowy i wklej: Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze. Uruchom jako administrator FRST i kliknij w Fix/Napraw.

Cobra · Answer

Chyba się udało, pożyczyłem klawiaturę i w awaryjnym poszło.

Dodano:
Wysypał się Outlook, nie odbiera poczty błąd 0x800c0133.

Dodano:
Outlook wysypał się, bo baza zrobiła się ponad 2 GB, ale już działa.

Bardzo dziękuję za pomoc.

Posty scaliłem.
RADU23

Kolobos · Answer

Odinstaluj:
> Chrome Search
电脑管家11.2 (pusty wpis)

Nowy Fixlist.txt dla FRST:
HKU\S-1-5-21-1078081533-1547161642-1177238915-1004\...\Run: [MSMSGS] => C:\Program Files\Messenger\msmsgs.exe [1695232 2008-04-14] (Microsoft Corporation)
HKU\S-1-5-21-1078081533-1547161642-1177238915-1004\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.hao123.com/?tn=90340616_hao_pg
URLSearchHook: [S-1-5-21-1078081533-1547161642-1177238915-1004] UWAGA => Brak domyślnego URLSearchHook

Po wykonaniu usun katalog C:\FRST.

Mozesz tez zatrzymac i wylaczyc usluge Aktualizacji Automatycznych, nowych i tak juz nie bedzie.

comit · Answer

Zawsze pomagało przywracanie systemu do stanu przed instalacją.

Chiński wirus - prośba o analizę logów.

Post #1

Post #2

Post #3

Post #4

Post #5

Post #6

Post #7

Post #8

Post #9

Post #10

Podsumowanie tematu