Elektroda.pl
Elektroda.pl
X
CControls
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Wirus nie do usunięcia - prośba o poradę.

David_Rain 09 Lut 2016 11:00 1110 6
  • #1 09 Lut 2016 11:00
    David_Rain
    Poziom 2  

    Witam

    Mam problem z wirusem, ktorego nie jestem w stanie usunac. Wczoraj zmarnowalem 3 godziny na skanowanie kompa za pomoca malwarebytes i avg. Oba usunely mnostwo smiecia i wydawalo sie, ze wszystko jest ok. ale dzis rano zauwazylem, ze wirus dalej jest tylko ukrywa swoja obecnosc , bo pokazuje sie w pasku stanu na chwile przy wlaczeni laptopa i znika. Jednak widac go w panelu sterowania. Nie daje sie tez usunac tak jak to proponuja w roznych poradnikach przez odinstalowanie go w panelu sterowania. Przynam bez bicia, ze znam sie za slabo na kompach zeby samemu sobie z tym poradzic. Stad uprzejmie prosze o pomoc profesjonalistow z Elektrody. Pozdrawiam.


    Wirus nie do usunięcia - prośba o poradę.

    0 6
  • CControls
  • CControls
  • #4 09 Lut 2016 15:32
    David_Rain
    Poziom 2  

    Na wstepie chcialbym podziekowac za Wasza szybka reakcje. Pelna profeska. Niestety wirus wygral druga runde walki. Nadal pojawia sie w pasku przy uruchomieniu systemu i chowa po chwili (zalaczam screenshoot'a). Dorzucam tez screen z wynikami skanowania AdwCleaner'a , TDSSkiller'a, Malwarebytes'a i Dr. Web'a (AVG tez nic nie znalazl). No i oczywiscie logi z FRST. Za wszelka udzielona pomoc z gory serdecznie dziekuje.

    Wirus nie do usunięcia - prośba o poradę. Wirus nie do usunięcia - prośba o poradę. Wirus nie do usunięcia - prośba o poradę.

    0
  • #5 09 Lut 2016 15:52
    Kolobos
    Spec od komputerów

    Odinstaluj:
    AnySend
    Body Text Feathering
    COMODO Internet Security Premium
    ESET Online Scanner v3
    GamesDesktop 008.005010228
    PPT美化大师
    RegClean Pro
    Satellite Comma
    Setup
    shopperz
    SpaceSoundPro
    SpaceSoundPro Service
    yoursearching uninstall

    Obok frst.exe utworz plik fixlist.txt z zawartoscia:
    CloseProcesses:
    CustomCLSID: HKU\S-1-5-21-2381291407-981728529-4257522642-500_Classes\CLSID\{034DF736-A378-4292-ACAE-A561088999F5}\InprocServer32 -> C:\Users\Administrator\AppData\Local\PPTAssist\pptassist.dll (珠海金山办公软件有限公司)
    CustomCLSID: HKU\S-1-5-21-2381291407-981728529-4257522642-500_Classes\CLSID\{1077138E-896C-445E-BD31-CFCFFA4636C4}\InprocServer32 -> C:\Users\Administrator\AppData\Local\PPTAssist\pptassist.dll (珠海金山办公软件有限公司)
    CustomCLSID: HKU\S-1-5-21-2381291407-981728529-4257522642-500_Classes\CLSID\{A2DF06F9-A21A-44A8-8A99-8B9C84F29160}\localserver32 -> C:\Users\Administrator\AppData\Local\Chromium\Application\45.0.2433.0\delegate_execute.exe (IMALI - N.I. MEDIA LTD) <==== ATTENTION
    Task: {10C4FF01-3F56-4DB6-A397-0B2A64EA24AE} - System32\Tasks\Opera scheduled Autoupdate 1434553861 => C:\Program Files\Opera\launcher.exe [2016-02-01] (Opera Software)
    Task: C:\Windows\Tasks\Internet Quick Access Updater.job => C:\Users\Administrator\AppData\Local\Chromium\Application\45.0.2433.0\Installer\updater\updater.exe
    Task: C:\Windows\Tasks\PPTAssistantNotifyTask_Administrator.job => C:\Users\Administrator\AppData\Local\PPTAssist\notify.exe
    Task: C:\Windows\Tasks\PPTAssistantUpdateTask_Administrator.job => C:\Users\Administrator\AppData\Local\PPTAssist\assistupdate.exe
    ShortcutWithArgument: C:\Users\Administrator\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursearching.com/?type=sc&ts=...p;from=face&uid=3219913727_67194_42DEB3C1
    ShortcutWithArgument: C:\Users\Administrator\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Opera.lnk -> C:\Program Files\Opera\launcher.exe (Opera Software) -> hxxp://www.yoursearching.com/?type=sc&ts=...p;from=face&uid=3219913727_67194_42DEB3C1
    ShortcutWithArgument: C:\Users\Administrator\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursearching.com/?type=sc&ts=...p;from=face&uid=3219913727_67194_42DEB3C1




    ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursearching.com/?type=sc&ts=...p;from=face&uid=3219913727_67194_42DEB3C1
    ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk -> C:\Program Files\Opera\launcher.exe (Opera Software) -> hxxp://www.yoursearching.com/?type=sc&ts=...p;from=face&uid=3219913727_67194_42DEB3C1
    ShortcutWithArgument: C:\Users\Public\Desktop\Opera.lnk -> C:\Program Files\Opera\launcher.exe (Opera Software) -> hxxp://www.yoursearching.com/?type=sc&ts=...p;from=face&uid=3219913727_67194_42DEB3C1
    Hosts:
    (STA) C:\Program Files\MTV20160128\MTview.exe
    () C:\VTRoot\HarddiskVolume1\ProgramData\SWdMS\WdMan.exe
    HKLM\...\Run: [apphide] => C:\Program Files\ppt\ppt.exe [524288 2016-01-26] (wefwfw)
    HKLM\...\Run: [pcmgr] => C:\Program Files\ppt\Uninst.exe [1571296 2015-12-28] (Tencent)
    HKLM\...\Run: [SpaceSoundPro] => C:\Program Files\SpaceSoundPro\SpaceSoundPro.exe [4203520 2015-08-03] (Space Sound Pro)
    HKLM\...\Run: [gmsd_pl_005010228] => "C:\Program Files\gmsd_pl_005010228\gmsd_pl_005010228.exe"
    HKLM\...\Run: [MTview] => C:\Program Files\MTV20160128\MTView.exe [1877512 2016-01-26] (STA)
    HKLM\...\RunOnce: [Update] => C:\Users\Administrator\AppData\Roaming\ASPackage\ASPackage.exe /runonce
    HKLM\...\RunOnce: [IOPROTECT] => C:\Program Files\SpaceSondPro_v53.12704\ioproduct_service.bat [152 2016-02-04] ()
    HKLM\...\RunOnce: [upgmsd_pl_005010228.exe] => C:\Users\Administrator\AppData\Local\gmsd_pl_005010228\upgmsd_pl_005010228.exe -runonce
    HKLM\...\RunOnce: [cmdrun] => cmd.exe /C ipconfig /flushdns
    HKLM\Software\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR/DisableConfig] <===== ATTENTION
    HKU\S-1-5-21-2381291407-981728529-4257522642-500\...\Run: [apphide] => C:\Program Files\ppt\ppt.exe [524288 2016-01-26] (wefwfw)
    HKU\S-1-5-21-2381291407-981728529-4257522642-500\...\Run: [*LABAL*] => [X]
    HKU\S-1-5-21-2381291407-981728529-4257522642-500\...\Run: [AdobeBridge] => [X]
    ProxyEnable: [.DEFAULT] => Proxy is enabled.
    ProxyServer: [.DEFAULT] => http=127.0.0.1:51715;https=127.0.0.1:51715
    AutoConfigURL: [.DEFAULT] => http=127.0.0.1:51715;https=127.0.0.1:51715
    Tcpip\..\Interfaces\{2621B853-170A-4B31-A984-9A1687601C17}: [NameServer] 104.197.191.4
    Tcpip\..\Interfaces\{338608DF-1AB2-44F9-AAEA-9A9A1F729A8A}: [NameServer] 104.197.191.4
    Tcpip\..\Interfaces\{e29ac6c2-7037-11de-816d-806e6f6e6963}: [NameServer] 104.197.191.4
    Tcpip\..\Interfaces\{EE315CBC-A790-4FC4-8758-2E5E41AE16E2}: [NameServer] 104.197.191.4
    HKU\S-1-5-21-2381291407-981728529-4257522642-500\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://mysearch.avg.com/?cid={2A25CEB9-B63D-46C2-8F45-41C4024CC58B}&mid=2b90d5aa07e647cdb961d16f5e889771-40c803d0c646be3c97481cf0930e89da109d7b9a&lang=en&ds=AVG&coid=avgtbavg&cmpid=0615avi&pr=fr&d=2015-06-21 07:23:04&v=4.1.4.948&pid=wtu&sg=&sap=hp
    SearchScopes: HKLM -> {758B870D-DF78-4A6A-9955-DEDDCACF94DC} URL = hxxp://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}&ie={inputEncoding}&oe={outputEncoding}&startIndex={startIndex?}&startPage={startPage}
    SearchScopes: HKU\.DEFAULT -> {758B870D-DF78-4A6A-9955-DEDDCACF94DC} URL = hxxp://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}&ie={inputEncoding}&oe={outputEncoding}&startIndex={startIndex?}&startPage={startPage}
    SearchScopes: HKU\S-1-5-21-2381291407-981728529-4257522642-500 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}&ie={inputEncoding}&oe={outputEncoding}&startIndex={startIndex?}&startPage={startPage}
    SearchScopes: HKU\S-1-5-21-2381291407-981728529-4257522642-500 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}&ie={inputEncoding}&oe={outputEncoding}&startIndex={startIndex?}&startPage={startPage}
    SearchScopes: HKU\S-1-5-21-2381291407-981728529-4257522642-500 -> {758B870D-DF78-4A6A-9955-DEDDCACF94DC} URL = hxxp://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}&ie={inputEncoding}&oe={outputEncoding}&startIndex={startIndex?}&startPage={startPage}
    SearchScopes: HKU\S-1-5-21-2381291407-981728529-4257522642-500 -> {95B7759C-8C7F-4BF1-B163-73684A933233} URL = hxxps://mysearch.avg.com/search?cid={2A25CEB9-B63D-46C2-8F45-41C4024CC58B}&mid=2b90d5aa07e647cdb961d16f5e889771-40c803d0c646be3c97481cf0930e89da109d7b9a&lang=en&ds=AVG&coid=avgtbavg&cmpid=0715tb&pr=fr&d=2015-06-21 07:23:04&v=4.1.4.948&pid=wtu&sg=&sap=dsp&q={searchTerms}
    BHO: shopperz040220161607 -> {22581CF3-CE91-460D-8F4C-398487F1E439} -> C:\Program Files\shopperz040220161607\Gufei.dll => No File
    Handler: its - {9D148291-B9C8-11D0-A4CC-0000F80149F6} - No File
    Handler: ms-its - {9D148291-B9C8-11D0-A4CC-0000F80149F6} - No File
    FF HKLM\...\Firefox\Extensions: [{22581CF3-CE91-460D-8F4C-398487F1E439}] - C:\Program Files\shopperz040220161607\Firefox\{22581CF3-CE91-460D-8F4C-398487F1E439}.xpi
    FF Extension: No Name - C:\Program Files\shopperz040220161607\Firefox\{22581CF3-CE91-460D-8F4C-398487F1E439}.xpi [2016-02-04] [not signed]
    CHR HomePage: Default -> hxxp://www.yoursearching.com/?type=hp&ts=...p;from=face&uid=3219913727_67194_42DEB3C1
    CHR StartupUrls: Default -> "hxxp://www.yoursearching.com/?type=hp&ts=1454628843&z=bc5de0b455cb1d85ff37c8eg1z9w9zcqeoabfb8z8e&from=face&uid=3219913727_67194_42DEB3C1"
    CHR DefaultSearchURL: Default -> hxxp://yoursearching.com/web?type=ds&ts=1...face&uid=3219913727_67194_42DEB3C1&q={searchTerms}
    CHR DefaultSearchKeyword: Default -> yoursearching
    StartMenuInternet: Google Chrome - C:\Program Files\Google\Chrome\Application\chrome.exe hxxp://www.yoursearching.com/?type=sc&ts=...p;from=face&uid=3219913727_67194_42DEB3C1
    StartMenuInternet: (HKLM) OperaStable - C:\Program Files\Opera\Launcher.exe hxxp://www.yoursearching.com/?type=sc&ts=...p;from=face&uid=3219913727_67194_42DEB3C1
    S2 tobujujuzbt; C:\Program Files\Could not connect. Error code = 0x-1454625078---\knspCD89.tmp [367616 2016-02-08] () [File not signed]
    U3 SwitchBoard; "C:\Program Files\Common Files\Adobe\SwitchBoard\SwitchBoard.exe" [X]
    U3 eapihdrv; C:\Users\Administrator\AppData\Local\Temp\ehdrv.sys [135760 2016-02-08] (ESET)
    2016-02-09 10:24 - 2016-02-09 10:24 - 00000000 ____D C:\AdwCleaner
    2016-02-08 23:21 - 2016-02-08 23:21 - 00000000 ____D C:\Program Files\t_201602082321
    2016-02-08 23:20 - 2016-02-08 23:21 - 00000000 ____D C:\Program Files\MTV20160128
    2016-02-04 23:42 - 2016-02-04 23:42 - 00000624 _____ C:\Windows\Tasks\Internet Quick Access Updater.job
    2016-02-04 23:40 - 2016-02-04 23:40 - 00002261 _____ C:\Users\Administrator\Desktop\Internet Quick Access.lnk
    2016-02-04 23:40 - 2016-02-04 23:40 - 00000000 ____D C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Quick Access
    2016-02-04 23:39 - 2016-02-04 23:40 - 00000000 ____D C:\Users\Administrator\AppData\Local\Chromium
    2016-02-04 23:35 - 2016-02-09 01:58 - 00000000 ____D C:\Users\Administrator\AppData\Roaming\yoursearching
    2016-02-04 23:35 - 2016-02-09 01:50 - 00000000 ____D C:\Program Files\SFK
    2016-02-04 23:35 - 2016-02-04 23:35 - 00000074 _____ C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat
    2016-02-04 23:35 - 2016-02-04 23:35 - 00000000 ____D C:\ProgramData\SWdMS
    2016-02-04 23:34 - 2016-02-09 01:58 - 00000000 ____D C:\Users\Administrator\AppData\Roaming\TotluNatkob
    2016-02-04 23:34 - 2016-02-09 01:47 - 00000000 ____D C:\Program Files\gmsd_pl_005010228
    2016-02-04 23:34 - 2016-02-04 23:59 - 00000000 ____D C:\Users\Administrator\AppData\Local\gmsd_pl_005010228
    2016-02-04 23:34 - 2016-02-04 23:35 - 00000000 ____D C:\Users\Administrator\AppData\Local\Tempfolder
    2016-02-04 23:34 - 2016-02-04 23:34 - 00030104 _____ () C:\Windows\system32\Drivers\bsdriver.sys
    2016-02-04 23:34 - 2016-02-04 23:34 - 00000362 _____ C:\Windows\Tasks\PPTAssistantNotifyTask_Administrator.job
    2016-02-04 23:34 - 2016-02-04 23:34 - 00000000 ____D C:\Windows\system32\yami
    2016-02-04 23:34 - 2016-02-04 23:34 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GAMESDESKTOP
    2016-02-04 23:33 - 2016-02-09 01:55 - 00000000 ____D C:\Users\Administrator\AppData\Local\Could not connect. Error code = 0x-1454628816---
    2016-02-04 23:33 - 2016-02-09 01:50 - 00000000 ____D C:\Program Files\shopperz040220161607
    2016-02-04 23:33 - 2016-02-04 23:34 - 00000000 ____D C:\Users\Administrator\AppData\Roaming\pptassist
    2016-02-04 23:33 - 2016-02-04 23:33 - 00000632 _____ C:\Windows\Tasks\PPTAssistantUpdateTask_Administrator.job
    2016-02-04 23:33 - 2016-02-04 23:33 - 00000000 ____D C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\PPT美化大师
    2016-02-04 23:33 - 2016-02-04 23:33 - 00000000 ____D C:\Users\Administrator\AppData\LocalLow\Company
    2016-02-04 23:33 - 2016-02-04 23:33 - 00000000 ____D C:\Users\Administrator\AppData\LocalLow\{D2020D47-707D-4E26-B4D9-739C4F4C2E9A}
    2016-02-04 23:33 - 2016-02-04 23:33 - 00000000 ____D C:\Users\Administrator\AppData\Local\PPTAssist
    2016-02-04 23:33 - 2016-02-04 23:33 - 00000000 ____D C:\uninst
    2016-02-04 23:33 - 2016-02-04 23:33 - 00000000 ____D C:\ProgramData\kingsoft
    2016-02-04 23:32 - 2016-02-09 01:50 - 00000000 ____D C:\Program Files\SpaceSondPro_v53.12704
    2016-02-04 23:32 - 2016-02-09 01:50 - 00000000 ____D C:\Program Files\SpaceSondPro
    2016-02-04 23:32 - 2016-02-09 01:49 - 00000000 ____D C:\Program Files\ppt
    2016-02-04 23:32 - 2016-02-04 23:32 - 00001025 _____ C:\Users\Administrator\Desktop\SpaceSoundPro.lnk
    2016-02-04 23:32 - 2016-02-04 23:32 - 00000008 _____ C:\END
    2016-02-04 23:32 - 2016-02-04 23:32 - 00000000 ____D C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\SpaceSoundPro 1.0
    2016-02-04 23:32 - 2016-02-04 23:32 - 00000000 ____D C:\Program Files\SpaceSoundPro
    2016-02-04 22:34 - 2016-02-09 01:55 - 00000000 ____D C:\Users\Administrator\AppData\Local\Could not connect. Error code = 0x-1454625265---
    2016-02-04 22:33 - 2016-02-04 22:30 - 00001354 _____ C:\Windows\system32\Drivers\etc\hp.bak
    2016-02-04 22:31 - 2016-02-09 01:58 - 00000000 ____D C:\Users\Administrator\AppData\Roaming\ASPackage
    2016-02-04 22:31 - 2016-02-09 01:56 - 00000000 ____D C:\Program Files\Could not connect. Error code = 0x-1454625078---
    2016-02-04 22:31 - 2016-02-04 22:31 - 00000939 _____ C:\Users\Public\Desktop\RegClean Pro.lnk
    2016-02-04 22:31 - 2016-02-04 22:31 - 00000000 ____D C:\Users\Administrator\AppData\Roaming\systweak
    2016-02-04 22:31 - 2016-02-04 22:31 - 00000000 ____D C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ASPackage
    2016-02-04 22:31 - 2016-02-04 22:31 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RegClean Pro
    2016-02-04 22:31 - 2016-02-04 22:31 - 00000000 ____D C:\Program Files\RCP
    2016-02-04 22:31 - 2015-11-20 19:27 - 00017840 _____ () C:\Windows\system32\roboot.exe
    2016-02-09 09:07 - 2015-07-09 20:00 - 00000351 _____ C:\prefs.js
    C:\ProgramData\sysid100.dat
    C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat
    EmptyTemp:

    W FRST wybierz Napraw.

    Uzyj tez https://www.elektroda.pl/rtvforum/download.php?id=731083 i zamiesc log, ktory sie utworzy.

    Po wykonaniu zamiesc tez nowe logi z FRST, ze skanowania.


    Ps. Usun to co wykryl cureit, mbam i adwc.

    0
  • #6 09 Lut 2016 18:24
    David_Rain
    Poziom 2  

    Witam

    Runda trzecia odbyla sie nim zdarzylem otrzymac Twoja odpowiedz. Usunalem oczywiscie wczesniej wszystko, co wykryly: mbam, tdss, adwc i cureit. Z tym, ze po usunieciu adwc poprosil o reset. Po zresetowaniu sytuacja na chwile wrocila do stanu z wczoraj: czyli szkodnik po uruchomieniu przestal sie chowac w pasku i byl widoczny przez caly czas (tak jak wczoraj) mbma informowal mnie, ze blokuje jakies zlosliwe ataki, co rowniez dzialo sie wczoraj (dorzucam screeny). Zrobilem skany jeszcze raz za pomoca: mbam, tdss, adwc i cureit. Ikona wirusa z pasku zniknela, zaden z programow niczego nie wykryl. Poza adwc, ktory znalazl: vToolbar Updater18.8.0 (usunalem oczywiscie i zresetowalem kompa). Z Twojej listy programow do usuniecia znalazlem w panelu kontrolnym tylko comodo i ese ta. Szukalem ich w katalogu windowsa i w program files ale nigdzie nie moge znalezc tego szitu. Natomiast podczas szukania znalazlem katalog z wirusem i drugi podejrzany (zalaczam screeny). Oprocz tego adwc mi za kazdym razem cos wykrywa i dodatkowo dorzuca log w txt po restarcie. Nie wiem czy to standardowa procedura ale wczesniej tych logow w txt nie dorzucal po resecie.

    Wirus nie do usunięcia - prośba o poradę. Wirus nie do usunięcia - prośba o poradę. Wirus nie do usunięcia - prośba o poradę. Wirus nie do usunięcia - prośba o poradę.

    0
  • #7 09 Lut 2016 18:34
    Kolobos
    Spec od komputerów

    Miales wykonac to co podalem i zamiescic logi. Zamiast tego zamiesciles bezuzyteczne screeny. Katalog z 1 i 2 screena podalem w skrypcie do kasacji, zgaduje, ze niczego nie wykonales.

    Wykonaj fixlist, ktory podalem, zamiesc log z RepairDNS oraz nowe logi z FRST i nic wiecej, nie musisz niczego pisac ani zamieszczac kolejnych screenow.

    0