Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Wooden Seal - jak usunąć? Logi FRST.

Yodster 24 Mar 2016 09:56 681 9
  • #1 24 Mar 2016 09:56
    Yodster
    Poziom 4  

    Dzień Dobry.
    Mam problem z Wooden Seal, poczytałem na forum jak naprawić, ale nic mi nie pomogło. Wirus na szczęście nie poczynił jeszcze dużych szkód, ponieważ udało mi się wcześnie to zdiagnozować i pousuwać większość syfu jaki się zainstalował, ale nadal nie mogę pozbyć się Wooden Seal. Zrobiłem logi przez FRST, przeskanowałem Adwcleaner i nadal nic. Może ktoś z Was jest w stanie mi pomóc?
    Dziękuję i pozdrawiam.

    0 9
  • #2 24 Mar 2016 10:49
    Kolobos
    Spec od komputerów

    Odinstaluj:
    Adobe Reader 9 - Polish, zmien na najnowsza wersje AR lub Foxit: http://ninite.com/foxit/
    Freecorder Toolbar
    Spyware Doctor 6.0

    Uruchom FRST z poziomu WinRe o tak: http://www.fixitpc.pl/topic/4414-diagnostyka-...i-na-niestartuj%C4%85cych-windows/#entry32551

    Wykonaj tam Fixlist.txt dla FRST:
    Task: C:\WINDOWS\Tasks\Powiadomienie o zakończeniu obsługi systemu Microsoft Windows XP — co miesiąc.job => C:\WINDOWS\system32\xp_eos.exe
    Hosts:
    (DotC United Inc) D:\Program Files\MPC Cleaner\MPCProtectService.exe
    (DotC United Inc) D:\Program Files\MPC Cleaner\MPCTray.exe
    HKLM\...\Run: [upmpck_en_005030275.exe] => C:\Documents and Settings\Yod\Ustawienia lokalne\Dane aplikacji\mpck_en_005030275\upmpck_en_005030275.exe -runhelper
    HKU\S-1-5-21-1715567821-725345543-839522115-1004\...\MountPoints2: {113b231a-50b9-11e0-bfc9-00247ef7ca87} - G:\EasySuite.exe
    HKU\S-1-5-21-1715567821-725345543-839522115-1004\...\MountPoints2: {113b231d-50b9-11e0-bfc9-00247ef7ca87} - G:\EasySuite.exe
    HKU\S-1-5-21-1715567821-725345543-839522115-1004\...\MountPoints2: {62085702-6fdf-11e0-8038-18a9058aebc1} - G:\autorun.exe
    HKU\S-1-5-21-1715567821-725345543-839522115-1004\...\MountPoints2: {762508b6-2549-11e0-bf4c-00247ef7ca87} - J:\EasySuite.exe
    HKU\S-1-5-21-1715567821-725345543-839522115-1004\...\MountPoints2: {80b9d0ce-bfc2-11e3-8440-00247ef7ca87} - J:\AutoRun.exe
    HKU\S-1-5-21-1715567821-725345543-839522115-1004\...\MountPoints2: {80b9d0d1-bfc2-11e3-8440-00247ef7ca87} - J:\AutoRun.exe
    HKU\S-1-5-21-1715567821-725345543-839522115-1004\...\MountPoints2: {aa749702-c429-11df-be49-00247ef7ca87} - affi8l.exe
    HKU\S-1-5-21-1715567821-725345543-839522115-1004\...\MountPoints2: {fa5aa25a-8e73-11df-bdee-00247ef7ca87} - tempstorage/stg1.exe
    HKU\S-1-5-21-1715567821-725345543-839522115-1004\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA
    URLSearchHook: HKU\S-1-5-21-1715567821-725345543-839522115-1004 - (Brak nazwy) - {872b5b88-9db5-4310-bdd0-ac189557e5f5} - Brak pliku
    URLSearchHook: HKU\S-1-5-21-1715567821-725345543-839522115-1004 - (Brak nazwy) - {1392b8d2-5c05-419f-a8f6-b9f15a596612} - Brak pliku
    URLSearchHook: HKU\S-1-5-21-1715567821-725345543-839522115-1004 - (Brak nazwy) - {d43723ae-1ae1-4a25-a6a4-bf0929273cab} - Brak pliku
    HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "" <======= UWAGA
    SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
    SearchScopes: HKU\S-1-5-21-1715567821-725345543-839522115-1004 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
    SearchScopes: HKU\S-1-5-21-1715567821-725345543-839522115-1004 -> Software URL =




    BHO: Brak nazwy -> {1392b8d2-5c05-419f-a8f6-b9f15a596612} -> Brak pliku
    BHO: Brak nazwy -> {d43723ae-1ae1-4a25-a6a4-bf0929273cab} -> Brak pliku
    Toolbar: HKU\S-1-5-21-1715567821-725345543-839522115-1004 -> Brak nazwy - {1392B8D2-5C05-419F-A8F6-B9F15A596612} - Brak pliku
    Toolbar: HKU\S-1-5-21-1715567821-725345543-839522115-1004 -> Brak nazwy - {D43723AE-1AE1-4A25-A6A4-BF0929273CAB} - Brak pliku
    CHR HKLM\...\Chrome\Extension: [jinihaffgdhejchgkogpfkdmpldnmnji] - C:\DOCUME~1\Yod\USTAWI~1\Temp\ccex.crx <nie znaleziono>
    R2 MPCProtectService; D:\Program Files\MPC Cleaner\MPCProtectService.exe [350688 2016-03-22] (DotC United Inc)
    S3 EsgScanner; C:\WINDOWS\System32\DRIVERS\EsgScanner.sys [19984 2016-03-23] ()
    R0 MPCBase; C:\WINDOWS\System32\drivers\MPCBase.sys [29032 2016-03-22] (DotC United Inc)
    R1 MPCKpt; C:\WINDOWS\System32\DRIVERS\MPCKpt.sys [53992 2016-03-22] (DotC United Inc)
    R1 {347028e8-4a7a-46f9-a2b0-d1959d07e631}Gt; C:\WINDOWS\System32\drivers\{347028e8-4a7a-46f9-a2b0-d1959d07e631}Gt.sys [55792 2016-03-22] (StdLib)
    S3 AgereSoftModem; system32\DRIVERS\AGRSM.sys [X]
    S3 PCANDIS5; \??\C:\WINDOWS\system32\PCANDIS5.SYS [X]
    U1 WS2IFSL; Brak ImagePath
    2016-03-24 08:18 - 2016-03-24 08:39 - 00000000 ___DC C:\Documents and Settings\Yod\Ustawienia lokalne\Dane aplikacji\kingsoft
    2016-03-24 08:17 - 2016-03-24 08:27 - 00000000 ___DC C:\Documents and Settings\Yod\Dane aplikacji\kingsoft
    2016-03-24 08:03 - 2016-03-24 08:03 - 00000000 ___DC C:\Documents and Settings\All Users\Menu Start\Programy\MPC
    2016-03-23 23:29 - 2016-03-23 23:29 - 00019984 _____ C:\WINDOWS\system32\Drivers\EsgScanner.sys
    2016-03-23 22:58 - 2016-03-24 08:03 - 00000586 ____C C:\Documents and Settings\All Users\Pulpit\MPC Cleaner.lnk
    2016-03-23 22:17 - 2016-03-23 23:21 - 00000000 ___DC C:\AdwCleaner
    2016-03-23 10:10 - 2016-03-23 10:15 - 00000000 ___DC C:\Documents and Settings\Yod\Dane aplikacji\MCorp
    2016-03-22 23:32 - 2016-03-22 23:31 - 00053992 ____N (DotC United Inc) C:\WINDOWS\system32\Drivers\MPCKpt.sys
    2016-03-22 23:32 - 2016-03-22 23:31 - 00029032 ____N (DotC United Inc) C:\WINDOWS\system32\Drivers\MPCBase.sys
    2016-03-22 23:30 - 2016-03-22 23:30 - 00000000 _____ C:\WINDOWS\system32\Number of results
    2016-03-22 22:55 - 2016-03-23 10:09 - 00000000 ____D C:\Program Files\Win32_ComputerSystemProduct-1458683701---
    2016-03-22 22:48 - 2016-03-22 14:33 - 00055792 _____ (StdLib) C:\WINDOWS\system32\Drivers\{347028e8-4a7a-46f9-a2b0-d1959d07e631}Gt.sys
    2016-03-23 10:10 - 2011-08-13 12:03 - 00000476 _____ C:\WINDOWS\Tasks\At1.job
    2016-03-22 14:00 - 2011-08-13 12:03 - 00000476 _____ C:\WINDOWS\Tasks\At4.job
    2016-03-22 13:03 - 2011-08-13 12:03 - 00000476 _____ C:\WINDOWS\Tasks\At3.job
    2016-03-19 20:40 - 2011-08-13 12:03 - 00000476 _____ C:\WINDOWS\Tasks\At2.job

    Po wykonaniu zamiesc logi z FRST, wykonane w trybie normalnym.

    0
  • #3 24 Mar 2016 12:01
    Yodster
    Poziom 4  

    Udało mi się odinstalować 2 z 3 podanych przez Ciebie programów, jedynie Freecorder Toolbar stawia opory i nie potrafię sobie teraz z tym poradzić. Aktualnie nie mam płyty do wystartowania systemu ani drugiego komputera, na którym mogę to stworzyć, dlatego moje pytanie, czy muszę uruchomić FRST z poziomu WinRe, czy mogę zrobić to na normalnie działającym systemie? Jeśli nie, to będę musiał z tym poczekać do najbliższego poniedziałku i wtedy dopiero zacznę się z tym kopać po głowach.
    Dziękuję za tak szybką odpowiedź.

    0
  • #4 24 Mar 2016 12:07
    Kolobos
    Spec od komputerów

    Mozesz sprobowac w trybie awaryjnym ale watpie zeby mpc clenaer sie usunal.

    0
  • #6 24 Mar 2016 13:36
    Kolobos
    Spec od komputerów

    Tak jak napisalem, infekcja nie zostala usunieta. Wymagane jest uruchomienie z poziomu WinRe lub jakiegos innego bootowalnego systemu i kasacja skladnikow mpc clenaera.

    Jezeli masz pendrive to sciaganij np. ubuntu, uruchom z pendrivea i usun z dysku:
    D:\Program Files\MPC Cleaner\
    C:\Documents and Settings\All Users\Menu Start\Programy\MPC
    C:\WINDOWS\system32\Drivers\MPCKpt.sys
    C:\WINDOWS\system32\Drivers\MPCBase.sys

    Reszte mozna juz usunac z poziomu Windows (beda wymagane nowe logi z FRST, ze skanowania).

    0
  • #8 29 Mar 2016 20:04
    Kolobos
    Spec od komputerów

    W ktorej? W Chrome? W FF rowniez?

    Odinstaluj: Freecorder Toolbar

    Wykonaj taki Fixlist.txt dla FRST:
    HKU\S-1-5-21-1715567821-725345543-839522115-1004\...\MountPoints2: {113b231a-50b9-11e0-bfc9-00247ef7ca87} - G:\EasySuite.exe
    HKU\S-1-5-21-1715567821-725345543-839522115-1004\...\MountPoints2: {113b231d-50b9-11e0-bfc9-00247ef7ca87} - G:\EasySuite.exe
    HKU\S-1-5-21-1715567821-725345543-839522115-1004\...\MountPoints2: {762508b6-2549-11e0-bf4c-00247ef7ca87} - J:\EasySuite.exe
    HKU\S-1-5-21-1715567821-725345543-839522115-1004\...\MountPoints2: {80b9d0ce-bfc2-11e3-8440-00247ef7ca87} - J:\AutoRun.exe
    HKU\S-1-5-21-1715567821-725345543-839522115-1004\...\MountPoints2: {80b9d0d1-bfc2-11e3-8440-00247ef7ca87} - J:\AutoRun.exe
    HKU\S-1-5-21-1715567821-725345543-839522115-1004\...\MountPoints2: {aa749702-c429-11df-be49-00247ef7ca87} - affi8l.exe
    HKU\S-1-5-21-1715567821-725345543-839522115-1004\...\MountPoints2: {fa5aa25a-8e73-11df-bdee-00247ef7ca87} - tempstorage/stg1.exe
    HKU\S-1-5-21-1715567821-725345543-839522115-1004\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA
    URLSearchHook: HKU\S-1-5-21-1715567821-725345543-839522115-1004 - (Brak nazwy) - {872b5b88-9db5-4310-bdd0-ac189557e5f5} - Brak pliku
    URLSearchHook: HKU\S-1-5-21-1715567821-725345543-839522115-1004 - (Brak nazwy) - {1392b8d2-5c05-419f-a8f6-b9f15a596612} - Brak pliku
    URLSearchHook: HKU\S-1-5-21-1715567821-725345543-839522115-1004 - (Brak nazwy) - {d43723ae-1ae1-4a25-a6a4-bf0929273cab} - Brak pliku
    Toolbar: HKU\S-1-5-21-1715567821-725345543-839522115-1004 -> Brak nazwy - {1392B8D2-5C05-419F-A8F6-B9F15A596612} - Brak pliku
    Toolbar: HKU\S-1-5-21-1715567821-725345543-839522115-1004 -> Brak nazwy - {D43723AE-1AE1-4A25-A6A4-BF0929273CAB} - Brak pliku
    S2 MPCProtectService; "D:\Program Files\MPC Cleaner\MPCProtectService.exe" [X]
    S0 MPCBase; System32\drivers\MPCBase.sys [X]
    S1 MPCKpt; system32\DRIVERS\MPCKpt.sys [X]
    2016-03-24 13:35 - 2016-03-29 17:08 - 00000586 ____C C:\Documents and Settings\All Users\Pulpit\MPC Cleaner.lnk
    2016-03-24 09:17 - 2016-03-24 09:27 - 00000000 ___DC C:\Documents and Settings\Yod\Dane aplikacji\kingsoft
    2016-03-23 11:10 - 2016-03-23 11:15 - 00000000 ___DC C:\Documents and Settings\Yod\Dane aplikacji\MCorp
    EmptyTemp:

    1