Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Chiński/japoński program instalujący inne programy

magnos92 22 Kwi 2016 15:35 1173 12
  • #1 22 Kwi 2016 15:35
    magnos92
    Poziom 4  

    Witam, pobrałem dzisiaj program Eset Nod32 z generatorem kluczy, jednak jak się okazało po instalacji, był to jakiś program w języku chińskim/japońskim który samoczynnie instaluje inne programy. Nie wiem jak mam sobie poradzić z tym problemem, proszę o pomoc

    0 12
  • #2 22 Kwi 2016 15:50
    Kolobos
    Spec od komputerów

    Czego nie zrozumiales poprzednim razem? Masz zamiescic wymagane logi!

    0
  • Pomocny post
    #4 22 Kwi 2016 16:16
    Kolobos
    Spec od komputerów

    Wymagane sa logi z FRST, a nie z przestarzalego OTL. Na przyszlosc wysil sie na tyle, zeby przeczytac podwieszone watki lub inne watki na forum.

    Zasmiecasz tylko forum.

    0
  • Pomocny post
    #6 22 Kwi 2016 16:42
    Acorus 20
    Spec od komputerów

    Uruchom z prawami administratora C:\Program Files (x86)\MPC Cleaner\Uninstall.exe i odinstaluj ten szkodliwy program.

    Otwórz notatnik systemowy i wklej:

    Cytat:
    CloseProcesses:
    Task: {16F037A1-49A2-43A1-B265-042C9CA523BA} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku <==== UWAGA
    Task: {543CDF27-00AA-4D56-BE5B-81EAA034144E} - System32\Tasks\Atagary Verfier => Rundll32.exe "C:\Program Files (x86)\Atagary\Atgverfier.dll",w
    Task: {8A919DD8-E0CE-4BD5-AF0C-09B109712531} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku <==== UWAGA
    Task: {B8C7960B-F07A-43EF-849C-24D0007D3BDA} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku <==== UWAGA
    Task: {D751EBF6-00DE-4982-A4A1-9B9ACBF55D29} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku <==== UWAGA
    Task: {E387149A-6ACC-484B-8002-7FA27346D877} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku <==== UWAGA
    Hosts:
    HKLM-x32\...\Run: [ic-0.89069a88ad014.exe -start] => C:\Users\Robaczki\AppData\Local\Temp\535171\ic-0.89069a88ad014.exe -start <===== UWAGA
    HKLM-x32\...\Run: [ QQPCTray] => C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17339.217\QQPCTRAY.EXE [356464 2016-04-22] (Tencent)
    HKLM-x32\...\RunOnce: [DeleteOnReboot] => C:\Users\Robaczki\AppData\Local\Temp\DeleteOnReboot.bat [426 2016-04-22] () <===== UWAGA
    HKLM\...\Winlogon: [Userinit] C:\WINDOWS\SysWOW64\userinit.exe,
    ShellIconOverlayIdentifiers: [.QMDeskTopGCIcon] -> {B7667919-3765-4815-A66D-98A09BE662D6} => C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17339.217\QMGCShellExt64.dll [2016-04-22] (Tencent)
    GroupPolicyScripts-x32: Ograniczenia <======= UWAGA
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.2345.com/?34838
    HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://hp13-comm.msn.com
    HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://hp13-comm.msn.com
    HKU\S-1-5-21-1692401221-263752248-2733381541-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.2345.com/?34838
    HKU\S-1-5-21-1692401221-263752248-2733381541-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://hp13-comm.msn.com
    SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL =
    SearchScopes: HKLM-x32 -> {B43D6176-C62F-41E3-8F4D-C109BD3E6016} URL = hxxp://www.amazon.co.uk/s/ref=azs_osd_ieauk?i...k%5Fcode=qs&index=aps&field-keywords={searchTerms}




    SearchScopes: HKU\S-1-5-21-1692401221-263752248-2733381541-1001 -> DefaultScope {ielnksrch} URL =
    SearchScopes: HKU\S-1-5-21-1692401221-263752248-2733381541-1001 -> {B43D6176-C62F-41E3-8F4D-C109BD3E6016} URL = hxxp://www.amazon.co.uk/s/ref=azs_osd_ieauk?i...k%5Fcode=qs&index=aps&field-keywords={searchTerms}
    BHO: 电脑管家网页防火墙 -> {7C260B4B-F7A0-40B5-B403-BEFCDC6A4C3B} -> C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17339.217\TSWebMon64.dat [2016-04-22] (Tencent)
    FF NewTab: hxxp://www.hohosearch.com/?ts=AHEqAHAmBXArC0....C4E11143A244E0C2&ptid=amz&mode=ffseng
    FF DefaultSearchEngine: hohosearch
    FF SelectedSearchEngine: hohosearch
    FF Homepage: hxxp://www.hohosearch.com/?ts=AHEqAHAmBXArC0....C4E11143A244E0C2&ptid=amz&mode=ffseng
    FF Extension: thirteen degrees 1.0.1 - C:\Users\Robaczki\AppData\Roaming\Mozilla\Firefox\Profiles\o2mesd28.default\Extensions\{63cd7673-f766-4a62-b715-8e801a6341bc}.xpi [2016-04-20] [Brak podpisu cyfrowego]
    FF Extension: GsearchFinder - C:\Users\Robaczki\AppData\Roaming\Mozilla\Firefox\Profiles\41A66E7E5EE1\Extensions\@E9438230-A7DF-4D1F-8F2D-CA1D0F0F7924.xpi [2016-04-22]
    FF Extension: thirteen degrees 1.0.1 - C:\Users\Robaczki\AppData\Roaming\Mozilla\Firefox\Profiles\41A66E7E5EE1\Extensions\{63cd7673-f766-4a62-b715-8e801a6341bc}.xpi [2016-04-20] [Brak podpisu cyfrowego]
    CHR StartupUrls: Default -> "hxxp://www.hohosearch.com/?mode=nnnb&ptid=amz&uid=84726D7D7071363EC4E11143A244E0C2&v=20160421&ts=AHEqAHAmBXArC0.."
    CHR DefaultSearchURL: Default -> hxxp://www.hohosearch.com/chrome.php?q={searchTerms}&ts=AHEqAHAmBXArC0..&v=20160421&uid=84726D7D7071363EC4E11143A244E0C2&ptid=amz&mode=nnnb
    CHR DefaultSearchKeyword: Default -> hohosearch
    CHR HKU\S-1-5-21-1692401221-263752248-2733381541-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [bknbnapaddjdnbilpmlacdkjdkjmbjhd] - hxxp://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [bknbnapaddjdnbilpmlacdkjdkjmbjhd] - hxxp://clients2.google.com/service/update2/crx
    S2 coewotherrprsrv; C:\Program Files (x86)\Coewother\coewotherrprsrv.exe [302336 2016-04-21] ()
    R4 QQPCRTP; C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17339.217\QQPCRTP.exe [301656 2016-04-22] (Tencent)
    U2 QQRepair23de; "C:\Program Files (x86)\Tencent\QQPCMGR\Plugins\QQRepair23de" [X]
    S2 Quoteex; Brak ImagePath
    S2 rocufyky; Brak ImagePath
    R4 QMUdisk; C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17339.217\QMUdisk64.sys [79096 2016-04-22] (Tencent)
    R4 QQSysMonX64; C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17339.217\QQSysMonX64.sys [138488 2016-04-22] (电脑管家)
    R4 softaal; C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17339.217\softaal64.sys [35064 2016-04-22] (Tencent)
    R4 TAOKernelDriver; C:\WINDOWS\system32\Drivers\TAOKernelEx64.sys [132344 2016-04-22] (Tencent Technology(Shenzhen) Company Limited)
    R4 TFsFlt; C:\Windows\System32\Drivers\TFsFltX64.sys [87800 2016-04-22] (电脑管家)
    R4 tsnethlpx64; C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17339.217\TsNetHlpX64.sys [48376 2016-04-22] ()
    U4 TSSysKit; C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17339.217\TSSysKit64.sys [87288 2016-04-22] (电脑管家)
    R1 {63cd7673-f766-4a62-b715-8e801a6341bc}Gw64; C:\Windows\System32\drivers\{63cd7673-f766-4a62-b715-8e801a6341bc}Gw64.sys [48744 2016-04-21] (StdLib)
    U4 TAOAccelerator; \??\C:\WINDOWS\system32\Drivers\TAOAccelerator64.sys [X]
    2016-04-22 14:59 - 2016-04-22 14:59 - 00000000 ____D C:\Program Files (x86)\hohobnd
    2016-04-22 14:38 - 2016-04-22 14:46 - 00000000 ____D C:\AdwCleaner
    2016-04-22 13:52 - 2016-04-22 13:52 - 00005120 _____ C:\Users\Robaczki\AppData\Roaming\GiftBag.db
    2016-04-22 13:42 - 2016-04-22 13:42 - 00132344 _____ (Tencent Technology(Shenzhen) Company Limited) C:\WINDOWS\system32\Drivers\TAOKernelEx64.sys
    2016-04-22 13:42 - 2016-04-22 13:42 - 00087800 ____N (电脑管家) C:\WINDOWS\system32\Drivers\TFsFltX64.sys
    2016-04-22 13:42 - 2016-04-22 13:42 - 00000000 ____D C:\Program Files\Common Files\Tencent
    2016-04-22 13:40 - 2016-04-22 14:39 - 00000000 ____D C:\Users\Robaczki\AppData\Roaming\Tencent
    2016-04-22 13:40 - 2016-04-22 14:04 - 00000000 ____D C:\ProgramData\Tencent
    2016-04-22 13:40 - 2016-04-22 13:40 - 00000000 ____D C:\Program Files (x86)\Tencent
    2016-04-22 13:34 - 2016-04-22 14:10 - 00000000 ____D C:\ProgramData\Quoteex
    2016-04-22 13:34 - 2016-04-22 13:34 - 06494208 _____ C:\Users\Robaczki\AppData\Roaming\agent.dat
    2016-04-22 13:34 - 2016-04-22 13:34 - 01626777 _____ C:\Users\Robaczki\AppData\Roaming\Tanhold.tst
    2016-04-22 13:34 - 2016-04-22 13:34 - 00848437 _____ C:\Users\Robaczki\AppData\Roaming\Sailfresh.bin
    2016-04-22 13:34 - 2016-04-22 13:34 - 00126464 _____ C:\Users\Robaczki\AppData\Roaming\noah.dat
    2016-04-22 13:34 - 2016-04-22 13:34 - 00126464 _____ C:\Users\Robaczki\AppData\Roaming\lobby.dat
    2016-04-22 13:34 - 2016-04-22 13:34 - 00072717 _____ C:\Users\Robaczki\AppData\Roaming\Reddamplus.tst
    2016-04-22 13:34 - 2016-04-22 13:34 - 00065568 _____ C:\Users\Robaczki\AppData\Roaming\Config.xml
    2016-04-22 13:34 - 2016-04-22 13:34 - 00054272 _____ C:\Users\Robaczki\AppData\Roaming\ApplicationHosting.dat
    2016-04-22 13:34 - 2016-04-22 13:34 - 00018432 _____ C:\Users\Robaczki\AppData\Roaming\Main.dat
    2016-04-22 13:34 - 2016-04-22 13:34 - 00005568 _____ C:\Users\Robaczki\AppData\Roaming\md.xml
    2016-04-22 13:34 - 2016-04-22 13:34 - 00000000 ____D C:\ProgramData\Quoteexs
    2016-04-22 13:34 - 2016-04-22 13:33 - 01174528 _____ C:\Users\Robaczki\AppData\Roaming\Tanhold.exe
    2016-04-22 13:34 - 2016-04-22 13:33 - 01174528 _____ C:\Users\Robaczki\AppData\Roaming\Reddamplus.exe
    2016-04-22 13:33 - 2016-04-22 13:34 - 00015840 _____ C:\Users\Robaczki\AppData\Roaming\InstallationConfiguration.xml
    2016-04-22 13:33 - 2016-04-22 13:33 - 02703483 _____ C:\WINDOWS\chromebrowser.exe
    2016-04-22 13:33 - 2016-04-22 13:33 - 00226333 _____ C:\Users\Robaczki\AppData\Roaming\inst.lat
    2016-04-22 13:33 - 2016-04-22 13:33 - 00127488 _____ C:\Users\Robaczki\AppData\Roaming\Installer.dat
    2016-04-22 13:34 - 2016-04-22 13:34 - 6494208 _____ () C:\Users\Robaczki\AppData\Roaming\agent.dat
    2016-04-22 13:34 - 2016-04-22 13:34 - 0054272 _____ () C:\Users\Robaczki\AppData\Roaming\ApplicationHosting.dat
    2016-04-22 13:34 - 2016-04-22 13:34 - 0065568 _____ () C:\Users\Robaczki\AppData\Roaming\Config.xml
    2016-04-22 13:52 - 2016-04-22 13:52 - 0005120 _____ () C:\Users\Robaczki\AppData\Roaming\GiftBag.db
    2016-04-22 13:33 - 2016-04-22 13:33 - 0226333 _____ () C:\Users\Robaczki\AppData\Roaming\inst.lat
    2016-04-22 13:33 - 2016-04-22 13:34 - 0015840 _____ () C:\Users\Robaczki\AppData\Roaming\InstallationConfiguration.xml
    2016-04-22 13:33 - 2016-04-22 13:33 - 0127488 _____ () C:\Users\Robaczki\AppData\Roaming\Installer.dat
    2016-04-22 13:34 - 2016-04-22 13:34 - 0126464 _____ () C:\Users\Robaczki\AppData\Roaming\lobby.dat
    2016-04-22 13:34 - 2016-04-22 13:34 - 0018432 _____ () C:\Users\Robaczki\AppData\Roaming\Main.dat
    2016-04-22 13:34 - 2016-04-22 13:34 - 0005568 _____ () C:\Users\Robaczki\AppData\Roaming\md.xml
    2016-04-22 13:34 - 2016-04-22 13:34 - 0126464 _____ () C:\Users\Robaczki\AppData\Roaming\noah.dat
    2016-04-22 13:34 - 2016-04-22 13:33 - 1174528 _____ () C:\Users\Robaczki\AppData\Roaming\Reddamplus.exe
    2016-04-22 13:34 - 2016-04-22 13:34 - 0072717 _____ () C:\Users\Robaczki\AppData\Roaming\Reddamplus.tst
    2016-04-22 13:34 - 2016-04-22 13:34 - 0848437 _____ () C:\Users\Robaczki\AppData\Roaming\Sailfresh.bin
    2016-04-22 13:34 - 2016-04-22 13:33 - 1174528 _____ () C:\Users\Robaczki\AppData\Roaming\Tanhold.exe
    2016-04-22 13:34 - 2016-04-22 13:34 - 1626777 _____ () C:\Users\Robaczki\AppData\Roaming\Tanhold.tst
    2016-04-22 13:34 - 2016-04-22 13:34 - 0032038 _____ () C:\Users\Robaczki\AppData\Roaming\uninstall_temp.ico
    C:\Users\Robaczki\AppData\Local\Temp\DeleteOnReboot.bat
    EmptyTemp:


    Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.
    Uruchom jako administrator FRST i kliknij w Fix/Napraw.
    Przeskanuj progr. Malwarebytes Anti-Malware https://data-cdn.mbamupdates.com/web/mbam-setup-2.1.8.1057.exe
    Podczas instalacji usuń zaznaczenie przy Uruchom okres testowy Malwarebytes Anti-Malware Premium.

    0
  • #7 23 Kwi 2016 18:22
    magnos92
    Poziom 4  

    Dzięki wielkie Acorus 20, postąpiłem zgodnie z Twoimi zaleceniami, jest zauważalna poprawa, szkodliwy program usunięty, nowe się nie pojawiają. Mogę wrzucić jeszcze raz logi z FRST żeby mieć pewność że mój komputer jest czysty?

    0
  • Pomocny post
    #8 23 Kwi 2016 19:31
    Acorus 20
    Spec od komputerów

    Pokaż nowy raport z FRST bez Addition i Shortcut.

    0
  • #9 25 Kwi 2016 13:30
    magnos92
    Poziom 4  

    Od wczoraj zauważyłem jeszcze jeden problem, nie wdziała mi Menu Windows, tak samo wyszukiwanie, reszta paska działa normalnie, nie wiem czy ma to jakieś powiązanie z tym wirusem, ale wcześniej działało normalnie.

    0
  • Pomocny post
    #10 25 Kwi 2016 13:40
    Kolobos
    Spec od komputerów

    Nowy Fixlist.txt dla FRST:
    HKLM-x32\...\Run: [ QQPCTray] => "C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17339.217\QQPCTRAY.EXE" /regrun /qqrepair
    HKLM\...\Winlogon: [Userinit] C:\WINDOWS\SysWOW64\userinit.exe,
    SearchScopes: HKLM -> DefaultScope - brak wartości
    CHR HomePage: Default -> search.mpc.am/?geo=pl
    CHR HKLM-x32\...\Chrome\Extension: [ofoeigeaodhbjogdigckajfhjbonaofg] - hxxps://clients2.google.com/service/update2/crx
    S2 QQRepairaf9; "C:\Program Files (x86)\Tencent\QQPCMGR\Plugins\QQRepairaf9" [X]
    S2 QQRepairFixSVC; C:\Program Files (x86)\Tencent\QQPCMGR\Plugins\QQRepairFixSVC [X]
    S1 SRepairDrv; \??\C:\Program Files (x86)\Tencent\QQPCMGR\Plugins\SRepairDrv [X]
    S1 TSDefenseBt; \??\C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17339.217\TSDefenseBT64.sys [X]
    2016-04-22 16:08 - 2016-04-22 16:08 - 00098638 _____ C:\Users\Robaczki\Downloads\Extras.Txt
    2016-04-22 16:07 - 2016-04-22 16:07 - 03551448 _____ C:\Users\Robaczki\Downloads\OTL.Txt
    2016-04-22 14:51 - 2016-04-22 14:51 - 00602112 _____ (OldTimer Tools) C:\Users\Robaczki\Downloads\OTL_www.INSTALKI.pl.exe
    2016-04-22 14:47 - 2016-04-22 17:09 - 00000000 ____D C:\ProgramData\TXQMPC
    2016-04-22 14:25 - 2016-04-22 14:26 - 05660069 _____ (Swearware) C:\Users\Robaczki\Downloads\ComboFix.exe
    2016-04-22 14:20 - 2016-04-22 14:20 - 00000000 ____D C:\Users\Robaczki\AppData\Roaming\MCorp
    2016-04-22 14:10 - 2016-04-22 14:10 - 00000000 ____D C:\QMDownload
    2016-04-22 13:59 - 2016-04-22 13:59 - 00000000 ____D C:\Users\Public\Documents\dmp
    2016-04-22 13:39 - 2016-04-22 13:39 - 00000000 ____D C:\Users\Public\Thunder Network
    2016-04-22 13:39 - 2016-04-22 13:39 - 00000000 ____D C:\ProgramData\Thunder Network


    Co do paska to typowy blad W10, sprobuj rozwiazan podanych tutaj (w dwoch wyroznionych odpowiedziach):
    http://answers.microsoft.com/pl-pl/windows/fo...k/4641dffd-90d0-4613-b4e1-f75f6f66b5d8?auth=1

    0
  • Pomocny post
    #12 04 Maj 2016 12:06
    Kolobos
    Spec od komputerów

    Fixlist.txt dla FRST:
    HKLM\...\Winlogon: [Userinit] C:\WINDOWS\SysWOW64\userinit.exe,
    GroupPolicyScripts-x32: Ograniczenia <======= UWAGA
    SearchScopes: HKLM-x32 -> {B43D6176-C62F-41E3-8F4D-C109BD3E6016} URL = hxxp://www.amazon.co.uk/s/ref=azs_osd_ieauk?i...k%5Fcode=qs&index=aps&field-keywords={searchTerms}
    SearchScopes: HKU\S-1-5-21-1692401221-263752248-2733381541-1001 -> {B43D6176-C62F-41E3-8F4D-C109BD3E6016} URL = hxxp://www.amazon.co.uk/s/ref=azs_osd_ieauk?i...k%5Fcode=qs&index=aps&field-keywords={searchTerms}
    BHO: HP Network Check Helper -> {E76FD755-C1BA-4DCB-9F13-99BD91223ADE} -> C:\Program Files (x86)\Hewlett-Packard\HP Support Framework\Resources\HPNetworkCheck\HPNetworkCheckPluginx64.dll => Brak pliku
    BHO-x32: HP Network Check Helper -> {E76FD755-C1BA-4DCB-9F13-99BD91223ADE} -> C:\Program Files (x86)\Hewlett-Packard\HP Support Framework\Resources\HPNetworkCheck\HPNetworkCheckPlugin.dll => Brak pliku
    CHR Plugin: (Widevine Content Decryption Module) - C:\Users\Robaczki\AppData\Local\Google\Chrome\User Data\WidevineCDM\1.4.8.885\_platform_specific\win_x86\widevinecdmadapter.dll => Brak pliku
    CHR HKU\S-1-5-21-1692401221-263752248-2733381541-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [bknbnapaddjdnbilpmlacdkjdkjmbjhd] - hxxp://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [bknbnapaddjdnbilpmlacdkjdkjmbjhd] - hxxp://clients2.google.com/service/update2/crx
    2016-05-04 10:13 - 2016-05-04 10:14 - 00000000 ____D C:\AdwCleaner
    2016-05-04 09:16 - 2016-05-04 09:16 - 00974072 _____ ( ) C:\Users\Robaczki\Downloads\CCleaner-13061-dp.exe

    Po wykonaniu usun katalog C:\FRST i to wszystko.

    Ps. Nie pobieraj programow z dobrychprogramow przy pomocy ich menadzera pobierania, ktory instaluje szkodliwe dodatki!

    0
  • #13 04 Maj 2016 12:47
    magnos92
    Poziom 4  

    ok zapamiętam, dzięki wielkie jeszcze raz, temat do zamknięcia.
    Chiński/japoński program instalujący inne programy

    0