Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Wiele infekcji w Windows 8.1.

Kuba_19_86 17 Cze 2016 16:06 357 1
  • #1 17 Cze 2016 16:06
    Kuba_19_86
    Poziom 9  

    Witam,
    dorwałem komputer chrześniaka dziewczyny.
    Był on tak zainfekowany różnymi śmieciami typu killProc, że praktycznie nie działał.
    Podejrzewam, że w pewnym momencie ktoś przejął nad nim kontrolę.
    Dzieciak mówił, że myszka "sama klikała po pulpicie". W komputerze były poinstalowane jakieś chińskie przeglądarki, odkryte są też partycje recovery i coś co nazywa się dysk lokalny Z. Ogólnie masakra.

    Wydaje mi się, że większość tego syfu już wywaliłem, ale proszę o sprawdzenie logów.

    Najpierw chcę dojść do ładu z tym systemem, a później spróbuję go przerzucić na Win 10.

    0 1
  • #2 17 Cze 2016 16:32
    Kolobos
    Spec od komputerów

    Odinstaluj: Amazon 1Button App

    Wykonaj Fixlist.txt dla FRST:
    Task: {93C26916-5338-45D9-8B65-F86E1F2419A3} - System32\Tasks\{CAAF8136-0BD6-46AE-8438-51A1116DA760} => pcalua.exe -a C:\Users\Szymonn\AppData\Local\Roblox\Versions\version-c542e3639a5f40f9\RobloxPlayerLauncher.exe -c -uninstall
    AlternateDataStreams: C:\Windows\hao123https:.ico [2302]
    HKLM-x32\...\Run: [ QQPCTray] => "C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17499.219\QQPCTray.exe" /regrun
    Winlogon\Notify\igfxcui: igfxdev.dll [X]
    HKU\S-1-5-21-2755845985-3773400078-2219643377-1001\...\MountPoints2: {25f2830f-7209-11e4-825c-806e6f6e6963} - "E:\Autorun.exe"
    HKU\S-1-5-21-2755845985-3773400078-2219643377-1001\...\MountPoints2: {c143d152-6b8c-11e5-826c-7429af60a2f6} - "F:\AutoRun.exe"
    ShellIconOverlayIdentifiers: [.QMDeskTopGCIcon] -> {B7667919-3765-4815-A66D-98A09BE662D6} => Brak pliku
    CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA
    SearchScopes: HKLM-x32 -> {C2724708-4B1E-461A-A482-C00226988427} URL = hxxp://www.amazon.co.uk/s/ref=azs_osd_ieauk?i...k%5Fcode=qs&index=aps&field-keywords={searchTerms}
    SearchScopes: HKU\S-1-5-21-2755845985-3773400078-2219643377-1001 -> {B3B3A6AC-74EC-BD56-BCDB-EFA4799FB9DF} URL = hxxps://www.amazon.com/gp/bit/amazonserp/ref=..._ds_&tag=bds-p17-serp-us-ie-20&query={searchTerms}
    SearchScopes: HKU\S-1-5-21-2755845985-3773400078-2219643377-1001 -> {C2724708-4B1E-461A-A482-C00226988427} URL = hxxp://www.amazon.co.uk/s/ref=azs_osd_ieauk?i...k%5Fcode=qs&index=aps&field-keywords={searchTerms}
    BHO: 电脑管家网页防火墙 -> {7C260B4B-F7A0-40B5-B403-BEFCDC6A4C3B} -> C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17499.219\TSWebMon64.dat => Brak pliku
    BHO: Brak nazwy -> {E76FD755-C1BA-4DCB-9F13-99BD91223ADE} -> Brak pliku
    CHR HomePage: Default -> amazon.com/websearch/?ie=UTF8__PARAM__
    CHR HKU\.DEFAULT\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [bbidppmgmdmjgfenjdafcalmciolcehp] - hxxp://clients2.google.com/service/update2/crx
    CHR HKU\S-1-5-21-2755845985-3773400078-2219643377-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ooebgdicanjhnamfmdlmlbcnkgehkkmf] - hxxps://clients2.google.com/service/update2/crx




    CHR HKLM-x32\...\Chrome\Extension: [bbidppmgmdmjgfenjdafcalmciolcehp] - hxxp://clients2.google.com/service/update2/crx
    S2 Edajopui; "C:\Users\Szymonn\AppData\Roaming\Uaahieap\Uaahieap.exe" -cms [X]
    S2 Hoehauka; "C:\Users\Szymonn\AppData\Roaming\IeuyagMuyvgic\Caoircio.exe" -cms [X]
    2016-06-17 15:35 - 2016-06-17 15:35 - 00000451 _____ C:\Windows\system32\{F33C3B9B-72AF-418A-B3FD-560646F7CDA2}.bat
    2016-06-02 14:21 - 2016-06-08 14:14 - 00000000 _____ C:\Windows\hao123https
    2016-05-29 18:51 - 2016-05-29 18:51 - 00250912 _____ C:\Windows\SysWOW64\kz.exe
    2016-05-29 15:02 - 2016-05-29 15:02 - 03678272 _____ C:\Users\Szymonn\Downloads\adwcleaner_5.118 (2).exe
    2016-05-29 12:09 - 2016-05-29 12:09 - 03678272 _____ C:\Users\Szymonn\Downloads\adwcleaner_5.118 (1).exe
    2016-05-29 12:06 - 2016-05-29 12:06 - 00000213 _____ C:\Users\Szymonn\AppData\Roaming\Microsoft\Windows\Start Menu\百度一下.url
    2016-05-29 12:05 - 2016-05-29 12:05 - 00000226 _____ C:\Users\Szymonn\AppData\Roaming\Microsoft\Windows\Start Menu\淘宝.url
    2016-05-29 12:05 - 2016-05-29 12:05 - 00000215 _____ C:\Users\Szymonn\AppData\Roaming\Microsoft\Windows\Start Menu\上网导航.url
    2016-05-29 12:05 - 2016-05-29 12:05 - 00000000 ____D C:\Users\Szymonn\AppData\Roaming\taobao
    2016-05-29 12:05 - 2016-05-29 12:05 - 00000000 ____D C:\Users\Szymonn\AppData\Roaming\SNDA
    2016-05-29 12:05 - 2016-05-29 12:05 - 00000000 ____D C:\ProgramData\did
    2016-05-27 21:06 - 2016-05-27 21:06 - 00003214 _____ C:\Windows\System32\Tasks\{CAAF8136-0BD6-46AE-8438-51A1116DA760}
    2016-05-26 23:00 - 2016-05-26 23:00 - 00000000 ____D C:\Users\Szymonn\AppData\LocalLow0A6097A0
    2016-05-26 22:31 - 2016-05-26 22:31 - 00000000 ____D C:\Users\Szymonn\AppData\LocalLow0A7C5C10
    2016-05-26 22:29 - 2016-05-26 22:29 - 00000000 ____D C:\Users\Szymonn\AppData\LocalLow071867C0
    2016-05-26 22:27 - 2016-05-26 22:27 - 00000000 ____D C:\Users\Szymonn\AppData\LocalLow0724E220
    2016-05-26 22:26 - 2016-05-26 22:26 - 00000000 ____D C:\Users\Szymonn\AppData\LocalLow06F2AE48
    2016-05-26 21:59 - 2016-05-26 21:59 - 00000000 ____D C:\Users\Szymonn\AppData\LocalLow06500358
    2016-05-26 21:49 - 2016-05-26 21:49 - 00000000 ____D C:\Users\Szymonn\AppData\LocalLow06933770
    2016-05-26 21:48 - 2016-05-26 21:48 - 00000000 ____D C:\Users\Szymonn\AppData\LocalLow066F3C60
    2016-05-26 21:47 - 2016-05-26 21:47 - 06859776 _____ C:\Users\Szymonn\AppData\Roaming\agent.dat
    2016-05-26 21:47 - 2016-05-26 21:47 - 00018432 _____ C:\Users\Szymonn\AppData\Roaming\Main.dat
    2016-05-26 21:46 - 2016-05-26 21:46 - 00000000 ____D C:\Users\Szymonn\AppData\Roaming\ZfrbI
    2016-05-26 21:44 - 2016-05-26 21:44 - 00128512 _____ C:\Users\Szymonn\AppData\Roaming\Installer.dat
    2016-05-26 21:42 - 2016-06-17 14:45 - 00000000 ____D C:\Users\Szymonn\AppData\Roaming\6C5sz
    2016-05-26 21:39 - 2016-05-17 08:14 - 02496403 _____ ( ) C:\Users\Szymonn\AppData\Roaming\yeaplayer_51490.exe
    2016-05-26 21:38 - 2016-05-26 21:39 - 00000000 ____D C:\Users\Szymonn\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\¶ŕ˛Ę±ăÇ©
    2016-05-26 21:38 - 2016-05-26 11:30 - 00339968 _____ C:\Users\Szymonn\AppData\Roaming\RandomDelJiheReg.exe
    2016-05-26 21:38 - 2016-02-18 11:10 - 05267952 _____ () C:\Users\Szymonn\AppData\Roaming\ziptool_wc-9015_setup.exe
    2016-05-26 21:37 - 2016-05-26 21:37 - 00000000 ____D C:\Users\Szymonn\AppData\Roaming\Baidu
    2016-05-26 18:59 - 2016-05-26 21:37 - 00000000 ____D C:\ProgramData\Baidu
    2016-05-26 18:59 - 2016-05-26 11:30 - 00339968 _____ C:\ProgramData\RandomDelJiheReg.exe
    2016-05-26 18:59 - 2016-03-03 04:14 - 00656952 _____ (Beijing Hongda wanfang technology Co.,Ltd.) C:\Users\Szymonn\AppData\Roaming\setup_31019.exe
    2016-05-26 18:58 - 2016-06-17 15:35 - 00000904 _____ C:\Users\Szymonn\AppData\Roaming\Microsoft\Windows\Start Menu\żěŃą.lnk
    2016-05-26 18:58 - 2016-05-26 18:58 - 00092872 _____ (WinMount International Inc) C:\Windows\system32\Drivers\KuaiZipDrive.sys
    2016-05-26 18:58 - 2016-05-26 18:58 - 00000000 ____D C:\Users\Szymonn\AppData\Roaming\Softlink
    2016-05-26 18:58 - 2016-05-25 11:46 - 05851648 _____ C:\ProgramData\csrssf.exe
    2016-05-26 18:57 - 2016-06-17 14:45 - 00000000 ____D C:\Users\Szymonn\AppData\Roaming\Kuaizip
    2016-05-26 18:57 - 2016-05-29 12:22 - 00000000 ____D C:\Users\Szymonn\AppData\LocalLow\Company
    2016-05-26 18:57 - 2016-05-27 20:48 - 00000000 ____D C:\Users\Szymonn\AppData\Roaming\Uaahieap
    2016-05-26 18:57 - 2016-05-27 20:48 - 00000000 ____D C:\Program Files\DoffihfuoispUn
    2016-05-26 18:57 - 2016-05-27 18:15 - 00000000 ____D C:\Users\Szymonn\AppData\Roaming\IeuyagMuyvgic
    2016-05-26 18:57 - 2016-05-26 18:57 - 00000000 ____D C:\Users\Szymonn\AppData\Local\Tempfolder
    2016-05-26 18:57 - 2016-05-26 18:57 - 00000000 ____D C:\Users\Public\Thunder Network
    2016-05-26 18:57 - 2016-05-26 18:57 - 00000000 ____D C:\ProgramData\Thunder Network
    2016-05-26 18:57 - 2016-05-26 18:57 - 00000000 ____D C:\ProgramData\download
    2016-05-26 18:57 - 2016-05-26 04:54 - 195227240 _____ C:\Users\Szymonn\AppData\Roaming\qqpcmgr_v11.4.26194.901_90132_Silence.exe
    2016-06-17 15:46 - 2015-12-16 22:29 - 00000000 ____D C:\AdwCleaner
    2016-05-26 21:47 - 2016-05-26 21:47 - 6859776 _____ () C:\Users\Szymonn\AppData\Roaming\agent.dat
    2011-01-24 02:00 - 2011-01-24 02:00 - 0046191 _____ () C:\Users\Szymonn\AppData\Roaming\Influenza.h
    2016-05-26 21:44 - 2016-05-26 21:44 - 0128512 _____ () C:\Users\Szymonn\AppData\Roaming\Installer.dat
    2013-05-11 01:00 - 2013-05-11 01:00 - 0001788 _____ () C:\Users\Szymonn\AppData\Roaming\IsletMucluc.R
    2016-05-26 21:47 - 2016-05-26 21:47 - 0018432 _____ () C:\Users\Szymonn\AppData\Roaming\Main.dat
    2016-05-26 18:57 - 2016-05-26 04:54 - 195227240 _____ () C:\Users\Szymonn\AppData\Roaming\qqpcmgr_v11.4.26194.901_90132_Silence.exe
    2016-05-26 21:38 - 2016-05-26 11:30 - 0339968 _____ () C:\Users\Szymonn\AppData\Roaming\RandomDelJiheReg.exe
    2016-05-26 18:59 - 2016-03-03 04:14 - 0656952 _____ (Beijing Hongda wanfang technology Co.,Ltd.) C:\Users\Szymonn\AppData\Roaming\setup_31019.exe
    2016-05-26 21:39 - 2016-05-17 08:14 - 2496403 _____ ( ) C:\Users\Szymonn\AppData\Roaming\yeaplayer_51490.exe
    2016-05-26 21:38 - 2016-02-18 11:10 - 5267952 _____ () C:\Users\Szymonn\AppData\Roaming\ziptool_wc-9015_setup.exe
    2016-05-26 18:58 - 2016-05-25 11:46 - 5851648 _____ () C:\ProgramData\csrssf.exe
    2016-05-26 18:59 - 2016-05-26 11:30 - 0339968 _____ () C:\ProgramData\RandomDelJiheReg.exe
    C:\ProgramData\csrssf.exe
    C:\ProgramData\RandomDelJiheReg.exe
    EmptyTemp:

    W FRST wybierz napraw.

    0