Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Zainfekowany komp - wirusy / malware na komputerze

PP2300 22 Cze 2016 16:02 798 7
  • #1 22 Cze 2016 16:02
    PP2300
    Poziom 2  

    Witam!

    Nie sądziłem, że mnie to spotka, ale nie mogę sobie poradzić z infekcją komputera.
    Z większością zainstalowanych programów jakoś dałem radę, ale coś jeszcze zostało i to coś wyświetla mi niechciane strony w chrome. Dodatkowo nie mogę usunąć z procesów: MPCProtectService.exe. Plików również nie da się usunąć z poziomu folderu.

    Skany jakie porobiłem: CCleaner, ADWcleaner.
    W panelu sterowania nie ma żadnych śladów po programach.

    Przesyłam logi, proszę o pomoc.

    0 7
  • Pomocny post
    #3 22 Cze 2016 18:05
    krzychupar
    Poziom 40  

    Otwórz notatnik i wklej:
    Task: {198027FE-C9F2-4836-A2DF-AC31007CD2A5} - \PCDEventLauncherTask -> Brak pliku <==== UWAGA
    Task: {1EF6A6EA-7117-4528-A8DB-82E17103503B} - System32\Tasks\{1F4CE242-D7E6-4477-B6A3-5CAC88040D96} => pcalua.exe -a "C:\Program Files\ZipTool\Uninstall.exe" -c -m=control
    Task: {36200CD6-774F-47BD-9E19-8720067BDC33} - \PCDoctorBackgroundMonitorTask -> Brak pliku <==== UWAGA
    Task: {9B786A70-C5EE-40C1-BA10-6DBB936450FA} - System32\Tasks\{8618482A-1B4A-4C8E-995C-D7F28CBBC18F} => pcalua.exe -a "C:\Program Files (x86)\Common Files\Betacom\uninstall.exe" -c shuz -f "C:\Program Files (x86)\Common Files\Betacom\uninstall.dat" -a uninstallme 83B8F1BD-3CDA-4CC5-A690-787FE309C1D5 DeviceId=b2900806-82d2-e730-9f8f-11c787470dcb BarcodeId=51129011 ChannelId=11 DistributerName=APSFSWAds
    Task: {9ED2C3E2-E88E-43D8-BDE3-BB231277D5A4} - \SystemToolsDailyTest -> Brak pliku <==== UWAGA
    Task: {DA675FCA-F65D-421F-8B01-9D299ECA1B89} - \Pritc -> Brak pliku <==== UWAGA
    Task: {DB7098F0-1369-4E6E-8007-108BF5D2BA12} - System32\Tasks\{1B632513-4076-4749-A3B4-9544D783ABC4} => pcalua.exe -a "C:\Program Files (x86)\Wifisrv\Uninstall.exe"
    ShortcutWithArgument: C:\Users\Patryk\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Aplikacje Chrome\Pulpit zdalny Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory="Profile 1" --app-id=gbchcmhmhahfdphkhkmpfmihenigjmpp
    ShortcutWithArgument: C:\Users\Patryk\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> "hxxp://safebrowsing.biz/?ssid=1466592489&a=1003478&src=sh&uuid=97414c63-b1c6-4b5f-9399-482eabaa863d"
    HKU\S-1-5-21-3508766894-4193665696-1189525187-1001\...\MountPoints2: {6779c0c3-ffb3-11e5-9678-7c7a917bd0ad} - "D:\Autorun.exe"
    AutoConfigURL: [S-1-5-21-3508766894-4193665696-1189525187-1001] => hxxp://unstops.info/wpad.dat?2dd7232e76fe72180c812d22d7223c3612031813
    HKU\S-1-5-21-3508766894-4193665696-1189525187-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://dell13.msn.com/?pc=DCJB
    SearchScopes: HKU\S-1-5-21-3508766894-4193665696-1189525187-1001 -> DefaultScope {F0143668-DF5B-4185-B589-FCD1832860A5} URL =
    SearchScopes: HKU\S-1-5-21-3508766894-4193665696-1189525187-1001 -> {F0143668-DF5B-4185-B589-FCD1832860A5} URL =
    FF Plugin: @mcafee.com/MSC,version=10 -> C:\Program Files\mcafee\msc\npMcSnFFPl64.dll [Brak pliku]
    FF Plugin-x32: @mcafee.com/MSC,version=10 -> C:\Program Files (x86)\McAfee\msc\npMcSnFFPl.dll [Brak pliku]
    FF HKLM-x32\...\Thunderbird\Extensions: [msktbird@mcafee.com] - C:\Program Files\McAfee\MSK => nie znaleziono




    S2 ADSkipSvc; C:\Program Files (x86)\ADSKIP\ADSkipSvc.exe [X]
    S2 awpNdfs; "C:\Program Files (x86)\Awaphhogecult\awpNdfs.xhtm5" {79740E79-A383-47A7-B513-3DF6563D007F} {8C4CE252-7DB2-4F8E-8E76-BAD0E5826A83} [X]
    S2 HpSvc; C:\Program Files (x86)\LuDaShi\lpi\HpSvc.dll [X]
    S2 ComputerZLock; \??\C:\Program Files (x86)\LuDaShi\ComputerZLock_x64.sys [X]
    S3 ComputerZ_x64; \??\C:\Program Files (x86)\LuDaShi\ComputerZ_x64.sys [X]
    NETSVCx32: HpSvc -> C:\Program Files (x86)\LuDaShi\lpi\HpSvc.dll ==> Brak pliku
    2016-06-22 15:23 - 2016-06-22 15:23 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MPC
    2016-06-22 12:55 - 2016-05-16 08:57 - 10167000 _____ (深圳市驱动人生软件技术有限公司) C:\Users\Patryk\AppData\Roaming\160wifi_wcid-6089.exe
    2016-06-22 12:54 - 2016-06-22 14:34 - 00000000 ____D C:\Program Files (x86)\MPC Cleaner
    2016-06-22 12:54 - 2016-06-22 12:54 - 00060136 _____ (DotC United Inc) C:\WINDOWS\system32\Drivers\MPCKpt.sys
    2016-06-22 12:54 - 2016-06-22 12:54 - 00009070 _____ C:\WINDOWS\System32\Tasks\Awaphhogecult Nodifier
    2016-06-22 12:48 - 2016-06-22 12:48 - 06867456 _____ C:\Users\Patryk\AppData\Roaming\agent.dat
    2016-06-22 12:48 - 2016-06-22 12:48 - 02279413 _____ C:\Users\Patryk\AppData\Roaming\Sandex.bin
    2016-06-22 12:48 - 2016-06-22 12:48 - 01759888 _____ C:\Users\Patryk\AppData\Roaming\New-Stock.tst
    2016-06-22 12:48 - 2016-06-22 12:48 - 00126464 _____ C:\Users\Patryk\AppData\Roaming\noah.dat
    2016-06-22 12:48 - 2016-06-22 12:48 - 00126464 _____ C:\Users\Patryk\AppData\Roaming\lobby.dat
    2016-06-22 12:48 - 2016-06-22 12:48 - 00072716 _____ C:\Users\Patryk\AppData\Roaming\Cofphase.tst
    2016-06-22 12:48 - 2016-06-22 12:48 - 00069024 _____ C:\Users\Patryk\AppData\Roaming\Config.xml
    2016-06-22 12:48 - 2016-06-22 12:48 - 00054272 _____ C:\Users\Patryk\AppData\Roaming\ApplicationHosting.dat
    2016-06-22 12:48 - 2016-06-22 12:48 - 00018432 _____ C:\Users\Patryk\AppData\Roaming\Main.dat
    2016-06-22 12:48 - 2016-06-22 12:48 - 00005568 _____ C:\Users\Patryk\AppData\Roaming\md.xml
    2016-06-22 12:48 - 2016-06-22 12:48 - 00000000 ____D C:\ProgramData\Holdtams
    2016-06-22 12:48 - 2016-06-22 12:47 - 00953856 _____ C:\Users\Patryk\AppData\Roaming\New-Stock.exe
    2016-06-22 12:47 - 2016-06-22 12:47 - 00953856 _____ C:\Users\Patryk\AppData\Roaming\Cofphase.exe
    2016-06-22 12:47 - 2016-06-22 12:47 - 00848437 _____ C:\Users\Patryk\AppData\Roaming\Physkix.bin
    2016-06-22 12:47 - 2016-06-22 12:47 - 00128512 _____ C:\Users\Patryk\AppData\Roaming\Installer.dat
    2016-06-22 12:47 - 2016-06-22 12:47 - 00018288 _____ C:\Users\Patryk\AppData\Roaming\InstallationConfiguration.xml
    2016-06-22 12:55 - 2016-05-16 08:57 - 10167000 _____ (深圳市驱动人生软件技术有限公司) C:\Users\Patryk\AppData\Roaming\160wifi_wcid-6089.exe
    2016-06-22 12:54 - 2016-06-21 06:38 - 1618944 _____ (TODO: <公司名>) C:\Users\Patryk\AppData\Roaming\MemuDlr.exe
    2016-06-22 12:48 - 2016-06-22 12:48 - 1759888 _____ () C:\Users\Patryk\AppData\Roaming\New-Stock.tst
    2016-06-22 12:47 - 2016-06-22 12:47 - 0848437 _____ () C:\Users\Patryk\AppData\Roaming\Physkix.bin
    2016-06-22 12:54 - 2016-06-07 09:02 - 0343040 _____ () C:\Users\Patryk\AppData\Roaming\RandomDelJiheReg.exe
    2016-06-22 12:48 - 2016-06-22 12:48 - 2279413 _____ () C:\Users\Patryk\AppData\Roaming\Sandex.bin
    2016-06-22 12:48 - 2016-06-22 12:48 - 0032038 _____ () C:\Users\Patryk\AppData\Roaming\uninstall_temp.ico
    2016-06-22 12:56 - 2016-05-26 10:51 - 4761392 _____ () C:\Users\Patryk\AppData\Roaming\usbboxlite_4001_o_8209_hn.exe
    2016-06-22 12:55 - 2016-06-21 07:16 - 1611264 _____ () C:\Users\Patryk\AppData\Roaming\WebOptimum_.exe
    2016-06-22 12:57 - 2016-02-18 10:10 - 5267952 _____ () C:\Users\Patryk\AppData\Roaming\ziptool_wc-9015_setup.exe
    2016-06-22 09:59 - 2016-06-22 09:59 - 0024024 _____ () C:\Users\Patryk\AppData\Local\recently-used.xbel
    EmptyTemp:

    Plik zapisz pod nazwą fixlist.txt i umieść w folderze gdzie znajduje się FRST.exe
    Uruchom FRST i kliknij w Fix/Napraw.

    1
  • #4 23 Cze 2016 10:53
    PP2300
    Poziom 2  

    Wklejam log i nowe skany.

    Trochę pomogło, ale tylko trochę. Wciąż w procesach widzę:
    MPCProtectService.exe, którego nie można wyłączyć (odmowa dostępu, mimio konta administratora).

    Dalej uruchamiają się niechciane strony - choć już trochę rzadziej.

    0
  • Pomocny post
    #5 23 Cze 2016 11:15
    Kolobos
    Spec od komputerów

    Wejdz do katalogu C:\Program Files (x86)\MPC Cleaner\ i uruchom uninstall z prawami administratora.

    Uruchom FRST z poziomu WinRe:
    http://www.fixitpc.pl/topic/4414-diagnostyka-infekcji-na-niestartuj%C4%85cych-windows/

    Nastepnie wykonaj Fixlist.txt:
    CloseProcesses:
    Task: {F482D7BE-88FC-451A-9440-92326404A654} - System32\Tasks\CreateExplorerShellUnelevatedTask => /NOUACCHECK
    Task: {F7AF4063-D21B-42E5-B55D-8DF2EAF78FA8} - \Awaphhogecult Nodifier -> Brak pliku <==== UWAGA
    (DotC United Inc) C:\Program Files (x86)\MPC Cleaner\MPCProtectService.exe
    ShellExecuteHooks: - {6710C780-E20E-4C49-A87D-321850ED3D7C} - C:\Users\Patryk\AppData\Local\Microsoft\Windows\INetCookies\foneph.dll [393720 2016-06-22] ()
    FF SearchPlugin: C:\Users\Patryk\AppData\Roaming\Profiles\o4n0fzkl.default\searchplugins\rdz0q0e2.xml [2016-06-22]
    R2 MPCProtectService; C:\Program Files (x86)\MPC Cleaner\MPCProtectService.exe [350688 2016-06-22] (DotC United Inc)
    S2 ADSkipSvc; C:\Program Files (x86)\ADSKIP\ADSkipSvc.exe [X]
    R1 MPCKpt; C:\Windows\System32\DRIVERS\MPCKpt.sys [60136 2016-06-22] (DotC United Inc)
    R0 RDBJJTYNGH; C:\Windows\System32\Drivers\askProtect64.sys [208776 2016-05-11] ()
    S3 blNetFilter; C:\WINDOWS\system32\drivers\blNetFilter.sys [54664 2016-05-11] ()
    2016-06-23 09:01 - 2016-06-23 09:01 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MPC
    2016-06-22 17:00 - 2016-06-23 09:01 - 00000000 ____D C:\WINDOWS\System32\Tasks\Remediation
    2016-06-22 13:11 - 2016-06-22 13:11 - 00021184 _____ C:\WINDOWS\system32\Drivers\cdmsnrootw_s.sys
    2016-06-22 12:58 - 2016-06-22 12:59 - 00000000 ____D C:\Users\Patryk\AppData\Roaming\Ludashi
    2016-06-22 12:58 - 2016-06-22 12:58 - 00000000 ____D C:\Users\Patryk\AppData\Roaming\lockhomepage
    2016-06-22 12:57 - 2016-06-22 12:57 - 00000000 ____D C:\Users\Patryk\AppData\Roaming\LDSGameAssistant
    2016-06-22 12:56 - 2016-06-22 12:59 - 03703360 _____ C:\Users\Patryk\Downloads\adwcleaner_5.200 (1).exe
    2016-06-22 12:54 - 2016-06-22 14:34 - 00000000 ____D C:\Program Files (x86)\MPC Cleaner
    2016-06-22 12:54 - 2016-06-22 12:54 - 00060136 _____ (DotC United Inc) C:\WINDOWS\system32\Drivers\MPCKpt.sys
    2016-06-22 12:54 - 2016-05-11 07:56 - 00054664 _____ () C:\WINDOWS\system32\Drivers\blNetFilter.sys
    2016-06-22 12:54 - 2016-05-11 07:31 - 00208776 _____ C:\WINDOWS\system32\Drivers\askProtect64.sys
    2016-06-22 12:53 - 2016-06-22 12:53 - 00003632 _____ C:\WINDOWS\System32\Tasks\CreateExplorerShellUnelevatedTask


    Po wykonaniu zamiesc nowe logi ze skanowania, wykonane juz w trybie normalnym.

    0
  • Pomocny post
    #7 23 Cze 2016 13:44
    Kolobos
    Spec od komputerów

    > Chrome jeszcze otwiera zakładki.

    Jakie? Jezeli otwiera jakies szkodliwe strony to zresetuj ustawienia przegladarki do domyslnych.

    Nowy Fixlist.txt dla FRST:
    Task: {F482D7BE-88FC-451A-9440-92326404A654} - \CreateExplorerShellUnelevatedTask -> Brak pliku <==== UWAGA
    Task: {F7AF4063-D21B-42E5-B55D-8DF2EAF78FA8} - \Awaphhogecult Nodifier -> Brak pliku <==== UWAGA
    ShellExecuteHooks: - {6710C780-E20E-4C49-A87D-321850ED3D7C} - Brak pliku [ ]
    Tcpip\..\Interfaces\{9db2a805-32cb-4e65-9d55-86bf910f8363}: [DhcpNameServer] 13.36.0.102
    FF SearchPlugin: C:\Users\Patryk\AppData\Roaming\Profiles\o4n0fzkl.default\searchplugins\rdz0q0e2.xml [2016-06-22]

    Po wykonaniu usun katalog C:\FRST i to wszystko.

    0