Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Pełno reklam, dziwne zachowanie komputera

semreh 23 Cze 2016 11:01 522 5
  • #1 23 Cze 2016 11:01
    semreh
    Poziom 8  

    Witam, kolega ściągnął jakiegoś wirusa i prosił mnie o pomoc. Tak, więc z jego opowieści wynika, że nagle zaczęły instalować mu się programy takie jak MPC Cleaner, NetSpeed i inne tego typu programy. Na dodatek zmieniła się konfiguracja widoku, gdzie widać było ukryte pliki i foldery. Internet nie działał, ale tym się już zająłem (został zmieniony adres DNS). Próbowałem działać adwcleanerem, ale tym razem wiem, że to nie wystarczy. Proszę kogoś o pomoc w przejrzeniu logów i pomoc.

    0 5
  • #2 23 Cze 2016 11:23
    Kolobos
    Spec od komputerów

    Wejdz do katalogu C:\Program Files (x86)\MPC Cleaner\ i uruchom uninstall z prawami administratora.

    Odinstaluj:
    shopperz
    trotux - Uninstall

    Obok frst.exe utworz plik Fixlist.txt z zawartoscia:
    CloseProcesses:
    Task: {6AE8783F-92A8-49F9-8DB6-4C1C93453F4B} - System32\Tasks\Pritc => C:\Users\Marcin\AppData\Local\Temp\00019536\casrss.exe [2016-06-23] (VLOME) <==== UWAGA
    Task: {92C58480-2CD5-460D-ACCA-EB1EA8376412} - System32\Tasks\{62201D86-CA1A-4681-BA8A-1B0960FB3B32} => pcalua.exe -a "C:\Program Files (x86)\mpck\uninstaller.exe"
    Task: {97BB9D74-9AD7-4D99-AF5A-DAEB4ABEBAEE} - System32\Tasks\Ddophprokaly Module => C:\Program Files (x86)\Ddophprokaly\ddophprokalymdlts.exe [2016-06-23] ()
    Task: {BE358F0A-2AA1-4FB4-A63C-14DA1A1EDBAD} - System32\Tasks\UninstallDDS-C960901F-CE14-4DE1-9729-1305F719A337 => C:\WINDOWS\TEMP\DeleteFolderTask.exe [2016-06-09] () <==== UWAGA
    HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\McMPFSvc => ""="Service"
    Hosts:
    (DotC United Inc) C:\Program Files (x86)\MPC Cleaner\MPCProtectService.exe
    (DotC United Inc) C:\Program Files (x86)\MPC Cleaner\MPCTray.exe
    (DotC United Inc) C:\Program Files (x86)\MPC Cleaner\MPCTray64.exe
    HKLM\...\RunOnce: [OTUTPRODUCT_U4OBH] => C:\Program Files (x86)\mpck\otutnetwork.exe [439808 2016-06-23] (IMT)
    HKLM\...\RunOnce: [OTUTPRODUCT_WOKN4] => C:\Program Files (x86)\mpck\otutnetwork.exe [439808 2016-06-23] (IMT)
    HKU\S-1-5-21-3727283390-2263385202-2234524804-1001\...\Run: [Pritc] => C:\Users\Marcin\AppData\Local\Temp\00019536\casrss.exe [3445760 2016-06-23] (VLOME) <===== UWAGA
    HKU\S-1-5-21-3727283390-2263385202-2234524804-1001\...\Policies\Explorer: []
    AppInit_DLLs: C:\ProgramData\Holdtam\ZathLab.dll => Brak pliku
    AppInit_DLLs-x32: C:\ProgramData\Holdtam\Unahatbam.dll => Brak pliku
    Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\$McRebootA5E6DEAA56$.lnk [2016-06-23]
    ShortcutTarget: $McRebootA5E6DEAA56$.lnk -> (Brak pliku)
    Tcpip\..\Interfaces\{12D852D6-1129-45FD-9136-E9DE86061C69}: [DhcpNameServer] 172.21.1.171
    SearchScopes: HKLM-x32 -> DefaultScope - brak wartości
    CHR StartupUrls: ChromeDefaultData -> "hxxp://www.trotux.com/?z=a1d254a28ae64647a09e036g4z3q1qdq7qbb0odq5w&from=clc&uid=LITEONITXLCS-128M6S_002504102467&type=hp"
    CHR Extension: (SiteAdvisor) - C:\Users\Marcin\AppData\Local\Google\Chrome\User Data\ChromeDefaultData2\Extensions\fheoggkfdfchfphceeifdbepaooicaho [2016-06-23]
    CHR Extension: (Bazz Search) - C:\Users\Marcin\AppData\Local\Google\Chrome\User Data\ChromeDefaultData2\Extensions\pinhfkamckbogjgmbmdkdebbbpnmlaef [2016-06-23]
    R2 MPCProtectService; C:\Program Files (x86)\MPC Cleaner\MPCProtectService.exe [350688 2016-06-23] (DotC United Inc)
    S2 ddophprokalymdls; "C:\Program Files (x86)\Ddophprokaly\ddophprokalymdls.xhtm5" {79740E79-A383-47A7-B513-3DF6563D007F} {8C4CE252-7DB2-4F8E-8E76-BAD0E5826A83} [X]




    S2 Gukmadr; "C:\Users\Marcin\AppData\Roaming\OnojJegefi\Mosjikg.exe" -cms [X]
    R1 MPCKpt; C:\Windows\System32\DRIVERS\MPCKpt.sys [60136 2016-06-23] (DotC United Inc)
    2016-06-23 10:28 - 2016-06-23 10:28 - 00000000 ____D C:\Users\Marcin\AppData\Roaming\MCorp
    2016-06-23 10:23 - 2016-06-23 10:23 - 00001743 _____ C:\Users\Public\Desktop\MPC Cleaner.lnk
    2016-06-23 10:23 - 2016-06-23 10:23 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MPC
    2016-06-23 10:02 - 2016-06-23 10:02 - 00003082 _____ C:\WINDOWS\System32\Tasks\{62201D86-CA1A-4681-BA8A-1B0960FB3B32}
    2016-06-23 09:55 - 2016-06-23 09:55 - 00000000 ____D C:\WINDOWS\system32\aban
    2016-06-23 09:53 - 2016-06-23 09:53 - 00000000 ____D C:\Users\Marcin\AppData\Roaming\Wugfotgim
    2016-06-23 09:53 - 2016-06-23 09:53 - 00000000 ____D C:\Users\Marcin\AppData\Local\Tempfolder
    2016-06-23 09:52 - 2016-06-23 09:52 - 00002950 _____ C:\WINDOWS\System32\Tasks\Pritc
    2016-06-23 09:52 - 2016-06-23 09:52 - 00000000 ____D C:\Program Files\BagberkorduqUn
    2016-06-23 09:52 - 2016-06-23 09:52 - 00000000 ____D C:\Program Files\Bagberkorduq
    2016-06-23 09:51 - 2016-06-23 10:08 - 00000000 ____D C:\Program Files (x86)\Thopeentreihy
    2016-06-23 09:51 - 2016-06-23 09:55 - 00000000 ____D C:\Program Files (x86)\Dusymezoly
    2016-06-23 09:51 - 2016-06-23 09:51 - 00000000 ____D C:\Program Files (x86)\Ddophprokaly
    2016-06-23 09:51 - 2016-06-23 09:51 - 00000000 _____ C:\WINDOWS\SysWOW64\Number of results
    2016-06-23 09:50 - 2016-06-23 10:22 - 00000000 ____D C:\AdwCleaner
    2016-06-23 09:48 - 2016-06-23 09:56 - 00000000 ____D C:\Program Files (x86)\MPC Cleaner
    2016-06-23 09:48 - 2016-06-23 09:51 - 00060136 ____N (DotC United Inc) C:\WINDOWS\system32\Drivers\MPCKpt.sys
    2016-06-23 09:48 - 2016-06-23 09:51 - 00008982 _____ C:\WINDOWS\System32\Tasks\Ddophprokaly Module
    2016-06-23 09:48 - 2016-06-23 09:51 - 00000000 ____D C:\Program Files (x86)\mpck
    2016-06-23 09:48 - 2016-06-23 09:48 - 00001025 _____ C:\Users\Public\Desktop\NetSpeed.exe.lnk
    2016-06-23 09:48 - 2016-06-23 09:48 - 00000000 ____D C:\Program Files (x86)\NetSpeed
    2016-06-23 09:44 - 2016-06-23 09:44 - 06867456 _____ C:\Users\Marcin\AppData\Roaming\agent.dat
    2016-06-23 09:44 - 2016-06-23 09:44 - 02279413 _____ C:\Users\Marcin\AppData\Roaming\TanZoodox.bin
    2016-06-23 09:44 - 2016-06-23 09:44 - 01759888 _____ C:\Users\Marcin\AppData\Roaming\KonkSolis.tst
    2016-06-23 09:44 - 2016-06-23 09:44 - 00953856 _____ C:\Users\Marcin\AppData\Roaming\KonkSolis.exe
    2016-06-23 09:44 - 2016-06-23 09:44 - 00953856 _____ C:\Users\Marcin\AppData\Roaming\Freshtamstock.exe
    2016-06-23 09:44 - 2016-06-23 09:44 - 00128512 _____ C:\Users\Marcin\AppData\Roaming\Installer.dat
    2016-06-23 09:44 - 2016-06-23 09:44 - 00126464 _____ C:\Users\Marcin\AppData\Roaming\noah.dat
    2016-06-23 09:44 - 2016-06-23 09:44 - 00126464 _____ C:\Users\Marcin\AppData\Roaming\lobby.dat
    2016-06-23 09:44 - 2016-06-23 09:44 - 00072704 _____ C:\Users\Marcin\AppData\Roaming\Freshtamstock.tst
    2016-06-23 09:44 - 2016-06-23 09:44 - 00069024 _____ C:\Users\Marcin\AppData\Roaming\Config.xml
    2016-06-23 09:44 - 2016-06-23 09:44 - 00054272 _____ C:\Users\Marcin\AppData\Roaming\ApplicationHosting.dat
    2016-06-23 09:44 - 2016-06-23 09:44 - 00018432 _____ C:\Users\Marcin\AppData\Roaming\Main.dat
    2016-06-23 09:44 - 2016-06-23 09:44 - 00018288 _____ C:\Users\Marcin\AppData\Roaming\InstallationConfiguration.xml
    2016-06-23 09:44 - 2016-06-23 09:44 - 00005568 _____ C:\Users\Marcin\AppData\Roaming\md.xml
    2016-06-23 09:44 - 2016-06-23 09:44 - 00000000 ____D C:\ProgramData\Holdtams
    2016-06-23 09:44 - 2016-06-23 09:44 - 6867456 _____ () C:\Users\Marcin\AppData\Roaming\agent.dat
    2016-06-23 09:44 - 2016-06-23 09:44 - 0054272 _____ () C:\Users\Marcin\AppData\Roaming\ApplicationHosting.dat
    2016-06-23 09:44 - 2016-06-23 09:44 - 0069024 _____ () C:\Users\Marcin\AppData\Roaming\Config.xml
    2016-06-23 09:44 - 2016-06-23 09:44 - 0953856 _____ () C:\Users\Marcin\AppData\Roaming\Freshtamstock.exe
    2016-06-23 09:44 - 2016-06-23 09:44 - 0072704 _____ () C:\Users\Marcin\AppData\Roaming\Freshtamstock.tst
    2016-06-23 09:44 - 2016-06-23 09:44 - 0018288 _____ () C:\Users\Marcin\AppData\Roaming\InstallationConfiguration.xml
    2016-06-23 09:44 - 2016-06-23 09:44 - 0128512 _____ () C:\Users\Marcin\AppData\Roaming\Installer.dat
    2016-06-23 09:44 - 2016-06-23 09:44 - 0953856 _____ () C:\Users\Marcin\AppData\Roaming\KonkSolis.exe
    2016-06-23 09:44 - 2016-06-23 09:44 - 1759888 _____ () C:\Users\Marcin\AppData\Roaming\KonkSolis.tst
    2016-06-23 09:44 - 2016-06-23 09:44 - 0126464 _____ () C:\Users\Marcin\AppData\Roaming\lobby.dat
    2016-06-23 09:44 - 2016-06-23 09:44 - 0018432 _____ () C:\Users\Marcin\AppData\Roaming\Main.dat
    2016-06-23 09:44 - 2016-06-23 09:44 - 0005568 _____ () C:\Users\Marcin\AppData\Roaming\md.xml
    2016-06-23 09:44 - 2016-06-23 09:44 - 0126464 _____ () C:\Users\Marcin\AppData\Roaming\noah.dat
    2016-06-23 09:44 - 2016-06-23 09:44 - 2279413 _____ () C:\Users\Marcin\AppData\Roaming\TanZoodox.bin
    2016-06-23 09:44 - 2016-06-23 09:44 - 0032038 _____ () C:\Users\Marcin\AppData\Roaming\uninstall_temp.ico
    EmptyTemp:

    W FRST wybierz Napraw.

    Zrob pelny skan przy pomocy mbam:
    http://www.bleepingcomputer.com/download/malwarebytes-anti-malware/
    I usun to co wykryje.

    Zamiesc nowe logi z FRST, ze skanowania.

    :arrow: @xCandy
    Czy mozesz przestac pisac bezsensowne posty? W tym przypadku to nawet szkodliwa porada, widac, ze nie wiesz co robisz.
    Piszesz w wiekszosci watkow same bzdury lub jakies zbedne porady, ktore nawet nie maja zwiazku z tematem.
    Moze warto troche pomyslec czy faktycznie wiesz o co chodzi i czy musisz koniecznie zasmiecac dany watek.

    1
  • Pomocny post
    #4 23 Cze 2016 12:26
    Kolobos
    Spec od komputerów

    Nowy Fixlist.txt dla FRST:
    HKU\S-1-5-21-3727283390-2263385202-2234524804-1001\...\Run: [ComputerZ-Tray] => C:\Program Files (x86)\LuDaShi\ComputerZTray.exe [2927528 2016-06-13] ()
    S2 ADSkipSvc; C:\Program Files (x86)\ADSKIP\ADSkipSvc.exe [X]
    NETSVCx32: HpSvc -> C:\Program Files (x86)\LuDaShi\lpi\HpSvc.dll ()
    2016-06-23 11:45 - 2016-06-23 11:45 - 00000000 ____D C:\Users\Marcin\AppData\Roaming\lockhomepage
    2016-06-23 11:44 - 2016-06-23 11:46 - 00000000 ____D C:\Users\Marcin\AppData\Roaming\Ludashi
    2016-06-23 11:44 - 2016-06-23 11:44 - 00000000 ____D C:\Users\Marcin\AppData\Roaming\LDSGameAssistant
    2016-06-23 11:44 - 2016-06-23 11:44 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\鲁大师
    2016-06-23 11:44 - 2016-06-23 11:44 - 00000000 ____D C:\Program Files (x86)\LuDaShi
    2016-06-23 11:44 - 2016-06-23 11:44 - 00000000 ____D C:\Program Files (x86)\LDSGameCenter
    2016-06-23 11:42 - 2016-04-29 04:27 - 00054664 _____ () C:\WINDOWS\system32\Drivers\blNetFilter.sys
    2016-06-23 11:42 - 2016-04-27 03:57 - 00208264 _____ C:\WINDOWS\system32\Drivers\askProtect64.sys

    Po wykonaniu zamiesc fixlog.txt, ktory sie utworzy oraz nowy frst.txt.

    0
  • #6 23 Cze 2016 12:45
    Kolobos
    Spec od komputerów

    Nie wiem jak to skopiowales ale udalo Ci sie usunac wszystkie \, wykonaj jeszcze raz, sprawdz czy znowu sie nie skasowaly.

    0