Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Chiński wirus - logi FRST

Kar00lina 02 Wrz 2016 19:39 861 6
  • #1 02 Wrz 2016 19:39
    Kar00lina
    Poziom 2  

    Cześć, niechcący zainstalował mi się na komputerze jakiś chiński program, który sam instaluje jakieś dziadostwo na komputerze (mam Windowsa 10).
    Puściłam skan na Malwarebytes Anti-Malware oraz AdwCleaner. Niestety, program wciąż jest (ma ikone takiej pomaranczowej wiewiorki), komputer chodzi wolno.
    Przeczytałam kilka podobnych wątków i załączam logi z FRST i raport z Adwcleanera oraz printscreen pokazujący ikonkę tego programu, który jest wyjątkowo upierdliwy.
    Bardzo proszę o pomoc! :cry:
    Pozdrawiam

    0 6
  • #2 02 Wrz 2016 19:48
    Kolobos
    Spec od komputerów

    Obok frst.exe utworz plik Fixlist.txt z zawartoscia:
    Task: {0B29C9D5-4A72-4E33-806C-BD1E49286D0E} - System32\Tasks\UCBrowserUpdater => C:\Program Files (x86)\UCBrowser\Application\update_task.exe [2016-08-02] (UCWeb Inc) <==== UWAGA
    Task: {A3FA42B7-F1F5-4A89-8F56-FC8D6BC4DF08} - System32\Tasks\{1649465F-F5AB-461B-8929-07B83F43AC05} => pcalua.exe -a "C:\Program Files (x86)\LuDaShi\uninst.exe"
    Task: {CF49160E-AFEA-4599-B87B-2F0A8D853C35} - System32\Tasks\Moserslifoing Community => C:\Program Files (x86)\Verleried\moserslifoingCommunityRts.exe
    Task: {DE063B09-1A3A-490A-A656-2FA12CF0E198} - System32\Tasks\{60C73A23-C98C-4FEC-BA04-2C7E3B356097} => pcalua.exe -a "C:\Program Files (x86)\GreatMaker\MaohaWiFi\Uninstall.exe"
    Task: {E4187552-C373-42BE-8D29-004DFB14B218} - System32\Tasks\{497AC4D0-4FD4-4715-9ECD-F60F85DF672A} => pcalua.exe -a "C:\Program Files (x86)\LDSGameCenter\uninst.exe"
    Task: C:\WINDOWS\Tasks\CreateExplorerShellUnelevatedTask.job => C:\WINDOWS\explorer.exe
    Task: C:\WINDOWS\Tasks\UCBrowserUpdater.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe <==== UWAGA
    WMI_ActiveScriptEventConsumer_ASEC: <===== UWAGA
    ShortcutWithArgument: C:\Users\Karolina\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Karolina\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabests.cc
    Hosts:
    HKLM-x32\...\Run: [win_en_77] => [X]
    HKU\S-1-5-21-3848519003-504738762-2222436593-1001\...\Run: [4A9QCYLAGE] => "C:\Program Files (x86)\DPower\977XYSEP51.exe"
    GroupPolicy: Ograniczenia - Chrome <======= UWAGA
    FF Extension: (Web Slide Show Extension) - C:\Users\Karolina\AppData\Roaming\Mozilla\Firefox\Profiles\l2zmfk4n.default\extensions\{FCC777BA-8BCF-434b-A121-397D6270680F} [2016-05-28]
    CHR StartupUrls: tunseplikuphgeqerent -> "hxxp://www.google.com","hxxp://www.youndoo.com/?z=9f40dd98e5fb6055b24f0d6g0zdmeo6w3b8edb4z4m&from=amz&uid=WDCXWD10SPCX-21KHST0_WD-WX31AA45JLDZ5JLDZ&type=hp"
    CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] - hxxps://clients2.google.com/service/update2/crx
    R2 StumockanomertLauncher; C:\Program Files (x86)\Nadudom\seletelughtmanager.dll [309248 2016-08-30] () [Brak podpisu cyfrowego]
    R2 ibtsiva; %SystemRoot%\system32\ibtsiva [X]
    Task: {8BE8C266-70F7-483A-82FF-3C894B211BD9} - System32\Tasks\Stumockanomert Launcher => C:\Program Files (x86)\Nadudom\gilition.exe [2016-08-30] (Kunshan Aunbox software co.,Ltd)




    2016-08-31 22:34 - 2016-08-31 22:34 - 00000214 _____ C:\WINDOWS\Tasks\CreateExplorerShellUnelevatedTask.job
    2016-08-31 17:20 - 2016-08-31 22:37 - 00000000 ____D C:\AdwCleaner
    2016-08-30 20:42 - 2016-08-30 20:42 - 00003244 _____ C:\WINDOWS\System32\Tasks\{497AC4D0-4FD4-4715-9ECD-F60F85DF672A}
    2016-08-30 20:37 - 2016-08-30 20:37 - 00003232 _____ C:\WINDOWS\System32\Tasks\{1649465F-F5AB-461B-8929-07B83F43AC05}
    2016-08-30 20:20 - 2016-08-31 07:34 - 00250912 _____ C:\WINDOWS\SysWOW64\kz.exe
    2016-08-30 20:17 - 2016-08-30 20:17 - 00003264 _____ C:\WINDOWS\System32\Tasks\{60C73A23-C98C-4FEC-BA04-2C7E3B356097}
    2016-08-30 20:15 - 2016-08-30 20:15 - 00009030 _____ C:\WINDOWS\System32\Tasks\Stumockanomert Launcher
    2016-08-30 20:15 - 2016-08-30 20:15 - 00000000 ___HD C:\Program Files (x86)\pme482B
    2016-08-30 20:14 - 2016-08-31 09:47 - 00000000 ____D C:\Users\Karolina\AppData\Local\Thiverghtstakach
    2016-08-30 20:14 - 2016-08-31 01:38 - 00000000 ____D C:\Program Files (x86)\Nadudom
    2016-08-30 19:56 - 2016-08-30 20:01 - 00001617 _____ C:\Users\Karolina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器.lnk
    2016-08-30 19:56 - 2016-08-30 20:01 - 00000000 ____D C:\Users\Karolina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器
    2016-08-30 19:54 - 2016-08-31 22:00 - 00000474 _____ C:\WINDOWS\Tasks\UCBrowserUpdater.job
    2016-08-30 19:54 - 2016-08-30 20:20 - 00000000 ____D C:\Program Files\żěŃą
    2016-08-30 19:54 - 2016-08-30 19:54 - 00003498 _____ C:\WINDOWS\System32\Tasks\UCBrowserUpdater
    2016-08-30 19:54 - 2016-08-30 19:54 - 00000000 ___HD C:\Program Files (x86)\6azADB
    2016-08-30 19:53 - 2016-08-30 20:36 - 00000000 ____D C:\Program Files (x86)\AdAnti
    2016-08-30 19:53 - 2016-08-30 19:53 - 00000000 ___HD C:\Program Files (x86)\ihs70DD
    2016-08-30 19:53 - 2016-08-30 19:53 - 00000000 ____D C:\Users\Karolina\AppData\Local\UCBrowser
    2016-08-30 19:53 - 2016-08-30 19:53 - 00000000 ____D C:\Program Files (x86)\UCBrowser
    2016-08-30 19:52 - 2016-08-31 09:47 - 00000000 ___HD C:\Users\SoeasyHelper
    2016-08-30 19:52 - 2016-08-31 09:43 - 00000000 ____D C:\Users\Karolina\AppData\Local\Apps\2.0
    2016-08-30 19:52 - 2016-08-31 09:43 - 00000000 ____D C:\Program Files (x86)\Verleried_
    2016-08-30 19:52 - 2016-08-30 19:55 - 00000000 ____D C:\Users\Karolina\AppData\Local\wocuthercozesechuraent
    2016-08-30 19:52 - 2016-08-30 19:54 - 00009060 _____ C:\WINDOWS\System32\Tasks\Moserslifoing Community
    2016-08-30 19:52 - 2016-08-30 19:52 - 00138240 _____ C:\Users\Karolina\AppData\Roaming\Installer.dat
    2016-08-30 19:52 - 2016-08-30 19:52 - 00000000 ___HD C:\Program Files (x86)\jmn43C7
    2016-08-30 19:52 - 2016-08-30 19:52 - 00000000 ____D C:\ProgramData\Avg
    2016-08-30 19:52 - 2016-08-30 19:52 - 00000000 _____ C:\WINDOWS\SysWOW64\Number of results
    2016-08-31 22:38 - 2016-05-26 01:22 - 00000180 _____ C:\WINDOWS\system32\{A6D608F0-0BDE-491A-97AE-5C4B05D86E01}.bat
    2016-08-30 19:52 - 2016-08-30 19:52 - 0138240 _____ () C:\Users\Karolina\AppData\Roaming\Installer.dat
    EmptyTemp:

    W FRST wybierz Napraw.

    Usun katalog C:\FRST.

    0
  • #3 02 Wrz 2016 21:16
    Kar00lina
    Poziom 2  

    Dziękuję za odpowiedź.
    Puściłam fix na normalnym trybie, bo nie mogę u siebie włączyć awaryjnego (po wybraniu F4 - Włącz tryb awaryjny system twierdzi, że nie da się naprawić komputera i włacza się normalny tryb).
    Załączam log. Niestety wciąż wszystkie chińskie dodatki mam w komputerze :(

    0
  • #4 02 Wrz 2016 21:18
    Kolobos
    Spec od komputerów

    Zamiesc nowe logi z FRST, ze skanowania.

    0
  • #6 02 Wrz 2016 21:26
    Kolobos
    Spec od komputerów

    W ustawieniach Chrome usun przywracanie zestawu stron po starcie przegladarki.

    Usun recznie te trzy pliki:
    C:\WINDOWS\system32\{A6D608F0-0BDE-491A-97AE-5C4B05D86E01}.bat
    C:\Users\Karolina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器.lnk
    C:\Users\Karolina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器

    To wszystko.

    1
  • #7 02 Wrz 2016 21:35
    Kar00lina
    Poziom 2  

    Wszystko teraz jest ok, dziękuję bardzo za pomoc!

    Pozdrawiam :)
    Chiński wirus - logi FRST

    0