Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Usunięcie pozostałości po wirusach

Evesion 04 Paź 2016 22:17 609 8
  • #1 04 Paź 2016 22:17
    Evesion
    Poziom 3  

    Witam,
    mam problem, mianowicie wkradły mi się wirusy. Większość już usunęłam, ale czytając inne fora zauważyłam, że największy problem jest z UCguard który odznaczyłam w adw cleaner. Widziałam wiele porad, ale sama bez pomocy informatyka nic nie poradzę. Potrzebowałabym skrypt pod mój komputer i małe instrukcje krok po kroku jak go usunąć. :)
    Usunięcie pozostałości po wirusach

    0 8
  • Pomocny post
    #4 04 Paź 2016 23:04
    Kolobos
    Spec od komputerów

    Zrob kopie zakladek z Chrome, odinstaluj Chrome, usun katalog profilu: C:\Users\sima\AppData\Local\Google\Chrome\User Data\ChromeDefaultData i zainstaluj przegladarke ponownie.

    Obok frst.exe utworz plik Fixlist.txt z zawartoscia:
    Task: {13067730-6BFA-49A1-86E4-DCA563445363} - System32\Tasks\UCBrowserUpdater => C:\Program Files (x86)\UCBrowser\Application\update_task.exe [2016-08-02] (UCWeb Inc) <==== UWAGA
    Task: {1700CE22-25F2-4FC0-B770-3AFFC6197327} - System32\Tasks\{EB35E274-0E5A-40DC-AD14-E821A80B0609} => pcalua.exe -a F:\SETUP.EXE -d F:\
    Task: {31EB5EDC-0A9C-4FE2-9A36-20C7295FBDBB} - System32\Tasks\{4E4E7A6D-22F6-4F5A-A0EF-D8B9983AD457} => D:\Teamspeak 3\ts3client_win64.exe
    Task: {5F2FB8B3-B9C9-4ED1-A5B2-50944349219E} - System32\Tasks\{4A93441E-9312-4CF9-874A-C60B52DB8F73} => pcalua.exe -a "E:\OtherDriver\Intel SCT\Setup.exe" -d "E:\OtherDriver\Intel SCT" -c -s
    Task: {938417DA-0C49-4430-BC6C-774D07C17BBC} - System32\Tasks\{2600C05E-50CA-4026-A437-A99FCBF43AD1} => D:\Diablo\Diablo II\Diablo II.exe
    Task: {F43421F0-BCB4-49B1-8B9F-0E994C9E0BAD} - System32\Tasks\{000477D0-0D76-495C-91BF-F575211B1F3F} => D:\Diablo\Diablo II\Diablo II.exe
    Task: C:\Windows\Tasks\UCBrowserUpdater.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe <==== UWAGA
    Hosts:
    HKU\S-1-5-18\...\RunOnce: [SPReview] => C:\Windows\System32\SPReview\SPReview.exe [301568 2015-12-26] (Microsoft Corporation)
    ShellIconOverlayIdentifiers: [KzShlobj2] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F3} => Brak pliku
    C:\Program Files (x86)\UCBrowser\
    S2 Bokvunnu; "C:\Users\sima\AppData\Roaming\GowvePitpagf\Lurzem.exe" -cms [X]
    R1 UCGuard; C:\Windows\System32\DRIVERS\ucguard.sys [81792 2016-08-02] (Huorong Borui (Beijing) Technology Co., Ltd.) <==== UWAGA
    S3 MSICDSetup; \??\E:\CDriver64.sys [X]
    S3 NTIOLib_1_0_C; \??\E:\NTIOLib_X64.sys [X]
    S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X]
    S3 tsusbhub; system32\drivers\tsusbhub.sys [X]
    S3 VGPU; System32\drivers\rdvgkmd.sys [X]
    2016-10-04 19:50 - 2016-10-04 21:55 - 00000000 ____D C:\AdwCleaner
    2016-10-04 19:27 - 2016-10-04 19:27 - 00000000 ____D C:\Windows\system32\wayo
    2016-10-04 19:08 - 2016-10-04 19:44 - 00000000 ____D C:\Users\sima\AppData\Roaming\Geunfy
    2016-10-04 19:08 - 2016-10-04 19:43 - 00000000 ____D C:\Users\sima\AppData\LocalLow\Company
    2016-10-04 19:08 - 2016-10-04 19:08 - 00000000 ____D C:\Users\sima\AppData\Local\Tempfolder
    2016-10-04 19:07 - 2016-10-04 22:23 - 00000454 _____ C:\Windows\Tasks\UCBrowserUpdater.job
    2016-10-04 19:07 - 2016-10-04 19:07 - 00003426 _____ C:\Windows\System32\Tasks\UCBrowserUpdater
    2016-10-04 19:07 - 2016-10-04 19:07 - 00000000 ____D C:\Users\sima\AppData\Local\UCBrowser
    2016-10-04 19:07 - 2016-10-04 19:07 - 00000000 ____D C:\Program Files (x86)\UCBrowser
    2016-10-04 19:07 - 2016-10-04 19:07 - 00000000 _____ C:\TOSTACK
    2016-10-04 19:07 - 2016-08-02 08:55 - 00081792 _____ (Huorong Borui (Beijing) Technology Co., Ltd.) C:\Windows\system32\Drivers\ucguard.sys
    2016-10-04 19:05 - 2016-10-04 19:44 - 00000000 ____D C:\Program Files (x86)\Clutiph
    2016-10-04 19:05 - 2016-10-04 19:27 - 00000000 ____D C:\Users\sima\AppData\Roaming\Tibation
    2016-10-04 19:05 - 2016-10-04 19:05 - 00000000 ____D C:\Users\sima\AppData\Local\Drawerrydrizocult
    2016-10-02 16:55 - 2016-10-02 16:55 - 00000000 ____D C:\Users\sima\Desktop\matchmaking_server_picker_47_2
    2016-10-02 16:55 - 2016-10-02 16:55 - 00000000 ____D C:\Program Files\mmpicker
    2016-03-30 19:09 - 2016-03-30 19:09 - 0000016 _____ () C:\ProgramData\mntemp
    EmptyTemp:

    W FRST wybierz Napraw.

    Uzyj RepairDNS, napraw zainfekowane pliki dnsapi i zamiesc log, ktory sie utworzy:
    https://www.elektroda.pl/rtvforum/download.php?id=731083

    Do tego nowe logi z FRST, ze skanowania.

    Zrob tez pelny skan przy pomocy Mbam i usun to co wykryje:
    http://www.bleepingcomputer.com/download/malwarebytes-anti-malware/

    0
  • #5 04 Paź 2016 23:12
    Evesion
    Poziom 3  

    A co jeśli teraz FRST zawiesił się tak samo jak wcześniej adw cleaner? I nie chce się uruchomić nawet menadżer zadań? .. :(

    0
  • Pomocny post
    #6 04 Paź 2016 23:15
    Kolobos
    Spec od komputerów

    Zakoncz zawieszony frst o ile jeszcze jest wlaczony i uruchom ponownie.

    Fixlist mozesz tez wykonac uruchamiajac system w trybie awaryjnym (bez internetu), jezeli w normalnym sie zawiesza.

    0
  • #8 05 Paź 2016 00:26
    Kolobos
    Spec od komputerów

    Chrome nadal ma ustawiony ten szkodliwy profil.
    W Chrome przjedz do Ustawien -> Ustawienia > Osoby > Dodaj Osobe, zaloguj sie na nowy profil. Usun poprzedni profil (ten zainfekowany). Utworz nowy skrot na pasku do Chrome.

    Usun katalog C:\FRST.

    0
  • #9 05 Paź 2016 00:33
    Evesion
    Poziom 3  

    Kolobos ciii.. Mialam nadzieje ze nie zauwazysz.. ;p Wieeem, ja zauwazylam jak znowu go pobralam. Strasznie swirowal mi dzisiaj ten komp. Wiekszosc oczyscilam na sam koniec jeszcze adw cleanerem, jutro zrobie tak jak mowisz (usunal niby te pliki ucguarda dotyczace przegladarki). Ale chrom byl odinstalowany, jeszcze nie zdazylam sie nawet zalogowac wiec nie wiem.. Jutro juz to zobacze bo inaczej nie wstaje do pracy, mozliwe ze plik sie nie zapisal i wrzucilam poprzednia wersje. Meczylam sie z tym od 20:00 (1,5h zeszlo mi na zrozumieniu ze jesli adw sie crashuje to cos jest nie tak) i szczerze mam dosc. Tak jak napisalam, jutro postaram sie pokombinowac z chromem od nowa.

    Przepraszam za brak polskich znakow ale pisze z telefonu juz.

    0