Elektroda.pl
Elektroda.pl
X
CControls
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

UCGuard - trojan? Brak możliwości korzystania w normalny sposób z lapka

dlugi_86 10 Paź 2016 20:43 375 2
  • CControls
  • Pomocny post
    #2 10 Paź 2016 20:51
    Kolobos
    Spec od komputerów

    Uzywasz tego?
    HKU\S-1-5-21-643675317-4265702506-2419478483-1000\...\Run: [ModemOnHold] => C:\Program Files (x86)\Netwaiting\netWaiting.exe [25856 2008-01-16] (BVRP)
    Jezeli nie to tez dodaj do Fixlist.

    Wykonaj Fixlist.txt dla FRST:
    Task: {3BEDB99D-CFC7-4354-8BF8-62FCCBD6B5D9} - System32\Tasks\{7B14D8EB-7C8B-4648-B048-1B0B27DA6FF1} => pcalua.exe -a "C:\Program Files (x86)\Common Files\DVDVideoSoft\lib\Uninstall.exe"
    Task: {6903D15F-FED6-4A02-ADB7-D38A91235DC1} - System32\Tasks\UCBrowserUpdater => C:\Program Files (x86)\UCBrowser\Application\update_task.exe <==== UWAGA
    Task: {713EF61C-BC36-4E23-AF36-CCC77888D9E8} - System32\Tasks\{D58284D5-A172-4C9D-BEA1-06C1952F50CE} => pcalua.exe -a "C:\Program Files\SpaceSoundPro\uninstaller.exe"
    Task: C:\Windows\Tasks\UCBrowserUpdater.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe <==== UWAGA
    Hosts:
    HKLM\...\Run: [SpaceSoundPro] => "C:\Program Files\SpaceSoundPro\SpaceSoundPro.exe"
    HKLM-x32\...\Run: [] => [X]
    HKLM-x32\...\Run: [app] => C:\Program Files (x86)\hhh\uc.exe
    HKU\S-1-5-21-643675317-4265702506-2419478483-1000\...\Run: [svchost0] => "C:\Program Files (x86)\UCBrowser\Application\UCBrowser.exe"\UUC0789.exe
    HKU\S-1-5-21-643675317-4265702506-2419478483-1000\...\Run: [apphide] => C:\Program Files (x86)\hhh\uc.exe
    HKU\S-1-5-21-643675317-4265702506-2419478483-1000\...\Run: [HCDNClient] => "C:\Program Files (x86)\IQIYI Video\LStyle\5.4.28.3179\QyKernel.exe" -shell_start
    HKU\S-1-5-21-643675317-4265702506-2419478483-1000\...\MountPoints2: {ab9568a2-8192-11e5-821a-a04ab6e0f578} - G:\HiSuiteDownLoader.exe
    HKU\S-1-5-21-643675317-4265702506-2419478483-1000\...\MountPoints2: {bf751259-d944-11e5-ba0d-c91e6e4ce27c} - F:\Install.exe
    HKU\S-1-5-18\...\Run: [] => 0
    ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku
    SearchScopes: HKU\S-1-5-21-643675317-4265702506-2419478483-1000 -> {95B7759C-8C7F-4BF1-B163-73684A933233} URL = hxxps://mysearch.avg.com/search?cid={3542BEBD-74CE-4C23-915D-08C866A405F6}&mid=324dc1ce0fc647cdbd6a3ed6089494fe-ca03f3e5c5bcac925d86494c96beef065bed2504&lang=pl&ds=AVG&coid=avgtbavg&cmpid=0116pii&pr=fr&d=2016-02-19 18:14:58&v=4.2.6.552&pid=wtu&sg=&sap=dsp&q={searchTerms}
    BHO-x32: °®ĆćŇŐÖúĘÖ -> {FB4F6285-4C32-49F2-950F-A5998F9CEC6C} -> C:\Program Files (x86)\IQIYI Video\LStyle\5.4.28.3179\Accelerator\IEHelper.dll => Brak pliku
    FF Plugin: @iqiyi.com/npclient -> C:\Program Files (x86)\IQIYI Video\LStyle\5.4.28.3179\npclient.dll [Brak pliku]
    FF Plugin-x32: @iqiyi.com/npclient -> C:\Program Files (x86)\IQIYI Video\LStyle\5.4.28.3179\npclient.dll [Brak pliku]
    R1 UCGuard; C:\Windows\System32\DRIVERS\ucguard.sys [81792 2016-08-02] (Huorong Borui (Beijing) Technology Co., Ltd.) <==== UWAGA
    U0 aswVmm; Brak ImagePath
    S3 pccsmcfd; system32\DRIVERS\pccsmcfdx64.sys [X]
    2016-10-10 14:53 - 2016-10-10 14:53 - 00000000 ____D C:\Users\Public\QiYi
    2016-10-10 13:42 - 2016-10-10 16:44 - 00000000 ____D C:\AdwCleaner
    2016-10-10 13:09 - 2016-10-10 13:09 - 00003090 _____ C:\Windows\System32\Tasks\{D58284D5-A172-4C9D-BEA1-06C1952F50CE}
    2016-10-10 12:49 - 2016-10-10 16:52 - 00000450 _____ C:\Windows\Tasks\UCBrowserUpdater.job
    2016-10-10 12:49 - 2016-10-10 12:50 - 00000000 ____D C:\Users\ja\AppData\Roaming\IQIYI Video
    2016-10-10 12:49 - 2016-10-10 12:49 - 00003418 _____ C:\Windows\System32\Tasks\UCBrowserUpdater
    2016-10-10 12:48 - 2016-10-10 12:48 - 00000000 ____D C:\Users\ja\AppData\Local\UCBrowser
    2016-10-10 12:48 - 2016-08-02 08:55 - 00081792 _____ (Huorong Borui (Beijing) Technology Co., Ltd.) C:\Windows\system32\Drivers\ucguard.sys
    2016-10-10 12:47 - 2016-10-10 12:47 - 00000000 ____D C:\Users\ja\AppData\Roaming\Microleaves
    EmptyTemp:

    Po wykonaniu usun katalog C:\FRST, uzyj Adwc.

    Zrob tez pelny skan przy pomocy Mbam i usun to co wykryje:
    http://www.bleepingcomputer.com/download/malwarebytes-anti-malware/

    0
  • CControls
  • #3 10 Paź 2016 21:58
    dlugi_86
    Poziom 9  

    Jak ręką odjął,
    Dzięki serdeczne.
    UCGuard - trojan? Brak możliwości korzystania w normalny sposób z lapka

    0