Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Wirus w systemie: rewrun3.exe i sxtrace.exe

lisuu007 13 Lis 2016 23:32 2124 16
  • #1 13 Lis 2016 23:32
    lisuu007
    Poziom 8  

    Witam, chciałbym prosić o pomoc ..najprawdopodobniej robak zawirusował mi laptopa. Otóż w pewnym momencie przestała działać przeglądarka google z błędem: (Rewrun3.exe).
    Przeskanowałem system programem: Anti Malwarebyte i znalazł on 16 pozycji do usunięcia. po usunięciu błąd google nie ustąpił,a dodatkowo mam problem z właczenie jakiegokolwiek innego programu:
    "Nie można uruchomić aplikacji, ponieważ jej konfiguracja równoczesna jest niepoprawna.... sxtrace.exe "

    Próbowałem naprawić ten plik, ale program który to umożliwia też nie chce się odpalić, ponieważ wyrzuca ten błąd..

    Pozostaje mi jedynie pisać do was z maszyny wirtualnej.[/quote]

    0 16
  • #3 14 Lis 2016 17:18
    lisuu007
    Poziom 8  

    Dzięki za szybką odpowiedź, jednak skorzystałem wcześniej z pomocy serwisu Windows:
    https://support.microsoft.com/pl-pl/kb/2688326

    i zrobiłem podobnie jak na załączonych poradach i teraz to juz nawet ..regedit nie mogę odpalić..
    mój system to oryginalny WiN 10.

    Na forum muszę logować się z pożyczonego sprzetu.;/

    0
  • #5 15 Lis 2016 00:32
    lisuu007
    Poziom 8  

    Cytat:

    Windows Registry Editor Version 5.00
    [HKEY_CLASSES_ROOT\.exe]
    @="exefile"
    "Content Type"="application/x-msdownload"
    [HKEY_CLASSES_ROOT\.exe\PersistentHandler]
    @="{098f2470-bae0-11cd-b579-08002b30bfeb}"
    [HKEY_CLASSES_ROOT\exefile]
    @="Application"
    "EditFlags"=hex:38,07,00,00
    "FriendlyTypeName"=hex(2):40,00,25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,\
    00,6f,00,6f,00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,\
    32,00,5c,00,73,00,68,00,65,00,6c,00,6c,00,33,00,32,00,2e,00,64,00,6c,00,6c,\
    00,2c,00,2d,00,31,00,30,00,31,00,35,00,36,00,00,00
    [HKEY_CLASSES_ROOT\exefile\DefaultIcon]
    @="%1"
    [HKEY_CLASSES_ROOT\exefile\shell]
    [HKEY_CLASSES_ROOT\exefile\shell\open]
    "EditFlags"=hex:00,00,00,00
    [HKEY_CLASSES_ROOT\exefile\shell\open\command]
    @="\"%1\" %*"
    "IsolatedCommand"="\"%1\" %*"
    [HKEY_CLASSES_ROOT\exefile\shell\runas]
    [HKEY_CLASSES_ROOT\exefile\shell\runas\command]
    @="\"%1\" %*"
    "IsolatedCommand"="\"%1\" %*"
    [HKEY_CLASSES_ROOT\exefile\shellex]
    [HKEY_CLASSES_ROOT\exefile\shellex\DropHandler]
    @="{86C86720-42A0-1069-A2E8-08002B30309D}"
    [HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHandlers]
    [HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHandlers\PifProps]
    @="{86F19A00-42A0-1069-A2E9-08002B30309D}"
    [HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHandlers\ShimLayer Property Page]
    @="{513D916F-2A8E-4F51-AEAB-0CBC76FB1AF8}"
    [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.exe\UserChoice]
    [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.exe\UserChoice1]

    znalazłem to w necie ..i o dziwo pomogło odblokować regedit!!

    ..ale zadnego programu nie odpale przez bład ...sxtrace.exe ;/

    zrobić to co piszą na forach, czyli odinstalować wszystkie składniki microsoft visual ++ ?

    0
  • #6 15 Lis 2016 09:00
    Kolobos
    Spec od komputerów

    Zmien nazwe pliku frst.exe na 123.com lub 124.scr i sprobuj uruchomic.

    0
  • #7 15 Lis 2016 19:43
    lisuu007
    Poziom 8  

    próbuje uruchomic z pendriva i nic..

    a dokładniej: F:\124.scr.exe bład znów sxtrace.exe

    (moze dlatego ze dalej widzi go jako aplikacje)

    0
  • #9 15 Lis 2016 23:32
    lisuu007
    Poziom 8  

    Robię dokładnie tak jak piszesz Kolobos, musiałem zmienić w opcjach folderów by zmieniało to rozszerzenia nie tylko nazwe.
    To nie pomogło - ale zrobiłem dokładnie to co w linku i udało się przeskanować system.

    W załaczniku plik:

    0
  • #10 16 Lis 2016 09:49
    Kolobos
    Spec od komputerów

    Masz sporo punktow przywracania, probowales przywrocic?

    0
  • #11 16 Lis 2016 10:43
    lisuu007
    Poziom 8  

    Nie próbowałem, nigdy z tego nie korzystałem więc nie mam pojęcia co z czym.
    Zastanawiam się czy nie zostawić tego wszystkiego .. i zainstalować WiN 7, mam tu juz problem z WiUSB - nie moge zainstalować kabla do PLC, próbuje to naprawić jak jest opisane w necie i dalej to samo. Na innych kompach rusza to od razu - poza tym WiN 10 nie obsługuje wielu programów.

    Może jednak uda sie przywrócić tego kompa do uzywalności, dam go dziewczynie a sam kupie jakiegoś dobrego Thinkpada.

    P.S. Masz może orientacje czy windows 7 COA za ok. 150zł z serwisu aukcyjnego bedzie orginałem?

    EDIT
    Jednak jeśli można to chciałbym pociągnąć dalej tą sprawe ;) co proponujesz teraz?

    Posty scaliłem.
    Proszę byś w przypadku dodawania informacji, gdy nikt jeszcze nie zamieścił odpowiedzi, używał przycisku "zmień", nie publikując postu pod postem.
    RADU23

    0
  • #12 16 Lis 2016 18:15
    Kolobos
    Spec od komputerów

    Sprawdz przywracanie tak jak pisalem.

    0
  • #13 16 Lis 2016 18:40
    lisuu007
    Poziom 8  

    Przywrócić system moge w tył tylko o 4 pozycje (konretnie 4 poprawki) ..nic mi to nie dało ;/

    a co z odinstalowywaniem i ponownym zainstalowaniem wszystkich:
    Microsoft Visual C++ 2005 Redistributable Package (x64)
    Microsoft Visual C++ 2008 .....itp ?

    0
  • #14 20 Lis 2016 21:26
    lisuu007
    Poziom 8  

    Tamten laptop poszedł do przeinstalowania systemu, natomiast mam problem z laptopem ojca.. teraz on się zaraził. Przesyłam pliki z FRST.
    Objawy.. chińska aplikacja, nie chodzący Chrome i anti-malware wyrzuca co chwila coś..

    Poproszę o pomoc.

    0
  • #15 21 Lis 2016 09:16
    Acorus 20
    Spec od komputerów

    Jeszcze Addition.txt

    0
  • #17 21 Lis 2016 18:07
    Acorus 20
    Spec od komputerów

    Odinstaluj Avast Free Antivirus, Java(TM) 6 Update 20. Otwórz notatnik systemowy i wklej:

    Cytat:
    Task: {0EA2B801-D05B-4369-96FF-3DAEBC855279} - System32\Tasks\Reipution Host => C:\Program Files (x86)\Tolackcebersh\qaqersp.exe [2016-11-20] (Glarysoft Ltd)
    Task: {34615399-9DDF-4D17-9C70-644D7C28AB44} - \snp -> Brak pliku <==== UWAGA
    Task: {3CE8D0D9-F439-425B-BE2A-81E90C40CABF} - System32\Tasks\AVAST Software\Avast settings backup => C:\Program Files\Common Files\AV\avast! Antivirus\backup.exe [2016-06-05] (AVAST Software)
    Task: {49ECA888-98E4-4640-AAB3-C29C7BAB070B} - \KuaiZip_Update -> Brak pliku <==== UWAGA
    Task: {60156DA1-FF97-4C4B-9827-888F8AA9B057} - System32\Tasks\UCBrowserUpdater => C:\Program Files (x86)\UCBrowser\Application\update_task.exe [2016-11-16] (UCWeb Inc) <==== UWAGA
    Task: {6C26185B-3323-4BEF-9C67-18BA8C47877B} - System32\Tasks\SecureUpdater => C:\Program Files (x86)\UCBrowser\Application\uclauncher.exe [2016-11-20] (UC Web Inc.) <==== UWAGA
    Task: {7C8EEDA5-784D-4B20-871F-CB1546CDD984} - System32\Tasks\UCBrowserUpdaterCore => C:\Program Files (x86)\UCBrowser\Application\update_task.exe [2016-11-16] (UCWeb Inc) <==== UWAGA
    Task: {ACFD1F17-F590-49FA-A471-FC29ABF8F45A} - \psv_Vila-Hold -> Brak pliku <==== UWAGA
    Task: {C817B8B4-38F0-48B6-9A13-D703D990B387} - System32\Tasks\ecad421d8308f7f4d205a75011225840 => Rundll32.exe "C:\Program Files (x86)\Nero\f1io05.dll",e62dc6c6547f46bda862da2d05af6862 <==== UWAGA
    Task: C:\Windows\Tasks\UCBrowserUpdater.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe <==== UWAGA
    Task: C:\Windows\Tasks\UCBrowserUpdaterCore.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe <==== UWAGA
    AlternateDataStreams: C:\Windows\system32\drivers:ucdrv-x64.sys [80850]
    AlternateDataStreams: C:\Windows\system32\drivers:x64 [360536]
    AlternateDataStreams: C:\Windows\system32\drivers:x86 [1156450]
    Hosts:
    FirewallRules: [{F8AE3C37-0FB3-4F24-B0E5-014C54E51176}] => (Allow) C:\Program Files (x86)\UCBrowser\Application\UCBrowser.exe
    FirewallRules: [{BAC166CE-2145-4866-A9AE-17A57B52B138}] => (Allow) C:\Program Files (x86)\LuDaShi\Utils\Down.exe
    FirewallRules: [{4F4DDD7B-4F46-4298-AE22-B51C0EE8399C}] => (Allow) C:\Program Files (x86)\LuDaShi\Utils\Down.exe
    FirewallRules: [{C35F6ACF-159A-4E03-983E-B255A48B340A}] => (Allow) C:\Program Files (x86)\LuDaShi\ComputerZTray.exe
    FirewallRules: [{13D12E96-DCEB-47EC-B058-01AD4B0EB0E9}] => (Allow) C:\Program Files (x86)\LuDaShi\ComputerZTray.exe
    HKLM-x32\...\Run: [] => [X]
    HKU\S-1-5-21-1778745519-1938877204-1147280381-1000\...\MountPoints2: {3942c4df-5dc5-11e4-99a1-e89a8fd9b1d8} - F:\setup.exe
    HKU\S-1-5-21-1778745519-1938877204-1147280381-1000\...\MountPoints2: {3942c4f2-5dc5-11e4-99a1-e89a8fd9b1d8} - F:\setup.exe
    HKU\S-1-5-21-1778745519-1938877204-1147280381-1000\...\MountPoints2: {e12803cf-af05-11e6-ac25-e89a8fd9b1d8} - I:\setup.exe




    HKU\S-1-5-21-1778745519-1938877204-1147280381-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\MountPoints2: {3942c4df-5dc5-11e4-99a1-e89a8fd9b1d8} - F:\setup.exe
    HKU\S-1-5-21-1778745519-1938877204-1147280381-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\MountPoints2: {3942c4f2-5dc5-11e4-99a1-e89a8fd9b1d8} - F:\setup.exe
    HKU\S-1-5-21-1778745519-1938877204-1147280381-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\MountPoints2: {e12803cf-af05-11e6-ac25-e89a8fd9b1d8} - I:\setup.exe
    ShellExecuteHooks: - {2BA2613E-A5BE-11E6-BD30-64006A5CFC23} - C:\Users\Andrzej\AppData\Roaming\Atogey\Ricarytacusp.dll Brak pliku [ ]
    ShellIconOverlayIdentifiers: [KzShlobj2] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F3} => Brak pliku
    GroupPolicy: Ograniczenia - Chrome <======= UWAGA
    SearchScopes: HKU\S-1-5-21-1778745519-1938877204-1147280381-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
    SearchScopes: HKU\S-1-5-21-1778745519-1938877204-1147280381-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
    Toolbar: HKU\S-1-5-21-1778745519-1938877204-1147280381-1000 -> Brak nazwy - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - Brak pliku
    Toolbar: HKU\S-1-5-21-1778745519-1938877204-1147280381-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0 -> Brak nazwy - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - Brak pliku
    CHR StartupUrls: ChromeDefaultData -> "hxxp://www.wp.pl/?src01=dp220140819","hxxp://www.trotux.com/?z=3b68f5edfc83c6b3e31d720g7z0m9teq6q9b6geq4e&from=isr&uid=TOSHIBAXMK5075GSX_7188P1I5TXX7188P1I5T&type=hp"
    CHR DefaultSearchURL: ChromeDefaultData -> hxxp://www.trotux.com/search/?q={searchTerms}&z=3b68f5edfc83c6b3e31d720g7z0m9teq6q9b6geq4e&from=isr&uid=TOSHIBAXMK5075GSX_7188P1I5TXX7188P1I5T&type=sp
    CHR DefaultSearchKeyword: ChromeDefaultData -> trotux
    CHR Profile: C:\Users\Andrzej\AppData\Local\Google\Chrome\User Data\ChromeDefaultData [2016-11-20] <==== UWAGA
    CHR HKLM-x32\...\Chrome\Extension: [blbkdnmdcafmfhinpmnlhhddbepgkeaa] - hxxps://chrome.google.com/webstore/detail/blbkdnmdcafmfhinpmnlhhddbepgkeaa
    R2 Mysxiu; C:\Users\Andrzej\AppData\Roaming\CidzaJiipzy\Fhgawnum.exe [121344 2016-11-20] () [Brak podpisu cyfrowego]
    R2 UCBrowserSvc; C:\Program Files (x86)\UCBrowser\Application\UCService.exe [935312 2016-11-16] ()
    S3 aspnet_state; %SystemRoot%\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [X]
    U1 ucdrv; C:\Windows\System32\drivers:ucdrv-x64.sys [80850 ] (UC Web Inc.) <==== UWAGA
    R1 UCGuard; C:\Windows\System32\DRIVERS\ucguard.sys [81792 2016-08-02] (Huorong Borui (Beijing) Technology Co., Ltd.) <==== UWAGA
    NETSVCx32: HpSvc -> C:\Program Files (x86)\LuDaShi\lpi\HpSvc.dll ()
    2016-11-20 21:10 - 2016-11-20 21:10 - 00000000 ____D C:\Users\Andrzej\AppData\Roaming\Ludashi
    2016-11-20 21:09 - 2016-11-20 21:09 - 00079064 _____ (Malwarebytes) C:\Windows\system32\Drivers\cnyyruuy.sys
    2016-11-20 21:09 - 2016-11-20 21:09 - 00058616 _____ C:\Windows\SysWOW64\ctfpxxnk
    2016-11-20 20:33 - 2016-11-20 20:33 - 00002580 _____ C:\Windows\System32\Tasks\UCBrowserUpdaterCore
    2016-11-20 20:33 - 2016-11-20 20:33 - 00000294 _____ C:\Windows\Tasks\UCBrowserUpdaterCore.job
    2016-11-20 20:31 - 2016-11-20 20:31 - 00004444 _____ C:\Windows\System32\Tasks\SecureUpdater
    2016-11-20 20:03 - 2016-11-20 20:06 - 00001568 _____ C:\Users\Andrzej\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器.lnk
    2016-11-20 20:03 - 2016-11-20 20:06 - 00000000 ____D C:\Users\Andrzej\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器
    2016-11-20 20:03 - 2016-11-20 20:03 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\鲁大师
    2016-11-20 20:02 - 2016-11-20 21:11 - 00000000 ____D C:\Program Files (x86)\LuDaShi
    2016-11-20 20:02 - 2016-11-20 21:09 - 00000000 ____D C:\ProgramData\NetworkPacketManitor
    2016-11-20 20:02 - 2016-11-20 21:09 - 00000000 ____D C:\ProgramData\Hotfresh
    2016-11-20 20:02 - 2016-11-20 20:02 - 07299584 _____ C:\Users\Andrzej\AppData\Roaming\agent.dat
    2016-11-20 20:02 - 2016-11-20 20:02 - 00136826 _____ () C:\Users\Andrzej\AppData\Roaming\Trancom.bin
    2016-11-20 20:02 - 2016-11-20 20:02 - 00018432 _____ C:\Users\Andrzej\AppData\Roaming\Main.dat
    2016-11-20 20:01 - 2016-11-20 21:09 - 00000000 ____D C:\Program Files (x86)\KuaiZip
    2016-11-20 20:01 - 2016-11-20 20:10 - 00140288 _____ C:\Users\Andrzej\AppData\Roaming\Installer.dat
    2016-11-20 20:01 - 2016-11-20 20:01 - 00000000 ____D C:\Users\Andrzej\AppData\Roaming\Softlink
    2016-11-20 20:01 - 2016-11-20 20:01 - 00000000 ____D C:\Users\Andrzej\AppData\Roaming\KuaiZip
    2016-11-20 20:00 - 2016-11-20 20:32 - 00000000 ____D C:\Program Files (x86)\UCBrowser
    2016-11-20 20:00 - 2016-11-20 20:31 - 00000460 _____ C:\Windows\Tasks\UCBrowserUpdater.job
    2016-11-20 20:00 - 2016-11-20 20:00 - 00003438 _____ C:\Windows\System32\Tasks\UCBrowserUpdater
    2016-11-20 20:00 - 2016-11-20 20:00 - 00000000 ____D C:\Users\Andrzej\AppData\Local\UCBrowser
    2016-11-20 20:00 - 2016-11-20 20:00 - 00000000 ____D C:\Program Files\N4AGJJHIH3
    2016-11-20 20:00 - 2016-08-02 14:37 - 00081792 _____ (Huorong Borui (Beijing) Technology Co., Ltd.) C:\Windows\system32\Drivers\ucguard.sys
    2016-11-20 19:59 - 2016-11-20 19:59 - 00000000 ____D C:\Program Files (x86)\360
    2016-11-20 19:58 - 2016-11-20 21:09 - 00000000 ____D C:\Users\Andrzej\AppData\Roaming\UPUpdata
    2016-11-20 19:58 - 2016-11-20 21:09 - 00000000 ____D C:\Program Files (x86)\mpck
    2016-11-20 19:58 - 2016-11-20 19:58 - 00000000 ____D C:\Users\Andrzej\AppData\Roaming\Pipxok
    2016-11-20 19:58 - 2016-11-20 19:58 - 00000000 ____D C:\Users\Andrzej\AppData\Roaming\CidzaJiipzy
    2016-11-20 19:58 - 2016-11-20 19:58 - 00000000 ____D C:\Users\Andrzej\AppData\Roaming\360Safe
    2016-11-20 19:58 - 2016-11-20 19:58 - 00000000 ____D C:\Users\Andrzej\AppData\Local\Tempfolder
    2016-11-20 19:57 - 2016-11-20 21:09 - 00000000 ____D C:\Program Files\My Web Shield
    2016-11-20 19:57 - 2016-11-20 21:09 - 00000000 ____D C:\Program Files (x86)\81D0A600-1479668223-11E0-9848-E89A8FD9B1D8
    2016-11-20 19:57 - 2016-11-20 19:57 - 00000000 ____D C:\ProgramData\Avira
    2016-11-20 19:57 - 2016-11-20 19:57 - 00000000 ____D C:\ProgramData\Avg
    2016-11-20 19:57 - 2016-11-20 19:57 - 00000000 _____ C:\TOSTACK
    2016-11-20 19:56 - 2016-11-20 20:13 - 00000000 ____D C:\Users\Andrzej\AppData\Roaming\Atogey
    2016-11-20 19:56 - 2016-11-20 19:56 - 00005994 _____ C:\Windows\System32\Tasks\Reipution Host
    2016-11-20 19:56 - 2016-11-20 19:56 - 00003516 _____ C:\Windows\System32\Tasks\ecad421d8308f7f4d205a75011225840
    2016-11-20 19:55 - 2016-11-20 21:09 - 00000000 ____D C:\Program Files (x86)\Tolackcebersh
    2016-11-20 19:55 - 2016-11-20 19:56 - 00000000 ____D C:\Users\Andrzej\AppData\Local\Ckgothermiqus
    2016-11-20 19:34 - 2016-11-20 19:34 - 00000148 _____ C:\Users\Andrzej\Downloads\Windows Loader Download Link.txt
    EmptyTemp:


    Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.
    Uruchom jako administrator FRST i kliknij w Fix/Napraw.
    Zapisując Fixlist kodowanie ustaw na UTF-8
    Pobierz i uruchom jako administrator AdwCleaner https://toolslib.net/downloads/finish/1/ Kliknij Scan i później Cleaning.

    0