Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Wiewióra, chiński wirus - FRST logi

asieczek93 28 Lis 2016 19:28 711 15
  • #1 28 Lis 2016 19:28
    asieczek93
    Poziom 3  

    Cześć,
    przegrzebałam forum nt tego upierdliwego wirusa ale nie wiem jak sama mam sobie z tym poradzić, proszę o pomoc. Był już ten wirus wcześniej wspominany - instaluje masę programów na raz, zwalnia system, to ten program z wiewiórką i m.in. "żěŃą". Skanowałam Malwarebytes'em i ADware ale nadal się trzyma.
    Poza tym usunął mi całą historię oraz wszystkie zakładki z Chrome. Macie pomysł jak je przywrócić, czy jest to nieodwracalne?
    Proszę o łopatologiczne wytłumaczenie rozwiązania, jestem w trakcie pisania pracy inż i wyjątkowo mi to dziadostwo jest nie na rękę :?
    Z góry dziękuję za pomoc :)
    jeśli trzeba coś jeszcze załączyć itd to proszę o cierpliwość :)

    0 15
  • Pomocny post
    #2 28 Lis 2016 19:54
    Acorus 20
    Spec od komputerów

    Otwórz notatnik systemowy i wklej:

    Cytat:
    CloseProcesses:
    Task: {0D8A891D-890C-4808-84D8-2F436AB14653} - \Microsoft\Windows\Application Experience\AitAgent -> Brak pliku <==== UWAGA
    Task: {1274336E-AB06-46B6-A48C-0671C5557CC6} - \Microsoft\Windows\TaskScheduler\Maintenance Configurator -> Brak pliku <==== UWAGA
    Task: {1687544D-7247-4F5A-965A-A6E920E55278} - \Microsoft\Windows\TaskScheduler\Manual Maintenance -> Brak pliku <==== UWAGA
    Task: {2C250BE3-B7B0-4015-B23F-5D6E8087D8FF} - System32\Tasks\c73855ccafac44346a6933b5baa6c354 => Rundll32.exe "C:\Program Files (x86)\NapiProjekt\imvapl.dll",e62dc6c6547f46bda862da2d05af6862 <==== UWAGA
    Task: {40525C58-79C2-47A1-9AA2-F1D7FC4F0691} - \Microsoft\Windows\WindowsBackup\ConfigNotification -> Brak pliku <==== UWAGA
    Task: {6F02587F-8A2B-4552-97F6-DEEF229E335B} - \Microsoft\Windows\TaskScheduler\Idle Maintenance -> Brak pliku <==== UWAGA
    Task: {B7BB584A-D418-4112-9695-C469B8D32C9E} - System32\Tasks\{46690BC0-B63F-4516-9123-F4FA45D0B72F} => pcalua.exe -a C:\Users\Joasia\Downloads\cwk252_setup_www.INSTALKI.pl.exe -d C:\Users\Joasia\Downloads
    Task: {CFBB4AEC-C989-4E8A-947C-9E1E93FB0F43} - System32\Tasks\bku6046178569481026 => Rundll32.exe "C:\Users\Joasia\AppData\Local\Temp\OqK28fZCkJ_1\uYghin2.DLL",#2 btbu3v_hi6x <==== UWAGA
    Task: {CFD7C21A-808B-487B-A6EC-8A10E44E8360} - \Microsoft\Windows\SettingSync\BackupTask -> Brak pliku <==== UWAGA
    Task: {ECA9C73C-BA22-4334-8B60-B4F06751D1CD} - System32\Tasks\UCBrowserUpdater => C:\Program Files (x86)\UCBrowser\Application\update_task.exe [2016-08-29] (UCWeb Inc) <==== UWAGA
    Task: C:\WINDOWS\Tasks\bku6046178569481026.job => C:\Users\Joasia\AppData\Local\Temp\OqK28fZCkJ_1\uYghin2.DLL <==== UWAGA
    Task: C:\WINDOWS\Tasks\UCBrowserUpdater.job => <==== UWAGA
    AlternateDataStreams: C:\WINDOWS\system32\drivers:ucdrv-x64.sys [80850]
    AlternateDataStreams: C:\WINDOWS\system32\drivers:x64 [360536]
    AlternateDataStreams: C:\WINDOWS\system32\drivers:x86 [1156450]
    Hosts:
    FirewallRules: [TCP Query User{3234B237-FE96-4F4C-9915-9F804013E16A}C:\users\joasia\appdata\local\temp\is-qkdda.tmp\download\minithunderplatform.exe] => (Block) C:\users\joasia\appdata\local\temp\is-qkdda.tmp\download\minithunderplatform.exe
    FirewallRules: [UDP Query User{CEFB87BE-0B3B-4063-A1E7-EC221F12FB1D}C:\users\joasia\appdata\local\temp\is-qkdda.tmp\download\minithunderplatform.exe] => (Block) C:\users\joasia\appdata\local\temp\is-qkdda.tmp\download\minithunderplatform.exe
    FirewallRules: [{8C452A74-C782-47C5-829F-B30E4B328FF5}] => (Allow) C:\Users\Joasia\AppData\Local\Temp\is-QKDDA.tmp\download\MiniThunderPlatform.exe
    FirewallRules: [{A6971678-8D64-49D2-B83E-5EAA531D3FBC}] => (Allow) C:\Users\Joasia\AppData\Local\Temp\00010655\inst_buychannel_07.exe
    FirewallRules: [{CD0CD653-D4CA-4E2C-813B-9B0D236B20C5}] => (Allow) C:\Users\Joasia\AppData\Local\Temp\00010655\inst_buychannel_07.exe




    FirewallRules: [{36608CA6-F96D-4508-B22B-8F55723C5758}] => (Allow) C:\Program Files (x86)\UCBrowser\Application\UCBrowser.exe
    FirewallRules: [{EFD0550F-5C5C-40D3-87ED-4A2544072ED9}] => (Allow) C:\Program Files (x86)\UCBrowser\Application\UCBrowser.exe
    FirewallRules: [{0735DE13-C9DE-45D4-9770-E78129E6D1C8}] => (Allow) C:\Program Files (x86)\UCBrowser\Application\Downloader\download\MiniThunderPlatform.exe
    FirewallRules: [{FB42512C-9760-4549-991D-40EC71A9C0A7}] => (Allow) C:\Program Files (x86)\LuDaShi\Utils\Down.exe
    FirewallRules: [{B3B576B8-5FE7-484C-B3E0-E0A2AD6AEB79}] => (Allow) C:\Program Files (x86)\LuDaShi\Utils\Down.exe
    FirewallRules: [{C0E1CA80-826D-4AFB-AD0B-CFC356232A32}] => (Allow) C:\Program Files (x86)\LuDaShi\ComputerZTray.exe
    FirewallRules: [{706DE419-03A8-466A-AFE9-62CB6B38FBDC}] => (Allow) C:\Program Files (x86)\LuDaShi\ComputerZTray.exe
    FirewallRules: [{5A6A9EC9-A350-487A-B59F-D8AF710FE4E4}] => (Allow) C:\Program Files (x86)\LuDaShi\Utils\mininews.exe
    FirewallRules: [{E25A8E9B-B7FA-411A-9D32-E31C2EA80636}] => (Allow) C:\Program Files (x86)\LuDaShi\Utils\mininews.exe
    HKU\S-1-5-21-867414231-1291679923-2057813351-1001\...\Run: [360wp-srv] => "C:\Users\Joasia\AppData\Roaming\360bizhi\360wpsrv.exe" /autorun
    HKU\S-1-5-21-867414231-1291679923-2057813351-1001\...\Policies\Explorer: []
    ShellExecuteHooks: - {02635D80-A738-11E6-8C1E-64006A5CFC23} - C:\Users\Joasia\AppData\Roaming\Svuyjbeied\Dunaktumot.dll [145920 2016-11-28] ()
    ShellIconOverlayIdentifiers: [KAVOverlayIcon] -> {dd230880-495a-11d1-b064-008048ec2fc5} => Brak pliku
    ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} => Brak pliku
    ShellIconOverlayIdentifiers: [KzShlobj2] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F3} => Brak pliku
    ShellIconOverlayIdentifiers-x32: [KAVOverlayIcon] -> {dd230880-495a-11d1-b064-008048ec2fc5} => Brak pliku
    GroupPolicy: Ograniczenia - Windows Defender <======= UWAGA
    CHR Profile: C:\Users\Joasia\AppData\Local\Google\Chrome\User Data\ChromeDefaultData [2016-11-28] <==== UWAGA
    CHR HKLM-x32\...\Chrome\Extension: [lpoimibckejjdjcfbdnajaicnklhfplh] - hxxps://chrome.google.com/webstore/detail/lpoimibckejjdjcfbdnajaicnklhfplh
    S2 ABBYY.Licensing.PDFTransformer.Classic.4.0; "C:\Program Files (x86)\ABBYY PDF Transformer+\NetworkLicenseServer.exe" -service [X]
    S2 Aterzetpegesh; C:\Program Files (x86)\Tmerdom\Oderthervrf.dll [X]
    S2 GmSvc; C:\Program Files (x86)\LDSGameCenter\GmSvc.dll [X]
    NETSVCx32: HpSvc -> Brak ścieżki do pliku.
    NETSVCx32: GmSvc -> C:\Program Files (x86)\LDSGameCenter\GmSvc.dll ==> Brak pliku
    NETSVCx32: WpSvc -> Brak ścieżki do pliku.
    2016-11-28 18:52 - 2016-11-28 18:59 - 00000000 ____D C:\AdwCleaner
    2016-11-28 15:20 - 2016-11-28 15:20 - 00000000 ____D C:\Users\Joasia\AppData\Roaming\360wp
    2016-11-28 15:18 - 2016-11-28 15:18 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\鲁大师
    2016-11-28 15:17 - 2016-11-28 15:21 - 00003420 _____ C:\WINDOWS\System32\Tasks\UCBrowserUpdater
    2016-11-28 15:17 - 2016-11-28 15:21 - 00000468 _____ C:\WINDOWS\Tasks\UCBrowserUpdater.job
    2016-11-28 15:17 - 2016-11-28 15:17 - 00000000 ____D C:\Users\Joasia\AppData\Local\UCBrowser
    2016-11-28 15:16 - 2016-11-28 15:21 - 00001538 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\UC浏览器.lnk
    2016-11-28 15:16 - 2016-11-28 15:21 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\UC浏览器
    2016-11-28 15:14 - 2016-11-28 18:38 - 00000897 _____ C:\Users\Joasia\AppData\Roaming\Microsoft\Windows\Start Menu\żěŃą.lnk
    2016-11-28 15:14 - 2016-11-28 18:38 - 00000873 _____ C:\Users\Joasia\Desktop\żěŃą.lnk
    2016-11-28 15:14 - 2016-11-28 15:21 - 00000000 ____D C:\Program Files (x86)\UCBrowser
    2016-11-28 15:13 - 2016-11-28 15:13 - 00000000 __SHD C:\Users\Joasia\AppData\Local\svchost
    2016-11-28 15:13 - 2016-11-09 15:55 - 00778752 _____ C:\WINDOWS\system32\chtbrkg.dll
    2016-11-28 15:13 - 2016-11-09 15:55 - 00590848 _____ C:\WINDOWS\SysWOW64\chtbrkg.dll
    2016-11-28 15:12 - 2016-11-28 15:12 - 00000000 ____D C:\Users\Public\Thunder Network
    2016-11-28 15:11 - 2016-11-28 17:29 - 00000000 ____D C:\Program Files (x86)\Tmerdom_
    2016-11-28 15:10 - 2016-11-28 15:10 - 00003528 _____ C:\WINDOWS\System32\Tasks\c73855ccafac44346a6933b5baa6c354
    2016-11-28 15:10 - 2016-11-28 15:10 - 00000000 ____D C:\ProgramData\Avira
    2016-11-28 15:10 - 2016-11-28 15:10 - 00000000 ____D C:\ProgramData\AVAST Software
    2016-11-28 15:10 - 2016-11-28 15:10 - 00000000 _____ C:\TOSTACK
    2016-11-28 15:08 - 2016-11-28 15:22 - 00000000 ____D C:\Program Files (x86)\Tmerdom
    2016-11-28 15:08 - 2016-11-28 15:20 - 00000000 ____D C:\Users\Joasia\AppData\Local\Kiresykafesh
    2016-11-28 15:08 - 2016-11-28 15:08 - 00000000 ____D C:\Users\Joasia\AppData\Roaming\Svuyjbeied
    2016-11-28 15:07 - 2016-11-28 15:27 - 00000356 _____ C:\WINDOWS\Tasks\bku6046178569481026.job
    2016-11-28 15:07 - 2016-11-28 15:07 - 00002840 _____ C:\WINDOWS\System32\Tasks\bku6046178569481026
    C:\ProgramData\.pc3-system.dat
    EmptyTemp:

    Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.
    Uruchom jako administrator FRST i kliknij w Fix/Napraw.
    Zapisując Fixlist kodowanie ustaw na UTF-8

    0
  • #3 28 Lis 2016 20:22
    asieczek93
    Poziom 3  

    Co prawda zniknął ten program "zena" i nie widzę na pulpicie wiewióry ale został jeszcze ten chiński program a komp nadal strasznie przymula, wydaje mi się, że coś tu jeszcze nie gra :/
    dodaje raport z adw i nowe frst

    0
  • Pomocny post
    #4 28 Lis 2016 20:47
    krzychupar
    Poziom 40  

    Otwórz notatnik systemowy i wklej:
    Task: {2F3BD309-F3C0-4B51-991A-EB468CF6D628} - System32\Tasks\{1438D768-FD81-4135-BBDC-22C1DEA4DE06} => pcalua.exe -a "C:\Users\Joasia\Downloads\Portable Microsoft Office 2003.exe" -d C:\Users\Joasia\Downloads
    Task: {B7992938-01F1-4F40-A0EC-0D23D2F0F152} - \Microsoft\Windows\TaskScheduler\Regular Maintenance -> Brak pliku <==== UWAGA
    CHR Profile: C:\Users\Joasia\AppData\Local\Google\Chrome\User Data\ChromeDefaultData [2016-11-28] <==== UWAGA
    2016-11-28 20:15 - 2016-11-28 20:19 - 00000000 ____D C:\AdwCleaner
    2016-11-28 19:10 - 2016-11-28 19:32 - 00000000 ____D C:\Users\Joasia\Doctor Web
    2016-11-28 15:18 - 2016-11-28 15:18 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\鲁大师
    2016-11-28 15:16 - 2016-11-28 15:21 - 00001538 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\UC浏览器.lnk
    2016-11-28 15:16 - 2016-11-28 15:21 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\UC浏览器
    EmptyTemp:

    Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.
    Uruchom FRST i kliknij w Fix/Napraw.

    Przy zapisywaniu pliku zmień kodowanie z ANSI na Unicode.

    0
  • Pomocny post
    #5 28 Lis 2016 20:58
    Kolobos
    Spec od komputerów

    W Chrome usun profil utworzony przez infekcje (ChromeDefaultData), lacznie z katalogiem: C:\Users\Joasia\AppData\Local\Google\Chrome\User Data\ChromeDefaultData

    Skroty z paska usun (odepnij).

    Usun recznie te pliki:
    2016-11-28 15:18 - 2016-11-28 15:18 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\鲁大师
    2016-11-28 15:16 - 2016-11-28 15:21 - 00001538 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\UC浏览器.lnk
    2016-11-28 15:16 - 2016-11-28 15:21 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\UC浏览器

    Nowy Fixlist.txt dla FRST:
    Task: {2F3BD309-F3C0-4B51-991A-EB468CF6D628} - System32\Tasks\{1438D768-FD81-4135-BBDC-22C1DEA4DE06} => pcalua.exe -a "C:\Users\Joasia\Downloads\Portable Microsoft Office 2003.exe" -d C:\Users\Joasia\Downloads
    Task: {B7992938-01F1-4F40-A0EC-0D23D2F0F152} - \Microsoft\Windows\TaskScheduler\Regular Maintenance -> Brak pliku <==== UWAGA
    Shortcut: C:\Users\Joasia\AppData\Local\Microsoft\Windows\ConnectedSearch\History\site_279079236_pl.lnk -> hxxp://www.windowssearch.com:80/suggestions?q...366&CVID=3F3D216481424AED8B222A017479BF96
    C:\Users\Joasia\AppData\Local\Microsoft\Windows\ConnectedSearch\History\site_279079236_pl.lnk
    2016-11-28 20:15 - 2016-11-28 20:19 - 00000000 ____D C:\AdwCleaner


    Przy okazji zamiesc screen z CDI:
    http://portableapps.com/apps/utilities/crystaldiskinfo_portable
    oraz:
    https://technet.microsoft.com/pl-pl/sysinternals/processexplorer
    (z calym oknem programu)

    0
  • #6 28 Lis 2016 21:24
    asieczek93
    Poziom 3  

    Zrobiłam wszystko, tak mi się wydaje, nie wiem tylko w którym miejscu w Chrome usuwa się ChromeDefaultData (czy wystarczy sam folder z dysku C?) Załączam cdi, pe screeny, frst, addition i nowy raport z adw

    0
  • Pomocny post
    #7 28 Lis 2016 21:32
    Kolobos
    Spec od komputerów

    W Chrome masz dwa profile:
    Default i szkodliwy ChromeDefaultData

    Przelacz sie na wlasciwy profil:
    "Przełączanie profili
    Otwórz Chrome.
    W prawym górnym rogu kliknij przycisk ze swoją nazwą lub e-mailem.
    Wybierz osobę, na którą chcesz się przełączyć."
    Usun szkodliwy profil:
    "Otwórz Chrome.
    W prawym górnym rogu kliknij przycisk ze swoją nazwą lub ikoną Osoby .
    Kliknij Przełącz osobę.
    Wskaż osobę, którą chcesz usunąć.
    W prawym górnym rogu ikony osoby kliknij Więcej .
    Kliknij Usuń tę osobę.
    Potwierdź, klikając Usuń tę osobę."

    Wczesniej dla pewnosci zgraj zakladki i co tam jeszcze potrzebujesz i usun katalog C:\Users\Joasia\AppData\Local\Google\Chrome\User Data\ChromeDefaultData

    Czy Windows pobiera/instaluje jakies aktualizacje z Windows Update i czy WU dziala poprawnie?

    0
  • Pomocny post
    #8 28 Lis 2016 21:37
    RADU23
    Moderator - Komputery Serwis

    asieczek93 napisał:
    a komp nadal strasznie przymula, wydaje mi się, że coś tu jeszcze nie gra :/

    Nie rzucaj sprzętem.
    Parametr (BF) w SMART dysku, informujący o upadkach/uderzeniach które zanotował, bardzo wysoki.
    Na ogół przyczynia się to do późniejszych problemów z powierzchnią, lub mechaniką dysku.

    0
  • #9 28 Lis 2016 21:44
    asieczek93
    Poziom 3  

    WU szukał aktualizacji ale ich sobie nie pobierał, w profilu nie miałam już drugiego użytkownika w Chrome. A co do zakładek - skosił mi je wszystkie wirus więc i tak nie było co zapisywać.
    RADU23 - dzięki za ostrzeżenie, mój laptop dużo ze mną podróżuje, muszę go chyba bardziej oszczędzać.

    0
  • Pomocny post
    #10 28 Lis 2016 21:53
    Kolobos
    Spec od komputerów

    Czy svchost nadal obciaza procesor? Jezeli tak to czy po zainstalowaniu aktualizacji lub calkowitym wylaczeniu WU (razem z usluga w services.msc) nadal to robi?

    0
  • #11 28 Lis 2016 21:57
    asieczek93
    Poziom 3  

    Na ten moment nadal obciąża, aktualizacje się instalują, więc dam znać jak to wygląda po zainstalowaniu i po wyłączeniu WU

    0
  • #12 28 Lis 2016 21:59
    Kolobos
    Spec od komputerów

    Po zainstalowaniu sprawdz czy jest ok, gdyby obciazal nadal to dopiero wylacz.

    0
  • #14 29 Lis 2016 10:21
    Kolobos
    Spec od komputerów

    Obciaza Tiworker, ktory odpowiada za instalacje aktualizacji i dodatkow do systemu. Odczekaj troche i sprawdz czy w koncu przestanie.

    0
  • #16 29 Lis 2016 11:51
    Kolobos
    Spec od komputerów

    Na dole screena widac 32% obciazenia, jezeli nie robi tego jeden program to jest ok.

    Mozesz wlaczyc Windows Update.

    0