Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

- FRST - prośba o usunięcie złośliwego oprogramowania

Dj.McG 11 Gru 2016 19:24 669 13
  • #2 11 Gru 2016 19:35
    Waldemar z Kaszub
    Poziom 28  

    Ten plik to nie wszystko. Potrzebny także Addition FRST. Zamieść.

    0
  • #3 11 Gru 2016 19:46
    Dj.McG
    Poziom 19  

    Dodałem pliki

    0
  • Pomocny post
    #4 11 Gru 2016 20:10
    Kolobos
    Spec od komputerów

    Nie mogles wybrac gorszej nazwy uzytkownika.

    Masz ustawione niemieckie dnsy, czy znajdujesz sie na terenie tego kraju? Jezeli nie to zaloguj sie do routera i sprawdz czy tam tez masz ustawione 104.238.158.90,45.32.152.160.
    W przeciwnym razie usun ze podanego fixa linie:
    Tcpip\..\Interfaces\{829A342B-E28D-4CCF-AB3C-539F4E874E7E}: [NameServer] 104.238.158.90,45.32.152.160

    Katalogi i pliki z chinskimi znakami usun recznie.

    Fixlist.txt dla FRST:
    Task: {37DCCFE9-C9DE-414D-BD4B-F2D97A8C6399} - System32\Tasks\UCBrowserUpdaterCore => C:\Program Files (x86)\UCBrowser\Application\update_task.exe [2016-11-17] (UCWeb Inc)
    Task: {8A1FC07B-873A-4627-9DE1-402C47EF9BF5} - System32\Tasks\Siryplubied Configuration => C:\Program Files (x86)\Clresenahet\fokish.exe [2016-12-11] (Glarysoft Ltd)
    Task: {97C01F38-83DB-4E2F-B50D-7C8094E47B31} - System32\Tasks\UCBrowserUpdater => C:\Program Files (x86)\UCBrowser\Application\update_task.exe [2016-11-17] (UCWeb Inc)
    Task: {D25BFDEA-2FC7-4E8B-94FC-1A7EF289799D} - System32\Tasks\6c7610ca07fac4eceb94111ee23064f1 => Rundll32.exe "C:\Program Files (x86)\Steam\p7oxnd.dll",e62dc6c6547f46bda862da2d05af6862
    Task: C:\Windows\Tasks\UCBrowserUpdater.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe
    Task: C:\Windows\Tasks\UCBrowserUpdaterCore.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe
    2016-12-11 19:16 - 2016-12-11 19:16 - 00227328 _____ () C:\Users\Ę\AppData\Local\Temp\servicesc.exe
    AlternateDataStreams: C:\Windows\system32\drivers:ucdrv-x64.sys
    AlternateDataStreams: C:\Windows\system32\drivers:x64
    AlternateDataStreams: C:\Windows\system32\drivers:x86
    Hosts:
    () C:\Users\Ę\AppData\Local\Temp\servicesc.exe
    HKLM-x32\...\Run: [servicesc.exe] => C:\Users\Ę\AppData\Local\Temp\servicesc.exe [227328 2016-12-11] () <===== UWAGA
    HKU\S-1-5-21-66015118-888701753-296501091-1000\...\Run: [AdobeBridge] => [X]
    HKU\S-1-5-18\...\Run: [] => 0
    ShellExecuteHooks: - {3C12FAA6-AA96-11E6-AE69-64006A5CFC23} - C:\Users\Ę\AppData\Roaming\Merpupy\Stoqeshgrerigh.dll Brak pliku [ ]
    ShellIconOverlayIdentifiers: [ MEGA (Pending)] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} => Brak pliku
    ShellIconOverlayIdentifiers: [ MEGA (Synced)] -> {05B38830-F4E9-4329-978B-1DD28605D202} => Brak pliku
    ShellIconOverlayIdentifiers: [ MEGA (Syncing)] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} => Brak pliku
    ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku
    ShellIconOverlayIdentifiers-x32: [ MEGA (Pending)] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} => Brak pliku
    ShellIconOverlayIdentifiers-x32: [ MEGA (Synced)] -> {05B38830-F4E9-4329-978B-1DD28605D202} => Brak pliku
    ShellIconOverlayIdentifiers-x32: [ MEGA (Syncing)] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} => Brak pliku




    Tcpip\..\Interfaces\{829A342B-E28D-4CCF-AB3C-539F4E874E7E}: [NameServer] 104.238.158.90,45.32.152.160
    CHR StartupUrls: ChromeDefaultData -> "hxxp://www.google.com/","hxxp://google.pl/","hxxp://www.istartsurf.com/?type=hp&ts=1440915115&z=3637af1387d7e1e3cb38449gaz6zdeft0gczdt6bdo&from=cor&uid=ST3500418AS_5VMA6079XXXX5VMA6079","hxxp://www.istartpageing.com/?type=hp&ts=1452010614&z=8e8918a05b63cb1a6dfd4c9g4z1w5o0eag4eeq6e0q&from=cmi&uid=SamsungXSSDX850XEVOX250GB_S21PNSAG608923V","hxxp://www.yoursearching.com/?type=hp&ts=1452084107&z=9d52050bf2a58ed0d6ee158g5z6w0o9ebbcz7g4e6m&from=itr&uid=samsungxssdx850xevox250gb_s21pnsag608923v","hxxp://www.gazeta.pl/0,0.html?p=188","hxxp://www.trotux.com/?z=8bb799ddfe1638cbba14893gcz1bfg1zem5t9z5z8e&from=ftp&uid=SamsungXSSDX850XEVOX250GB_S21PNSAG608923V&type=hp"
    CHR DefaultSearchURL: ChromeDefaultData -> hxxp://www.trotux.com/search/?q={searchTerms}&z=8bb799ddfe1638cbba14893gcz1bfg1zem5t9z5z8e&from=ftp&uid=SamsungXSSDX850XEVOX250GB_S21PNSAG608923V&type=sp
    CHR DefaultSearchKeyword: ChromeDefaultData -> trotux
    CHR HKLM-x32\...\Chrome\Extension: [lifbcibllhkdhoafpjfnlhfpfgnpldfl] - hxxps://clients2.google.com/service/update2/crx
    R2 Letudomshiruward; C:\Program Files (x86)\Ghemak\ckhvrf.dll [277504 2016-12-11] () [Brak podpisu cyfrowego]
    U0 aswVmm; Brak ImagePath
    S3 BEHRINGER_2902; System32\Drivers\BUSB2902.sys [X]
    S3 BUSB_AUDIO_WDM; system32\drivers\busbwdm.sys [X]
    S3 dbx; system32\DRIVERS\dbx.sys [X]
    S3 iusb3hub; system32\DRIVERS\iusb3hub.sys [X]
    S3 iusb3xhc; system32\DRIVERS\iusb3xhc.sys [X]
    NETSVCx32: HpSvc -> Brak ścieżki do pliku.
    NETSVCx32: GmSvc -> C:\Program Files (x86)\LDSGameCenter\GmSvc.dll ()
    NETSVCx32: WpSvc -> Brak ścieżki do pliku.
    2016-12-11 19:41 - 2016-12-11 19:41 - 00002540 _____ C:\Windows\System32\Tasks\UCBrowserUpdaterCore
    2016-12-11 19:41 - 2016-12-11 19:41 - 00000284 _____ C:\Windows\Tasks\UCBrowserUpdaterCore.job
    2016-12-11 19:12 - 2016-12-11 19:12 - 00000000 ____D C:\Users\Ę\AppData\Roaming\navplugin
    2016-12-11 19:12 - 2016-12-11 19:12 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\360安全中心
    2016-12-11 19:06 - 2016-12-11 19:12 - 00000000 ____D C:\Program Files (x86)\LDSGameCenter
    2016-12-11 19:06 - 2016-12-11 19:06 - 00000000 ____D C:\Users\Ę\AppData\Roaming\LDSGameAssistant
    2016-12-11 19:06 - 2016-12-11 19:06 - 00000000 ____D C:\Users\Ę\AppData\Roaming\360wp
    2016-12-11 19:05 - 2016-12-11 19:41 - 00000448 _____ C:\Windows\Tasks\UCBrowserUpdater.job
    2016-12-11 19:05 - 2016-12-11 19:11 - 00001536 _____ C:\Users\Ę\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器.lnk
    2016-12-11 19:05 - 2016-12-11 19:11 - 00000000 ____D C:\Users\Ę\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器
    2016-12-11 19:05 - 2016-12-11 19:05 - 00003414 _____ C:\Windows\System32\Tasks\UCBrowserUpdater
    2016-12-11 19:05 - 2016-12-11 19:05 - 00000000 ____D C:\Users\Ę\AppData\Local\UCBrowser
    2016-12-11 19:05 - 2016-12-11 19:05 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\鲁大师
    2016-12-11 19:05 - 2016-12-11 19:05 - 00000000 ____D C:\Program Files (x86)\UCBrowser
    2016-12-11 19:04 - 2016-12-11 19:33 - 00000000 ____D C:\Users\Ę\AppData\Roaming\Merpupy
    2016-12-11 19:04 - 2016-12-11 19:28 - 00000000 ____D C:\Program Files (x86)\Clresenahet
    2016-12-11 19:04 - 2016-12-11 19:11 - 00000000 ____D C:\Program Files (x86)\Ghemak
    2016-12-11 19:04 - 2016-12-11 19:04 - 00006098 _____ C:\Windows\System32\Tasks\Siryplubied Configuration
    2016-12-11 19:04 - 2016-12-11 19:04 - 00003506 _____ C:\Windows\System32\Tasks\6c7610ca07fac4eceb94111ee23064f1
    2016-12-11 19:04 - 2016-12-11 19:04 - 00000546 _____ C:\Users\Ę\Desktop\Download Microsoft Office 2016 Crack.exe.url
    2016-12-11 19:04 - 2016-12-11 19:04 - 00000000 ____D C:\Users\Ę\AppData\Local\Gqeykipige
    2016-12-11 19:04 - 2016-12-11 19:04 - 00000000 ____D C:\Users\Ę\AppData\Local\Daerly
    2016-12-11 19:04 - 2016-12-11 19:04 - 00000000 ____D C:\ProgramData\Avira
    2016-12-11 19:04 - 2016-12-11 19:04 - 00000000 ____D C:\ProgramData\Avg
    2016-12-11 19:03 - 2016-12-11 19:03 - 00000000 _____ C:\TOSTACK
    2016-11-20 13:38 - 2016-11-20 17:32 - 00000000 ____D C:\ProgramData\McAfee
    2016-11-20 13:38 - 2016-11-20 13:38 - 00000000 ____D C:\Program Files\McAfee
    2016-12-11 19:43 - 2016-01-06 14:29 - 00000000 ____D C:\AdwCleaner
    EmptyTemp:

    Zrob pelny skan przy pomocy Mbam i usun to co wykryje:
    http://www.bleepingcomputer.com/download/malwarebytes-anti-malware/

    Po wszystkim zamiesc nowe logi z FRST, ze skanowania.

    1
  • #6 11 Gru 2016 20:30
    Kolobos
    Spec od komputerów

    Co z dnsami? Sa poprawne czy nie, bo nie odpowiedziales.

    Google Chrome odinstaluj i usun katalog profilu ChromeDefaultData.

    Ta infekcja modyfikuje daty utworzenia katalogow i uzywa Glary Utilites, mozliwe, ze tworzy raporty z tego programu (widac tam np. klucz Windows) i gdzies je wysyla.

    Nowy Fixlist:
    CHR HomePage: ChromeDefaultData -> hxxps://www.google.pl/webhp?source=search_app&gws_rd=cr&ei=BcVrUsPcDKnQ4QTF0oDQCw
    CHR StartupUrls: ChromeDefaultData -> "hxxp://www.google.com/","hxxp://google.pl/","hxxp://www.istartsurf.com/?type=hp&ts=1440915115&z=3637af1387d7e1e3cb38449gaz6zdeft0gczdt6bdo&from=cor&uid=ST3500418AS_5VMA6079XXXX5VMA6079","hxxp://www.istartpageing.com/?type=hp&ts=1452010614&z=8e8918a05b63cb1a6dfd4c9g4z1w5o0eag4eeq6e0q&from=cmi&uid=SamsungXSSDX850XEVOX250GB_S21PNSAG608923V","hxxp://www.yoursearching.com/?type=hp&ts=1452084107&z=9d52050bf2a58ed0d6ee158g5z6w0o9ebbcz7g4e6m&from=itr&uid=samsungxssdx850xevox250gb_s21pnsag608923v","hxxp://www.gazeta.pl/0,0.html?p=188","hxxp://www.trotux.com/?z=8bb799ddfe1638cbba14893gcz1bfg1zem5t9z5z8e&from=ftp&uid=SamsungXSSDX850XEVOX250GB_S21PNSAG608923V&type=hp"
    S2 GmSvc; C:\Program Files (x86)\LDSGameCenter\GmSvc.dll [X]
    2016-12-11 20:14 - 2016-12-11 20:14 - 00000000 ____D C:\Program Files (x86)\ldsgamecenter


    To usun recznie ze wzgledu na znaki w nazwie:
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\360安全中心
    C:\Users\Ę\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\鲁大师
    C:\Users\ᅧ\AppData\Local\Gqeykipige

    Czy w katalogu z ta dziwna nazwa C:\Users\ᅧ\ znajduja sie jeszcze jakies pliki?

    0
  • #7 11 Gru 2016 20:51
    Dj.McG
    Poziom 19  

    Kolobos napisał:
    Co z dnsami? Sa poprawne czy nie, bo nie odpowiedziales.

    https://obrazki.elektroda.pl/1403965400_1481485196.jpg

    Kolobos napisał:
    Google Chrome odinstaluj i usun katalog profilu ChromeDefaultData.

    Czy musze usunac chrome?? nie chce stracić haseł oraz ulubionych
    POzatym gdzie znajduje się "ChromeDefaultData" i jak usunać?
    Kolobos napisał:
    To usun recznie ze wzgledu na znaki w nazwie:
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\360安全中心
    C:\Users\Ę\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\鲁大师
    C:\Users\ᅧ\AppData\Local\Gqeykipige

    Usuniete
    Czy w katalogu z ta dziwna nazwa C:\Users\ᅧ\ znajduja sie jeszcze jakies pliki?
    https://obrazki.elektroda.pl/8668609800_1481485196.jpg
    https://obrazki.elektroda.pl/7853163800_1481485197.jpg

    Dodano po 3 [minuty]:

    Nowe logi
    Bez usuwania Chrome

    0
  • Pomocny post
    #8 11 Gru 2016 21:02
    Kolobos
    Spec od komputerów

    Chrome usun, masz tam tylko profil utworzony przez infekcje: ChromeDefaultData, katalog z tym profilem rowniez usun. Wczesniej zgraj zakladki i co tam jeszcze potrzebujesz.

    Ok, nie ruszaj tego dziwnego katalogu, usun tylko ten Chrome zainstalowany przez infekcje C:\Users\ᅧ\AppData\Local\Gqeykipige

    Wykonaj Fixlist z:
    Tcpip\..\Interfaces\{829A342B-E28D-4CCF-AB3C-539F4E874E7E}: [NameServer] 104.238.158.90,45.32.152.160

    Usun katalog C:\FRST i to wszystko.

    0
  • #10 11 Gru 2016 21:52
    Kolobos
    Spec od komputerów

    Usun to wszystko.

    Zgaduje, ze synchronizujesz ustawienia Chrome z konta google i z niego pobierasz szkodliwe ustawienia?
    W takim wypadku usun dane synchronizacji z konta google.

    0
  • #11 11 Gru 2016 21:54
    Dj.McG
    Poziom 19  

    Tak,
    Synchronizuje bo korzystam z dwóch komputerów w różnych miejscach.
    Teraz dzięki temu po odinstalowaniu chrome zakłądki się zapamiętały.
    Z gory dziekuje za pomoc to juz chyba kolejny raz jak mi pomagasz
    Pozdrawiam

    0
  • #12 11 Gru 2016 22:22
    Kolobos
    Spec od komputerów

    Synchronizacja to z jednej strony dobry pomysl, ale w przypadku infekcji uniemozliwia usuniecie. Po synchronizacji przegladarka pobiera szkodliwe ustawienia lacznie z rozszerzeniami. Dlatego w tym przypadku jedyna opcja to usuniecie danych synchronizacji z konta.

    0
  • Pomocny post
    #14 12 Gru 2016 18:01
    Kolobos
    Spec od komputerów

    Wyloguj sie z konta google.

    Usun profil: C:\Users\Ę\AppData\Local\Google\Chrome\User Data\Profile 1

    Utworz nowy, nie loguj sie do konta google i sprawdz czy jest ok.

    Jezeli tak to usun dane synchronizacji z konta:
    https://support.google.com/chrome/answer/6386691?hl=pl
    (wczesniej zrob kopie zakladek itp)

    0