Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Chińske programy - Wirusy nie chcą się usunąć

hortex93 24 Gru 2016 03:22 1038 5
  • #1 24 Gru 2016 03:22
    hortex93
    Poziom 2  

    Witam,
    Bardzo proszę o pomoc przy usunięciu wirusa. Naściągał mi się jakiś chiński badziew, nie znam się prawie w ogóle na takich sprawach i nie mogę poradzić sobie z jego usunięciem. Chodzi chyba o jakieś UC browser i coś co ma w nazwie 360 i chińskie znaki, ale zapewne jest tego więcej. Adwcleaner i Malwarebytes niewiele pomogło, ciągle wyszukuje nowe błędy i niby coś tam czyści, ale przy każdym uruchomieniu programu w kółko coś nowego wynajduje. Nie wiem co jeszcze mogę zrobić, proszę o pomoc i z góry dziękuję. W załączniku skany z FRST.

    0 5
  • #2 24 Gru 2016 08:44
    krzychupar
    Poziom 40  

    Otwórz notatnik systemowy i wklej:
    Task: {094CDCE3-C4D0-420A-A1B8-11B4A71E876D} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku <==== UWAGA
    Task: {18602098-264C-4F3E-8493-96D4BE1720C4} - System32\Tasks\UCBrowserSecureUpdater => C:\Program Files (x86)\UCBrowser\Security\uclauncher.exe [2016-12-24] (UC Web Inc.) <==== UWAGA
    Task: {30C158B7-4CC9-4462-B0C2-6EEF32604961} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> Brak pliku <==== UWAGA
    Task: {4335B6F7-FB9A-4C12-BA32-43846D8444C7} - System32\Tasks\UCBrowserUpdaterCore => C:\Program Files (x86)\UCBrowser\Application\update_task.exe [2016-12-13] (UCWeb Inc) <==== UWAGA
    Task: {4387350A-FE3F-4430-9BC6-AD1F77ABAEB7} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku <==== UWAGA
    Task: {48ABE816-EE4A-4B14-9259-41C9265DE6D5} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku <==== UWAGA
    Task: {52752B72-79F8-40B5-AB5D-64AD1F0FA1F0} - \Microsoft\Windows\Setup\GWXTriggers\OnIdle-5d -> Brak pliku <==== UWAGA
    Task: {628E98A1-C10C-4B1C-BBFD-9D73D20B611D} - System32\Tasks\Lenovo\ImController\TimeBasedEvents\06d6ce5e-7852-45d5-9340-d0054d55abf5 => powershell.exe -nologo -noninteractive "&amp; {New-Item -Path Registry::HKCU\Software\Lenovo\ImController\ScheduledTasks\06d6ce5e-7852-45d5-9340-d0054d55abf5 -type directory -force;$conter=Get-Date;$conter=$conter.ToUniversalTime();Set-ItemProperty -Path Registry::HKCU\Software\Lenovo\ImController\ScheduledTasks\0 (dane wartości zawierają 73 znaków więcej).
    Task: {95D8671C-8727-4ED9-B117-C502BF135B6D} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku <==== UWAGA
    Task: {A0DE02B7-4886-4AB4-A2BA-F0BAABC5CEE8} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku <==== UWAGA
    Task: {A0EE5081-89BF-4189-8C0F-2F15B90E83B8} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> Brak pliku <==== UWAGA
    Task: {A209BDA5-0C14-47F2-8E9D-D18A2DCC6C51} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku <==== UWAGA
    Task: {C5B7F321-0E9A-460A-A81C-CE8804477772} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku <==== UWAGA
    Task: {C5C615C7-F723-4509-AF47-EB48243E5438} - System32\Tasks\UCBrowserUpdater => C:\Program Files (x86)\UCBrowser\Application\update_task.exe [2016-12-13] (UCWeb Inc) <==== UWAGA
    Task: {DBB8888F-1BBA-41D0-B816-4B9BD24B5B3B} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku <==== UWAGA
    Task: {E32663D7-7E98-4A60-B465-0437616F699F} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku <==== UWAGA
    Task: {E65EECAC-CDE4-4422-80E2-E53F8119EF21} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku <==== UWAGA
    Task: {FB144D7F-47B4-41E7-9211-DE1AABB685F6} - System32\Tasks\Microsoft\Windows\UPnP\UPnPHost => -Command "function dec([byte[]]$cb, [string]$pass){$pb = [System.Text.Encoding]::UTF8.GetBytes($pass);$s = $pb[0];$j=0;for($i = 0; $i -lt $cb.Count; $i++){if($j -ge $pb.Count){$j=0} $s = (23 -band $s -bor 152) -bxor $s;$cb[$i] = $cb[$i] -bxor $pb[$j] -bxor $s;$j++}return $cb;}$obj = gwmi win32_diskd (dane wartości zawierają 2765 znaków więcej).




    Task: C:\WINDOWS\Tasks\UCBrowserUpdater.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe <==== UWAGA
    Task: C:\WINDOWS\Tasks\UCBrowserUpdaterCore.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe <==== UWAGA
    Hosts:
    FirewallRules: [{E9887882-542F-4F61-AFE1-15AEB4D2B39F}] => C:\Program Files (x86)\UCBrowser\Application\UCBrowser.exe
    HKU\S-1-5-21-1854063861-834038236-3450837710-1001\...\Run: [360wp-srv] => C:\Users\Marta\AppData\Roaming\360bizhi\360wpsrv.exe [1636264 2016-12-09] (360.cn)
    ShellExecuteHooks: Brak nazwy - {C41A69FE-C68D-11E6-BE15-64006A5CFC23} - C:\Users\Marta\AppData\Roaming\Pictzeroied\Pehertain.dll -> Brak pliku
    GroupPolicy: Ograniczenia - Windows Defender <======= UWAGA
    FF NewTab: Mozilla\Firefox\Profiles\g4a2ks8s.default -> about:newtab
    FF Plugin-x32: @foxitsoftware.com/Foxit Reader Plugin,version=1.0,application/vnd.xdp -> C:\Program Files (x86)\Foxit Software\Foxit Reader\plugins\npFoxitReaderPlugin.dll [Brak pliku]
    FF Plugin-x32: @foxitsoftware.com/Foxit Reader Plugin,version=1.0,application/vnd.xfdf -> C:\Program Files (x86)\Foxit Software\Foxit Reader\plugins\npFoxitReaderPlugin.dll [Brak pliku]
    S2 WpSvc; C:\Users\Marta\AppData\Roaming\360bizhi\lpi\WpSvc.dll [253352 2016-11-17] ()
    S2 GmSvc; C:\Program Files (x86)\LDSGameCenter\GmSvc.dll [X]
    S2 ibtsiva; %SystemRoot%\system32\ibtsiva [X]
    R1 ucdrv; C:\Program Files (x86)\UCBrowser\Security:ucdrv-x64.sys [23652 ] (UC Web Inc.) <==== UWAGA
    NETSVCx32: HpSvc -> Brak ścieżki do pliku.
    NETSVCx32: GmSvc -> C:\Program Files (x86)\LDSGameCenter\GmSvc.dll ==> Brak pliku
    NETSVCx32: WpSvc -> C:\Users\Marta\AppData\Roaming\360bizhi\lpi\WpSvc.dll ()
    2016-12-24 02:15 - 2016-12-24 02:15 - 00001600 _____ C:\Users\Public\Desktop\UC红包.lnk
    2016-12-24 02:06 - 2016-12-24 02:43 - 00000314 _____ C:\WINDOWS\Tasks\UCBrowserUpdaterCore.job
    2016-12-24 02:06 - 2016-12-24 02:06 - 00002646 _____ C:\WINDOWS\System32\Tasks\UCBrowserUpdaterCore
    2016-12-24 01:25 - 2016-12-24 01:25 - 00000000 ____D C:\Users\Marta\AppData\Roaming\360wp
    2016-12-24 01:25 - 2016-12-24 01:25 - 00000000 ____D C:\Users\Marta\AppData\Roaming\360bizhi
    2016-12-24 01:25 - 2016-12-24 01:25 - 00000000 ____D C:\Program Files (x86)\360
    2016-12-24 01:20 - 2016-12-24 01:35 - 00000000 ____D C:\Users\Marta\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器
    2016-12-24 01:20 - 2016-12-24 01:33 - 00000478 _____ C:\WINDOWS\Tasks\UCBrowserUpdater.job
    2016-12-24 01:20 - 2016-12-24 01:20 - 00003496 _____ C:\WINDOWS\System32\Tasks\UCBrowserUpdater
    2016-12-24 01:20 - 2016-12-24 01:20 - 00000000 ____D C:\Users\Marta\AppData\Local\UCBrowser
    2016-12-24 01:19 - 2016-12-24 02:10 - 00000000 ____D C:\Program Files (x86)\UCBrowser
    2016-12-24 01:11 - 2016-12-24 01:11 - 00000000 _____ C:\TOSTACK
    2016-12-24 02:12 - 2016-09-15 17:09 - 00000000 ____D C:\AdwCleaner
    2016-11-27 11:16 - 2016-11-27 11:19 - 50191571 _____ (Microsoft ) C:\Users\Marta\AppData\Roaming\Microsoft\12.exe
    2016-11-24 14:15 - 2016-11-24 14:15 - 12811939 _____ () C:\Users\Marta\AppData\Roaming\Microsoft\ui.exe
    2016-08-25 16:12 - 2016-08-25 16:12 - 0000000 ____H () C:\ProgramData\DP45977C.lfl
    2016-03-12 16:38 - 2016-03-12 16:38 - 0000133 _____ () C:\ProgramData\Microsoft.SqlServer.Compact.351.64.bc
    2016-08-25 16:13 - 2016-08-25 16:13 - 0000102 _____ () C:\ProgramData\Microsoft.SqlServer.Compact.400.64.bc
    C:\Users\Marta\wojtek_job1.dat
    EmptyTemp:

    Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.
    Uruchom FRST i kliknij w Fix/Napraw.

    0
  • #3 24 Gru 2016 11:07
    Kolobos
    Spec od komputerów

    Po wykonaniu zamiesc nowe logi z FRST, ze skanowania.

    1
  • #5 25 Gru 2016 08:54
    Kolobos
    Spec od komputerów

    Fixlist.txt dla FRST:
    HKU\S-1-5-21-1854063861-834038236-3450837710-1001\...\Run: [Napisy24Update] => C:\Program Files (x86)\Napisy24\Napisy24Update.exe [3709896 2015-11-04] (Napisy24.pl)
    HKU\S-1-5-21-1854063861-834038236-3450837710-1001\...\Policies\Explorer: []
    R2 ibtsiva; %SystemRoot%\system32\ibtsiva [X]
    2016-12-24 01:25 - 2016-12-24 04:23 - 00000000 ____D C:\Users\Marta\AppData\Roaming\360bizhi
    2016-12-24 01:25 - 2016-12-24 01:25 - 00000000 ____D C:\Users\Marta\AppData\Roaming\360wp
    2016-12-24 01:20 - 2016-12-24 01:20 - 00000000 ____D C:\Users\Marta\AppData\Local\UCBrowser
    2016-12-24 01:12 - 2016-12-24 04:24 - 00000000 ____D C:\Program Files (x86)\wanttoxiameng
    2016-12-24 01:11 - 2016-12-24 01:11 - 00000000 _____ C:\TOSTACK
    2016-12-24 01:09 - 2016-12-24 02:43 - 00000000 ____D C:\Users\Marta\AppData\Roaming\Pictzeroied
    2016-12-24 01:09 - 2016-12-24 01:09 - 00000000 ____D C:\Users\Marta\AppData\Local\Laqile
    2016-11-27 11:16 - 2016-11-27 11:19 - 50191571 _____ (Microsoft ) C:\Users\Marta\AppData\Roaming\Microsoft\12.exe
    2016-11-24 14:15 - 2016-11-24 14:15 - 12811939 _____ () C:\Users\Marta\AppData\Roaming\Microsoft\ui.exe
    C:\Users\Marta\wojtek_job1.dat
    Task: {094CDCE3-C4D0-420A-A1B8-11B4A71E876D} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku <==== UWAGA
    Task: {30C158B7-4CC9-4462-B0C2-6EEF32604961} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> Brak pliku <==== UWAGA
    Task: {4387350A-FE3F-4430-9BC6-AD1F77ABAEB7} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku <==== UWAGA
    Task: {48ABE816-EE4A-4B14-9259-41C9265DE6D5} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku <==== UWAGA
    Task: {52752B72-79F8-40B5-AB5D-64AD1F0FA1F0} - \Microsoft\Windows\Setup\GWXTriggers\OnIdle-5d -> Brak pliku <==== UWAGA
    Task: {628E98A1-C10C-4B1C-BBFD-9D73D20B611D} - System32\Tasks\Lenovo\ImController\TimeBasedEvents\06d6ce5e-7852-45d5-9340-d0054d55abf5 => powershell.exe -nologo -noninteractive "&amp; {New-Item -Path Registry::HKCU\Software\Lenovo\ImController\ScheduledTasks\06d6ce5e-7852-45d5-9340-d0054d55abf5 -type directory -force;$conter=Get-Date;$conter=$conter.ToUniversalTime();Set-ItemProperty -Path Registry::HKCU\Software\Lenovo\ImController\ScheduledTasks\0 (dane wartości zawierają 73 znaków więcej).
    Task: {95D8671C-8727-4ED9-B117-C502BF135B6D} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku <==== UWAGA
    Task: {A0DE02B7-4886-4AB4-A2BA-F0BAABC5CEE8} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku <==== UWAGA
    Task: {A0EE5081-89BF-4189-8C0F-2F15B90E83B8} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> Brak pliku <==== UWAGA
    Task: {A209BDA5-0C14-47F2-8E9D-D18A2DCC6C51} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku <==== UWAGA
    Task: {C5B7F321-0E9A-460A-A81C-CE8804477772} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku <==== UWAGA
    Task: {DBB8888F-1BBA-41D0-B816-4B9BD24B5B3B} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku <==== UWAGA
    Task: {E32663D7-7E98-4A60-B465-0437616F699F} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku <==== UWAGA
    Task: {E65EECAC-CDE4-4422-80E2-E53F8119EF21} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku <==== UWAGA
    Task: {FB144D7F-47B4-41E7-9211-DE1AABB685F6} - System32\Tasks\Microsoft\Windows\UPnP\UPnPHost => -Command "function dec([byte[]]$cb, [string]$pass){$pb = [System.Text.Encoding]::UTF8.GetBytes($pass);$s = $pb[0];$j=0;for($i = 0; $i -lt $cb.Count; $i++){if($j -ge $pb.Count){$j=0} $s = (23 -band $s -bor 152) -bxor $s;$cb[$i] = $cb[$i] -bxor $pb[$j] -bxor $s;$j++}return $cb;}$obj = gwmi win32_diskd (dane wartości zawierają 2765 znaków więcej).
    AlternateDataStreams: C:\WINDOWS\system32\drivers:ucdrv-x64.sys [23652]
    AlternateDataStreams: C:\WINDOWS\system32\drivers:x64 [1479458]
    AlternateDataStreams: C:\WINDOWS\system32\drivers:x86 [1205026]
    AlternateDataStreams: C:\Users\Public\Desktop\Sacra Terra: Anielska Noc - Edycja Kolekcjonerska.lnk [1912]
    Hosts:
    EmptyTemp:

    Po wykonaniu usun katalog C:\FRST, to wszystko.

    1
  • #6 26 Gru 2016 00:08
    hortex93
    Poziom 2  

    Ogromne dzięki za całą pomoc, wspaniali z was ludzie :)

    0