Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

- Wirus instalujacy aplikacje na komputerze brak dostępu do menadżera zadań

dbursz 04 Sty 2017 00:09 672 7
  • #1 04 Sty 2017 00:09
    dbursz
    Poziom 3  

    Witam
    Przez przypadek zainstalowałem jakiś niechciany program a razem z nim chyba jakiś wirus który sam instaluje mi dziwne rzeczy na kompie. zainstalował mi jakąś przeglądarke UC oraz zainstalował coś o nazwie żěŃą chociaż nie wiem czy to nie jest ognisko wirusa Dołączam skany z FRST oraz z ADWCLEANER i prosze bardzo o pomoc bo sam sobie z tym nie poradze.

    0 7
  • Pomocny post
    #2 04 Sty 2017 08:19
    krzychupar
    Poziom 40  

    Otwórz notatnik systemowy i wklej:
    Task: {294A352B-4895-49E7-8F60-A235AE09C450} - \Traffic Exchange v2 Guard -> Brak pliku <==== UWAGA
    Task: {6466CAD0-3096-4BC7-9C67-FF70BD2008B4} - \Traffic Exchange v2 OG -> Brak pliku <==== UWAGA
    Task: {6A003F3B-3A57-4EB5-81DC-D619EE549CFF} - \Traffic Exchange v2 Guardian -> Brak pliku <==== UWAGA
    Task: {6BAF9F01-FEAC-4BEA-B041-9092C9E5D7D0} - \UCBrowserUpdaterCore -> Brak pliku <==== UWAGA
    Task: {7D3D983E-F448-4EA0-A3DE-1C24CF1765EE} - \Traffic Exchange v2 On Guard -> Brak pliku <==== UWAGA
    Task: {7E3479BC-AB50-4090-9AAD-D0229F654819} - \Traffic Exchange v2 -> Brak pliku <==== UWAGA
    Task: {9BCDD052-A778-4038-8D4B-B081C7A9293D} - System32\Tasks\UCBrowserSecureUpdater => C:\Program Files (x86)\UCBrowser\Security\uclauncher.exe [2017-01-03] (UC Web Inc.) <==== UWAGA
    Task: {9F963A50-1B92-4287-846A-06DBC282DC29} - \osTip -> Brak pliku <==== UWAGA
    Task: {AF0EAB90-D267-42C9-8D66-9C7CD9031630} - System32\Tasks\Lenovo\ImController\TimeBasedEvents\808b7eb3-18b5-448c-837a-d2565eee2d9b => powershell.exe -nologo -noninteractive "&amp; {New-Item -Path Registry::HKCU\Software\Lenovo\ImController\ScheduledTasks\808b7eb3-18b5-448c-837a-d2565eee2d9b -type directory -force;$conter=Get-Date;$conter=$conter.ToUniversalTime();Set-ItemProperty -Path Registry::HKCU\Software\Lenovo\ImController\ScheduledTasks\8 (dane wartości zawierają 73 znaków więcej).
    Task: {B0711164-5E6E-4E8E-8298-7CC83B1EAE7A} - System32\Tasks\UCBrowserUpdater => C:\Program Files (x86)\UCBrowser\Application\update_task.exe [2016-12-27] (UCWeb Inc) <==== UWAGA
    Task: {E214E008-8B71-4CCE-9AF1-BC55FD10337A} - \KuaiZip_Update -> Brak pliku <==== UWAGA
    Task: {FB5E1391-53DD-4D1B-83DA-56E7BF9CAB57} - \Traffic Exchange Updater -> Brak pliku <==== UWAGA
    Task: C:\WINDOWS\Tasks\UCBrowserUpdater.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe <==== UWAGA
    HKU\S-1-5-21-2143275507-2036960161-1408676242-1001\...\MountPoints2: {0219a697-6917-11e5-9be1-f0761ca00447} - "D:\setup.exe"
    HKU\S-1-5-21-2143275507-2036960161-1408676242-1001\...\MountPoints2: {d8377ad1-70f4-11e5-9be2-f0761ca00447} - "G:\setup.exe"
    ShellIconOverlayIdentifiers: [ MEGA (Pending)] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} => C:\Users\bursz\AppData\Local\MEGAsync\ShellExtX64.dll -> Brak pliku
    ShellIconOverlayIdentifiers: [ MEGA (Synced)] -> {05B38830-F4E9-4329-978B-1DD28605D202} => C:\Users\bursz\AppData\Local\MEGAsync\ShellExtX64.dll -> Brak pliku
    ShellIconOverlayIdentifiers: [ MEGA (Syncing)] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} => C:\Users\bursz\AppData\Local\MEGAsync\ShellExtX64.dll -> Brak pliku
    ShellIconOverlayIdentifiers-x32: [ MEGA (Pending)] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} => C:\Users\bursz\AppData\Local\MEGAsync\ShellExtX32.dll -> Brak pliku
    ShellIconOverlayIdentifiers-x32: [ MEGA (Synced)] -> {05B38830-F4E9-4329-978B-1DD28605D202} => C:\Users\bursz\AppData\Local\MEGAsync\ShellExtX32.dll -> Brak pliku




    ShellIconOverlayIdentifiers-x32: [ MEGA (Syncing)] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} => C:\Users\bursz\AppData\Local\MEGAsync\ShellExtX32.dll -> Brak pliku
    GroupPolicy: Ograniczenia <======= UWAGA
    HKU\S-1-5-21-2143275507-2036960161-1408676242-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61...AQ945fpurLK-rHqQZcUD8dmn1zU-mqp8KnHA,,&q={searchTerms}
    HKU\S-1-5-21-2143275507-2036960161-1408676242-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617910...amp;GUID=5CED0FE7-DB9E-48B1-862A-8D1D456C7116
    SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL =
    SearchScopes: HKU\S-1-5-21-2143275507-2036960161-1408676242-1001 -> DefaultScope {ielnksrch} URL =
    CHR HomePage: Default -> hxxp://%66%65%65%64.%68%65%6C%70%65%72%62%61%...Q1nIxRq_w56mqzPqn6pSwPL-wNjYv3qgTKo1owg1iQQ,,,,
    CHR DefaultSearchURL: Default -> hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61...mCUurwiE_jC9pXKmUlRCsL2RxyPrK7rIK61Q,,&q={searchTerms}
    CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] - hxxps://clients2.google.com/service/update2/crx
    U1 ucdrv; C:\Program Files (x86)\UCBrowser\Security:ucdrv-x64.sys [23652 ] (UC Web Inc.) <==== UWAGA
    S3 AndnetBus; \SystemRoot\System32\drivers\lgandnetbus64.sys [X]
    S3 AndNetDiag; \SystemRoot\system32\DRIVERS\lgandnetdiag64.sys [X]
    S3 ANDNetModem; \SystemRoot\system32\DRIVERS\lgandnetmodem64.sys [X]
    2017-01-03 14:56 - 2017-01-03 23:43 - 00000000 ____D C:\AdwCleaner
    2017-01-03 09:03 - 2017-01-03 14:20 - 00003476 _____ C:\WINDOWS\System32\Tasks\UCBrowserSecureUpdater
    2017-01-03 02:32 - 2017-01-03 09:02 - 00000488 _____ C:\WINDOWS\Tasks\UCBrowserUpdater.job
    2017-01-03 02:32 - 2017-01-03 02:32 - 00003506 _____ C:\WINDOWS\System32\Tasks\UCBrowserUpdater
    2017-01-03 02:32 - 2017-01-03 02:32 - 00001599 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\UC浏览器.lnk
    2017-01-03 02:32 - 2017-01-03 02:32 - 00000882 _____ C:\Users\bursz\AppData\Roaming\Microsoft\Windows\Start Menu\żěŃą.lnk
    2017-01-03 02:32 - 2017-01-03 02:32 - 00000858 _____ C:\Users\bursz\Desktop\żěŃą.lnk
    2017-01-03 02:32 - 2017-01-03 02:32 - 00000000 ____D C:\Users\bursz\AppData\Local\UCBrowser
    2017-01-03 02:32 - 2017-01-03 02:32 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\UC浏览器
    2017-01-03 02:31 - 2017-01-03 10:09 - 00000000 ____D C:\Program Files (x86)\UCBrowser
    2017-01-03 02:31 - 2017-01-03 02:31 - 00000000 ____D C:\Program Files\żěŃą
    2017-01-03 02:30 - 2017-01-03 02:30 - 07316480 _____ C:\Users\bursz\AppData\Roaming\agent.dat
    2017-01-03 02:30 - 2017-01-03 02:30 - 01907416 _____ C:\Users\bursz\AppData\Roaming\Zenwarm.tst
    2017-01-03 02:30 - 2017-01-03 02:30 - 00126464 _____ C:\Users\bursz\AppData\Roaming\noah.dat
    2017-01-03 02:30 - 2017-01-03 02:30 - 00126464 _____ C:\Users\bursz\AppData\Roaming\lobby.dat
    2017-01-03 02:30 - 2017-01-03 02:30 - 00072787 _____ C:\Users\bursz\AppData\Roaming\Mattouch.tst
    2017-01-03 02:30 - 2017-01-03 02:30 - 00070704 _____ C:\Users\bursz\AppData\Roaming\Config.xml
    2017-01-03 02:30 - 2017-01-03 02:30 - 00054272 _____ C:\Users\bursz\AppData\Roaming\ApplicationHosting.dat
    2017-01-03 02:30 - 2017-01-03 02:30 - 00018432 _____ C:\Users\bursz\AppData\Roaming\Main.dat
    2017-01-03 02:30 - 2017-01-03 02:30 - 00005568 _____ C:\Users\bursz\AppData\Roaming\md.xml
    2017-01-03 02:30 - 2017-01-03 02:30 - 00000000 ____D C:\Users\Default\AppData\Local\AdvinstAnalytics
    2017-01-03 02:30 - 2017-01-03 02:30 - 00000000 ____D C:\Users\Default User\AppData\Local\AdvinstAnalytics
    2017-01-03 02:30 - 2016-12-26 15:58 - 00965120 ___SH C:\ProgramData\igfxDH.dll
    2017-01-03 02:29 - 2017-01-03 02:29 - 00140288 _____ C:\Users\bursz\AppData\Roaming\Installer.dat
    2017-01-03 02:29 - 2017-01-03 02:29 - 00016560 _____ C:\Users\bursz\AppData\Roaming\InstallationConfiguration.xml
    2016-03-24 11:09 - 2016-03-24 11:09 - 0000000 _____ () C:\Users\bursz\AppData\Roaming\ADF8F0174DAB4265999B9336FFF72A2D.dat
    2016-08-08 18:57 - 2016-08-08 18:57 - 0000035 _____ () C:\Users\bursz\AppData\Roaming\app.ini
    2017-01-03 02:30 - 2017-01-03 02:30 - 0070704 _____ () C:\Users\bursz\AppData\Roaming\Config.xml
    2015-09-12 12:09 - 2015-09-12 13:21 - 0196888 _____ () C:\Users\bursz\AppData\Roaming\DarkNexusArena.torrent
    2017-01-03 02:29 - 2017-01-03 02:29 - 0140288 _____ () C:\Users\bursz\AppData\Roaming\Installer.dat
    2017-01-03 02:30 - 2017-01-03 02:30 - 0126464 _____ () C:\Users\bursz\AppData\Roaming\lobby.dat
    2017-01-03 02:30 - 2017-01-03 02:30 - 0072787 _____ () C:\Users\bursz\AppData\Roaming\Mattouch.tst
    2017-01-03 02:30 - 2017-01-03 02:30 - 0032038 _____ () C:\Users\bursz\AppData\Roaming\uninstall_temp.ico
    2015-09-12 12:09 - 2015-09-12 13:21 - 0000008 _____ () C:\Users\bursz\AppData\Roaming\version.txt
    2017-01-03 02:30 - 2017-01-03 02:30 - 1907416 _____ () C:\Users\bursz\AppData\Roaming\Zenwarm.tst
    2016-11-26 17:54 - 2016-11-23 13:19 - 0000570 _____ () C:\Users\bursz\AppData\Local\TroubleshooterConfig.json
    2016-08-27 20:52 - 2016-08-27 20:52 - 0000000 ____H () C:\ProgramData\DP45977C.lfl
    2017-01-03 02:30 - 2016-12-26 15:58 - 0965120 ___SH () C:\ProgramData\igfxDH.dll
    2016-12-20 01:27 - 2017-01-03 23:44 - 0003135 _____ () C:\ProgramData\NvTelemetryContainer.log
    2016-12-20 01:27 - 2017-01-03 23:25 - 0005943 _____ () C:\ProgramData\NvTelemetryContainer.log_backup1
    C:\ProgramData\igfxDH.dll
    EmptyTemp:

    Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.
    Uruchom FRST i kliknij w Fix/Napraw.

    1
  • Pomocny post
    #3 04 Sty 2017 09:32
    Kolobos
    Spec od komputerów

    W trybie normalnym nie usunie sterownika tej infekcji. Trzeba wykonac Fixlist w trybie awaryjnym.

    Po wykonaniu zamiesc logi z FRST, ze skanowania.

    0
  • #4 04 Sty 2017 13:39
    dbursz
    Poziom 3  

    Wykonałem fixlist w trybie awaryjnym po restarcie użyłem jeszcze raz ADWCLEANER wykryło jeszcze jakieś 40 coś zagrożeń usunąłem je, zeskanowałem jeszcze raz FRST. Z widocznych dla mnie rzeczy odzysakałem dostęp do menadżera zadań, zniknął ten program żěŃą, lecz widoczna jest jeszcze przeglądarka UC. W załącznikach skany itp

    0
  • Pomocny post
    #5 04 Sty 2017 14:16
    Kolobos
    Spec od komputerów

    Wykonaj nowy Fixlist.txt w trybie awaryjnym:
    CloseProcesses:
    Task: C:\WINDOWS\Tasks\UCBrowserUpdaterCore.job => C:\FRST\Quarantine\C\Program Files (x86)\UCBrowser\Application\update_task.exe <==== UWAGA
    AlternateDataStreams: C:\WINDOWS\system32\drivers:ucdrv-x64.sys [23652]
    AlternateDataStreams: C:\WINDOWS\system32\drivers:x64 [1479458]
    AlternateDataStreams: C:\WINDOWS\system32\drivers:x86 [1205026]
    AlternateDataStreams: C:\WINDOWS\SysWOW64\zlib.dll:DocumentSummaryInformation [63]
    AlternateDataStreams: C:\WINDOWS\SysWOW64\zlib.dll:SummaryInformation [63]
    AlternateDataStreams: C:\WINDOWS\SysWOW64\zlib.dll:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
    HKU\S-1-5-21-2143275507-2036960161-1408676242-1001\...\Run: [Napisy24Update] => C:\Program Files (x86)\Napisy24\Napisy24Update.exe [3709896 2015-11-04] (Napisy24.pl)
    HKU\S-1-5-18\...\Run: [] => 0
    ShellExecuteHooks: Brak nazwy - {5F51FFFE-7463-4220-B711-E5B9ACB8EDFE} - C:\ProgramData\igfxDH.dll -> Brak pliku
    ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} => C:\Program Files\żěŃą\X64\KZipShell.dll -> Brak pliku
    Winsock: Catalog5-x64 07 C:\Windows\system32\wlidnsp.dll [66048 2016-07-16] (Microsoft Corporation)
    Winsock: Catalog5-x64 08 C:\Windows\system32\wlidnsp.dll [66048 2016-07-16] (Microsoft Corporation)
    FF Homepage: Mozilla\Firefox\Profiles\f718ulgq.default-1480868930357 -> C:\ProgramData\Hotfreshs\ff.HP
    FF NewTab: Mozilla\Firefox\Profiles\f718ulgq.default-1480868930357 -> C:\ProgramData\Hotfreshs\ff.NT
    C:\WINDOWS\Tasks\UCBrowserUpdaterCore.job
    RemoveDirectory: C:\Users\bursz\AppData\Local\UCBrowser
    C:\AdwCleaner
    2017-01-03 02:32 - 2017-01-03 02:32 - 00001599 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\UC浏览器.lnk
    2017-01-03 02:32 - 2017-01-03 02:32 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\UC浏览器
    2017-01-03 02:30 - 2017-01-03 03:58 - 00000000 __SHD C:\Users\bursz\AppData\Local\svchost
    2017-01-03 02:30 - 2017-01-03 03:32 - 00000000 ____D C:\ProgramData\Hotfresh
    DeleteQuarantine:

    Po wykonaniu zamiesc nowe logi z FRST, ze skanowania.

    0
  • Pomocny post
    #7 04 Sty 2017 14:59
    Kolobos
    Spec od komputerów

    Usun katalog C:\FRST o ile jest i to wszystko.

    0
  • #8 04 Sty 2017 15:03
    dbursz
    Poziom 3  

    Wielkie dzięki za pomoc :)

    0