Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

- Chińskie wirusy z zatoki piratów

neverdie11111 17 Sty 2017 16:29 417 9
  • #1 17 Sty 2017 16:29
    neverdie11111
    Poziom 3  

    Witam. Ostatnio postanowiłem pobrać sobie film z torrentów, jednakże nie sprawdziłem dobrze jego uploadera i niestety ściągnąłem coś z wirusem. Po otworzeniu filmu zaczęły mi się instalować jakieś chińskie aplikacje. Wszystko ręcznie usunąłem, ale po zresetowaniu komputera internet i komputer strasznie się tnie, niektóre strony się nie otwierają i cały czas wyskakują mi jakieś strony, na które nie wchodziłem. Przeskanowałem komputer ADWCleanerem oraz Dr. Web CureIt! usunąłem wykryte wirusy ale po restarcie komputer cały czas działał tak samo wolno i usunięte wcześniej wirusy na nowo pokazywały się w ADWCleanerze. W załączniku wrzucam logi, bardzo proszę o pomoc.
    FRST.txt Download (37.94 kB)
    Additi..txt Download (29.78 kB)

    0 9
  • #2 17 Sty 2017 17:45
    krzychupar
    Poziom 40  

    Odinstaluj:
    trotux - Uninstall (HKLM\...\{003A531C-8D59-4C71-B839-28DF714E5DC1}) (Version: - ) <==== UWAGA

    Otwórz notatnik systemowy i wklej:
    WMI_ActiveScriptEventConsumer_ASEC: <===== UWAGA
    Hosts:
    HKU\S-1-5-18\...\Run: [] => 0
    ShellExecuteHooks: Brak nazwy - {5F51FFFE-7463-4220-B711-E5B9ACB8EDFE} - C:\ProgramData\igfxDH.dll -> Brak pliku
    ShellIconOverlayIdentifiers: [###MegaShellExtPending] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} => C:\Users\Michał\AppData\Local\MEGAsync\ShellExtX32.dll -> Brak pliku
    ShellIconOverlayIdentifiers: [###MegaShellExtSynced] -> {05B38830-F4E9-4329-978B-1DD28605D202} => C:\Users\Michał\AppData\Local\MEGAsync\ShellExtX32.dll -> Brak pliku
    ShellIconOverlayIdentifiers: [###MegaShellExtSyncing] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} => C:\Users\Michał\AppData\Local\MEGAsync\ShellExtX32.dll -> Brak pliku
    ShortcutTarget: SPDriverInstall.lnk -> C:\Program Files\MediaTek\SP Driver\SPDriverInstall (Brak pliku)
    HKU\S-1-5-21-1526417255-2731343013-1680851602-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%6...hhrT-PNvLeIr7QjOqDguYt056kUCHNDy5dBg,,&q={searchTerms}
    SearchScopes: HKLM -> DefaultScope - brak wartości
    CHR Profile: C:\Users\Michał\AppData\Local\Google\Chrome\User Data\ChromeDefaultData [2017-01-14] <==== UWAGA
    S3 VGPU; System32\drivers\rdvgkmd.sys [X]
    2017-01-14 18:56 - 2017-01-14 20:59 - 00000000 ____D C:\AdwCleaner
    2017-01-14 13:40 - 2017-01-14 13:48 - 00000000 ____D C:\Program Files\Grekesy_
    2017-01-14 13:40 - 2017-01-14 13:48 - 00000000 ____D C:\Program Files\Grekesy
    2017-01-14 13:40 - 2017-01-14 13:42 - 00000000 ____D C:\Users\Michaᄈ\AppData\Local\Pracudomnifely
    2017-01-14 13:40 - 2017-01-14 13:40 - 00000000 ____D C:\Users\Michaᄈ
    2017-01-14 13:40 - 2017-01-14 13:40 - 00000000 ____D C:\Users\Michał\AppData\Roaming\Jaesywacuk
    2017-01-14 13:40 - 2017-01-14 13:40 - 00000000 ____D C:\Users\Michał\AppData\Local\Pracudomnifely
    2017-01-14 13:40 - 2017-01-14 13:40 - 00000000 ____D C:\ProgramData\Avira
    2017-01-14 13:40 - 2017-01-14 13:40 - 00000000 ____D C:\ProgramData\Avg
    2017-01-14 13:40 - 2017-01-14 13:40 - 00000000 ____D C:\Program Files\Anuzuied Server
    2017-01-14 13:40 - 2017-01-14 13:40 - 00000000 _____ C:\TOSTACK
    2017-01-14 13:34 - 2017-01-14 13:34 - 07316480 _____ C:\Users\Michał\AppData\Roaming\agent.dat
    2017-01-14 13:34 - 2017-01-14 13:34 - 01938534 _____ C:\Users\Michał\AppData\Roaming\Kontop.bin
    2017-01-14 13:34 - 2017-01-14 13:34 - 01907761 _____ C:\Users\Michał\AppData\Roaming\Toplex.tst
    2017-01-14 13:34 - 2017-01-14 13:34 - 00982016 _____ C:\Users\Michał\AppData\Roaming\Toplex.exe
    2017-01-14 13:34 - 2017-01-14 13:34 - 00982016 _____ C:\Users\Michał\AppData\Roaming\FaxZamjob.exe
    2017-01-14 13:34 - 2017-01-14 13:34 - 00140288 _____ C:\Users\Michał\AppData\Roaming\Installer.dat
    2017-01-14 13:34 - 2017-01-14 13:34 - 00126464 _____ C:\Users\Michał\AppData\Roaming\noah.dat
    2017-01-14 13:34 - 2017-01-14 13:34 - 00126464 _____ C:\Users\Michał\AppData\Roaming\lobby.dat
    2017-01-14 13:34 - 2017-01-14 13:34 - 00072787 _____ C:\Users\Michał\AppData\Roaming\FaxZamjob.tst
    2017-01-14 13:34 - 2017-01-14 13:34 - 00070704 _____ C:\Users\Michał\AppData\Roaming\Config.xml
    2017-01-14 13:34 - 2017-01-14 13:34 - 00054272 _____ C:\Users\Michał\AppData\Roaming\ApplicationHosting.dat
    2017-01-14 13:34 - 2017-01-14 13:34 - 00018432 _____ C:\Users\Michał\AppData\Roaming\Main.dat
    2017-01-14 13:34 - 2017-01-14 13:34 - 00016560 _____ C:\Users\Michał\AppData\Roaming\InstallationConfiguration.xml
    2017-01-14 13:34 - 2017-01-14 13:34 - 00005568 _____ C:\Users\Michał\AppData\Roaming\md.xml
    2017-01-14 13:34 - 2017-01-14 13:34 - 00000000 ____D C:\Users\Michał\AppData\Roaming\Mozilla
    2017-01-14 13:34 - 2017-01-14 13:34 - 00000000 ____D C:\Program Files\Common Files\Goldenron
    EmptyTemp:

    Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.
    Uruchom FRST i kliknij w Fix/Napraw.

    0
  • #3 17 Sty 2017 19:02
    neverdie11111
    Poziom 3  

    Niestety, to trotux-uninstall nie chce się odinstalować przez panel sterowania, a w funkcji szukaj nie znajduje mi go na komputerze.
    jak wklejam to co napisałeś do cmd, to zamiast tekstu pojawia mi się "^U", jak to zmienić?
    I mam wkleić to całe aż do EmptyTemp: włącznie, czy do którego momentu twojego posta?

    0
  • Pomocny post
    #4 17 Sty 2017 19:16
    krzychupar
    Poziom 40  

    Masz wkleić to razem z EmptyTemp: do notatnika systemowego.

    0
  • #5 17 Sty 2017 19:24
    Kolobos
    Spec od komputerów

    Piszesz uzytkownikowi zeby wkleil do notatnika, a ten wkleja cos do okna cmd...

    @neverdie11111 jak juz uda Ci sie przeczytac ze zrozumieniem to co podal @krzychupar i wykonac POPRAWNIE to zamiesc nowe logi z FRST, ze skanowania.

    0
  • #6 17 Sty 2017 19:46
    neverdie11111
    Poziom 3  

    Zrobiłem tak jak pisałeś, komputer działa już chyba normalnie(na pewno z normalną szybkością) ale po skanie ADWCleanerem cały czas wyskakuje mi, że wykryto 11 zagrożeń.

    0
  • #7 17 Sty 2017 19:49
    Kolobos
    Spec od komputerów

    Napisalem zebys zamiescil nowe logi z FRST, ze skanowania.

    0
  • Pomocny post
    #9 17 Sty 2017 20:03
    Kolobos
    Spec od komputerów

    Wpis trotux - Uninstall mozesz usunac recznie przy pomocy regedit z klucza uninstall:
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall, szukaj:
    003A531C-8D59-4C71-B839-28DF714E5DC1

    Zgraj zakladki z Chrome, skrypt usunie zainfekowany katalog profilu przegladarki, utworzony przez infekcje.
    Masz jeszcze drugi profil, mozesz go zmienic w ustawieniach Chrome (Default).

    Nie pobieraj programow z dobrych programow przy pomocy ich menadzera pobierania, ktory instaluje szkodliwe dodatki!
    Pobieraj TYLKO z bezposrednich linkow.

    Nowy Fixlist.txt dla FRST:
    Task: {15BBFB5E-F2C9-4D95-9D04-BA5230430DA9} - System32\Tasks\Anuzuied Server => C:\Program Files\Grekesy\awaly.exe
    HKU\S-1-5-21-1526417255-2731343013-1680851602-1000\...\Run: [ALLUpdate] => C:\Program Files\ALLPlayer\ALLUpdate.exe [3670472 2015-07-28] (ALLPlayer Group Ltd.)
    HKU\S-1-5-21-1526417255-2731343013-1680851602-1000\...\Run: [Napisy24Update] => C:\Program Files\Napisy24\Napisy24Update.exe [3709896 2015-11-04] (Napisy24.pl)
    HKU\S-1-5-21-1526417255-2731343013-1680851602-1000\...\RunOnce: [ALLPlayer Remote Update] => C:\Users\MICHA~1\AppData\Local\Temp\ALLRemote.exe [2200144 2017-01-17] (ALLPlayer ) <===== UWAGA
    HKLM\...\Providers\uq33ed42: C:\Program Files\Anuzuied Server\local32spl.dll
    ShellExecuteHooks: Brak nazwy - {C5E9BD50-D3FB-11E6-9B39-64006A5CFC35} - C:\Users\Michał\AppData\Roaming\Jaesywacuk\Ghitstokerther.dll -> Brak pliku
    Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\SPDriverInstall.lnk [2016-06-05]
    ShortcutTarget: SPDriverInstall.lnk -> C:\Program Files\MediaTek\SP Driver\SPDriverInstall (Brak pliku)
    CHR DefaultProfile: ChromeDefaultData
    CHR Profile: C:\Users\Michał\AppData\Local\Google\Chrome\User Data\ChromeDefaultData [2017-01-17] <==== UWAGA
    C:\Users\Michał\AppData\Local\Google\Chrome\User Data\ChromeDefaultData
    CHR Extension: (Dingit Infinite HD App) - C:\Users\Michał\AppData\Local\Google\Chrome\User Data\Default\Extensions\llnhnfikffkjbdnfallfpgikamegbbag [2016-06-04]
    CHR HKLM\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] - hxxps://clients2.google.com/service/update2/crx
    R2 MSBuildALLPlayer; C:\Program Files\MSBuild\MSBuildALLPlayer.dll [225792 2017-01-14] () [Brak podpisu cyfrowego]
    S2 Coofele; C:\Program Files\Grekesy_\rvsadapter.dll [X]
    2017-01-17 19:43 - 2017-01-17 19:47 - 00000000 ____D C:\AdwCleaner
    2017-01-17 19:18 - 2017-01-17 19:18 - 01285352 _____ (Rocere ) C:\Users\Michał\Downloads\Notepad2-13075-dp.exe
    2017-01-14 14:10 - 2017-01-14 14:10 - 03988944 _____ C:\Users\Michał\Downloads\adwcleaner_6.042.exe
    2017-01-14 14:02 - 2017-01-14 14:02 - 01301744 _____ ( ) C:\Users\Michał\Downloads\AdwCleaner 6.042 (1).exe
    2017-01-14 13:59 - 2017-01-14 13:59 - 01305584 _____ ( ) C:\Users\Michał\Downloads\AdwCleaner 6.042.exe
    2017-01-14 13:40 - 2017-01-14 13:42 - 00000000 ____D C:\Users\Michaᄈ\AppData\Local\Pracudomnifely
    2017-01-14 13:38 - 2017-01-14 13:38 - 00000000 ____D C:\Users\Michał\AppData\Local\UCBrowser
    2017-01-14 13:35 - 2017-01-14 13:35 - 00000000 ____D C:\Users\Default\AppData\Local\AdvinstAnalytics
    2017-01-14 13:35 - 2017-01-14 13:35 - 00000000 ____D C:\Users\Default User\AppData\Local\AdvinstAnalytics
    2017-01-14 13:33 - 2017-01-14 13:33 - 00000000 __RSH C:\MSDOS.SYS
    2017-01-14 13:33 - 2017-01-14 13:33 - 00000000 __RSH C:\IO.SYS
    2017-01-14 13:34 - 2017-01-14 13:34 - 0032038 _____ () C:\Users\Michał\AppData\Roaming\uninstall_temp.ico

    Po wykonaniu usun katalog C:\FRST.

    Usun to co wykrywa adwc, o ile nadal bedzie cos wykrywac.

    0
  • #10 17 Sty 2017 20:34
    neverdie11111
    Poziom 3  

    Zrobiłem tak jak mówiliście i ADWCleaner nie wykrywa już nic. Wielkie dzięki!

    0