Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyj±tek www.elektroda.pl do Adblock.
Dzięki temu, że ogl±dasz reklamy, wspierasz portal i użytkowników.

Jak usun±ć wirusy żěѱ, uc(chińskie znaczki)?

johnn1997 21 Sty 2017 16:38 2310 12
  • #1 21 Sty 2017 16:38
    johnn1997
    Poziom 9  

    Witam wszystkich.
    Uprzedzaj±c negatywne komentarze: owszem nieuważnie pobrałem wirusa z torrentów i na własne życzenie zainfekowałem nim komputer. Well - my bad. Nie wiem który z programów był za to odpowiedzialny, ale naraz pojawiło się mnóstwo programów i rozszerzeń takich jak wła¶nie tytułowe żěѱ, uc浏览器, czy trotux i inne skróty do gier itd. Zdarzały mi się takie rzeczy wcze¶niej i zawsze jako¶ sobie radziłem, ale w tym przypadku muszę się przyznać, że po przeczytaniu dziesi±tek artykułów poradników i pobraniu kilku programów, które rzekomo miały mi stuprocentowo usun±ć wirusa (adwcleaner, trojankiller, spyemergency itd), nie wiem co mam dalej robić. Dlatego proszę o pomoc. Wiem, że da się to zrobić ręcznie ale potrzebuję instrukcji. Dokładnie co i jak mam zrobić. Widziałem też na forach jak ludzie wrzucaj± jakie¶ pliki tekstowe z notatnika (jakie¶ FRST itd.). Nie wiem co to jest i je¶li mam co¶ takiego wrzucić to proszę o informację jak.
    Pozdrawiam!

    0 12
  • #4 21 Sty 2017 17:10
    Kolobos
    Spec od komputerów

    Spy Emergency, co to w ogole jest? Skad ludzie biora te programy...

    Odinstaluj: Spy Emergency

    Widze, ze infekcja zaczela sie od: easy7zip_x64.exe, na przyszlosc uwazaj co sciagasz!

    7zip masz tutaj: http://www.7-zip.org/download.html i nie sciagaj jakichs zainfekowanych wersji.




    W ustawieniach Chrome usun przywracanie zestawu stron po starcie.

    Obok frst.exe utworz plik Fixlist.txt z zawartoscia:
    CloseProcesses:
    Task: {18E12086-70EE-43E5-A221-C36992907E17} - System32\Tasks\UCBrowserUpdater => C:\Program Files (x86)\UCBrowser\Application\update_task.exe [2017-01-18] (UCWeb Inc) <==== UWAGA
    Task: {64714932-E84B-424E-9B67-F46925640119} - System32\Tasks\UCBrowserSecureUpdater => C:\Program Files (x86)\UCBrowser\Security\uclauncher.exe [2017-01-21] (UC Web Inc.) <==== UWAGA
    Task: {7125D823-59DC-42F3-B401-24B751B9965F} - System32\Tasks\Stavock Nodifier => C:\Program Files (x86)\Anokudom\renpy.exe [2017-01-21] (Glarysoft Ltd)
    C:\Program Files (x86)\Anokudom\
    C:\Program Files (x86)\UCBrowser\
    C:\Program Files (x86)\Stavock Nodifier\
    Task: {75ED869C-6CDA-4E73-A319-00C0CB58F30F} - System32\Tasks\Driver Booster SkipUAC (Dell) => C:\Program Files (x86)\IObit\Driver Booster\4.2.0\DriverBooster.exe
    Task: C:\WINDOWS\Tasks\UCBrowserUpdater.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe <==== UWAGA
    2017-01-21 02:22 - 2017-01-21 02:22 - 00524696 _____ () C:\Program Files\żěѱ\X64\KZipShell.dll
    2017-01-21 02:21 - 2017-01-21 02:21 - 00138240 _____ () c:\program files (x86)\anokudom\grufershkiderssystem.dll
    AlternateDataStreams: C:\WINDOWS\system32\drivers:ucdrv-x64.sys [23652]
    AlternateDataStreams: C:\WINDOWS\system32\drivers:x64 [1479458]
    AlternateDataStreams: C:\WINDOWS\system32\drivers:x86 [1205026]
    AlternateDataStreams: C:\ProgramData\Reprise:wupeogjxlctlfudivq`qsp`28hfm [0]
    () C:\Program Files\żěѱ\X64\kzmount2.exe.moved
    (Shanghai Guangle Network Technology Ltd
    ) C:\Program Files\żěѱ\X86\update.exe.moved
    () C:\Program Files\żěѱ\X86\updatechecker.exe.moved
    HKU\S-1-5-21-1821727414-1379230617-1618883771-1001\...\Run: [Akamai NetSession Interface] => C:\Users\Dell\AppData\Local\Akamai\netsession_win.exe [4691384 2015-09-10] (Akamai Technologies, Inc.)
    HKU\S-1-5-21-1821727414-1379230617-1618883771-1001\...\Run: [KR032RDEJ7] => "C:\Program Files\BXG3LM10PT\BXG3LM10P.exe"
    HKU\S-1-5-21-1821727414-1379230617-1618883771-1001\...\Run: [SpyEmergency] => C:\Program Files\NETGATE\Spy Emergency\SpyEmergency.exe [3292096 2017-01-20] (NETGATE Technologies s.r.o.)
    HKU\S-1-5-21-1821727414-1379230617-1618883771-1001\...\Policies\Explorer: []
    HKU\S-1-5-21-1821727414-1379230617-1618883771-1001\...\MountPoints2: {d9f12c8a-9c35-11e6-922e-20474774ffda} - "D:\Setup.exe"




    HKLM\...\Providers\4nnde8p9: C:\Program Files (x86)\Stavock Nodifier\local64spl.dll [290816 2017-01-21] ()
    ShellExecuteHooks: Brak nazwy - {28CC7F7E-DC67-11E6-B5E0-64006A5CFC23} - C:\Users\Dell\AppData\Roaming\Muqtainzawge\Anisadom.dll -> Brak pliku
    ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} => C:\Program Files\żěѱ\X64\KZipShell.dll [2017-01-21] ()
    CHR StartupUrls: Profile 1 -> "hxxp://www.google.pl/","hxxp://www.facebook.com/","hxxp://www.trotux.com/?z=678318844f72aea2a2fb950g3zab8z0tcq7g1wet5m&from=icb&uid=TOSHIBAXMQ02ABD100H_Y5IWC2CATXXY5IWC2CAT&type=hp"
    CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx
    R2 Revitdervek; C:\Program Files (x86)\Anokudom\GrufershkidersSystem.dll [138240 2017-01-21] () [Brak podpisu cyfrowego]
    R2 WinRARJava; C:\Program Files (x86)\WinRAR\WinRARJava.dll [223232 2017-01-21] () [Brak podpisu cyfrowego]
    R2 ibtsiva; %SystemRoot%\system32\ibtsiva [X]
    U1 ucdrv; C:\Program Files (x86)\UCBrowser\Security:ucdrv-x64.sys [23652 ] (UC Web Inc.) <==== UWAGA
    2017-01-21 03:55 - 2017-01-21 03:56 - 27494928 _____ (NETGATE Technologies s.r.o. ) C:\Users\Dell\Downloads\se-setup.exe
    2017-01-21 03:48 - 2017-01-21 03:48 - 01811408 _____ (GridinSoft LLC) C:\Users\Dell\Downloads\TrojanKiller-Setup.exe
    2017-01-21 03:48 - 2017-01-21 03:48 - 00000900 _____ C:\Users\Dell\Desktop\Trojan Killer.lnk
    2017-01-21 03:48 - 2017-01-21 03:48 - 00000000 ____D C:\Program Files\Trojan Killer
    2017-01-21 03:19 - 2017-01-21 03:19 - 00000000 ____D C:\Users\Dell\AppData\Roaming\KZMount
    2017-01-21 03:00 - 2017-01-21 16:09 - 00000000 ____D C:\AdwCleaner
    2017-01-21 02:33 - 2017-01-21 02:33 - 00604928 _____ (Reimage) C:\Users\Dell\Downloads\ReimageRepair.exe
    2017-01-21 02:23 - 2017-01-21 03:14 - 00003476 _____ C:\WINDOWS\System32\Tasks\UCBrowserSecureUpdater
    2017-01-21 02:23 - 2017-01-21 03:13 - 00000470 _____ C:\WINDOWS\Tasks\UCBrowserUpdater.job
    2017-01-21 02:23 - 2017-01-21 02:23 - 00003486 _____ C:\WINDOWS\System32\Tasks\UCBrowserUpdater
    2017-01-21 02:23 - 2017-01-21 02:23 - 00001599 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\UC浏览器.lnk
    2017-01-21 02:23 - 2017-01-21 02:23 - 00000000 ____D C:\Users\Dell\AppData\Local\UCBrowser
    2017-01-21 02:23 - 2017-01-21 02:23 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\UC浏览器
    2017-01-21 02:22 - 2017-01-21 02:26 - 00000000 ____D C:\ProgramData\ProductData
    2017-01-21 02:22 - 2017-01-21 02:23 - 00000000 ____D C:\Users\Dell\AppData\LocalLow\IObit
    2017-01-21 02:22 - 2017-01-21 02:23 - 00000000 ____D C:\Program Files (x86)\UCBrowser
    2017-01-21 02:22 - 2017-01-21 02:22 - 00027552 _____ (REALiX(tm)) C:\WINDOWS\SysWOW64\Drivers\HWiNFO64A.SYS
    2017-01-21 02:22 - 2017-01-21 02:22 - 00003018 _____ C:\WINDOWS\System32\Tasks\Driver Booster SkipUAC (Dell)
    2017-01-21 02:22 - 2017-01-21 02:22 - 00000882 _____ C:\Users\Dell\AppData\Roaming\Microsoft\Windows\Start Menu\żěѱ.lnk
    2017-01-21 02:22 - 2017-01-21 02:22 - 00000000 ____D C:\WINDOWS\IObit
    2017-01-21 02:22 - 2017-01-21 02:22 - 00000000 ____D C:\ProgramData\IObit
    2017-01-21 02:22 - 2017-01-21 02:22 - 00000000 ____D C:\Program Files\żěѱ
    2017-01-21 02:21 - 2017-01-21 03:36 - 00000000 ____D C:\Program Files\BXG3LM10PT
    2017-01-21 02:21 - 2017-01-21 03:13 - 00000000 ____D C:\Users\Dell\AppData\Roaming\Muqtainzawge
    2017-01-21 02:21 - 2017-01-21 03:13 - 00000000 ____D C:\Program Files (x86)\Anokudom
    2017-01-21 02:21 - 2017-01-21 02:21 - 00006094 _____ C:\WINDOWS\System32\Tasks\Stavock Nodifier
    2017-01-21 02:21 - 2017-01-21 02:21 - 00000000 ____D C:\Users\Public\Thunder Network
    2017-01-21 02:21 - 2017-01-21 02:21 - 00000000 ____D C:\Users\Dell\AppData\Roaming\win-svc
    2017-01-21 02:21 - 2017-01-21 02:21 - 00000000 ____D C:\Users\Dell\AppData\Roaming\IObit
    2017-01-21 02:21 - 2017-01-21 02:21 - 00000000 ____D C:\Users\Dell\AppData\Local\Weasyplre
    2017-01-21 02:21 - 2017-01-21 02:21 - 00000000 ____D C:\ProgramData\Avira
    2017-01-21 02:21 - 2017-01-21 02:21 - 00000000 ____D C:\ProgramData\Avg
    2017-01-21 02:21 - 2017-01-21 02:21 - 00000000 ____D C:\ProgramData\AVAST Software
    2017-01-21 02:21 - 2017-01-21 02:21 - 00000000 ____D C:\Program Files (x86)\Stavock Nodifier
    2017-01-21 02:11 - 2017-01-21 02:11 - 02367264 _____ (James Hoo ) C:\Users\Dell\Downloads\easy7zip_x64.exe
    EmptyTemp:

    Uruchom system w trybie awaryjnym, uruchom FRST i wybierz Napraw.

    Zrob pelny skan przy pomocy Mbam i usun to co wykryje:
    http://www.bleepingcomputer.com/download/malwarebytes-anti-malware/

    Po wykonaniu zamiesc nowe logi z FRST.

    0
  • #5 21 Sty 2017 17:31
    johnn1997
    Poziom 9  

    obok FRST.exe tzn... w folderze pobrane? tylko tam mam ten plik...

    0
  • #6 21 Sty 2017 17:33
    Kolobos
    Spec od komputerów

    Tak, w folderze do ktorego zapisales frst, u Ciebie pobrane.

    0
  • #7 21 Sty 2017 17:51
    johnn1997
    Poziom 9  

    Po skanowaniu Mbamem mam możliwo¶ć poddania zagrożeń kwarantannie (nie usunięcia ich). Czy tak mam zrobić?

    1
  • #8 21 Sty 2017 17:54
    Kolobos
    Spec od komputerów

    Tak zrob. •

    0
  • #10 21 Sty 2017 18:08
    Kolobos
    Spec od komputerów

    Nie wykonales:
    > W ustawieniach Chrome usun przywracanie zestawu stron po starcie.

    Nowy Fixlist.txt dla FRST:
    S2 SpyEmrgHealth; C:\Program Files\NETGATE\Spy Emergency\SpyEmergencyHealth.exe [X]
    S1 HWiNFO32; \??\C:\WINDOWS\SysWoW64\drivers\HWiNFO64A.SYS [X]
    2017-01-21 03:57 - 2015-03-09 11:26 - 00019768 _____ (NETGATE Technologies s.r.o.) C:\WINDOWS\system32\Drivers\spyemrg_guard.sys
    2017-01-21 03:57 - 2011-04-21 10:31 - 00017240 _____ (NETGATE Technologies s.r.o.) C:\WINDOWS\system32\Drivers\spyemrg.sys

    Wykonaj w trybie normalnym.
    Po wykonaniu usun katalog C:\FRST i to wszystko.

    0
  • #11 21 Sty 2017 18:18
    johnn1997
    Poziom 9  

    Okej... chyba już wszystko, tylko nie jestem pewien tego chroma. W ustawieniach, w zakładce po uruchomieniu usun±łem zestaw stron, (w punkcie: Otwórz konkretn± stronę lub zestaw stron) m.in. był tam trotux wła¶nie... czy to wszytsko czy jeszcze co¶ Ľle zrobiłem? :D

    0
  • Pomocny post
    #12 21 Sty 2017 18:20
    Kolobos
    Spec od komputerów

    To wszystko.

    0
  • #13 21 Sty 2017 18:22
    johnn1997
    Poziom 9  

    Kurcze dziękuję baaaaaaaaardzo!! Cieszę się, że s± ludzie, którzy zamiast pisać "Ty debilu, wpisz se w google" naprawde chc± i potrfi± pomóc. Dzięki jeszcze raz! Pozdrawiam!!!

    0