Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Dell Precision M6700 - Jakieś chińskie wirusy. Logi z MWB i FRST

sebek1516 07 Lut 2017 23:18 363 6
  • #1 07 Lut 2017 23:18
    sebek1516
    Poziom 7  

    Witam. Szukałem patcha do gry i przypadkiem włączyłem jeden plik po czym lawinowo zainstalowało się kilka programów. Użyłem AdwCelanera, który wykrył 421 a za kolejnymi razami jeszcze 20, 15 sztuk szkodliwych plików. Logi z ADWCleanera chronologicznie.

    Przy dodawaniu załączników wyrzuca mi error 500.

    0 6
  • #2 07 Lut 2017 23:26
    Kolobos
    Spec od komputerów

    Logi z FRST wklej na wklej.org i podaj linki.

    0
  • #4 07 Lut 2017 23:42
    Kolobos
    Spec od komputerów

    Tym zainfekowales system C:\Users\Sebastian\Downloads\3DMGAME.zip?

    Obok frst.exe utworz plik Fixlist.txt z zawartoscia:
    CloseProcesses:
    Task: {790895F9-237F-410E-9CB1-776C87BABD83} - System32\Tasks\UCBrowserUpdater => C:\Program Files (x86)\UCBrowser\Application\update_task.exe [2017-01-18] (UCWeb Inc) <==== ATTENTION
    Task: {84024562-F471-46A8-AD15-AD385AC74050} - System32\Tasks\{F5D75038-9244-4843-93DD-4A133D21AE03} => H:\Network_Driver_71T5D_WN32_7.35.340.0_A03.EXE
    Task: {A36B5A94-2D7A-4863-A9BF-23E82B471194} - System32\Tasks\{A8A4B9FF-3A8F-4BB4-A8AE-D7F45D2887B3} => H:\Network_Driver_71T5D_WN32_7.35.340.0_A03.EXE
    Task: {AD63AA19-BD9A-4877-94E2-B7A00A3FED5B} - System32\Tasks\{F222AA5F-F890-423E-B37A-BEA775D71976} => H:\Network_Driver_71T5D_WN32_7.35.340.0_A03.EXE
    Task: {B8A644FB-8DB7-4F5D-940D-7312EC41FAB3} - System32\Tasks\UCBrowserSecureUpdater => C:\Program Files (x86)\UCBrowser\Security\uclauncher.exe [2017-02-07] (UC Web Inc.) <==== ATTENTION
    Task: C:\WINDOWS\Tasks\CreateExplorerShellUnelevatedTask.job => C:\WINDOWS\explorer.exe
    Task: C:\WINDOWS\Tasks\UCBrowserUpdater.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe <==== ATTENTION
    WMI_ActiveScriptEventConsumer_ASEC: <===== ATTENTION
    2017-02-07 21:56 - 2017-01-18 18:51 - 00930704 _____ () C:\Program Files (x86)\UCBrowser\Application\UCService.exe
    2017-02-07 21:56 - 2017-01-18 18:51 - 02164624 _____ () C:\Program Files (x86)\UCBrowser\Application\6.0.1471.813\UCAgent.exe
    AlternateDataStreams: C:\WINDOWS\system32\drivers:ucdrv-x64.sys [23652]
    AlternateDataStreams: C:\WINDOWS\system32\drivers:x64 [1483554]
    AlternateDataStreams: C:\WINDOWS\system32\drivers:x86 [1209122]
    () C:\Program Files (x86)\UCBrowser\Application\UCService.exe
    HKU\S-1-5-21-282420852-3781537548-2810728719-1000\...\Run: [Napisy24Update] => C:\Program Files (x86)\Napisy24\Napisy24Update.exe [3709896 2015-11-04] (Napisy24.pl)
    HKU\S-1-5-21-282420852-3781537548-2810728719-1000\...\MountPoints2: {a6e53a18-d857-11e6-b190-2cd05a834a4a} - "F:\setup.exe"
    HKU\S-1-5-21-282420852-3781537548-2810728719-1000\...\MountPoints2: {a6e53a2d-d857-11e6-b190-2cd05a834a4a} - "H:\SETUP.EXE"
    HKU\S-1-5-18\...\Run: [] => 0
    ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} => -> No File
    GroupPolicy: Restriction <======= ATTENTION
    SearchScopes: HKLM-x32 -> DefaultScope value is missing
    CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx
    R2 UCBrowserSvc; C:\Program Files (x86)\UCBrowser\Application\UCService.exe [930704 2017-01-18] ()
    S3 Disc Soft Lite Bus Service; "i:\Program Files\DAEMON Tools Lite\DiscSoftBusServiceLite.exe" [X]
    S2 serverws; C:\WINDOWS\Temp\76D.tmp [X]
    R1 ucdrv; C:\WINDOWS\System32\drivers:ucdrv-x64.sys [23652 ] (UC Web Inc.) <==== ATTENTION
    2017-02-07 22:56 - 2017-02-07 22:56 - 00003476 _____ C:\WINDOWS\System32\Tasks\UCBrowserSecureUpdater
    2017-02-07 22:24 - 2017-02-07 22:54 - 00000000 ____D C:\AdwCleaner
    2017-02-07 21:59 - 2017-02-07 21:59 - 00000000 ____D C:\Users\Sebastian\AppData\Local\AdvinstAnalytics
    2017-02-07 21:56 - 2017-02-07 22:18 - 00000494 _____ C:\WINDOWS\Tasks\UCBrowserUpdater.job
    2017-02-07 21:56 - 2017-02-07 21:56 - 00003520 _____ C:\WINDOWS\System32\Tasks\UCBrowserUpdater
    2017-02-07 21:56 - 2017-02-07 21:56 - 00000888 _____ C:\Users\Sebastian\AppData\Roaming\Microsoft\Windows\Start Menu\żěŃą.lnk
    2017-02-07 21:56 - 2017-02-07 21:56 - 00000864 _____ C:\Users\Sebastian\Desktop\żěŃą.lnk
    2017-02-07 21:56 - 2017-02-07 21:56 - 00000000 ____D C:\Users\Sebastian\AppData\Local\UCBrowser
    2017-02-07 21:56 - 2017-02-07 21:56 - 00000000 ____D C:\Program Files (x86)\UCBrowser
    2017-02-07 21:55 - 2017-02-07 21:56 - 00000000 ____D C:\Users\Default\AppData\Local\AdvinstAnalytics
    2017-02-07 21:55 - 2017-02-07 21:56 - 00000000 ____D C:\Users\Default User\AppData\Local\AdvinstAnalytics
    EmptyTemp:

    W FRST wybierz Napraw.

    Podany Fixlist.txt wykonaj w trybie awaryjnym.

    Po wykonaniu zamiesc nowe logi z FRST, ze skanowania.

    0
  • #5 08 Lut 2017 00:20
    sebek1516
    Poziom 7  

    Nie. To był inny plik, który już usunąłem. Ten, który wskazałeś pobrałem bo mi GTA V wyrzucało brak dokładnie tego pliku *.dll
    Póki co, zrobię to co zaleciłeś i zdam relację.

    Oto logi. Niestety w ferworze pracy uruchomiłem FIX bez trybu awaryjnego a dopiero drugi raz w trybie awaryjnym.

    Nagle strona startowa w mozilli ustawiła mi sie na http://qtipr.com/

    0
  • #6 08 Lut 2017 09:33
    Kolobos
    Spec od komputerów

    Uzyj ponownie Adwc i usun to co wykryje.

    Nowy Fixlist.txt dla FRST:
    ShortcutWithArgument: C:\Users\Sebastian\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://qtipr.com/
    ShortcutWithArgument: C:\Users\Sebastian\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://qtipr.com/
    ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://qtipr.com/

    Po wykonaniu usun katalog C:\FRST i to wszystko.

    0
  • #7 09 Lut 2017 15:00
    sebek1516
    Poziom 7  

    Dziękuję za pomoc.

    0