Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Wirus UC browser - Prośba o sprawdzenie logów FRST.

re-c 08 Lut 2017 19:24 528 5
  • #1 08 Lut 2017 19:24
    re-c
    Poziom 2  

    Witam. Chciałem podpiąć się z problemem pod inny temat ale niestety nie mogłem wtedy dodać załączników a wklejenie tekstu informowało o tym, że nie mogę umieszczać linków zewnętrznych. Mam problem z wirusem, który wciąż włącza strony w Chromie. Były próby zlokalizowania samodzielnie plików i usunięciu, później w ruch poszedł adwcleaner, niestety za każdym razem zostają pliki. Wyczytałem, żeby sprawdzić z pomocą FRST i to właśnie zrobiłem, dlatego jeśli ktoś mógłby je przeglądnąć i ewentualnie jeszcze pomóc, byłbym nieopisanie wdzięczny.

    0 5
  • Pomocny post
    #2 08 Lut 2017 19:33
    Kolobos
    Spec od komputerów

    Zgraj zakladki z Chrome, skrypt usunie profile przegladarki. Jezeli synchronizujesz ustawienia z konta google to usun rowniez dane synchronizacji z konta.

    Odinstaluj: SafeFinder

    Wykonaj w trybie awaryjnym taki Fixlist.txt dla FRST:
    CloseProcesses:
    Task: {0E2480FA-2F5E-4E3F-B853-FA7F80BEC355} - System32\Tasks\psv_Truelamnix => /c regedit.exe /s "C:\ProgramData\Zaamla\Stanit.reg" &amp; del "C:\ProgramData\Zaamla\Stanit.reg" &amp; SCHTASKS /Delete /TN "psv_Truelamnix" /F <==== ATTENTION
    Task: {5779A07D-6A23-4164-96A9-6E3E426C4AA9} - System32\Tasks\UCBrowserSecureUpdater => C:\Program Files\UCBrowser\Security\uclauncher.exe [2017-02-08] (UC Web Inc.) <==== ATTENTION
    Task: {6170BDDA-24EE-475E-BE92-D9ED0310602B} - System32\Tasks\Bozoty Agent => C:\Program Files\Kedasepuving\kogght.exe [2017-02-08] (Glarysoft Ltd)
    Task: {784DB46D-1B84-46DC-917E-6BFC8CFC3201} - System32\Tasks\psv_Faselux => /c regedit.exe /s "C:\ProgramData\Hotfresh\Zoomjob.reg" &amp; del "C:\ProgramData\Hotfresh\Zoomjob.reg" &amp; SCHTASKS /Delete /TN "psv_Faselux" /F <==== ATTENTION
    Task: {8D6965AB-20F4-4528-B0BD-B0CB7AC91F58} - System32\Tasks\psv_Superfax => /c regedit.exe /s "C:\ProgramData\Hotfresh\Opetouch.reg" &amp; del "C:\ProgramData\Hotfresh\Opetouch.reg" &amp; SCHTASKS /Delete /TN "psv_Superfax" /F <==== ATTENTION
    Task: {976ABCE7-693F-498F-AF58-4D7734C93BF8} - System32\Tasks\Vdeghcosily => /i hxxp://d2buh1bf1g584w.cloudfront.net/msi/rel....RAMXC40_1C9C07461AD500582173&amp;v=201728 /q
    Task: {9BC3C628-8041-48E7-A17C-60956CE4B54D} - System32\Tasks\UCBrowserUpdater => C:\Program Files\UCBrowser\Application\update_task.exe <==== ATTENTION
    Task: {E187E938-BAB0-4621-A7FA-78A1313A94DD} - System32\Tasks\psv_NewLa => /c regedit.exe /s "C:\ProgramData\Zaamla\SoftRundox.reg" &amp; del "C:\ProgramData\Zaamla\SoftRundox.reg" &amp; SCHTASKS /Delete /TN "psv_NewLa" /F <==== ATTENTION
    Task: {E7BDD3A2-26D7-498C-84B9-7FA56216EB89} - System32\Tasks\psv_Uninix => /c regedit.exe /s "C:\ProgramData\Hotfresh\Silverfax.reg" &amp; del "C:\ProgramData\Hotfresh\Silverfax.reg" &amp; SCHTASKS /Delete /TN "psv_Uninix" /F <==== ATTENTION
    Task: {F9D3C624-0307-4CAE-8326-FA23E97E7C39} - System32\Tasks\psv_Ladomlab => /c regedit.exe /s "C:\ProgramData\Zaamla\Inchflex.reg" &amp; del "C:\ProgramData\Zaamla\Inchflex.reg" &amp; SCHTASKS /Delete /TN "psv_Ladomlab" /F <==== ATTENTION
    Task: C:\WINDOWS\Tasks\UCBrowserUpdater.job => C:\Program Files\UCBrowser\Application\update_task.exe <==== ATTENTION
    WMI_ActiveScriptEventConsumer_ASEC: <===== ATTENTION
    ShortcutWithArgument: C:\Users\Uzytkownik\Desktop\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\UZYTKO~1\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/




    ShortcutWithArgument: C:\Users\Uzytkownik\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\UZYTKO~1\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/
    ShortcutWithArgument: C:\Users\Uzytkownik\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\UZYTKO~1\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/
    ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\UZYTKO~1\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/
    2017-02-08 15:54 - 2017-02-08 15:54 - 00275968 ____H () C:\Program Files\Bozoty Agent\local32spl.dll
    2017-02-08 16:15 - 2017-02-08 16:21 - 00149504 _____ () c:\program files\kedasepuving\artdebuger.dll
    AlternateDataStreams: C:\WINDOWS\system32\drivers:ucdrv-x86.sys [19812]
    AlternateDataStreams: C:\WINDOWS\system32\drivers:x86 [1205026]
    (7IZ@) C:\Program Files\KX0X42KNSM\KX0X42KNS.exe
    (7IZ@) C:\Program Files\K7KXP80ORL\MRH8DNZIV.exe
    HKU\S-1-5-21-1491924112-2569929239-527509991-1004\...\Run: ['&A68l'7zT.exe] => C:\Users\Uzytkownik\AppData\Local\Temp\{852-62-8b-0e4e0-94198-30c5-0f598}\'&A68l'7zT.exe -r1_1 -r2_1 <===== ATTENTION
    HKU\S-1-5-21-1491924112-2569929239-527509991-1004\...\Run: [OLTRMSCU07] => C:\Program Files\225P5SELG0\225P5SELG.exe [780288 2017-02-08] (7IZ@)
    HKU\S-1-5-21-1491924112-2569929239-527509991-1004\...\Run: [6MF2NAP49P] => C:\Program Files\FBFQ8FD51Y\FBFQ8FD51.exe [780288 2017-02-08] (7IZ@)
    HKU\S-1-5-21-1491924112-2569929239-527509991-1004\...\Run: [Z2FBK7TH7C] => "C:\Users\Uzytkownik\AppData\Local\Temp\HUWBY6IDBU.exe" <===== ATTENTION
    HKU\S-1-5-21-1491924112-2569929239-527509991-1004\...\Run: [o7F8JhVeul.exe] => C:\Users\Uzytkownik\AppData\Local\Temp\{852-62-8b-0e4e0-94198-30c5-0f598}\o7F8JhVeul.exe 1 0 <===== ATTENTION
    HKU\S-1-5-21-1491924112-2569929239-527509991-1004\...\Run: [BRZBONJLEM.exe] => C:\Users\Uzytkownik\AppData\Local\Temp\47-5a2f0-a6d-5eaaa-8ef5b6ce00848\BRZBONJLEM.exe <===== ATTENTION
    HKU\S-1-5-21-1491924112-2569929239-527509991-1004\...\Run: [KJEMTMNMEJ.exe] => C:\Users\Uzytkownik\AppData\Local\Temp\47-5a2f0-a6d-5eaaa-8ef5b6ce00848\KJEMTMNMEJ.exe m_1 L_1 <===== ATTENTION
    HKU\S-1-5-21-1491924112-2569929239-527509991-1004\...\Run: [1BZY461055] => C:\Program Files\9Y3LSZJV69\9Y3LSZJV6.exe [780288 2017-02-08] (7IZ@)
    HKU\S-1-5-21-1491924112-2569929239-527509991-1004\...\Run: [3Q3YQRQ5Q2] => C:\Program Files\AMCTZJB3VD\AMCTZJB3V.exe [780288 2017-02-08] (7IZ@)
    HKU\S-1-5-21-1491924112-2569929239-527509991-1004\...\Run: [I1HGH5TTDY] => C:\Program Files\G49OGXMJX0\G49OGXMJX.exe [780288 2017-02-08] (7IZ@)
    HKU\S-1-5-21-1491924112-2569929239-527509991-1004\...\Run: [27Z4JH1MDX] => "C:\Program Files\DPower\HVG7EEZ5RI.exe" <===== ATTENTION
    HKU\S-1-5-21-1491924112-2569929239-527509991-1004\...\Run: [I3DTU69N75] => C:\Program Files\1A976PT7MH\EZFMEPZ8M.exe [780288 2017-02-08] (7IZ@)
    HKU\S-1-5-21-1491924112-2569929239-527509991-1004\...\Run: [1M5XMW805M] => C:\Program Files\49PFXCZFF8\49PFXCZFF.exe [780288 2017-02-08] (7IZ@)
    HKU\S-1-5-21-1491924112-2569929239-527509991-1004\...\Run: [4FIV3S3495] => C:\Program Files\KX0X42KNSM\KX0X42KNS.exe [780288 2017-02-08] (7IZ@)
    HKU\S-1-5-21-1491924112-2569929239-527509991-1004\...\Run: [EAP080739B] => C:\Program Files\K7KXP80ORL\MRH8DNZIV.exe [780288 2017-02-08] (7IZ@)
    HKLM\...\Providers\97h8zufu: C:\Program Files\Bozoty Agent\local32spl.dll [275968 2017-02-08] ()
    ShellExecuteHooks: No Name - {8BC2E310-EABD-11E6-9AFB-64006A5CFC23} - C:\Program Files\Kedasepuving\Qekopy.dll [123392 2017-02-08] ()
    HKU\S-1-5-21-1491924112-2569929239-527509991-1004\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%6...E3Sxk1MQaEtAkFK5whGrVanqX352iaI7lLkg,,&q={searchTerms}
    HKU\S-1-5-21-1491924112-2569929239-527509991-1004\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617910...amp;GUID=4DC555F2-15FF-41CA-BAEF-323CD9748623
    SearchScopes: HKLM -> DefaultScope value is missing
    SearchScopes: HKU\S-1-5-21-1491924112-2569929239-527509991-1004 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
    CHR DefaultProfile: ChromeDefaultData2
    CHR HomePage: ChromeDefaultData2 -> hxxps://%66%65%65%64.%68%65%6C%70%65%72%62%61...je6Y-EObVmC4uwwoMp7IIozM4yuWaUykudv-jaIAoJb4x
    CHR StartupUrls: ChromeDefaultData2 -> "hxxps://www.google.pl/"
    CHR Profile: C:\Users\Uzytkownik\AppData\Local\Google\Chrome\User Data\ChromeDefaultData [2017-02-08] <==== ATTENTION
    CHR Profile: C:\Users\Uzytkownik\AppData\Local\Google\Chrome\User Data\ChromeDefaultData2 [2017-02-08] <==== ATTENTION
    C:\Users\Uzytkownik\AppData\Local\Google\Chrome\User Data\ChromeDefaultData2
    C:\Users\Uzytkownik\AppData\Local\Google\Chrome\User Data\ChromeDefaultData
    CHR Extension: (Adobe Acrobat) - C:\Users\Uzytkownik\AppData\Local\Google\Chrome\User Data\ChromeDefaultData2\Extensions\efaidnbmnnnibpcajpcglclefindmkaj [2017-02-08]
    CHR Extension: (Płatności w sklepie Chrome Web Store) - C:\Users\Uzytkownik\AppData\Local\Google\Chrome\User Data\ChromeDefaultData2\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2017-02-08]
    CHR Extension: (Chrome Media Router) - C:\Users\Uzytkownik\AppData\Local\Google\Chrome\User Data\ChromeDefaultData2\Extensions\pkedcjkdefgpdelpbcmbmeomcjbeemfm [2017-02-08]
    CHR HKLM\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx
    R2 Sezght; C:\Program Files\Kedasepuving\artDebuger.dll [149504 2017-02-08] () [File not signed]
    RS2 serverss; C:\WINDOWS\Temp\BB61.tmp [X]
    S2 serverws; C:\WINDOWS\Temp\BB4C.tmp [X]
    S2 UCBrowserSvc; "C:\Program Files\UCBrowser\Application\UCService.exe" [X]
    R1 ucdrv; C:\Program Files\UCBrowser\Security:ucdrv-x86.sys [19812 ] (UC Web Inc.) <==== ATTENTION
    2017-02-08 17:53 - 2017-02-08 18:22 - 00000000 ____D C:\AdwCleaner
    2017-02-08 16:22 - 2017-02-08 16:22 - 00000000 ____D C:\Winerdugi
    2017-02-08 16:21 - 2017-02-08 16:21 - 00000000 ____D C:\Program Files\KX0X42KNSM
    2017-02-08 16:21 - 2017-02-08 16:21 - 00000000 ____D C:\Program Files\K7KXP80ORL
    2017-02-08 16:19 - 2017-02-08 16:19 - 00000000 ____D C:\Program Files\49PFXCZFF8
    2017-02-08 16:19 - 2017-02-08 16:19 - 00000000 ____D C:\Program Files\1A976PT7MH
    2017-02-08 16:14 - 2017-02-08 16:14 - 00000000 ____D C:\Program Files\G49OGXMJX0
    2017-02-08 16:13 - 2017-02-08 16:13 - 00000000 ____D C:\Program Files\AMCTZJB3VD
    2017-02-08 16:00 - 2017-02-08 16:42 - 00000486 _____ C:\WINDOWS\Tasks\UCBrowserUpdater.job
    2017-02-08 16:00 - 2017-02-08 16:00 - 00000000 ____D C:\Users\Uzytkownik\AppData\Local\PeerDistRepub
    2017-02-08 15:58 - 2017-02-08 15:59 - 01938532 _____ C:\Users\Uzytkownik\AppData\Roaming\HotNimzap.bin
    2017-02-08 15:58 - 2017-02-08 15:59 - 00000000 ____D C:\Program Files\9Y3LSZJV69
    2017-02-08 15:58 - 2017-02-08 15:58 - 01907519 _____ C:\Users\Uzytkownik\AppData\Roaming\Strongtouch.tst
    2017-02-08 15:58 - 2017-02-08 15:55 - 00983040 _____ C:\Users\Uzytkownik\AppData\Roaming\Strongtouch.exe
    2017-02-08 15:56 - 2017-02-08 17:13 - 00000000 ____D C:\Program Files\żěŃą
    2017-02-08 15:56 - 2017-02-08 16:27 - 00000000 ____D C:\Program Files\UCBrowser
    2017-02-08 15:56 - 2017-02-08 15:56 - 00001067 _____ C:\Users\Uzytkownik\AppData\Roaming\Microsoft\Windows\Start Menu\żěŃą.lnk
    2017-02-08 15:56 - 2017-02-08 15:56 - 00000000 ____H C:\WINDOWS\system32\BIT5E74.tmp
    2017-02-08 15:55 - 2017-02-08 16:23 - 00000000 ____D C:\Program Files\225P5SELG0
    2017-02-08 15:55 - 2017-02-08 15:55 - 01938532 _____ C:\Users\Uzytkownik\AppData\Roaming\Fintouch.bin
    2017-02-08 15:55 - 2017-02-08 15:55 - 01907519 _____ C:\Users\Uzytkownik\AppData\Roaming\Triotax.tst
    2017-02-08 15:55 - 2017-02-08 15:55 - 00983040 _____ C:\Users\Uzytkownik\AppData\Roaming\Triotax.exe
    2017-02-08 15:55 - 2017-02-08 15:55 - 00278520 _____ C:\Users\Uzytkownik\AppData\Roaming\TranKeyair.bin
    2017-02-08 15:55 - 2017-02-08 15:55 - 00278520 _____ C:\Users\Uzytkownik\AppData\Roaming\HotZumlam.bin
    2017-02-08 15:55 - 2017-02-08 15:55 - 00000334 _____ C:\Users\Uzytkownik\Desktop\Booking.com.url
    2017-02-08 15:55 - 2017-02-08 15:55 - 00000000 ____D C:\Program Files\vlncminerwe
    2017-02-08 15:55 - 2017-02-08 15:55 - 00000000 ____D C:\Program Files\FBFQ8FD51Y
    2017-02-08 15:55 - 2017-02-08 15:55 - 00000000 ____D C:\Program Files\Common Files\Dalttough
    2017-02-08 15:55 - 2017-02-08 15:55 - 00000000 ____D C:\Program Files\baidu
    2017-02-08 15:54 - 2017-02-08 16:41 - 00000000 ____D C:\Users\Uzytkownik\AppData\Roaming\Domety
    2017-02-08 15:54 - 2017-02-08 16:41 - 00000000 ____D C:\Program Files\Kedasepuving
    2017-02-08 15:54 - 2017-02-08 16:16 - 00000000 ____D C:\Users\Uzytkownik\AppData\Local\Gosotainluwcult
    2017-02-08 15:54 - 2017-02-08 15:54 - 00000000 ____D C:\ProgramData\Avira
    2017-02-08 15:54 - 2017-02-08 15:54 - 00000000 ____D C:\ProgramData\Avg
    2017-02-08 15:54 - 2017-02-08 15:54 - 00000000 ____D C:\ProgramData\AVAST Software
    2017-02-08 15:54 - 2017-02-08 15:54 - 00000000 ____D C:\Program Files\Bozoty Agent
    2017-02-08 15:55 - 2017-02-08 15:55 - 1938532 _____ () C:\Users\Uzytkownik\AppData\Roaming\Fintouch.bin
    2017-02-08 15:58 - 2017-02-08 15:59 - 1938532 _____ () C:\Users\Uzytkownik\AppData\Roaming\HotNimzap.bin
    2017-02-08 15:55 - 2017-02-08 15:55 - 0278520 _____ () C:\Users\Uzytkownik\AppData\Roaming\HotZumlam.bin
    2017-02-08 15:58 - 2017-02-08 15:55 - 0983040 _____ () C:\Users\Uzytkownik\AppData\Roaming\Strongtouch.exe
    2017-02-08 15:58 - 2017-02-08 15:58 - 1907519 _____ () C:\Users\Uzytkownik\AppData\Roaming\Strongtouch.tst
    2017-02-08 15:55 - 2017-02-08 15:55 - 0278520 _____ () C:\Users\Uzytkownik\AppData\Roaming\TranKeyair.bin
    2017-02-08 15:55 - 2017-02-08 15:55 - 0983040 _____ () C:\Users\Uzytkownik\AppData\Roaming\Triotax.exe
    2017-02-08 15:55 - 2017-02-08 15:55 - 1907519 _____ () C:\Users\Uzytkownik\AppData\Roaming\Triotax.tst
    2017-02-08 15:55 - 2017-02-08 16:00 - 0032038 _____ () C:\Users\Uzytkownik\AppData\Roaming\uninstall_temp.ico
    EmptyTemp:

    Po wykonaniu zamiesc nowe logi z FRST, ze skanowania.

    0
  • Pomocny post
    #5 08 Lut 2017 23:03
    Kolobos
    Spec od komputerów

    Nowy Fixlist:
    Task: C:\WINDOWS\Tasks\CreateExplorerShellUnelevatedTask.job => C:\WINDOWS\explorer.exe
    S2 serverss; C:\WINDOWS\Temp\BB61.tmp [X]

    Po wykonaniu usun katalog C:\FRST i to wszystko.

    0
  • #6 09 Lut 2017 15:37
    re-c
    Poziom 2  

    Dziękuję bardzo za pomoc! = )

    0