Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

logi FRST prośba o pomoc - wirus, wyskakaujące rekalmay

neisser 02 Mar 2017 16:56 279 6
  • #2 02 Mar 2017 18:15
    Kolobos
    Spec od komputerów

    Odinstaluj: Youtube AdBlock

    Uzyj AdwCleaner, opcja Scan i Clean/Szukaj i Usun: http://www.bleepingcomputer.com/download/adwcleaner/

    Do infekcji doszlo po uruchomieniu zawartosci:
    2017-03-02 15:33 - 2017-03-02 15:34 - 01626112 _____ C:\Users\wojtek\Downloads\srets2vlf.iso czy moze tego symulatora?

    W trybie awaryjnym wykonaj Fixlist.txt dla FRST:
    CloseProcesses:
    Task: {0ADD871A-BF52-4F77-9263-2C91CFBF0CDE} - System32\Tasks\UCBrowserSecureUpdater => C:\Program Files (x86)\UCBrowser\Security\uclauncher.exe [2017-03-02] (UC Web Inc.) <==== UWAGA
    Task: {3AA5A25F-4256-4AD7-BCDB-82230776AF47} - System32\Tasks\UCBrowserUpdaterCore => C:\Program Files (x86)\UCBrowser\Application\update_task.exe [2017-03-01] (UCWeb Inc) <==== UWAGA
    Task: {606225FB-A83E-48F3-A926-CB2D0A40C456} - System32\Tasks\Driver Booster SkipUAC (wojtek) => C:\Program Files (x86)\IObit\Driver Booster\4.2.0\DriverBooster.exe
    Task: {75ED9BEB-53DA-49A6-A4CF-C222159ACB38} - System32\Tasks\Microsoft\Windows\Media Center\VCore => C:\\ProgramData\\vCore\\VCore.exe [2017-03-02] () <==== UWAGA
    Task: {C586BE02-A26C-47E6-AFAB-9D5907207FBF} - System32\Tasks\UCBrowserUpdater => C:\Program Files (x86)\UCBrowser\Application\update_task.exe [2017-03-01] (UCWeb Inc) <==== UWAGA
    Task: C:\WINDOWS\Tasks\UCBrowserUpdater.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe <==== UWAGA
    Task: C:\WINDOWS\Tasks\UCBrowserUpdaterCore.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe <==== UWAGA
    2017-03-02 15:37 - 2017-03-01 12:34 - 00599440 _____ () C:\Program Files (x86)\UCBrowser\Application\UCService.exe
    2017-03-02 15:37 - 2017-03-01 12:34 - 02150288 _____ () C:\Program Files (x86)\UCBrowser\Application\6.1.2107.201\UCAgent.exe
    AlternateDataStreams: C:\WINDOWS\system32\drivers:ucdrv-x64.sys [25444]
    AlternateDataStreams: C:\WINDOWS\system32\drivers:x64 [1498914]
    AlternateDataStreams: C:\WINDOWS\system32\drivers:x86 [1224482]
    () C:\Program Files (x86)\UCBrowser\Application\UCService.exe
    () C:\Program Files (x86)\UCBrowser\Application\6.1.2107.201\UCAgent.exe
    HKU\S-1-5-21-2279149347-59632844-64033259-1001\...\Run: [ALLUpdate] => C:\Program Files (x86)\ALLPlayer\ALLUpdate.exe [3670472 2015-07-28] (ALLPlayer Group Ltd.)
    GroupPolicy: Ograniczenia - Windows Defender <======= UWAGA
    R2 UCBrowserSvc; C:\Program Files (x86)\UCBrowser\Application\UCService.exe [599440 2017-03-01] ()
    R1 ucdrv; C:\WINDOWS\System32\drivers:ucdrv-x64.sys [25444 ] (UC Web Inc.) <==== UWAGA
    2017-03-02 15:41 - 2017-03-02 15:41 - 00250912 _____ C:\WINDOWS\SysWOW64\kz.exe
    2017-03-02 15:37 - 2017-03-02 16:38 - 00003476 _____ C:\WINDOWS\System32\Tasks\UCBrowserSecureUpdater
    2017-03-02 15:37 - 2017-03-02 16:36 - 00000490 _____ C:\WINDOWS\Tasks\UCBrowserUpdater.job
    2017-03-02 15:37 - 2017-03-02 16:36 - 00000326 _____ C:\WINDOWS\Tasks\UCBrowserUpdaterCore.job
    2017-03-02 15:37 - 2017-03-02 15:37 - 00003510 _____ C:\WINDOWS\System32\Tasks\UCBrowserUpdater
    2017-03-02 15:37 - 2017-03-02 15:37 - 00002660 _____ C:\WINDOWS\System32\Tasks\UCBrowserUpdaterCore
    2017-03-02 15:37 - 2017-03-02 15:37 - 00001609 _____ C:\Users\wojtek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器.lnk
    2017-03-02 15:37 - 2017-03-02 15:37 - 00000000 ____D C:\Users\wojtek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器
    2017-03-02 15:37 - 2017-03-02 15:37 - 00000000 ____D C:\Users\wojtek\AppData\Local\UCBrowser
    2017-03-02 15:37 - 2017-03-02 15:37 - 00000000 ____D C:\Program Files (x86)\UCBrowser
    2017-03-02 15:35 - 2017-03-02 15:42 - 00000000 ____D C:\ProgramData\ProductData
    2017-03-02 15:35 - 2017-03-02 15:36 - 00000000 ____D C:\Users\wojtek\AppData\LocalLow\IObit
    2017-03-02 15:35 - 2017-03-02 15:35 - 00027552 _____ (REALiX(tm)) C:\WINDOWS\SysWOW64\Drivers\HWiNFO64A.SYS
    2017-03-02 15:35 - 2017-03-02 15:35 - 00003042 _____ C:\WINDOWS\System32\Tasks\Driver Booster SkipUAC (wojtek)
    2017-03-02 15:35 - 2017-03-02 15:35 - 00000000 ____D C:\WINDOWS\IObit
    2017-03-02 15:35 - 2017-03-02 15:35 - 00000000 ____D C:\Program Files (x86)\Youtube AdBlock
    2017-03-02 15:34 - 2017-03-02 15:35 - 00000000 ____D C:\ProgramData\vCore
    2017-02-05 15:19 - 2017-02-05 15:19 - 00000000 __SHD C:\found.000
    EmptyTemp:

    W FRST wybierz napraw.

    Zrob pelny skan przy pomocy Mbam i usun to co wykryje:
    http://www.bleepingcomputer.com/download/malwarebytes-anti-malware/

    Po wykonaniu zamiesc nowe logi z FRST, ze skanowania.

    0
  • #4 02 Mar 2017 19:20
    Kolobos
    Spec od komputerów

    Wykonales Fixlist w trybie awaryjnym?

    Nadal widac skladniki infekcji.

    Wykonaj nowy Fixlist.txt w trybie awaryjnym:
    Task: {EA06BB16-2BD2-496E-90A9-DFFB561F3494} - \UCBrowserSecureUpdater -> Brak pliku <==== UWAGA
    Task: C:\WINDOWS\Tasks\CreateExplorerShellUnelevatedTask.job => C:\WINDOWS\explorer.exe
    S1 HWiNFO32; \??\C:\WINDOWS\SysWoW64\drivers\HWiNFO64A.SYS [X]
    S5 ucdrv; <===== UWAGA: Zablokowana usługa
    2017-03-02 19:02 - 2017-03-02 19:02 - 00000000 ____D C:\Users\wojtek\AppData\Local\UCBrowser
    2017-03-02 18:36 - 2017-03-02 18:41 - 00000000 ____D C:\AdwCleaner

    Po wykonaniu zamiesc nowe logi z FRST, ze skanowania.

    0
  • Pomocny post
    #6 02 Mar 2017 19:42
    Kolobos
    Spec od komputerów

    Usun katalog C:\FRST i to wszystko.

    0
  • #7 02 Mar 2017 19:44
    neisser
    Poziom 3  

    OK
    Dzięki

    0