Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

UCBrowser chińska wersja trojan

baphomet 24 Mar 2017 02:56 477 6
  • #1 24 Mar 2017 02:56
    baphomet
    Poziom 6  

    Witam.

    Zainfekowałem sobie kompa przez ściągnięcie cracka. Avast wykrył zagrożenie, jednak przepuściłem. Automatycznie zaśmiecił mi kompa programami UCBrowser chińska wersja, Zena i wiele innych. Skanowałem laptopa przeróżnymi antywirusami w tym kaspersky rescue disc. Ten ostatni część usunął wraz z przeglądarkami, jednak problem nadal występuje. Przed skanem kasperskym komp bardzo wolno się odpalał. Po skanie trochę lepiej ale ciągle coś siedzi. Jakiego antywirusa bym nie użył ciągle wykrywa jakiś syf i nie jest w stanie go usunąć.

    Proszę o pomoc. Według instrukcji forum przeskanowałem najpierw kompa dr. web, który wykrył 6 zagrożeń. UCBrowser chińska wersja trojan
    Następnie użyłem Malwarebytes, który wykrył 1467 zagrożeń (lista1467.txt)
    Potem był adwcleaner no i proszę o analizę logów z FRSTa.

    0 6
  • Pomocny post
    #2 24 Mar 2017 05:51
    krzychupar
    Poziom 40  

    Otwórz notatnik systemowy i wklej:

    Task: C:\Windows\Tasks\UCBrowserUpdater.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe <==== UWAGA
    FirewallRules: [{8F1B2D70-8712-4ECE-837B-2E49D49E1EFB}] => (Allow) C:\Program Files (x86)\UCBrowser\Application\UCBrowser.exe
    FirewallRules: [{90984863-B49D-4C61-8A52-CC61A98F2B7D}] => (Allow) C:\Program Files (x86)\UCBrowser\Application\Downloader\download\MiniThunderPlatform.exe
    FirewallRules: [{CB589CA5-BE44-436B-B110-FD56D1FE7838}] => (Allow) C:\Program Files (x86)\UCBrowser\Application\UCBrowser.exe
    Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Аvаst SаfеZоne Browsеr.lnk -> C:\Users\trash\AppData\Roaming\Browsers\exe.rehcnual.bat (Brak pliku) <===== Cyrillic
    Shortcut: C:\Users\Public\Desktop\Аvast SаfeZоne Brоwsеr.lnk -> C:\Users\trash\AppData\Roaming\Browsers\exe.rehcnual.bat (Brak pliku) <===== Cyrillic
    HKLM-x32\...\Run: [] => [X]
    HKU\S-1-5-21-2871538580-2395163762-2080135019-1000\...\MountPoints2: {0070d75c-69f4-11e5-b4b5-ffe73c4e6745} - G:\LGAutoRun.exe
    HKU\S-1-5-21-2871538580-2395163762-2080135019-1000\...\MountPoints2: {0070d765-69f4-11e5-b4b5-ffe73c4e6745} - G:\AutoRun.exe
    HKU\S-1-5-21-2871538580-2395163762-2080135019-1000\...\MountPoints2: {0070d772-69f4-11e5-b4b5-ffe73c4e6745} - G:\AutoRun.exe
    HKU\S-1-5-21-2871538580-2395163762-2080135019-1000\...\MountPoints2: {00dcdb96-6d30-11e5-af3b-446d57a3692a} - G:\AutoRun.exe
    HKU\S-1-5-21-2871538580-2395163762-2080135019-1000\...\MountPoints2: {07aa6b18-b626-11e6-a39d-446d57a3692a} - J:\HiSuiteDownLoader.exe
    HKU\S-1-5-21-2871538580-2395163762-2080135019-1000\...\MountPoints2: {356ba516-d7b4-11e5-b0b0-446d57a3692a} - G:\AutoRun.exe
    HKU\S-1-5-21-2871538580-2395163762-2080135019-1000\...\MountPoints2: {405f9db6-9ad8-11e6-9e84-dc0ea1f9e5bf} - G:\AutoRun.exe
    HKU\S-1-5-21-2871538580-2395163762-2080135019-1000\...\MountPoints2: {52d82e2a-6d3d-11e5-b1c2-446d57a3aa3e} - G:\AutoRun.exe
    HKU\S-1-5-21-2871538580-2395163762-2080135019-1000\...\MountPoints2: {52d82e33-6d3d-11e5-b1c2-446d57a3aa3e} - G:\AutoRun.exe
    HKU\S-1-5-21-2871538580-2395163762-2080135019-1000\...\MountPoints2: {7cad6a9d-aa94-11e6-9d12-446d57a3692a} - G:\AutoRun.exe
    HKU\S-1-5-21-2871538580-2395163762-2080135019-1000\...\MountPoints2: {932a84c6-0fc8-11e7-b759-446d57a3692a} - G:\AutoRun.exe
    HKU\S-1-5-21-2871538580-2395163762-2080135019-1000\...\MountPoints2: {932a84fa-0fc8-11e7-b759-446d57a3692a} - G:\AutoRun.exe
    HKU\S-1-5-21-2871538580-2395163762-2080135019-1000\...\MountPoints2: {b6a0872a-6dfd-11e5-97d5-446d57a3aa3e} - G:\AutoRun.exe
    HKU\S-1-5-18\...\Run: [] => [X]
    ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} => -> Brak pliku
    Startup: C:\Users\trash\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Powiadomienia monitorowania tuszu - HP Deskjet 1510 series.lnk [2017-03-24]
    ShortcutTarget: Powiadomienia monitorowania tuszu - HP Deskjet 1510 series.lnk -> C:\Program Files\HP\HP Deskjet 1510 series\Bin\HPStatusBL.dll (Hewlett-Packard Co.)
    Tcpip\..\Interfaces\{8BBE38A9-5540-4014-B0B9-88CD774DEE61}: [NameServer] 77.234.40.79
    FF Homepage: Mozilla\Firefox\Profiles\cfm104er.default-1445806755606 -> user_pref("browser.startup.homepage","hxxp://ic.loadblanks.ru/c/02037a282dd7fbaf?");
    FF NewTab: Mozilla\Firefox\Profiles\cfm104er.default-1445806755606 -> hxxp://www.nicesearches.com?type=hp&ts=14...;z=daa279598babaa7aa7ab067gaz9m4t7o9c9wbtfc4c
    FF Extension: (Brak nazwy) - C:\Users\trash\AppData\Roaming\Mozilla\Firefox\Profiles\cfm104er.default-1445806755606\extensions\arthurj8283@gmail.com [nie znaleziono]
    FF Homepage: Firefox\Firefox\Profiles\cfm104er.default-1445806755606 -> hxxp://www.searchinme.com/?type=hp&ts=147...&uid=ST500LM012XHN-M500MBB_S2U3J9BC517287
    CHR HKLM-x32\...\Chrome\Extension: [daanglpcpkjjlkhcbladppjphglbigam] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChrome.crx <nie znaleziono>
    2017-03-24 01:49 - 2017-03-24 01:52 - 00000000 ____D C:\AdwCleaner
    2017-03-23 11:35 - 2017-03-23 12:00 - 00000000 ____D C:\Users\trash\Doctor Web
    2017-03-15 19:44 - 2017-03-15 19:44 - 00000000 __SHD C:\found.001
    2017-03-23 12:32 - 2017-01-19 12:29 - 00000456 _____ C:\Windows\Tasks\UCBrowserUpdater.job
    2017-03-20 19:22 - 2017-01-19 12:29 - 00003430 _____ C:\Windows\System32\Tasks\UCBrowserUpdater
    EmptyTemp:

    Plik zapisz pod nazwą fixlist.txt i umieść w folderze obok FRST.exe .
    Uruchom FRST i kliknij w Fix/Napraw.

    0
  • Pomocny post
    #4 24 Mar 2017 09:18
    Kolobos
    Spec od komputerów

    Nowy Fixlist.txt dla FRST:
    Task: {63A5146D-874E-4A46-B427-67B5999073D9} - System32\Tasks\{053723DE-0BBD-4D46-9A2E-1D702E86BB38} => D:\Programy Zainstalowane\PLAY ONLINE\PLAY ONLINE.exe [2017-03-23] ()
    Task: {8C00127C-8D9D-46C6-BFE2-CDE66E9E26FD} - System32\Tasks\{72D58442-4E50-4DF0-ADA7-E8870EDAC31D} => D:\Programy Zainstalowane\PLAY ONLINE\PLAY ONLINE.exe [2017-03-23] ()
    AlternateDataStreams: C:\Windows\system32\drivers:ucdrv-x64.sys [25444]
    AlternateDataStreams: C:\Windows\system32\drivers:x64 [1498914]
    AlternateDataStreams: C:\Windows\system32\drivers:x86 [1223458]
    HKLM-x32\...\Run: [DLLSuite2016] => C:\Program Files (x86)\DLL Suite\DLLSuite.exe
    HKU\S-1-5-21-2871538580-2395163762-2080135019-1000\...\MountPoints2: {7b530f18-1061-11e7-9ca4-dc0ea1f9e5bf} - G:\AutoRun.exe
    HKU\S-1-5-21-2871538580-2395163762-2080135019-1000\...\MountPoints2: {932a84fa-0fc8-11e7-b759-446d57a3692a} - G:\AutoRun.exe
    FF user.js: detected! => C:\Users\trash\AppData\Roaming\Mozilla\Firefox\Profiles\cfm104er.default-1445806755606\user.js [2016-11-15]
    FF SearchPlugin: C:\Users\trash\AppData\Roaming\Mozilla\Firefox\Profiles\cfm104er.default-1445806755606\searchplugins\nice.xml [2016-11-15]
    FF Extension: (SimilarWeb) - C:\Users\trash\AppData\Roaming\Firefox\Firefox\Profiles\cfm104er.default-1445806755606\Extensions\@DA3566E2-F709-11E5-8E87-A604BC8E7F8B.xpi [2016-10-21] [Brak podpisu cyfrowego]
    FF SearchPlugin: C:\Users\trash\AppData\Roaming\Firefox\Firefox\Profiles\cfm104er.default-1445806755606\searchplugins\searchinme.xml [2016-10-21]sys
    2017-03-23 14:04 - 2017-03-23 14:04 - 00002984 _____ C:\Windows\System32\Tasks\{72D58442-4E50-4DF0-ADA7-E8870EDAC31D}
    2017-03-23 14:04 - 2017-03-23 14:04 - 00002984 _____ C:\Windows\System32\Tasks\{053723DE-0BBD-4D46-9A2E-1D702E86BB38}
    2017-03-23 13:07 - 2017-03-23 13:10 - 00000000 ____D C:\Program Files (x86)\DLL Suite
    2017-03-04 15:17 - 2017-03-04 15:17 - 00001290 _____ C:\Users\trash\Desktop\Kontynuuj instalację Kaspersky Rescue Disk 14.02.2017.lnk
    2017-01-19 12:18 - 2017-01-19 12:18 - 0054272 _____ () C:\Users\trash\AppData\Roaming\ApplicationHosting.dat
    2017-01-19 12:18 - 2017-01-19 12:18 - 0126464 _____ () C:\Users\trash\AppData\Roaming\lobby.dat
    2017-01-19 12:18 - 2017-01-19 12:18 - 0072787 _____ () C:\Users\trash\AppData\Roaming\Tempstrong.tst
    2017-01-19 12:18 - 2017-01-19 12:18 - 1908513 _____ () C:\Users\trash\AppData\Roaming\VaiaAnlax.tst

    Po wykonaniu usun katalog C:\FRST i to wszystko.

    0
  • #5 24 Mar 2017 10:31
    baphomet
    Poziom 6  

    Po oczyszczeniu systemu przeskanowałem jeszcze raz MBAMem UCBrowser chińska wersja trojan
    i adwcleanerem. W dalszym ciągu coś wykrywa.
    Ponadto na systemowym dysku zostało coś takiego UCBrowser chińska wersja trojan
    Czy tak powinno zostać?

    0
  • Pomocny post
    #6 24 Mar 2017 10:53
    Kolobos
    Spec od komputerów

    Wylacz przegladarke i dopiero usuwaj w mbam albo usun recznie dwa podane na screenie pliki.

    Te wszystkie Temp* tez mozesz usunac.

    0
  • #7 24 Mar 2017 13:08
    baphomet
    Poziom 6  

    Wszystko pokasowałem ręcznie. Teraz jest czysto. Wielkie dzięki za pomoc.
    Pozdrawiam

    0