Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Problem z wirusem. Błagam pomocy...

Tomek3421 16 Kwi 2017 00:25 507 10
  • #1 16 Kwi 2017 00:25
    Tomek3421
    Poziom 3  

    Witam
    Na początek napisze ze czytalem juz pare postów na temat mojego problemu, ale niestety nie potrafię sam zrobic "fixlist".
    Mój problem polega na ty'm, że okolo 2-3 tygodni pobierałem coś i omyłkowo pobrałem wirusa.. zawsze sie tego wystrzegałem.
    Mam problem z wirusem "żěŃą", robiłem wszystko co potrzebne skan adwcleanerem, malwarebytes, spywarefighterem i na koniec FRST'em.
    Probowałem samemu zrobic fixlist ale niestety nie potrafię przez co naprawa programem FRST w trybie awaryjnym nic nie dała...
    Bardzo prosze o odpowiedz i jakaś pomoc.
    Pozdrawiam.

    0 10
  • Pomocny post
    #2 16 Kwi 2017 00:36
    Kolobos
    Spec od komputerów

    Zrob kopie zakladek z Chrome, skrypt usunie katalog profilu utworzony przez infekcje.
    Usun dane synchronizacji z konta google: https://support.google.com/chrome/answer/6386691?hl=pl

    Wykonaj Fixlist.txt dla FRST:
    Online.io Application (x32 Version: 2.1.0 - Microleaves) Hidden <==== UWAGA
    Traffic Exchange (x32 Version: 2.1.0 - Microleaves) Hidden <==== UWAGA

    Odinstaluj:
    Online.io Application
    Traffic Exchange
    SPYWAREfighter

    Wykonaj kolejny Fixlist.txt:
    CreateRestorePoint:
    CloseProcesses:
    Task: {0103D61C-D0D5-4748-85FE-FBBECCD56739} - System32\Tasks\UCBrowserUpdater => C:\Program Files (x86)\UCBrowser\Application\update_task.exe [2017-03-07] (UCWeb Inc) <==== UWAGA
    Task: {02554830-2F6E-4251-A254-15EBC00BEC4E} - System32\Tasks\Online Application v209 Guardian => C:\Program Files (x86)\Microleaves\Online.io Application\Online-Guardian-v2.0.9.exe <==== UWAGA
    Task: {091A020A-F8D3-4290-9C84-6559CCF87C04} - System32\Tasks\Traffic Exchange v209 - 2 => C:\Program Files (x86)\Microleaves\Traffic Exchange\Online-Guardian-v2.0.9.exe <==== UWAGA
    Task: {1AD7C024-18C8-4EE0-B149-931BEEE03C48} - System32\Tasks\Online Application v209 Guard => C:\Program Files (x86)\Microleaves\Online.io Application\Online-Guardian-v2.0.9.exe <==== UWAGA
    Task: {2E108CCB-E5F3-45C4-B9A6-A85C9B3EA843} - System32\Tasks\Traffic Exchange v209 - 1 => C:\Program Files (x86)\Microleaves\Traffic Exchange\Online-Guardian-v2.0.9.exe <==== UWAGA
    Task: {5A1B68EC-79ED-493F-9D3E-13213A419598} - System32\Tasks\Online Application v209 => C:\Program Files (x86)\Microleaves\Online.io Application\Online-Guardian-v2.0.9.exe <==== UWAGA
    Task: {63C93FC8-A69D-4BCA-ACC5-AC03087B1F63} - System32\Tasks\Opera scheduled Autoupdate 1491483367 => C:\Users\Dom\AppData\Local\Programs\Opera\launcher.exe [2017-04-03] (Opera Software)
    Task: {825C9B09-B543-4086-8A44-0B1FCD9A9E66} - System32\Tasks\UCBrowserUpdaterCore => C:\Program Files (x86)\UCBrowser\Application\update_task.exe [2017-03-07] (UCWeb Inc) <==== UWAGA
    Task: {C33E3861-07EC-40F1-B0E5-AB6DDB7DF905} - System32\Tasks\Greberphreozuty Reports => C:\Program Files (x86)\Kicoght\xpruhuied.exe
    Task: {C7A2ED70-D288-4DAF-901B-3A095F0CBCCB} - System32\Tasks\Traffic Exchange v2 - 2 => C:\Program Files (x86)\Microleaves\Traffic Exchange\OnlineGuardian-v2.exe <==== UWAGA
    Task: {CB979B45-7D14-4C96-B510-BD360D43FB5E} - System32\Tasks\CreateExplorerShellUnelevatedTask => C:\Windows\Explorer.exe /NOUACCHECK
    Task: {D75060AF-024D-4139-88C5-5D0EEBD27892} - System32\Tasks\Traffic Exchange v209 - 3 => C:\Program Files (x86)\Microleaves\Traffic Exchange\Online-Guardian-v2.0.9.exe <==== UWAGA
    Task: {DF5CB847-4E3B-4C22-B20C-AB88AB021253} - System32\Tasks\Traffic Exchange v2 - 3 => C:\Program Files (x86)\Microleaves\Traffic Exchange\OnlineGuardian-v2.exe <==== UWAGA




    Task: {FCAD6E0F-2472-4160-A80C-36770C53FDA2} - System32\Tasks\Traffic Exchange v2 - 1 => C:\Program Files (x86)\Microleaves\Traffic Exchange\OnlineGuardian-v2.exe <==== UWAGA
    Task: C:\Windows\Tasks\Online Application v209 Guard.job => C:\Program Files (x86)\Microleaves\Online.io Application\Online-Guardian-v2.0.9.exe <==== UWAGA
    Task: C:\Windows\Tasks\Online Application v209 Guardian.job => C:\Program Files (x86)\Microleaves\Online.io Application\Online-Guardian-v2.0.9.exe <==== UWAGA
    Task: C:\Windows\Tasks\Online Application v209.job => C:\Program Files (x86)\Microleaves\Online.io Application\Online-Guardian-v2.0.9.exe <==== UWAGA
    Task: C:\Windows\Tasks\Traffic Exchange v2 - 1.job => C:\Program Files (x86)\Microleaves\Traffic Exchange\OnlineGuardian-v2.exe <==== UWAGA
    Task: C:\Windows\Tasks\Traffic Exchange v2 - 2.job => C:\Program Files (x86)\Microleaves\Traffic Exchange\OnlineGuardian-v2.exe <==== UWAGA
    Task: C:\Windows\Tasks\Traffic Exchange v2 - 3.job => C:\Program Files (x86)\Microleaves\Traffic Exchange\OnlineGuardian-v2.exe <==== UWAGA
    Task: C:\Windows\Tasks\Traffic Exchange v209 - 1.job => C:\Program Files (x86)\Microleaves\Traffic Exchange\Online-Guardian-v2.0.9.exe <==== UWAGA
    Task: C:\Windows\Tasks\Traffic Exchange v209 - 2.job => C:\Program Files (x86)\Microleaves\Traffic Exchange\Online-Guardian-v2.0.9.exe <==== UWAGA
    Task: C:\Windows\Tasks\Traffic Exchange v209 - 3.job => C:\Program Files (x86)\Microleaves\Traffic Exchange\Online-Guardian-v2.0.9.exe <==== UWAGA
    Task: C:\Windows\Tasks\UCBrowserUpdater.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe <==== UWAGA
    Task: C:\Windows\Tasks\UCBrowserUpdaterCore.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe <==== UWAGA
    ShortcutWithArgument: C:\Users\Dom\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\360c22b137d62ce9\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory=ChromeDefaultData
    2017-04-05 01:04 - 2017-04-05 01:04 - 00524696 _____ () C:\Program Files\żěŃą\X64\KZipShell.dll
    AlternateDataStreams: C:\Windows\system32\drivers:ucdrv-x64.sys [25444]
    AlternateDataStreams: C:\Windows\system32\drivers:x64 [1498914]
    AlternateDataStreams: C:\Windows\system32\drivers:x86 [1223458]
    () C:\Program Files (x86)\UCBrowser\Application\UCService.exe
    () C:\Program Files (x86)\UCBrowser\Application\6.1.2107.204\UCAgent.exe
    HKU\S-1-5-21-2536278505-983899215-1061809101-1001\...\MountPoints2: D - "D:\setup.exe"
    HKU\S-1-5-21-2536278505-983899215-1061809101-1001\...\MountPoints2: F - "F:\setup.exe"
    HKU\S-1-5-18\...\Run: [] => [X]
    HKLM\...\Providers\f44lofd9: C:\Program Files (x86)\Greberphreozuty Reports\local64spl.dll
    ShellExecuteHooks: Brak nazwy - {06A0AD42-1476-11E7-98C7-64006A5CFC23} - -> Brak pliku
    ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} => C:\Program Files\żěŃą\X64\KZipShell.dll [2017-04-05] ()
    CHR DefaultProfile: ChromeDefaultData
    CHR Profile: C:\Users\Dom\AppData\Local\Google\Chrome\User Data\ChromeDefaultData [2017-04-15] <==== UWAGA
    C:\Users\Dom\AppData\Local\Google\Chrome\User Data\ChromeDefaultData
    R2 UCBrowserSvc; C:\Program Files (x86)\UCBrowser\Application\UCService.exe [599440 2017-03-07] ()
    R2 ibtsiva; %SystemRoot%\system32\ibtsiva [X]
    R0 flowhlp; C:\Windows\System32\drivers\flowhlp.dat [155168 2017-04-05] ()
    S3 cpuz140; \??\C:\Users\Dom\AppData\Local\Temp\cpuz140\cpuz140_x64.sys [X] <==== UWAGA
    U3 DfSdkS; Brak ImagePath
    NETSVCx32: HpSvc -> Brak ścieżki do pliku.
    NETSVCx32: WpSvc -> Brak ścieżki do pliku.
    2017-04-15 08:19 - 2017-04-15 21:32 - 00000334 _____ C:\Windows\Tasks\UCBrowserUpdaterCore.job
    2017-04-15 08:19 - 2017-04-15 08:19 - 00002688 _____ C:\Windows\System32\Tasks\UCBrowserUpdaterCore
    2017-04-15 07:22 - 2017-04-15 07:36 - 00000000 ____D C:\Users\Dom\AppData\Roaming\KuaiZip
    2017-04-15 07:12 - 2017-04-15 07:43 - 00000000 ____D C:\ProgramData\clp
    2017-04-15 07:12 - 2017-04-15 07:12 - 00000000 ____D C:\Users\Dom\AppData\Roaming\Fighters
    2017-04-15 07:00 - 2017-04-15 07:00 - 00002073 _____ C:\Users\Public\Desktop\SPYWAREfighter.lnk
    2017-04-15 07:00 - 2017-04-15 07:00 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Fighters
    2017-04-15 06:58 - 2017-04-15 07:00 - 00000000 ____D C:\ProgramData\Fighters
    2017-04-15 06:58 - 2017-04-15 07:00 - 00000000 ____D C:\Program Files (x86)\Fighters
    2017-04-15 06:58 - 2017-04-15 06:58 - 00000000 ____D C:\ProgramData\Common Toolkit Suite
    2017-04-15 06:55 - 2017-04-15 06:56 - 02387904 _____ (SPAMfighter ApS) C:\Users\Dom\Downloads\spywarefighter.exe
    2017-04-05 10:29 - 2017-04-15 07:17 - 00000000 ____D C:\AdwCleaner
    2017-04-05 01:08 - 2017-04-05 01:08 - 00001385 _____ C:\Users\Dom\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\SogouExplorer.lnk
    2017-04-05 01:08 - 2017-04-05 01:08 - 00000000 ____D C:\Users\Dom\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\搜狗高速浏览器
    2017-04-05 01:07 - 2017-04-05 01:07 - 00155168 _____ C:\Windows\system32\Drivers\flowhlp.dat
    2017-04-05 01:06 - 2017-04-05 10:21 - 00000484 _____ C:\Windows\Tasks\UCBrowserUpdater.job
    2017-04-05 01:06 - 2017-04-05 01:07 - 00003498 _____ C:\Windows\System32\Tasks\UCBrowserUpdater
    2017-04-05 01:05 - 2017-04-05 09:53 - 00000000 ____D C:\Program Files (x86)\UCBrowser
    2017-04-05 01:05 - 2017-04-05 01:05 - 00000000 ____D C:\Users\Dom\AppData\Roaming\LDSGameAssistant
    2017-04-05 01:05 - 2017-04-05 01:05 - 00000000 ____D C:\Users\Dom\AppData\Roaming\360wp
    2017-04-05 01:04 - 2017-04-05 01:04 - 00003652 _____ C:\Windows\System32\Tasks\CreateExplorerShellUnelevatedTask
    2017-04-05 01:04 - 2017-04-05 01:04 - 00000882 _____ C:\Users\Dom\AppData\Roaming\Microsoft\Windows\Start Menu\żěŃą.lnk
    2017-04-05 01:04 - 2017-04-05 01:04 - 00000000 ____D C:\Program Files\żěŃą
    2017-04-05 01:03 - 2017-04-05 10:21 - 00000374 _____ C:\Windows\Tasks\Online Application v209.job
    2017-04-05 01:03 - 2017-04-05 10:21 - 00000374 _____ C:\Windows\Tasks\Online Application v209 Guardian.job
    2017-04-05 01:03 - 2017-04-05 10:21 - 00000374 _____ C:\Windows\Tasks\Online Application v209 Guard.job
    2017-04-05 01:03 - 2017-04-05 10:21 - 00000364 _____ C:\Windows\Tasks\Traffic Exchange v209 - 3.job
    2017-04-05 01:03 - 2017-04-05 10:21 - 00000364 _____ C:\Windows\Tasks\Traffic Exchange v209 - 2.job
    2017-04-05 01:03 - 2017-04-05 10:21 - 00000364 _____ C:\Windows\Tasks\Traffic Exchange v209 - 1.job
    2017-04-05 01:03 - 2017-04-05 10:21 - 00000354 _____ C:\Windows\Tasks\Traffic Exchange v2 - 3.job
    2017-04-05 01:03 - 2017-04-05 10:21 - 00000354 _____ C:\Windows\Tasks\Traffic Exchange v2 - 2.job
    2017-04-05 01:03 - 2017-04-05 10:21 - 00000354 _____ C:\Windows\Tasks\Traffic Exchange v2 - 1.job
    2017-04-05 01:03 - 2017-04-05 10:21 - 00000000 ____D C:\Users\Dom\AppData\Roaming\Chijilytirose
    2017-04-05 01:03 - 2017-04-05 01:03 - 00006092 _____ C:\Windows\System32\Tasks\Greberphreozuty Reports
    2017-04-05 01:03 - 2017-04-05 01:03 - 00003280 _____ C:\Windows\System32\Tasks\Online Application v209 Guardian
    2017-04-05 01:03 - 2017-04-05 01:03 - 00003274 _____ C:\Windows\System32\Tasks\Online Application v209 Guard
    2017-04-05 01:03 - 2017-04-05 01:03 - 00003262 _____ C:\Windows\System32\Tasks\Online Application v209
    2017-04-05 01:03 - 2017-04-05 01:03 - 00003256 _____ C:\Windows\System32\Tasks\Traffic Exchange v209 - 3
    2017-04-05 01:03 - 2017-04-05 01:03 - 00003256 _____ C:\Windows\System32\Tasks\Traffic Exchange v209 - 2
    2017-04-05 01:03 - 2017-04-05 01:03 - 00003256 _____ C:\Windows\System32\Tasks\Traffic Exchange v209 - 1
    2017-04-05 01:03 - 2017-04-05 01:03 - 00003242 _____ C:\Windows\System32\Tasks\Traffic Exchange v2 - 3
    2017-04-05 01:03 - 2017-04-05 01:03 - 00003242 _____ C:\Windows\System32\Tasks\Traffic Exchange v2 - 2
    2017-04-05 01:03 - 2017-04-05 01:03 - 00003242 _____ C:\Windows\System32\Tasks\Traffic Exchange v2 - 1
    2017-04-05 01:12 - 2017-04-05 01:07 - 0797672 _____ (深圳市史宾赛科技有限公司) C:\Users\Dom\AppData\Local\FlowSprit.dll
    2017-04-05 01:12 - 2017-04-05 01:07 - 0516072 _____ (深圳市史宾赛科技有限公司) C:\Users\Dom\AppData\Local\uninst.tmp
    EmptyTemp:

    Po wykonaniu zrob pelny skan przy pomocy Mbam i usun to co wykryje:
    http://www.bleepingcomputer.com/download/malwarebytes-anti-malware/
    oraz http://ftp.drweb.com/pub/drweb/cureit/launch.exe

    Zamiesc nowe logi z FRST, ze skanowania.

    0
  • #3 16 Kwi 2017 01:23
    Tomek3421
    Poziom 3  

    Dziękuje za szybką odpowiedź i pomoc.
    Zrobiłem wszystko jak trzeba krok po kroku, podejrzane pliki i foldery zostały usuniete.
    Załączam skan z FRST'u.
    Mam dalej jeden problem użycie dysku jest ciagle 100 procent, myślałem ze to przez te wirusy, ale niestety problem nie zniknął.

    0
  • Pomocny post
    #4 16 Kwi 2017 03:04
    krzychupar
    Poziom 41  

    Odinstaluj:
    SPYWAREfighter

    Otwórz notatnik systemowy i wklej:
    HKLM-x32\...\Run: [SWPROguard] => C:\Program Files (x86)\Fighters\SPYWAREfighter\swprotray.exe
    ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} => -> Brak pliku
    CHR Profile: C:\Users\Dom\AppData\Local\Google\Chrome\User Data\ChromeDefaultData [2017-04-16] <==== UWAGA
    S2 Suite Service; C:\Program Files (x86)\Fighters\FighterSuiteService.exe [X]
    S0 flowhlp; system32\drivers\flowhlp.dat [X]
    2017-04-16 01:01 - 2017-04-16 01:01 - 00000000 ____D C:\Users\Dom\Doctor Web
    2017-03-19 12:19 - 2017-04-06 00:46 - 00000080 _____ C:\Users\Dom\AppData\Local剜捯獫慴⁲慇敭屳呇⁁屖湥楴汴浥湥⹴湩潦


    Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.
    Uruchom FRST i kliknij w Fix/Napraw.

    0
  • #5 16 Kwi 2017 08:39
    Tomek3421
    Poziom 3  

    Zrobione, umknął mi jeden plik o nazwie "fighter" usunalem go i naprawiłem w trybie awaryjnym jeszcze raz FRST'em.
    Wirusa juz nie ma, ale dalej mam problem z użyciem dysku 100 procent.
    Ma ktoś jakiś pomysł?
    Bardzo wam dziękuje za szybka pomoc z wirusem.

    0
  • Pomocny post
    #8 16 Kwi 2017 09:09
    Kolobos
    Spec od komputerów

    Nadal masz zainfekowany profil w Chrome, czegos nie wykonales.

    Usun dane synchronizacji z konta google: https://support.google.com/chrome/answer/6386691?hl=pl
    W ustawieniach Chrome ustaw profil na drugi (Twoj).

    Odinstaluj: Ashampoo WinOptimizer 2017

    Nowy Fixlist.txt dla FRST:
    CloseProcesses:
    CHR DefaultProfile: ChromeDefaultData
    CHR Profile: C:\Users\Dom\AppData\Local\Google\Chrome\User Data\ChromeDefaultData [2017-04-16] <==== UWAGA
    C:\Users\Dom\AppData\Local\Google\Chrome\User Data\ChromeDefaultData
    2017-04-16 00:54 - 2017-04-16 01:24 - 00000000 ____D C:\ProgramData\clp
    2017-04-16 00:54 - 2017-04-16 00:54 - 00000000 ____D C:\ProgramData\Common Toolkit Suite
    2017-04-15 23:57 - 2017-04-16 08:05 - 00000214 _____ C:\Windows\Tasks\CreateExplorerShellUnelevatedTask.job
    2017-04-09 22:26 - 2017-04-09 22:26 - 00000984 _____ C:\Users\Public\Desktop\Ashampoo WinOptimizer 2017.lnk
    Task: C:\Windows\Tasks\CreateExplorerShellUnelevatedTask.job => C:\Windows\explorer.exe


    W PE wszystko wyglada ok. Wylacz wiedzmina i podaj jaki proces korzysta z dysku (z menadzera urzadzen).

    0
  • #9 16 Kwi 2017 09:41
    Tomek3421
    Poziom 3  

    Zrobiłem wszystko z tym chromem jeszcze raz i usunałem ten program.
    Naprawiłem w trybie awaryjnym i wszystko wydaje sie już być dobrze, załączam screena z menagera urządzeń.
    Dziękuje Wam bardzo za szybką i skuteczna pomoc!

    0
  • #10 16 Kwi 2017 09:45
    Kolobos
    Spec od komputerów

    Usun katalog C:\FRST i to wszystko.

    0
  • #11 16 Kwi 2017 09:48
    Tomek3421
    Poziom 3  

    Dobrze
    Jeszcze raz bardzo dziękuję za pomoc.
    Temat do zamknięcia.
    Problem z wirusem. Błagam pomocy...

    0