Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Prośba o sprawdzenie logów po wirusie.

polarinho 03 Cze 2017 22:19 513 9
  • #1 03 Cze 2017 22:19
    polarinho
    Poziom 7  

    Cześć!
    Znajoma udostępniła mi swoje urządzenie, niejaki Acer Aspire Switch, dokładnego modelu nie znam, w każdym razie posiadające Windows 8.1 z Bing, z prośbą o przeczyszczenie go.

    Dość wolno chodził, do tego trochę zawirusowany jakimś ustrojstwem, które spowodowało, że jakieś dodatkowe rzeczy się poinstalowały, w menu kontekstowym pododawał chińskie znaczki itd. Do tego było zainstalowane jakieś Chromium, które też nie było najłatwiejsze do odinstalowania.

    W każdym razie komputer potraktowany Ccleanerem, Malwarabytes Anti Malware, Advanced System Care, AdwCleanerem, dodatkowo jakieś tam aktualizacje sterowników i poinstalowanie paczek zrobione. Chromium usunięte, ten wirus też, komputer troszkę przyśpieszył, ale chciałbym prosić o przejrzenie logów i ewentualnie sugestię, co jeszcze wyczyścić za pomocą FRST.

    Bo to, że ten Acer jest urządzeniem 2 w 1, chyba nie przeszkadza w tym, aby zastosować FRST?

    0 9
  • Pomocny post
    #2 03 Cze 2017 22:40
    Kolobos
    Spec od komputerów

    Odinstaluj:
    Avast SecureLine
    Intel Security True Key
    McAfee LiveSafe
    McAfee Security Scan Plus
    McAfee WebAdvisor

    Uzyj: https://sourceforge.net/projects/adobeflashup...an%20Remover/RemoveMcAfee_silent.exe/download

    Uruchom system w trybie awaryjnym i tam wykonaj podany Fixlist.txt dla FRST:
    CloseProcesses:
    Task: {064DB521-C554-4DB7-9B2A-BF474D03872E} - System32\Tasks\UCBrowserSecureUpdater => C:\Program Files\UCBrowser\Security\uclauncher.exe [2017-06-03] (UC Web Inc.) <==== UWAGA
    Task: {95BE58CD-1D96-4B58-8710-EC7F2673CB68} - System32\Tasks\UCBrowserUpdater => C:\Program Files\UCBrowser\Application\update_task.exe [2017-03-07] (UCWeb Inc) <==== UWAGA
    Task: {CF6DA51A-2DE3-4E57-904C-978AE93CD23D} - System32\Tasks\UCBrowserUpdaterCore => C:\Program Files\UCBrowser\Application\update_task.exe [2017-03-07] (UCWeb Inc) <==== UWAGA
    Task: C:\windows\Tasks\UCBrowserUpdater.job => C:\Program Files\UCBrowser\Application\update_task.exe <==== UWAGA
    Task: C:\windows\Tasks\UCBrowserUpdaterCore.job => C:\Program Files\UCBrowser\Application\update_task.exe <==== UWAGA
    ShortcutWithArgument: C:\Users\MILENA\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> %SNF%
    ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> %SNF%
    ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> %SNF%
    2017-06-03 01:27 - 2017-03-07 15:44 - 00599440 _____ () C:\Program Files\UCBrowser\Application\UCService.exe
    AlternateDataStreams: C:\windows\system32\Drivers:ucdrv-x86.sys [84370]
    AlternateDataStreams: C:\windows\system32\Drivers:x86 [1223458]
    () C:\Program Files\UCBrowser\Application\UCService.exe
    (© 2015 Microsoft Corporation) C:\Users\MILENA\AppData\Local\Microsoft\BingSvc\BingSvc.exe
    HKU\S-1-5-21-542351403-2888592831-373141539-1001\...\Run: [BingSvc] => C:\Users\MILENA\AppData\Local\Microsoft\BingSvc\BingSvc.exe [144008 2015-11-12] (© 2015 Microsoft Corporation)
    HKU\S-1-5-21-542351403-2888592831-373141539-1001\...\MountPoints2: {49965613-a6d0-11e5-9739-bcf8ed9e67f3} - "D:\AutoRun.exe"
    HKU\S-1-5-21-542351403-2888592831-373141539-1001\...\MountPoints2: {b1e5e153-7035-11e5-972e-8ea58d1dce0e} - "E:\AutoRun.exe"
    HKU\S-1-5-21-542351403-2888592831-373141539-1001\...\MountPoints2: {b1e5e1e4-7035-11e5-972e-8ea58d1dce0e} - "F:\AutoRun.exe"
    HKU\S-1-5-21-542351403-2888592831-373141539-1001\...\MountPoints2: {c16064d4-89aa-11e6-9760-40e230ebb18e} - "D:\AutoRun.exe"




    Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\McAfee Security Scan Plus.lnk [2017-06-02]
    ShortcutTarget: McAfee Security Scan Plus.lnk -> C:\Program Files\McAfee Security Scan\3.11.569\SSScheduler.exe (McAfee, Inc.)
    Hosts: 0.0.0.1 mssplus.mcafee.com
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA
    HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
    HKU\S-1-5-21-542351403-2888592831-373141539-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%6...xPRAv6J0qcJLi2OTktJJnUoAxeSvWq8cGWtg,,&q={searchTerms}
    HKU\S-1-5-21-542351403-2888592831-373141539-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://%66%65%65%64.%68%65%6C%70%65%72%62%61...ePnPbO6AEW20HTln_yXSt0IMZcWPcGF3Vwkemuid28w,,,,
    HKU\S-1-5-21-542351403-2888592831-373141539-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://acer13.msn.com/?pc=ACJB
    SearchScopes: HKLM -> DefaultScope {ielnksrch} URL =
    SearchScopes: HKU\S-1-5-21-542351403-2888592831-373141539-1001 -> DefaultScope {ielnksrch} URL =
    SearchScopes: HKU\S-1-5-21-542351403-2888592831-373141539-1001 -> {34CA36DB-2ED3-4E46-9DDE-197986E3B31C} URL = hxxps://pl.search.yahoo.com/search?fr=mcafee_...national&type=C011PL91058D20150212&p={searchTerms}
    FF user.js: detected! => C:\Users\MILENA\AppData\Roaming\Mozilla\Firefox\Profiles\5l0nybe6.default\user.js [2017-04-12]
    FF NewTab: Mozilla\Firefox\Profiles\5l0nybe6.default -> C:\\ProgramData\\Hotfreshs\\ff.NT
    FF DefaultSearchEngine: Mozilla\Firefox\Profiles\5l0nybe6.default -> YHS
    FF SearchEngineOrder.3: Mozilla\Firefox\Profiles\5l0nybe6.default -> Bing
    FF SelectedSearchEngine: Mozilla\Firefox\Profiles\5l0nybe6.default -> YHS
    FF Homepage: Mozilla\Firefox\Profiles\5l0nybe6.default -> C:\\ProgramData\\Hotfreshs\\ff.HP
    FF Extension: (McAfee WebAdvisor) - C:\Program Files\McAfee\SiteAdvisor\saffplg.xpi [2017-04-22]
    FF SearchPlugin: C:\Users\MILENA\AppData\Roaming\Mozilla\Firefox\Profiles\5l0nybe6.default\searchplugins\yhs.xml [2016-09-05]
    FF HKLM\...\Firefox\Extensions: [{4ED1F68A-5463-4931-9384-8FFF5ED91D92}] - C:\Program Files\McAfee\SiteAdvisor\saffplg.xpi
    FF HKLM\...\Thunderbird\Extensions: [msktbird@mcafee.com] - C:\Program Files\McAfee\MSK
    FF Extension: (McAfee Anti-Spam Thunderbird Extension) - C:\Program Files\McAfee\MSK [2016-08-07] [Brak podpisu cyfrowego]
    FF Plugin: @mcafee.com/MSC,version=10 -> c:\PROGRA~1\mcafee\msc\NPMCSN~1.DLL [2016-05-24] ()
    CHR HKLM\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho] - C:\Program Files\McAfee\SiteAdvisor\McChPlg.crx [2016-06-08]
    CHR HKLM\...\Chrome\Extension: [lifbcibllhkdhoafpjfnlhfpfgnpldfl] - hxxps://clients2.google.com/service/update2/crx
    R2 UCBrowserSvc; C:\Program Files\UCBrowser\Application\UCService.exe [599440 2017-03-07] () <==== UWAGA
    S2 JszipService; C:\Program Files\Maoha\JiSuZip\JszipSvc.exe [X]
    R1 cryptfd; C:\windows\System32\drivers\cryptfd.sys [178728 2017-05-25] ()
    R1 ucdrv; C:\Program Files\UCBrowser\Security:ucdrv-x86.sys [84370 ] (UC Web Inc.) <==== UWAGA
    S3 ew_hwusbdev; \SystemRoot\system32\DRIVERS\ew_hwusbdev.sys [X]
    S3 ew_usbenumfilter; \SystemRoot\System32\drivers\ew_usbenumfilter.sys [X]
    S3 huawei_cdcacm; \SystemRoot\system32\DRIVERS\ew_jucdcacm.sys [X]
    S3 huawei_cdcecm; \SystemRoot\system32\DRIVERS\ew_jucdcecm.sys [X]
    S3 huawei_enumerator; \SystemRoot\System32\drivers\ew_jubusenum.sys [X]
    S3 huawei_ext_ctrl; \SystemRoot\System32\drivers\ew_juextctrl.sys [X]
    2017-06-03 11:13 - 2017-06-03 20:16 - 00000302 _____ C:\windows\Tasks\UCBrowserUpdaterCore.job
    2017-06-03 01:37 - 2017-06-03 01:43 - 00000000 ____D C:\AdwCleaner
    2017-06-03 01:33 - 2017-06-03 01:34 - 02687353 _____ C:\Users\MILENA\Downloads\adwcleaner_6.047.exe.part
    2017-06-03 01:28 - 2017-06-03 12:39 - 00000458 _____ C:\windows\Tasks\UCBrowserUpdater.job
    2017-06-03 01:27 - 2017-06-03 01:27 - 00000000 ____D C:\Users\MILENA\AppData\Local\UCBrowser
    2017-06-03 01:26 - 2017-06-03 01:27 - 00000000 ____D C:\Program Files\UCBrowser
    2017-06-03 01:22 - 2017-06-03 01:22 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\极速压缩
    2017-06-03 01:22 - 2016-12-27 04:34 - 00022360 _____ C:\windows\system32\Drivers\vcdrom.sys
    2017-06-03 01:21 - 2017-06-03 01:21 - 00000000 ____D C:\Program Files\Maoha
    2017-06-03 01:16 - 2017-06-03 01:18 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\mgdisk
    2017-06-03 01:15 - 2017-06-03 01:44 - 00000000 ____D C:\Program Files\Common Files\Unoron
    2017-06-03 01:15 - 2017-06-03 01:15 - 07306240 _____ C:\Users\MILENA\AppData\Local\agent.dat
    2017-06-03 01:15 - 2017-06-03 01:15 - 01897408 _____ C:\Users\MILENA\AppData\Local\Zumcom.tst
    2017-06-03 01:15 - 2017-06-03 01:15 - 01895383 _____ C:\Users\MILENA\AppData\Local\Stockfresh.bin
    2017-06-03 01:15 - 2017-06-03 01:15 - 00126464 _____ C:\Users\MILENA\AppData\Local\noah.dat
    2017-06-03 01:15 - 2017-06-03 01:15 - 00070800 _____ C:\Users\MILENA\AppData\Local\Config.xml
    2017-06-03 01:15 - 2017-06-03 01:15 - 00018432 _____ C:\Users\MILENA\AppData\Local\Main.dat
    2017-06-03 01:15 - 2017-06-03 01:15 - 00005568 _____ C:\Users\MILENA\AppData\Local\md.xml
    2017-06-03 01:14 - 2017-06-03 01:14 - 03448832 _____ (TODO: <Company name>) C:\Users\MILENA\AppData\Local\Zumcom.exe
    2017-06-03 01:14 - 2017-06-03 01:14 - 03448832 _____ (TODO: <Company name>) C:\Users\MILENA\AppData\Local\Zerlam.exe
    2017-06-03 01:14 - 2017-06-03 01:14 - 00278509 _____ C:\Users\MILENA\AppData\Local\Zerlam.tst
    2017-06-03 01:14 - 2017-06-03 01:14 - 00140800 _____ C:\Users\MILENA\AppData\Local\installer.dat
    2017-06-03 01:14 - 2017-06-03 01:14 - 00016512 _____ C:\Users\MILENA\AppData\Local\InstallationConfiguration.xml
    2017-06-02 12:47 - 2017-06-02 12:47 - 00000000 ____D C:\windows\Tasks\ImCleanDisabled
    2017-06-02 12:40 - 2017-06-02 12:40 - 00002065 _____ C:\Users\Public\Desktop\McAfee Security Scan Plus.lnk
    2017-06-02 12:40 - 2017-06-02 12:40 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\McAfee Security Scan Plus
    2017-06-02 12:39 - 2017-06-02 22:50 - 00000000 ____D C:\ProgramData\McAfee Security Scan
    2017-05-25 03:43 - 2017-05-25 03:43 - 00178728 _____ C:\windows\system32\Drivers\cryptfd.sys
    2017-06-02 22:50 - 2016-08-16 22:41 - 00000000 ____D C:\Program Files\TrueKey
    2017-06-02 12:40 - 2016-08-16 22:41 - 00000000 ____D C:\Program Files\McAfee Security Scan
    2017-06-03 01:15 - 2017-06-03 01:15 - 7306240 _____ () C:\Users\MILENA\AppData\Local\agent.dat
    2017-06-03 01:15 - 2017-06-03 01:15 - 0070800 _____ () C:\Users\MILENA\AppData\Local\Config.xml
    2017-06-03 01:14 - 2017-06-03 01:14 - 0016512 _____ () C:\Users\MILENA\AppData\Local\InstallationConfiguration.xml
    2017-06-03 01:14 - 2017-06-03 01:14 - 0140800 _____ () C:\Users\MILENA\AppData\Local\installer.dat
    2017-06-03 01:15 - 2017-06-03 01:15 - 0018432 _____ () C:\Users\MILENA\AppData\Local\Main.dat
    2017-06-03 01:15 - 2017-06-03 01:15 - 0005568 _____ () C:\Users\MILENA\AppData\Local\md.xml
    2017-06-03 01:15 - 2017-06-03 01:15 - 0126464 _____ () C:\Users\MILENA\AppData\Local\noah.dat
    2017-06-03 01:15 - 2017-06-03 01:15 - 1895383 _____ () C:\Users\MILENA\AppData\Local\Stockfresh.bin
    2017-06-03 01:15 - 2017-06-03 01:15 - 0032038 _____ () C:\Users\MILENA\AppData\Local\uninstall_temp.ico
    2017-06-03 01:14 - 2017-06-03 01:14 - 3448832 _____ (TODO: <Company name>) C:\Users\MILENA\AppData\Local\Zerlam.exe
    2017-06-03 01:14 - 2017-06-03 01:14 - 0278509 _____ () C:\Users\MILENA\AppData\Local\Zerlam.tst
    2017-06-03 01:14 - 2017-06-03 01:14 - 3448832 _____ (TODO: <Company name>) C:\Users\MILENA\AppData\Local\Zumcom.exe
    2017-06-03 01:15 - 2017-06-03 01:15 - 1897408 _____ () C:\Users\MILENA\AppData\Local\Zumcom.tst
    EmptyTemp:

    Po wykonaniu, wykonaj jeszcze raz ten sam Fixlist w trybie normalnym i zamiesc nowe logi z FRST, ze skanowania (z trybu normalnego!).

    0
  • #3 03 Cze 2017 23:57
    polarinho
    Poziom 7  

    Kolobos, fixu na razie jeszcze nie wykonałem, ale zauważyłem, że po odinstalowaniu tych aplikacji, jak odpalę komputer i wpiszę hasło, to po niedługim ładowaniu ekran robi się czarny i dopiero po 2-4 minutach pojawia się pulpit ze wszystkim. Po wykonaniu fixu powinno to ustąpić? A jeśli nie, to czy ewentualne przywrócenie systemu temu zaradzi?

    0
  • #4 04 Cze 2017 00:01
    Kolobos
    Spec od komputerów

    Masz zainfekowany system, wiec sprawdzaj dopiero jak WSZYSTKO wykonasz.

    0
  • #6 04 Cze 2017 00:46
    Kolobos
    Spec od komputerów

    Wyglada ok, czy nadal wystepuje jakis problem?

    0
  • #7 04 Cze 2017 00:49
    polarinho
    Poziom 7  

    Kilka razy go odpaliłem i nie, ładuje się już normalnie, szybko, bez tego czarnego ekranu. I oby tak było dalej :D

    Dziękuję za pomoc. Teraz już tylko usunąć folder FRST z dysku C?

    0
  • #8 04 Cze 2017 01:06
    Kolobos
    Spec od komputerów

    Tak, usun C:\FRST i to wszystko.

    0
  • #9 05 Cze 2017 10:43
    polarinho
    Poziom 7  

    Kolobos,

    Komputerek chodzi całkiem szybko, ale jak jeszcze raz przeskanowałem AdwCleanerem, to znalazł jakieś zagrożenie dotyczące Firefoxa. Dopiero reinstalacja Firefoxa pomogła się tego pozbyć i od tego momentu AdwCleaner nic nie znajduje, ale byłbym wdzięczny, jakbyś jeszcze raz przejrzał logi z FRST i i sprawdził, czy jest coś do usunięcia.

    Z góry bardzo Ci dziękuję za pomoc. :)

    I ewentualnie czy zasugerowałbyś jakieś darmowego antywira na ten komputerek? Na razie jest sam Windows Defender.

    0
  • Pomocny post
    #10 05 Cze 2017 10:49
    Kolobos
    Spec od komputerów

    Tylko pozostalosci po McAfee.

    Fixlist.txt:
    Task: {B7D28F8A-1BFE-4F1E-A6C7-BF66D1E820B9} - System32\Tasks\McAfeeLogon => C:\PROGRA~1\COMMON~1\McAfee\Platform\McUICnt.exe
    Task: {D98EDE66-557E-46FE-BD1B-236BA09F24B3} - \BacKGroundAgent -> Brak pliku <==== UWAGA
    HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""="Service"
    HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\McMPFSvc => ""="Service"
    HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""="Service"
    CHR HKLM\...\Chrome\Extension: [lifbcibllhkdhoafpjfnlhfpfgnpldfl] - hxxps://clients2.google.com/service/update2/crx
    S0 mfeelamk; C:\windows\System32\drivers\mfeelamk.sys [72856 2016-03-11] (McAfee, Inc.)
    2017-06-04 18:45 - 2017-06-05 10:32 - 00000000 ____D C:\AdwCleaner
    2017-06-04 11:07 - 2017-06-04 11:33 - 00000000 ____D C:\Users\MILENA\AppData\Local\AvgSetupLog
    2017-06-04 11:07 - 2017-06-04 11:33 - 00000000 ____D C:\ProgramData\Avg
    2017-06-04 11:07 - 2017-06-04 11:07 - 00000000 ____D C:\Users\MILENA\AppData\Local\Avg
    2017-06-03 23:40 - 2015-02-12 12:31 - 00000000 ____D C:\ProgramData\McAfee
    2017-06-03 23:40 - 2015-02-12 12:31 - 00000000 ____D C:\Program Files\McAfee
    2017-06-03 23:40 - 2015-02-12 12:31 - 00000000 ____D C:\Program Files\Common Files\McAfee

    0