Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Kmspico - zainstalował śmieciowe programy, adware i reklamy

Daxxx 14 Kwi 2018 23:44 402 7
  • #1 14 Kwi 2018 23:44
    Daxxx
    Poziom 5  

    Witam,
    w swojej głupocie uruchomiłem program Kmspico, skutkowało to tym że na komputerze zainstalowane zostały różne śmieciowe programy, które nawet po odinstalowaniu instalują się na nowo. Poza tym podczas używania Mozilli co chwilę otwiera się nowa karta z reklamami a komputer zwolnił. Użyłem Adwcleanera, ponadto zainstalowałem FRST i uruchomiłem fix znaleziony w google, jednak nic to nie dało, programy wciąż na nowo się instalują. Jak usunąć dokładnie ten adware? W załączniku wstawiam log zrobiony przeze mnie w FRST

    0 7
  • Pomocny post
    #2 15 Kwi 2018 00:34
    Kolobos
    Spec od komputerów

    Odinstaluj:
    SafeFinder
    System Healer
    YoutubeAdBlock

    Uzyj AdwCleaner, opcja Scan/Szukaj i Clean/Usun: http://www.bleepingcomputer.com/download/adwcleaner/

    Wykonaj Fixlist.txt dla FRST:
    CloseProcesses:
    ShellIconOverlayIdentifiers: [{BFD98515-CD74-48A4-98E2-13D209E3EE4F}] -> {BFD98515-CD74-48A4-98E2-13D209E3EE4F} => C:\Windows\system32\mcicda64.dll -> Brak pliku
    Task: {00315A3A-5B0C-4C95-A827-B78BBAFC4E4F} - System32\Tasks\KlAEYQtzmHgics => rundll32 "C:\Program Files (x86)\GYHHaWMnbkQU2\BXxngvQQTYUsk.dll",#1
    Task: {0119C069-68AC-4A40-929A-F981531F976A} - System32\Tasks\xRZOrQVCBWPMscb2 => rundll32 "C:\Program Files (x86)\muZPPgwvU\XnvQYs.dll",#1
    Task: {07FD8CB0-3122-4A7A-931D-45E0E9C90E11} - System32\Tasks\XeRTeJCMKPYXWyYqW2 => rundll32 "C:\Program Files (x86)\FpyEWGzDFWVVpLycIFR\aqdrcxR.dll",#1
    Task: {400CCD16-8610-4058-8167-7CA2091E44A0} - System32\Tasks\{9BCAB01F-8085-4F1E-8EE9-FAA0E7727EA4} => C:\Windows\system32\pcalua.exe -a "C:\Program Files (x86)\Common Files\Bamsantrax\uninstall.exe" -c shuz -f "C:\Program Files (x86)\Common Files\Bamsantrax\uninstall.dat" -a uninstallme 23582B26-B064-4B3D-B62B-5131647D82DD DeviceId=7adc5aea-6609-d411-5208-55dca769bccd BarcodeId=51198003 ChannelId=3 DistributerName=APSFWakeNet
    Task: {44EEF291-2DAA-4E26-9DDE-7F33B426BEA0} - System32\Tasks\FastDataX Task => C:\Program Files (x86)\FastDataX\FastDataX.exe [2018-04-11] () <==== UWAGA
    Task: {469FDB0A-A03C-44E5-8814-E10857D07E25} - \Online Application V2G1 -> Brak pliku <==== UWAGA
    Task: {488CEFFC-BF04-4065-BA66-9490398EBF3A} - System32\Tasks\vIcJH3hFaMfe => vicjh3hfamfe.exe <==== UWAGA
    Task: {6E330427-6F67-42D4-AF74-BB3743242491} - \RunBoosterUpdateTask -> Brak pliku <==== UWAGA
    Task: {761658DF-8966-451B-8459-C32B2DA0C945} - \Online Application V2G6 -> Brak pliku <==== UWAGA
    Task: {8654C196-9B6A-45F9-AD27-9FA96F11531D} - System32\Tasks\System Healer Monitor => C:\Program Files (x86)\SystemHealer\HealerConsole.exe [2018-04-11] () <==== UWAGA
    Task: {90D60F0C-C23B-4B36-BB17-A4684507AA8C} - System32\Tasks\cmdsrv => C:\Browse\cmdsrvs.exe [2018-03-13] (Secrypt Inc.)
    Task: {96062B69-BC9C-47C8-AFA5-D0A8494600A2} - \Online Application V2G3 -> Brak pliku <==== UWAGA
    Task: {974DEE41-28F2-4A96-936E-D6EC3DBC4DAB} - System32\Tasks\FastDataX Task => C:\Program Files (x86)\FastDataX\FastDataX.exe [2018-04-11] () <==== UWAGA
    Task: {989CA6FB-0984-4596-8667-EBF78A55B7DF} - System32\Tasks\Browse => C:\Browse\Browse.exe [2018-04-07] (Web Browser)
    Task: {B0545B0D-0518-463D-A092-0B845FC13D2E} - \Online Application V2G4 -> Brak pliku <==== UWAGA
    Task: {B76495AF-3130-4754-BA8E-EB66ACCFE5AE} - System32\Tasks\System Healer Monitor => C:\Program Files (x86)\SystemHealer\HealerConsole.exe [2018-04-11] () <==== UWAGA




    Task: {BF441ED6-1DEB-46BC-B1EA-C8DF79611578} - \Online Application V2G2 -> Brak pliku <==== UWAGA
    Task: {C05E1A8A-F215-4698-B070-F4680B107874} - \Online Application V2G5 -> Brak pliku <==== UWAGA
    Task: {E852B309-4B3B-4731-A3E3-8853D6BD4E55} - \Updater_Online_Application -> Brak pliku <==== UWAGA
    Task: {FC4A1568-5AFA-492E-A0B0-8C86523C12EA} - System32\Tasks\KlgKDPyHEeVbjwqnEgK2 => rundll32 "C:\Program Files (x86)\IUpWUBcycmhgC\FvIcEcV.dll",#1
    Task: {FF2E2A68-E8C6-407E-9460-9192CED50493} - \ShadowsocksS -> Brak pliku <==== UWAGA
    Hosts:
    (Web Browser) C:\Browse\Browse.exe
    (Secrypt Inc.) C:\Browse\cmdsrvs.exe
    () C:\Program Files (x86)\laC\289784.exe
    (OY) C:\Program Files\METDTCHUEO\METDTCHUE.exe
    ( ) C:\Users\Daxx\AppData\Roaming\hisdbrdqbq4\umxiclri54c.exe
    () C:\Users\Daxx\AppData\Local\Temp\is-JL5RC.tmp\umxiclri54c.tmp
    ( ) C:\Users\Daxx\AppData\Roaming\5gqk50ushkv\1zcnjxs5ame.exe
    () C:\Users\Daxx\AppData\Local\Temp\is-TIRN4.tmp\1zcnjxs5ame.tmp
    (PandaViewer) C:\ProgramData\yahoochrome_D\desktop144.exe
    (OY) C:\Program Files\G2I02UNBR0\G2I02UNBR.exe
    (Secrypt Inc.) C:\Browse\cmdsrvs.exe
    (Web Browser) C:\Browse\Browse.exe
    HKLM\...\RunOnce: [l225jkno342] => C:\Program Files (x86)\laC\289784.exe [670208 2018-04-13] ()
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA
    HKU\S-1-5-21-213834135-2138171921-1763005970-1000\...\Run: [G3BJRAGROBL2LDS] => C:\Program Files\METDTCHUEO\METDTCHUE.exe [666624 2018-04-14] (OY)
    HKU\S-1-5-21-213834135-2138171921-1763005970-1000\...\Run: [7196246] => C:\Users\Daxx\AppData\Roaming\hisdbrdqbq4\umxiclri54c.exe [532168 2018-04-14] ( )
    HKU\S-1-5-21-213834135-2138171921-1763005970-1000\...\Run: [8515394] => C:\Users\Daxx\AppData\Roaming\5gqk50ushkv\1zcnjxs5ame.exe [532168 2018-04-14] ( )
    HKU\S-1-5-21-213834135-2138171921-1763005970-1000\...\Run: [QNE3ZBT2D7DGBI0] => C:\Program Files\G2I02UNBR0\G2I02UNBR.exe [666624 2018-04-14] (OY)
    HKU\S-1-5-21-213834135-2138171921-1763005970-1000\...\MountPoints2: {934627c9-2949-11e8-bcb6-806e6f6e6963} - E:\Run.exe
    ShellExecuteHooks: Brak nazwy - {BFD98515-CD74-48A4-98E2-13D209E3EE4F} - C:\Windows\system32\mcicda64.dll -> Brak pliku
    GroupPolicy: Ograniczenia - Windows Defender <==== UWAGA
    HKU\S-1-5-21-213834135-2138171921-1763005970-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%6...buwwH4kPz2FkN3EE6zUlvFJtHjieUxVGbZxcE,&q={searchTerms}
    HKU\S-1-5-21-213834135-2138171921-1763005970-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://%66%65%65%64.%68%65%6C%70%65%72%62%61...zVZfvcrBMMYoMjl5e5GvswEmkMUyQVB33bnue5vE2hSU,,
    HKU\S-1-5-21-213834135-2138171921-1763005970-1000\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://www.msn.com/pl-pl/?ocid=iehp
    SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL =
    SearchScopes: HKU\S-1-5-21-213834135-2138171921-1763005970-1000 -> DefaultScope {ielnksrch} URL =
    BHO: YoutubeAdBlock -> {C0D38E5A-7CF8-4105-8FE8-31B81443A114} -> C:\Program Files (x86)\oPjpQbAMIIE\tbnDDuA.dll [2018-04-14] ()
    BHO-x32: YoutubeAdBlock -> {C0D38E5A-7CF8-4105-8FE8-31B81443A114} -> C:\Program Files (x86)\oPjpQbAMIIE\k3GNNIq.dll [2018-04-14] ()
    FF user.js: detected! => C:\Users\Daxx\AppData\Roaming\Mozilla\Firefox\Profiles\wnwybo86.default\user.js [2017-06-30]
    C:\Users\Daxx\AppData\Roaming\Mozilla\Firefox\Profiles\wnwybo86.default\Extensions\143734@modext.tech.xpi
    FF Extension: (System Table) - C:\Users\Daxx\AppData\Roaming\Mozilla\Firefox\Profiles\wnwybo86.default\Extensions\143734@modext.tech.xpi [2018-03-01]
    FF Extension: (__MSG_appName__) - C:\Program Files\Mozilla Firefox\browser\features\{A5FD4672-4D73-4F90-A1C0-2ABD39DB2565}.xpi [2018-04-14] [Brak podpisu cyfrowego]
    C:\Program Files\Mozilla Firefox\browser\features\{A5FD4672-4D73-4F90-A1C0-2ABD39DB2565}.xpi
    CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx
    R2 saiyitechnology; C:\ProgramData\yahoochrome_D\desktop144.exe [512312 2018-03-07] (PandaViewer)
    S2 vIcJH3hFaMfe Updater; C:\Program Files (x86)\vIcJH3hFaMfe Updater\vIcJH3hFaMfe Updater.exe [X]
    S3 gdrv; \??\C:\Windows\gdrv.sys [X]
    S3 VGPU; System32\drivers\rdvgkmd.sys [X]
    2018-04-14 23:21 - 2018-04-14 23:21 - 000011568 _____ C:\Users\Daxx\AppData\Local\InstallationConfiguration.xml
    2018-04-14 23:21 - 2018-04-14 23:21 - 000003578 _____ C:\Windows\System32\Tasks\{9BCAB01F-8085-4F1E-8EE9-FAA0E7727EA4}
    2018-04-14 23:21 - 2018-04-14 23:21 - 000002872 _____ C:\Windows\System32\Tasks\XeRTeJCMKPYXWyYqW2
    2018-04-14 23:21 - 2018-04-14 23:21 - 000002860 _____ C:\Windows\System32\Tasks\KlgKDPyHEeVbjwqnEgK2
    2018-04-14 23:21 - 2018-04-14 23:21 - 000000000 ____D C:\Program Files (x86)\VjljmRaTOaUn
    2018-04-14 23:21 - 2018-04-14 23:21 - 000000000 ____D C:\Program Files (x86)\oPjpQbAMIIE
    2018-04-14 23:21 - 2018-04-14 23:21 - 000000000 ____D C:\Program Files (x86)\muZPPgwvU
    2018-04-14 23:21 - 2018-04-14 23:21 - 000000000 ____D C:\Program Files (x86)\IUpWUBcycmhgC
    2018-04-14 23:21 - 2018-04-14 23:21 - 000000000 ____D C:\Program Files (x86)\GYHHaWMnbkQU2
    2018-04-14 23:21 - 2018-04-14 23:21 - 000000000 ____D C:\Program Files (x86)\FpyEWGzDFWVVpLycIFR
    2018-04-14 23:20 - 2018-04-14 23:20 - 000003566 _____ C:\Windows\System32\Tasks\FastDataX Task
    2018-04-14 23:20 - 2018-04-14 23:20 - 000003312 _____ C:\Windows\System32\Tasks\System Healer Monitor
    2018-04-14 23:20 - 2018-04-14 23:20 - 000000974 _____ C:\Users\Daxx\Desktop\Launch System Healer.lnk
    2018-04-14 23:20 - 2018-04-14 23:20 - 000000000 ____D C:\Users\Daxx\AppData\Roaming\System Healer
    2018-04-14 23:20 - 2018-04-14 23:20 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\System Healer
    2018-04-14 23:20 - 2018-04-14 23:20 - 000000000 ____D C:\ProgramData\97f29a35-8705-47de-97b4-45277a5a7676
    2018-04-14 23:20 - 2018-04-14 23:20 - 000000000 ____D C:\ProgramData\5ef56cd9-83de-4b9a-9c95-e64c97565d3e
    2018-04-14 23:20 - 2018-04-14 23:20 - 000000000 ____D C:\Program Files (x86)\SystemHealer
    2018-04-14 23:20 - 2018-04-14 23:20 - 000000000 ____D C:\Program Files (x86)\FastDataX
    2018-04-14 23:19 - 2018-04-14 23:20 - 000000000 ____D C:\ProgramData\yahoochrome_D
    2018-04-14 23:19 - 2018-04-14 23:20 - 000000000 ____D C:\Program Files\G2I02UNBR0
    2018-04-14 23:19 - 2018-04-14 23:19 - 000000000 ____D C:\Users\Daxx\AppData\Roaming\SystemHealer
    2018-04-14 23:19 - 2018-04-14 23:19 - 000000000 ____D C:\Users\Daxx\AppData\Roaming\FastDataX
    2018-04-14 23:19 - 2018-04-14 23:19 - 000000000 ____D C:\Users\Daxx\AppData\Roaming\5gqk50ushkv
    2018-04-14 23:16 - 2018-04-14 23:17 - 000000000 ____D C:\AdwCleaner
    2018-04-14 22:59 - 2018-04-14 23:21 - 000003060 _____ C:\Windows\System32\Tasks\KlAEYQtzmHgics
    2018-04-14 22:58 - 2018-04-14 22:58 - 000000000 ____D C:\Program Files\My Program
    2018-04-14 22:55 - 2018-04-14 22:56 - 000000000 ____D C:\Program Files\METDTCHUEO
    2018-04-14 22:55 - 2018-04-14 22:55 - 000000000 ____D C:\Users\Daxx\AppData\Roaming\hisdbrdqbq4
    2018-04-14 22:54 - 2018-04-14 23:21 - 000002850 _____ C:\Windows\System32\Tasks\xRZOrQVCBWPMscb2
    2018-04-14 22:54 - 2018-04-14 23:03 - 000000000 ____D C:\Applications
    2018-04-14 22:54 - 2018-04-14 22:54 - 000021526 _____ C:\Windows\System32\Tasks\vIcJH3hFaMfe
    2018-04-14 22:54 - 2018-04-14 22:54 - 000003228 _____ C:\Windows\System32\Tasks\cmdsrv
    2018-04-14 22:54 - 2018-04-14 22:54 - 000003226 _____ C:\Windows\System32\Tasks\Browse
    2018-04-14 22:54 - 2018-04-14 22:54 - 000003136 __RSH C:\ProgramData\ntuser.pol
    2018-04-14 22:54 - 2018-04-14 22:54 - 000000000 ____D C:\WinSys
    2018-04-14 22:54 - 2018-04-14 22:54 - 000000000 ____D C:\Program Files (x86)\vIcJH3hFaMfe
    2018-04-14 22:54 - 2018-04-14 22:54 - 000000000 ____D C:\Program Files (x86)\laC
    2018-04-14 22:54 - 2018-04-14 22:54 - 000000000 ____D C:\Browse
    2018-04-14 22:53 - 2018-04-14 22:53 - 007601152 _____ C:\Users\Daxx\AppData\Local\agent.dat
    2018-04-14 22:53 - 2018-04-14 22:53 - 001986625 _____ C:\Users\Daxx\AppData\Local\ReHold.tst
    2018-04-14 22:53 - 2018-04-14 22:53 - 001895381 _____ C:\Users\Daxx\AppData\Local\Zoolab.bin
    2018-04-14 22:53 - 2018-04-14 22:53 - 000278510 _____ C:\Users\Daxx\AppData\Local\Duodax.tst
    2018-04-14 22:53 - 2018-04-14 22:53 - 000126464 _____ C:\Users\Daxx\AppData\Local\noah.dat
    2018-04-14 22:53 - 2018-04-14 22:53 - 000070896 _____ C:\Users\Daxx\AppData\Local\Config.xml
    2018-04-14 22:53 - 2018-04-14 22:53 - 000005568 _____ C:\Users\Daxx\AppData\Local\md.xml
    2018-04-14 22:53 - 2018-04-14 22:52 - 001814528 _____ (TODO: <Company name>) C:\Users\Daxx\AppData\Local\ReHold.exe
    2018-04-14 22:53 - 2018-04-14 22:52 - 001814528 _____ (TODO: <Company name>) C:\Users\Daxx\AppData\Local\Duodax.exe
    2018-04-14 22:52 - 2018-04-14 23:21 - 000929792 _____ C:\Users\Daxx\AppData\Local\sham.db
    2018-04-14 22:52 - 2018-04-14 22:52 - 000140800 _____ C:\Users\Daxx\AppData\Local\installer.dat
    2018-04-14 22:53 - 2018-04-14 22:53 - 007601152 _____ () C:\Users\Daxx\AppData\Local\agent.dat
    2018-04-14 22:53 - 2018-04-14 22:53 - 000070896 _____ () C:\Users\Daxx\AppData\Local\Config.xml
    2018-04-14 22:53 - 2018-04-14 22:52 - 001814528 _____ (TODO: <Company name>) C:\Users\Daxx\AppData\Local\Duodax.exe
    2018-04-14 22:53 - 2018-04-14 22:53 - 000278510 _____ () C:\Users\Daxx\AppData\Local\Duodax.tst
    2018-04-14 23:21 - 2018-04-14 23:21 - 000011568 _____ () C:\Users\Daxx\AppData\Local\InstallationConfiguration.xml
    2018-04-14 22:52 - 2018-04-14 22:52 - 000140800 _____ () C:\Users\Daxx\AppData\Local\installer.dat
    2018-04-14 22:53 - 2018-04-14 22:53 - 000005568 _____ () C:\Users\Daxx\AppData\Local\md.xml
    2018-04-14 22:53 - 2018-04-14 22:53 - 000126464 _____ () C:\Users\Daxx\AppData\Local\noah.dat
    2018-04-14 22:53 - 2018-04-14 22:52 - 001814528 _____ (TODO: <Company name>) C:\Users\Daxx\AppData\Local\ReHold.exe
    2018-04-14 22:53 - 2018-04-14 22:53 - 001986625 _____ () C:\Users\Daxx\AppData\Local\ReHold.tst
    2018-04-14 22:52 - 2018-04-14 23:21 - 000929792 _____ () C:\Users\Daxx\AppData\Local\sham.db
    2018-04-14 22:53 - 2018-04-14 22:53 - 000032038 _____ () C:\Users\Daxx\AppData\Local\uninstall_temp.ico
    2018-04-14 22:53 - 2018-04-14 22:53 - 001895381 _____ () C:\Users\Daxx\AppData\Local\Zoolab.bin

    Zrob pelny skan przy pomocy Mbam i usun to co wykryje:
    http://www.bleepingcomputer.com/download/malwarebytes-anti-malware/

    Zamiesc nowe logi z FRST, ze skanowania po wykonaniu tego co podalem.

    0
  • #3 15 Kwi 2018 01:27
    Daxxx
    Poziom 5  

    Zrobiłem wszystkie podane przez Ciebie kroki, na pierwszy rzut oka wygląda na to że adware znikło. Dziękuję bardzo za rozwiązanie mojego problemu :)
    W załączniku przesyłam log:

    0
  • Pomocny post
    #4 15 Kwi 2018 02:33
    dt1
    Moderator - Komputery Serwis

    Daxxx napisał:
    Zamiesc nowe logi z FRST, ze skanowania po wykonaniu tego co podalem.


    Wykonaj jeszcze raz skanowanie w FRST, zamieść nowe logi - aby można było sprawdzić, czy wszystko na pewno zostało usunięte. Sam fixlog nie zawiera takich informacji.

    0
  • Pomocny post
    #6 15 Kwi 2018 14:06
    dt1
    Moderator - Komputery Serwis

    Wygląda dobrze. Nie widać oznak infekcji.

    0
  • Pomocny post
    #7 15 Kwi 2018 14:30
    Kolobos
    Spec od komputerów

    Usun katalog C:\FRST i to wszystko.

    0
  • #8 15 Kwi 2018 14:57
    Daxxx
    Poziom 5  

    Okej, dziękuję bardzo za pomoc w rozwiązaniu problemu :)

    0