Azjatyckie strony po włączeniu komputera

[tupek26]

Witam, proszę o sprawdzenie logów. Po zainstalowaniu programu doinstalował się dodatkowo jeszcze jeden, którego nazwy nie pamiętam, bo usunąłem go odrazu po instalacji. Problem z wyskakującymi azjatyckimi stronami tuż po stracie systemu i przy późniejszym używaniu przeglądarki.

 

http://wklej.org/id/3073688/

http://wklej.org/id/3073698/

http://wklej.org/id/3073701/

[Miszel03]

System jest intensywnie zainfekowany, nie będę owijał w bawełnę - jest dramat. I to jest właśnie skutek nie posiadania zewnętrznego oprogramowania antywirusowego przez niedoświadczonego użytkownika na Windows 10.

Od razu przechodzimy do działań, ale przedtem poczytaj: KLIK.

1. Włącz przywracanie systemu.

2. Przez panel sterowania odinstaluj:

• IzO1FHinrqLy Updater version 1.2.0.4
• RunBooster
• VidsqaurE

Następnie spróbuj alternatywą metodą odinstalować (uruchamiając pliki o nazwie zbliżonej do uninstall.exe) z poziomu niżej wymienionych folderów.

• C:\Program Files\żěŃą
• C:\Program Files (x86)\IzO1FHinrqLy Updater
• C:\Program Files (x86)\UCBrowser

3. Otwórz Notatnik w nim wklej:
 

CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-1070418328-2864983831-1580514669-1001\...\Run: [msiql] => C:\Users\Renata\AppData\Local\Temp\00004329\msiql.exe [2072064 2017-03-20] () HKU\S-1-5-18\...\Run: [] => [X]
ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} => C:\Program Files\żěŃą\X64\KZipShell.dll -> Brak pliku
RemoveDirectory: C:\Program Files\żěŃą
SearchScopes: HKU\S-1-5-21-1070418328-2864983831-1580514669-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-21-1070418328-2864983831-1580514669-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
R2 GoogleChromeUpService; C:\ProgramData\service.exe [1620992 2017-03-20] () [brak podpisu cyfrowego] S2 IzO1FHinrqLy Updater; C:\Program Files (x86)\IzO1FHinrqLy Updater\IzO1FHinrqLy Updater.exe [X]
S2 KuaizipUpdateChecker; C:\Program Files\żěŃą\X86\kuaizipUpdateChecker.dll [X]
S4 mccspsvc; "C:\Program Files\Common Files\McAfee\CSP\2.3.290.0\\McCSPServiceHost.exe" [X]
RemoveDirectory: C:\Program Files (x86)\IzO1FHinrqLy Updater
R1 ucdrv; C:\Program Files (x86)\UCBrowser\Security:ucdrv-x64.sys [25444 ] (UC Web Inc.) RemoveDirectory: C:\Program Files (x86)\UCBrowser
S3 dbx; system32\DRIVERS\dbx.sys [X]
S3 e1edc438-f640-4184-a443-d2a7c37a01dc; \??\C:\OA30\690b33e1-0462-4e84-9bea-c7552b45432a.sys [X]
C:\Users\Renata\AppData\Local\Temp\00004329\msiql.exe
C:\ProgramData\service.exe
Task: {4F3AC16B-7D0F-4166-ACDB-F97F96A10D8E} - System32\Tasks\KuaiZip_Update => C:\PROGRA~1\88D7~1\X86\Update.exe Task: {6967DF58-4D02-446B-9A6E-16A58EAF9EC0} - System32\Tasks\osTip => Chrome.exe Task: {9D99AF45-CF4F-47BC-B497-2915BA97DFC5} - System32\Tasks\PPI Update => C:\WINDOWS\explorer.exe "hxxp://insightcdn.online/download/index.php?mn=9995" Task: {AA7F380A-FB80-4BF5-94B2-549DC41573B3} - System32\Tasks\IzO1FHinrqLy => izo1fhinrqly.exe
Task: {C02BF5A5-57A1-4657-B33B-A9C5546ACD40} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> Brak pliku Task: {E49FB2D1-E3C3-44EC-B5D2-581C99439D11} - System32\Tasks\UCBrowserUpdaterCore => C:\Program Files (x86)\UCBrowser\Application\update_task.exe [2017-03-07] (UCWeb Inc) Task: {F26E6187-488F-4820-B70B-5FE38FFE9BCC} - System32\Tasks\UCBrowserUpdater => C:\Program Files (x86)\UCBrowser\Application\update_task.exe [2017-03-07] (UCWeb Inc) Task: {F2CF466B-8DED-43FE-A4B3-11B4D6AE49CB} - System32\Tasks\UCBrowserSecureUpdater => C:\Program Files (x86)\UCBrowser\Security\uclauncher.exe [2017-03-20] (UC Web Inc.) Task: C:\WINDOWS\Tasks\UCBrowserUpdater.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe Task: C:\WINDOWS\Tasks\UCBrowserUpdaterCore.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe WMI_ActiveScriptEventConsumer_ASEC: ShortcutWithArgument: C:\Users\Renata\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Renata\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/
ShortcutWithArgument: C:\Users\Renata\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Renata\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/
ShortcutWithArgument: C:\Users\Renata\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Renata\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/
AlternateDataStreams: C:\WINDOWS\system32\drivers:ucdrv-x64.sys [25444]
AlternateDataStreams: C:\WINDOWS\system32\drivers:x64 [1498914]
AlternateDataStreams: C:\WINDOWS\system32\drivers:x86 [1223458]
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Renata\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/
ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Renata\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/
FirewallRules: [{44AE9C5E-4AC8-40E2-9EE4-BC9F024717F3}] => (Allow) C:\Program Files (x86)\UCBrowser\Application\UCBrowser.exe
FirewallRules: [{CE9F2E19-AD6E-4F46-9F11-4DFC80F0F5E8}] => (Allow) C:\Program Files (x86)\UCBrowser\Application\Downloader\download\MiniThunderPlatform.exe
FirewallRules: [{B489D72E-CA36-4297-B6AF-0D31CFB44FBA}] => (Allow) C:\Program Files (x86)\UCBrowser\Application\UCBrowser.exe
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\Users\Renata\AppData\Local\Mozilla
C:\Users\Renata\AppData\Roaming\Mozilla
C:\Users\Renata\AppData\Roaming\Profiles
C:\Users\Renata\AppData\Roaming\Microsoft\Word\Dane%20członków%20założycieli305818943092029224\Dane%20członków%20założycieli.doc.lnk
C:\Users\Renata\AppData\Roaming\Microsoft\Windows\Start Menu\żěŃą.lnk
Traffic Exchange (x32 Version: 2.1.0 - Microleaves) Hidden EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 
Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

4. Ochronny wpis szkodliwego programu po pkt. 2 powinien być ubity, dlatego odinstaluj: Traffic Exchange.

5. Wyczyść przeglądarkę Google Chrome.

• Zresetuj synchronizację (o ile włączona): KLIK.
• Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia.
• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
• Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google.

6. Pobierz AdwCleaner uruchom go i kliknij Skanuj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner Raport zaprezentuj na forum.

7. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.