Skocz do zawartości
imusewindows

Po infekcji min. ProxyHijacker, Pup.Optional.TorrentSearch, QQPCMgr oraz inne

Rekomendowane odpowiedzi

Dobry wieczór, po wykryciu podejrzanych produktów Tencent, które zainstalowały się wbrew mojej woli, przeskanowałem system programami Malwarebytes Anti-Malware oraz AdwCleaner oba programy wykryły złośliwe oprogramowane które rzekomo usunęły, jednak MS Egde miał nadal zmienioną stronę startową. Stąd mój niepokój czy aby na pewno system jest wolny od złośliwego oprogramowania. Załączam obowiązkowe logi. Bardzo proszę o ich przeanalizowanie. 

FRST.txt

Addition.txt

gmer.txt

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Widzę tylko drobne szczątki adware Tencent. Zadam też reset ustawień Edge. Akcja:

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\Protected - It is a violation of Windows Policy to modify. See aka.ms/browserpolicy" /v ProtectedHomepages /f
Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\Protected - It is a violation of Windows Policy to modify. See aka.ms/browserpolicy" /v ProtectedSearchScopes /f
Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\OpenSearch" /f
S1 TSDefenseBt; \??\C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17339.217\TSDefenseBT64.sys [X]
S2 tsnethlpx64; \??\C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17339.217\TsNetHlpX64.sys [X]
ShellIconOverlayIdentifiers: [.QMDeskTopGCIcon] -> {B7667919-3765-4815-A66D-98A09BE662D6} => Brak pliku
Task: {1C88472F-7AE8-4148-BE6D-FC4B0C696599} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku 
Task: {26589765-2AC6-47BE-806C-E798EB64C4FA} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku 
Task: {2E62F1F4-4CB0-4ADC-B4E2-1F66548D749F} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku 
Task: {3116CDEE-6163-490C-8557-7A415BD86EA5} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku 
Task: {40943A3C-838D-4C74-9E91-80B54CB9C424} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku 
Task: {49AFB004-2C12-4AD8-82E5-22489CFBA1D0} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku 
Task: {5DE58182-FA5F-43EC-8AB8-5E4378C48412} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku 
Task: {70E81956-0A4D-4A41-AE31-6F800A27C96A} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku 
Task: {9C1DDC58-DF39-44F1-9958-0547779CABFA} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku 
Task: {ADAB1B1B-2CD6-4DD3-A0AC-CA2C90E8BE7E} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku 
Task: {D8A9AC46-2C32-4FA0-8ECD-A1C39722D31F} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku 
FF HKLM-x32\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF
CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChromeSp.crx [2016-03-01]
ManualProxies:
C:\Program Files (x86)\Tencent
C:\ProgramData\Tencent
C:\ProgramData\TXQMPC
C:\Users\HP\AppData\Roaming\Tencent
C:\WINDOWS\system32\Drivers\TAOKernelEx64.sys
C:\WINDOWS\system32\Drivers\TFsFltX64.sys
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw ten plik. Potwierdź też, że w Edge przestały się ładować niepożądane strony.

 

2. Uruchom FRST, w polu Szukaj wklej co poniżej i klik w Szukaj w rejestrze. Dostarcz wynikowy log.

 

QQPCMgr;Tencent

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Fix pomyślnie wykonany. Kolejne poprawki na wyniki wyszukiwania w rejestrze. Otwórz Notatnik i wklej w nim:

 

DeleteKey: HKLM\SOFTWARE\Classes\.qbox
DeleteKey: HKLM\SOFTWARE\Classes\qmbfile
DeleteKey: HKLM\SOFTWARE\Classes\qpakfile
DeleteKey: HKLM\SOFTWARE\Classes\QQPCMgr.qbox
DeleteKey: HKLM\SOFTWARE\Classes\TypeLib\{445E3964-15B0-472A-95F4-6242DD2EA066}
DeleteKey: HKLM\SOFTWARE\Classes\TypeLib\{C049F583-D724-4BAB-8F47-F13BCA41B808}
DeleteKey: HKLM\SOFTWARE\Classes\WOW6432Node\TypeLib\{35627C7C-DB28-4772-9A6F-7607FFCBF9FF}
DeleteKey: HKLM\SOFTWARE\Classes\WOW6432Node\TypeLib\{593BE60A-1C6A-44F9-946D-A5EAB2D53511}
DeleteKey: HKLM\SOFTWARE\Classes\WOW6432Node\TypeLib\{DA624F8F-98BF-4B03-AD11-A12D07119E81}
DeleteKey: HKLM\SOFTWARE\WOW6432Node\Google\Chrome\NativeMessagingHosts\com.qq.qmchext
DeleteKey: HKLM\SOFTWARE\WOW6432Node\Tencent
DeleteKey: HKU\S-1-5-21-957152668-3480208630-3226306878-1002\SOFTWARE\Classes\VirtualStore\MACHINE\SOFTWARE\Wow6432Node\Tencent
DeleteKey: HKU\S-1-5-21-957152668-3480208630-3226306878-1002\SOFTWARE\Tencent
Reg: reg delete HKU\S-1-5-21-957152668-3480208630-3226306878-1002\SOFTWARE\Microsoft\Windows\CurrentVersion\UFH\SHC /v 0 /f
RemoveDirectory: C:\AdwCleaner
RemoveDirectory: C:\FRST\Quarantine

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.

 

I jakoś przeoczyłam, że nie podałeś pliku FRST Shortcut. Dorzuć go.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Chodziło tylko o dostarczenie brakującego pliku Shortcut, FRST.txt zbędny i usuwam. Fix pomyślnie wykonany. Na koniec:

 

Usuń ręcznie FRST z "Nowy folder (2)" na Pulpicie. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.

  • Ostatnio przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników przeglądających tę stronę.

×
×
  • Dodaj nową pozycję...