bsdrivers i cherimoya - pomocy

[TrocheZielony]

Starałem się jak mogłem ale poległem, jednakże mam nadzieję że pomożecie.
Wszystko zaczęło się gdy braciszek chciał pograć w coś i pobrał z nieznanej strony gierkę. Wraz z grą była hmm niespodzianka jeśli można to tak nazwać. Pojawił się chiński antywirus, tak jak kilka tematów niżej, oraz tak zwany porywacz przeglądarek "yeabests.cc" a na dodatek podczas uruchamiania kompa wyświetlał się błąd "RunDLL".
Antywirka pokonałem, błąd również już się nie pojawia. Jednakże został problem z bsdrivers i cheriomya. Nie potrafię się tego pozbyć jak i również niepożądanej strony startowej w przeglądarce. Mój antywirus NOD32 nie dał rady, wspomogłem się programami ADWCleaner i SUPERAAntiSpyware również bez sukcesu.
Proszę o pomoc i szczegółową instrukcję..

 

Wrzucam świeże logi.

GMER.txt

FRST.txt

Addition.txt

Shortcut.txt

[picasso]

Jest tu także m.in. infekcja DNS (zmodyfikowane pliki Windows dnsapi oraz serwery DNS), szkodliwe proxy, zmodyfikowane skróty LNK przeglądarek. Do wykonania następujące działania:

 

1. Zastosuj narzędzie RepairDNS. Na Pulpicie powstanie plik RepairDNS.txt.

 

2. Klawisz z flagą Windows + X > Połączenia sieciowe > w folderze połączeń prawoklik na każde połączenie po kolei > Właściwości > zmień adresy DNS wg instrukcji: KLIK.

 

3. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
CMD: fltmc detach bsdriver c: bsdriver
S2 Dhrelrer; "C:\Users\Szymon\AppData\Roaming\Rikfootov\Rikfootov.exe" -cms [X]
S2 Eruvwee; "C:\Users\Szymon\AppData\Roaming\LaexuGegobog\Reloace.exe" -cms [X]
S2 GoogleChromeUpSvc; C:\ProgramData\Windows Update\svrupg.exe /s GoogleChromeUpSvc /uid:51490 /local:br [X]
R1 bsdriver; C:\WINDOWS\system32\drivers\bsdriver.sys [34720 2016-04-22] ()
R1 UCGuard; C:\Windows\System32\DRIVERS\ucguard.sys [80768 2016-04-13] (Huorong Borui (Beijing) Technology Co., Ltd.)
U3 idsvc; Brak ImagePath
HKLM-x32\...\Run: [apphide] => C:\Program Files (x86)\badu\uc.exe
HKU\S-1-5-21-4276424981-2713209067-288409091-1000\...\Run: [apphide] => C:\Program Files (x86)\badu\uc.exe
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\QQPCRTP => ""="service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\QQPCRTP => ""="service"
Task: {05C3600C-40EC-4E63-9A5F-2105F98D9B7C} - System32\Tasks\Microsoft\Windows\Media Center\UpdateRecordPath => C:\Windows\ehome\ehPrivJob.exe
Task: {06F04607-BEF3-49C1-8CEC-D28E2865CBEE} - System32\Tasks\Microsoft\Windows\Media Center\ehDRMInit => C:\Windows\ehome\ehPrivJob.exe
Task: {17CE9C82-49AF-4C53-AD91-69E85D5D3B5F} - System32\Tasks\Microsoft\Windows\Media Center\ActivateWindowsSearch => C:\Windows\ehome\ehPrivJob.exe
Task: {315CC409-90DB-4AAB-940A-055383D449CD} - System32\Tasks\Uwewbiut => C:\PROGRA~1\Kajajugt\Eiomu.bat 
Task: {375AB520-D0BD-4F25-8066-0D276CCE3B1B} - System32\Tasks\Microsoft\Windows\Media Center\OCURActivate => C:\Windows\ehome\ehPrivJob.exe
Task: {38ACE4A9-F5C4-4F2D-BBA7-77CE0D4A2C13} - System32\Tasks\Microsoft\Windows\Media Center\PvrRecoveryTask => C:\Windows\ehome\mcupdate.exe
Task: {47C8E20E-722F-4192-B6CC-CAE54108152F} - System32\Tasks\Microsoft\Windows\Media Center\RegisterSearch => C:\Windows\ehome\ehPrivJob.exe
Task: {4BA4A0DB-FC09-4A23-A51E-DF348FC06427} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate_scheduled => C:\Windows\ehome\mcupdate.exe
Task: {533D014E-7401-45B0-AFCF-B4745737BAF4} - System32\Tasks\{09B6534A-E643-43AA-8FC4-53515065EFFB} => pcalua.exe -a C:\Users\Szymon\Desktop\lan.exe -d C:\Users\Szymon\Desktop
Task: {53EEFA49-BDEA-4B34-8EA9-16035B9559AD} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscovery => C:\Windows\ehome\ehPrivJob.exe
Task: {6AD6E28B-DEE8-4F9C-A812-C94EBE95C5FE} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW2 => C:\Windows\ehome\ehPrivJob.exe
Task: {70DAA573-D6D9-4085-978B-526796BE8BF0} - System32\Tasks\{24698712-5384-45EA-B144-B7B90FFE497F} => pcalua.exe -a "C:\Program Files (x86)\CleanBrowser\uninstall.exe" -c /uninstall
Task: {76694CB5-F0BE-4A30-A2DA-0CED42C4B3C4} - System32\Tasks\Microsoft\Windows\Media Center\StartRecording => C:\Windows\ehome\ehrec.exe
Task: {77F0CA31-1D3F-4B21-9724-62005C21BE02} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate => C:\Windows\ehome\mcupdate.exe
Task: {7AE0A934-88EF-4BAE-9FFD-1EDAD36BCFF7} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW1 => C:\Windows\ehome\ehPrivJob.exe
Task: {7C642C6E-875A-41A6-A06B-B88C11C6E328} - System32\Tasks\Microsoft\Windows\Media Center\ObjectStoreRecoveryTask => C:\Windows\ehome\mcupdate.exe
Task: {7E989495-7D7F-4DCC-94F9-15868417E469} - System32\Tasks\Microsoft\Windows\Media Center\ReindexSearchRoot => C:\Windows\ehome\ehPrivJob.exe
Task: {820A1FEC-645D-4F32-9770-5779725ED0D4} - System32\Tasks\{4F06C048-A53C-4368-8C98-A1A003A76C1D} => pcalua.exe -a "C:\Program Files (x86)\Common Files\QuoLex\uninstall.exe" -c shuz -f "C:\Program Files (x86)\Common Files\QuoLex\uninstall.dat" -a uninstallme 858994B3-EC67-4B59-A854-860E92ED4256 DeviceId=d0601d40-484b-6a4c-1bb7-9b55d2e076ef BarcodeId=51129011 ChannelId=11 DistributerName=APSFSWAds
Task: {8D312885-289B-4A98-A0A6-81DD3BC27FD8} - System32\Tasks\Microsoft\Windows\Media Center\InstallPlayReady => C:\Windows\ehome\ehPrivJob.exe
Task: {8EA848ED-229A-4F56-BC52-0E0CCD64845C} - System32\Tasks\Microsoft\Windows\Media Center\OCURDiscovery => C:\Windows\ehome\ehPrivJob.exe
Task: {8EF30688-F407-4FCA-9A53-CD9F276456C8} - System32\Tasks\Microsoft\Windows\Media Center\MediaCenterRecoveryTask => C:\Windows\ehome\mcupdate.exe
Task: {B8EDD047-1D5C-4FF8-81A4-88A482C0BEFA} - System32\Tasks\Microsoft\Windows\Media Center\SqlLiteRecoveryTask => C:\Windows\ehome\mcupdate.exe
Task: {BE72A21A-3886-4D8D-AA6E-F14415F58F31} - System32\Tasks\Microsoft\Windows\Media Center\DispatchRecoveryTasks => C:\Windows\ehome\ehPrivJob.exe
Task: {E4AE84F3-6EEF-44AB-922B-6E44A3605B75} - System32\Tasks\Microsoft\Windows\Media Center\ConfigureInternetTimeService => C:\Windows\ehome\ehPrivJob.exe
Task: {F3FA61AE-D7B8-4235-A979-445BA9E3095F} - System32\Tasks\Microsoft\Windows\Media Center\PvrScheduleTask => C:\Windows\ehome\mcupdate.exe
Task: {F4A227C4-73BA-4C28-AD53-3F2061D5B5EE} - System32\Tasks\Redywo => C:\PROGRA~1\Ekeh\Uosietta.bat 
ShortcutWithArgument: C:\Users\Szymon\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Users\Szymon\AppData\Local\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://yeabests.cc
ShortcutWithArgument: C:\Users\Szymon\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> "hxxp://trustedsurf.com/?ssid=1461330738&a=1053638&src=sh&uuid=c332399b-d8a0-4ac9-b89e-fdbfe0b0dab8"
ShortcutWithArgument: C:\Users\Szymon\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Users\Szymon\AppData\Local\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://yeabests.cc
ShortcutWithArgument: C:\Users\Szymon\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\chrome — skrót .lnk -> C:\Users\Szymon\AppData\Local\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://yeabests.cc
ShortcutWithArgument: C:\Users\Szymon\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://yeabests.cc
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://yeabests.cc
ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://yeabests.cc
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.2345.com/?34838
HKU\S-1-5-21-4276424981-2713209067-288409091-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBVRmzv2pJwNObeR_98Utx3C8ptCda34oDH3J6AA-hDRarDB3CVACuk0KVb1jT58tvXgYoxdmZM7aofMJRFp81ohoFw6j3CdQy7XOvnL6109Zhn43SbDXQ9MCKEAA08Yr734ywKfUil5tRy9cZ0O70ZM5FFOtBvkdPdscp8KN7CEKdvkFChK2zL&q={searchTerms}
HKU\S-1-5-21-4276424981-2713209067-288409091-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.2345.com/?34838
HKU\S-1-5-21-4276424981-2713209067-288409091-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBVRmzv2pJwNObeR_98Utx3C8ptCda34oDH3J6AA-hDRarDB3CVACuk0KVb1jT58tvXgYoxdmZM7aofMJRFp81ohoFw6j3CdQy7XOvnL6109Zhn43SbDXQ9MCKEAA08Yr734ywKfUil5tRy9cZ0O70ZM5FFOtBvkdPdscp8KN7CEKdvkFChK2zL&q={searchTerms}
HKU\S-1-5-21-4276424981-2713209067-288409091-1000\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBVRmzv2pJwNObeR_98Utx3C8ptCda34oDH3J6AA-hDRarDB3CVACuk0KVb1jT58tvXgYoxdmZM7aofMJRFp81ohoFw6j3CdQy7XOvnL6109Zhn43SbDXQ9MCKEAA08Yr734ywKfUil5tRy9cZ0O70ZM5FFOtBvkdPdscp8KN7CEKdvkFChK2zL&q={searchTerms}
SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL =
SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBVRmzv2pJwNObeR_98Utx3C8ptCda34oDH3J6AA-hDRarDB3CVACuk0KVb1jT58tvXgYoxdmZM7aofMJRFp81ohoFw6j3CdQy7XOvnL6109Zhn43SbDXQ9MCKEAA08Yr734ywKfUil5tRy9cZ0O70ZM5FFOtBvkdPdscp8KN7CEKdvkFChK2zL&q={searchTerms}
SearchScopes: HKU\S-1-5-21-4276424981-2713209067-288409091-1000 -> DefaultScope {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBVRmzv2pJwNObeR_98Utx3C8ptCda34oDH3J6AA-hDRarDB3CVACuk0KVb1jT58tvXgYoxdmZM7aofMJRFp81ohoFw6j3CdQy7XOvnL6109Zhn43SbDXQ9MCKEAA08Yr734ywKfUil5tRy9cZ0O70ZM5FFOtBvkdPdscp8KN7CEKdvkFChK2zL&q={searchTerms}
SearchScopes: HKU\S-1-5-21-4276424981-2713209067-288409091-1000 -> {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBVRmzv2pJwNObeR_98Utx3C8ptCda34oDH3J6AA-hDRarDB3CVACuk0KVb1jT58tvXgYoxdmZM7aofMJRFp81ohoFw6j3CdQy7XOvnL6109Zhn43SbDXQ9MCKEAA08Yr734ywKfUil5tRy9cZ0O70ZM5FFOtBvkdPdscp8KN7CEKdvkFChK2zL&q={searchTerms}
BHO-x32: Cash Kitten -> {9ea7bd36-2d13-4df3-837f-7ac273765e7d} -> Brak pliku
CHR HomePage: Default -> search.mpc.am
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Media Center
C:\Program Files (x86)\badu
C:\Program Files (x86)\osTip
C:\Program Files (x86)\UCBrowser
C:\ProgramData\hp.exe
C:\ProgramData\webad.xml
C:\ProgramData\AVG
C:\ProgramData\Holdtams
C:\ProgramData\Thunder Network
C:\ProgramData\Windows Update
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\K-Lite Codec Pack\Configuration\madVR.lnk
C:\uninst
C:\Users\Public\Thunder Network
C:\Users\Szymon\AppData\Local\app
C:\Users\Szymon\AppData\Local\Avg
C:\Users\Szymon\AppData\Local\Tempfolder
C:\Users\Szymon\AppData\Local\UCBrowser
C:\Users\Szymon\AppData\Local\Yeaplayer
C:\Users\Szymon\AppData\LocalLow\Company
C:\Users\Szymon\AppData\Roaming\*.*
C:\Users\Szymon\AppData\Roaming\gplyra
C:\Users\Szymon\AppData\Roaming\LaexuGegobog
C:\Users\Szymon\AppData\Roaming\Macromedia
C:\Users\Szymon\AppData\Roaming\MCorp
C:\Users\Szymon\AppData\Roaming\Rikfootov
C:\Users\Szymon\AppData\Roaming\Tueasjey
C:\Users\Szymon\AppData\Roaming\UPUpdata
C:\Users\Szymon\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器
C:\Windows\ehome
C:\WINDOWS\system32\fufj
C:\WINDOWS\system32\ire
C:\WINDOWS\system32\jevy
C:\WINDOWS\system32\kam
C:\WINDOWS\system32\kin
C:\WINDOWS\system32\kokd
C:\WINDOWS\system32\lew
C:\WINDOWS\system32\pyau
C:\WINDOWS\system32\sisx
C:\WINDOWS\system32\sok
C:\WINDOWS\system32\sow
C:\WINDOWS\system32\tew
C:\WINDOWS\system32\ubav
C:\WINDOWS\system32\zitk
C:\WINDOWS\system32\Drivers\bsdriver.sys
C:\WINDOWS\system32\Drivers\cherimoya.sys
C:\WINDOWS\system32\Drivers\ucguard.sys
C:\WINDOWS\system32\Drivers\TAOKernelEx64.sys
C:\WINDOWS\system32\Drivers\etc\hp.bak
C:\WINDOWS\system32\Tasks\Microsoft\Windows\Media Center
CMD: ipconfig /flushdns
CMD: netsh advfirewall reset
Hosts:
RemoveProxy:
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8

 

Plik fixlist.txt umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

4. Wyczyść przeglądarki z adware:

 

Firefox:

• Odłącz synchronizację (o ile włączona): KLIK.
• Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.
• Menu Historia > Wyczyść całą historię przeglądania.

Google Chrome:

• Zresetuj synchronizację (o ile włączona): KLIK.
• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
• Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google.

5. Zrób nowy log FRST z opcji Skanuj (Scan), zaznacz pole Addition, by powstały dwa logi. Dołącz też pliki fixlog.txt + RepairDNS.txt.

[TrocheZielony]

Podczas naprawy przez program FRST wyskakuje komunikat (w załączniku). Jednakże w między czasie zauważyłem uruchomienie się ESET NOD32, wyskoczyło okienko z tym programem a po chwili zniknęło.

Natomiast co do synch z przeglądarkami nie posiadam na nich kont.

Wrzucam również log z RepainDNS.

RepairDNS.txt

Fixlog.txt

[picasso]

Niestety nie wygląda na to, by RepairDNS podmienił zainfekowane pliki, gdyż nie znajduje poprawnej niezainfekowanej kopii w systemie. Tym wątkiem zajmę się potem, gdyż wymagane inne działania.

 

Natomiast naprawę FRST ponów z poziomu Trybu awaryjnego Windows: przycisk Start > Ustawienia > Aktualizacja i zabezpieczenia > Odzyskiwanie > Uruchamianie zaawansowane > Uruchom teraz > system zrestartuje i pojawi się ekan z opcjami > Ustawienia zaawansowane > Ustawienia uruchamiania > tu jest Tryb awaryjny.

[TrocheZielony]

Wrzucam najnowsze logi:

Addition.txt

Fixlog.txt

FRST.txt

Shortcut.txt

[picasso]

Nie zapisałeś pliku fixlist.txt w kodowaniu UTF-8, dlatego jedna z pozycji z chińskimi krzakami w nazwie została przerobiona na pytajniki, które uniemożliwiły poprawne usunięcie. Dokasuję tego śmiecia potem, bo na razie nie jest to takie istotne.

 

Większość wykonana. Został problem modyfikacji DNS, czyli zarażone pliki Windows oraz multum podmienionych serwerów DNS. Wstępnie podaj więcej danych:

 

1. Uruchom skan sfc /scannow i dostarcz filtrowany raport końcowy: KLIK.

 

2. Podaj spis wszystkich instancji pliku. Uruchom FRST, w polu Szukaj wklej co poniżej, klik w Szukaj plików i dostarcz wynikowy log.

 

dnsapi.dll

[TrocheZielony]

Uruchomiłem skan jednakże mimo wpisywania polecenia dotyczącego raportu, nie mogę go uzyskać. Być może źle wpisuję komendę, ale ostatnia chyba została dobrze wpisana (załącznik).

Search.txt

[TrocheZielony]

Przepraszam, mój błąd szukałem nie tam gdzie trzeba.

sfc.txt

[picasso]

Szukanie w FRST z błędem zrobiłeś: dnsapi,dll zamiast dnsapi.dll, dlatego log jest pusty. Ponów szukanie z poprawną frazą.

 

A SFC nie jest w stanie zreperować zarażonych plików. Czeka nas mozolne podstawianie ręczne przy udziale wiernych kopii dostarczonych z mojego systemu. Czekam na razie na wyniki szukania.

[TrocheZielony]

Z wcześniejszym plikiem serch coś było nie tak... Wrzucam nowy

Search.txt

[picasso]

Tak, ten raport jest OK. Daj mi czas na przygotowanie instrukcji, gdyż muszę sprawdzić sumy kontrolne komponentów w swoim Windows 10 x64, a to niestety potrwa.

[TrocheZielony]

Dobrze, zatem czekam na odpowiedź.

[picasso]

Kolejna porcja działań:

 

1. Przesyłam paczkę oryginalnych plików dnsapi.dll z Windows 10 Wersja 1511 x64. Na C:\ utwórz katalog C:\Pliki i w nim umieść rozpakowane z ZIP dwa pliki. Następnie przygotuj skrypt zamiany plików, tzn. do Notatnika wklej:

 

CMD: copy /y C:\Pliki\dnsapix64.dll C:\Windows\System32\dnsapi.dll
CMD: copy /y C:\Pliki\dnsapix64.dll C:\Windows\WinSxS\amd64_microsoft-windows-dns-client-minwin_31bf3856ad364e35_10.0.10586.0_none_22114c18cd7ccd17\dnsapi.dll
CMD: copy /y C:\Pliki\dnsapix86.dll C:\Windows\SysWOW64\dnsapi.dll
CMD: copy /y C:\Pliki\dnsapix86.dll C:\Windows\WinSxS\wow64_microsoft-windows-dns-client-minwin_31bf3856ad364e35_10.0.10586.0_none_2c65f66b01dd8f12\dnsapi.dll

 

Plik zapisz pod nazwą fixlist.txt. Tym razem nie musi być w UTF-8. Pliki fixlist.txt oraz FRST64.exe umieść na pendrive.

 

2. Uruchom FRST z poziomu WinRE: KLIK. Wybierz opcję Napraw (Fix). Na pendrive powstanie plik fixlog.txt. Przedstaw go.

[TrocheZielony]

Wrzucam loga. Chyba się nie udało.

Fixlog.txt

[picasso]

Czy na pewno na dysku są te ścieżki dostępu:

 

C:\Pliki\dnsapix86.dll

C:\Pliki\dnsapix64.dll

[TrocheZielony]

Tak. Prawdopodobnie znów mój błąd przy wprowadzaniu nazwy folderu zamiast Pliki dałem Plik, czy w tym może być problem?

 

Tak, jednak mój błąd. Dodaję nowe logi.

Fixlog.txt

[picasso]

Oczywiście. Nazwa katalogu musi być identyczna, gdyż taka jest użyta w komendach. Zadanie pomyślnie wykonane. Teraz kolejna porcja czynności już spod Windows:

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
Tcpip\..\Interfaces\{7eeba7ed-6d23-45db-acc1-9446edb91886}: [NameServer] 104.197.191.4
Tcpip\..\Interfaces\{8cd671a9-ba2c-47c9-bd00-a3f10f24c07d}: [NameServer] 104.197.191.4
Tcpip\..\Interfaces\{ac44bb12-6a21-4e8b-951a-8ff4241ebb08}: [NameServer] 104.197.191.4
Tcpip\..\Interfaces\{ac68ecdd-4914-4870-a1e1-01429c613cc5}: [NameServer] 104.197.191.4
Tcpip\..\Interfaces\{e95fbbdf-51de-461c-83e4-313986eff50f}: [NameServer] 104.197.191.4
S1 bsdriver; \??\C:\WINDOWS\system32\drivers\bsdriver.sys [X]
RemoveDirectory: C:\AdwCleaner
RemoveDirectory: C:\FRST\Quarantine
RemoveDirectory: C:\Users\Szymon\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器
CMD: ipconfig /flushdns
CMD: netsh advfirewall reset

 

Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8

 

Plik fixlist.txt umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart i powstanie kolejny plik fixlog.txt.

 

2. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

[TrocheZielony]

Nowe logi:

FRST.txt

Fixlog.txt

[picasso]

Prawie wszystko zrobione.

 

1. Nie zapisałeś pliku fixlist w UTF-8 jak wyraźnie wskazywałam i folder z chińską nazwą po raz drugi nie został usunięty. W związku z tym, że masz problemy z wykonaniem tej czynności, ręcznie dokasuj przez SHIFT+DEL (omija Kosz) ten folder z dysku:

 

C:\Users\Szymon\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器

 

2. Zrób skan za pomocą Hitman Pro i dostarcz wynikowy log (zapisz plik do nowego pliku TXT, by wszedł w załączniki). Hitman wykryje jako "podejrzany plik" FRST, ale to będzie fałszywy alarm.

[TrocheZielony]

Log programu HitmanPro

hitmanpro.txt

[picasso]

1. Hitman wykrył szczątki adware. Usuń za pomocą programu wszystkie wskazywane wyniki.

 

2. Dla pewności jeszcze jeden skan za pomocą Malwarebytes Anti-Malware. Przy instalacji odznacz opcję trial, by zainstalowała się tylko darmowa wersja. Dostarcz wynikowy log, o ile program coś znajdzie.

[TrocheZielony]

Szczątki adware usunięte, Malwarebytes Anti-Malware nic nie wykrył. Dziękuję za pomoc.

[picasso]

Końcowe kroki:

 

1. Odinstaluj SUPERAntispyware. Obecnie to słaby program. Zostaw sobie za to MBAM i Hitman do skanów na żądanie.

 

2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

 

3. Bratu podsunąć materiał edukacyjny na co uważać, bo rozwiązywane problemy to pochodna sponsorowanego instalatora / downloadera: KLIK.

[TrocheZielony]

Log z programu Delfix

DelFix.txt

[picasso]

Skasuj z dysku plik raportu C:\delfix.txt.

 

To wszystko. Temat rozwiązany. Zamykam.