Skocz do zawartości

Chińskie programy i MPC Cleaner


Rekomendowane odpowiedzi

Witam!

Kolega wysłał mi link do programu i po otwarciu go w systemie zainstalowało się duuuużo dziwnych programów, sporo chińskich, jakiś antywirusów, przeglądarki itp. Komputer ledwo co działał. Wyczyściłem tyle ile się dało ADW Cleanerem, ale nie wszystko się usunęło.

Mogę prosić o pomoc?

 

 

Addition.txt

FRST.txt

Shortcut.txt

GMER.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Nadal widoczna ogromna ilość aktywnych śmieci adware. Działania do przeprowadzenia:

 

1. Wejdź do folderu C:\Program Files (x86)\MPC Cleaner. Z prawokliku na plik deinstalatora "Uruchom jako administratot". Zresetuj system.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
R2 Gatvokgeu; C:\Users\Miłosz\AppData\Roaming\Wolcacfent\Wolcacfent.exe [170496 2016-06-13] () [brak podpisu cyfrowego]
R2 Macjebsh; C:\Users\Miłosz\AppData\Roaming\Fuwijoagky\Fuwijoagky.exe [170496 2016-06-12] () [brak podpisu cyfrowego]
R2 Uvupzeqq; C:\Users\Miłosz\AppData\Roaming\OuniilGesjau\Eivynf.exe [121344 2016-06-13] () [brak podpisu cyfrowego]
S2 Konksolex; C:\ProgramData\\Konksolex\\Konksolex.exe shuz -f "C:\ProgramData\\Konksolex\\Konksolex.dat" -l -a
S2 ktip; Brak ImagePath
S3 blNetFilter; \??\C:\Windows\system32\drivers\blNetFilter.sys [X]
HKU\S-1-5-21-3088862897-2558729093-2797936310-1000\...\Run: [QGuan10in12] => C:\Users\Miłosz\AppData\Roaming\UPUpdata\service90132.exe /autorun
HKU\S-1-5-21-3088862897-2558729093-2797936310-1000\...\Run: [QGuan10in1] => C:\Users\Miłosz\AppData\Roaming\UPUpdata\service72564.exe /autorun
AppInit_DLLs: C:\ProgramData\Konksolex\Consing.dll => Brak pliku
AppInit_DLLs-x32: C:\ProgramData\Konksolex\BioJayair.dll => Brak pliku
ShellIconOverlayIdentifiers: [.QMDeskTopGCIcon] -> {B7667919-3765-4815-A66D-98A09BE662D6} => C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\QMGCShellExt64.dll Brak pliku
Task: {71ABE0A4-C140-46E5-861F-9DB8F7B03BDB} - System32\Tasks\{B83A7B4D-B1D1-4AB8-81AE-11CAA0590EF1} => pcalua.exe -a "C:\Program Files (x86)\Hostify\uninstaller.exe"
Task: {75536DAD-0AB1-41F3-AC75-3EE32469126D} - System32\Tasks\{DDB87F90-E410-47D8-A809-66F68150752B} => pcalua.exe -a "C:\Program Files (x86)\Common Files\Holdtop\uninstall.exe" -c shuz -f "C:\Program Files (x86)\Common Files\Holdtop\uninstall.dat" -a uninstallme 5EFCBFA2-A8E1-4276-B180-4E7391134263 DeviceId=1d3dadad-c54d-c172-e170-de801dcdccde BarcodeId=51113011 ChannelId=11 DistributerName=APSFTuto4PC
Task: {8FC56435-F164-4A0F-9D90-FCEFB608DADF} - System32\Tasks\{305AED41-8A8F-4374-A5BB-64234BFDECAD} => Chrome.exe hxxp://ui.skype.com/ui/0/7.18.0.109/pl/abandoninstall?source=lightinstaller&page=tsBing
Task: {F6F25743-0099-4E3E-80E5-0F8D72B8D029} - System32\Tasks\MiłoszMulberryIodinesV2 => Rundll32.exe NonphysiologicalScapulae.dll,main 7 1 
ShortcutWithArgument: C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP%
ShortcutWithArgument: C:\Users\Default\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP%
ShortcutWithArgument: C:\Users\Miłosz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> "hxxp://safebrowsing.biz/?ssid=1465821429&a=1054912&src=sh&uuid=7390d8e5-27a0-4b94-a1eb-3089014a6ff8"
ShortcutWithArgument: C:\Users\Miłosz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> "hxxp://safebrowsing.biz/?ssid=1465821429&a=1054912&src=sh&uuid=7390d8e5-27a0-4b94-a1eb-3089014a6ff8"
ShortcutWithArgument: C:\Users\Miłosz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> "hxxp://safebrowsing.biz/?ssid=1465821429&a=1054912&src=sh&uuid=7390d8e5-27a0-4b94-a1eb-3089014a6ff8"
ShortcutWithArgument: C:\Users\Miłosz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> "hxxp://safebrowsing.biz/?ssid=1465821429&a=1054912&src=sh&uuid=7390d8e5-27a0-4b94-a1eb-3089014a6ff8"
ShortcutWithArgument: C:\Users\Miłosz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> "hxxp://safebrowsing.biz/?ssid=1465821429&a=1054912&src=sh&uuid=7390d8e5-27a0-4b94-a1eb-3089014a6ff8"
ShortcutWithArgument: C:\Users\Miłosz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> "hxxp://safebrowsing.biz/?ssid=1465821429&a=1054912&src=sh&uuid=7390d8e5-27a0-4b94-a1eb-3089014a6ff8"
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page =
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKU\S-1-5-21-3088862897-2558729093-2797936310-1000\Software\Microsoft\Internet Explorer\Main,Start Page =
SearchScopes: HKLM -> DefaultScope - brak wartości
SearchScopes: HKLM-x32 -> DefaultScope - brak wartości
SearchScopes: HKU\S-1-5-21-3088862897-2558729093-2797936310-1000 -> {FDC320A9-B4B2-491E-B140-815C11613CB6} URL = hxxp://search.yahoo.com/search?p={searchTerms}
BHO: 电脑管家网页防火墙 -> {7C260B4B-F7A0-40B5-B403-BEFCDC6A4C3B} -> C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\TSWebMon64.dat => Brak pliku
CHR HKU\S-1-5-21-3088862897-2558729093-2797936310-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [lmjegmlicamnimmfhcmpkclmigmmcbeh] - hxxps://clients2.google.com/service/update2/crx
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{5EFCBFA2-A8E1-4276-B180-4E7391134263}
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\Program Files\Wuctopl
C:\Program Files (x86)\Atatuch
C:\Program Files (x86)\Libasaraming
C:\Program Files (x86)\MPC Cleaner
C:\ProgramData\Konksolexs
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MPC
C:\Users\Miłosz\AppData\Local\MulberryIodines
C:\Users\Miłosz\AppData\Local\Tempfolder
C:\Users\Miłosz\AppData\Local\UCBrowser
C:\Users\Miłosz\AppData\LocalLow0065F5D8
C:\Users\Miłosz\AppData\LocalLow002CA990
C:\Users\Miłosz\AppData\LocalLow00282010
C:\Users\Miłosz\AppData\LocalLow00000000030B73D8
C:\Users\Miłosz\AppData\LocalLow00534960
C:\Users\Miłosz\AppData\LocalLow004F2010
C:\Users\Miłosz\AppData\LocalLow000000000051D5D8
C:\Users\Miłosz\AppData\LocalLow\Company
C:\Users\Miłosz\AppData\Roaming\*.*
C:\Users\Miłosz\AppData\Roaming\PriceFountainUpdateVer
C:\Users\Miłosz\AppData\Roaming\Fuwijoagky
C:\Users\Miłosz\AppData\Roaming\gplyra
C:\Users\Miłosz\AppData\Roaming\MCorp
C:\Users\Miłosz\AppData\Roaming\Mozilla
C:\Users\Miłosz\AppData\Roaming\Nwd6g
C:\Users\Miłosz\AppData\Roaming\oSVja
C:\Users\Miłosz\AppData\Roaming\OuniilGesjau
C:\Users\Miłosz\AppData\Roaming\Wolcacfent
C:\Users\Miłosz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer (2).lnk
C:\Users\Miłosz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer (3).lnk
C:\Users\Miłosz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器
C:\Users\Public\Desktop\MPC Cleaner.lnk
C:\Users\Mi硂sz
C:\Windows\system32\aan
C:\Windows\system32\des
C:\Windows\system32\eag
C:\Windows\system32\joxp
C:\Windows\system32\mix
C:\Windows\system32\mufl
C:\Windows\system32\pori
C:\Windows\system32\vepg
C:\Windows\system32\Drivers\etc\hp.bak
RemoveProxy:
Hosts:
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8

 

Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Adware podstawiło w Google Chrome całkowicie nowy profil ChromeDefaultData. Należy go usunąć i przywrócić poprzedni, a jeśli poprzedni niedostępny to założyć całkowicie nowy. Czyli: Ustawienia > karta Ustawienia > Osoby > na liście powinien być user0 (to profil utworzony porzez adware). Jeśli to jedyna widoczna "Osoba", skorzystaj z opcji Dodaj Osobę, następnie zaloguj się na nowy profil, zamknij okno poprzedniego, w Ustawieniach skasuj "user0".

 

4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale bez Shortcut. Dołącz też plik fixlog.txt.

Odnośnik do komentarza

Uruchomiłeś Fix FRST aż 4 razy (!), skrypty są jednorazowego użytku i nie przetworzą ponownie tego samego. W podanym Fixlog (ostatnim z serii) prawie nic nie przetwarzone, gdyż już pierwsze podejście pewnie załatwiło instrukcje. A reklamy są dalej, bo w międzyczasie powiększył się zakres infekcji i weszła infekcja serwerów DNS... Poza tym, widzę że coś kombinowałeś, są ślady usuwania aplikacji "Uzyskaj Windows 10", a jedna z usług Microsoftu (DiagTrack) nagle nie ma podpisu cyfrowego.

 

Kolejne podejście:

 

1. Pobierz ponownie FRST, jest już nowsza wersja. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
Tcpip\..\Interfaces\{0A543904-EF72-46C9-8BC4-95B264675839}: [NameServer] 104.197.191.4
Tcpip\..\Interfaces\{439F60FC-B755-4442-B84A-D1FA2A7A29ED}: [NameServer] 104.197.191.4
HKLM-x32\...\Run: [ QQPCTray] => "C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\QQPCTRAY.EXE" /regrun /qqrepair
Task: {1774EF03-7AF0-4DD2-BBB3-F8726C3FF15F} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku 
Task: {220E4994-1B1B-46E5-B793-C79A27573F33} - System32\Tasks\AutoKMSDaily => C:\Windows\AutoKMS.exe
Task: {37E14062-5E56-4C5D-BD72-F4EEAE055BA4} - System32\Tasks\AutoKMS => C:\Windows\AutoKMS.exe
Task: {44B0E29C-E5C2-4753-BFF5-54F1D2EB2492} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku 
Task: {467038DD-FCBA-4769-8160-0AA18FE342A7} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku 
Task: {69BF19D3-B076-4EFC-A00F-780E443B3597} - \Microsoft\Windows\Setup\gwx\rundetector -> Brak pliku 
Task: {8B317F18-274B-4D4B-996B-8876EBA08E13} - \Microsoft\Windows\Application Experience\Microsoft Compatibility Appraiser -> Brak pliku 
Task: {A0A7E15E-E0DB-4630-BD16-885FE5555682} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku 
Task: {A1D60D55-A6B8-401B-BC05-2938E02DF2F2} - System32\Tasks\Microsoft\Windows Defender\MP Scheduled Scan => d:\program files\windows defender\MpCmdRun.exe
Task: {C4E8B14A-4159-4C58-BDAD-281DBBFC97E8} - System32\Tasks\Microsoft\Windows Defender\MpIdleTask => d:\program files\windows defender\MpCmdRun.exe
Task: {FA1EC4C2-CD35-4D2A-A5DB-99EEE9F88C1D} - System32\Tasks\Adobe Acrobat Update Task => C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe
Task: C:\Windows\Tasks\AutoKMS.job => C:\Windows\AutoKMS.exe
Task: C:\Windows\Tasks\AutoKMSDaily.job => C:\Windows\AutoKMS.exe
C:\ProgramData\Norton
C:\ProgramData\NortonInstaller
C:\Users\Miłosz\AppData\Local\Google\Chrome\User Data\ChromeDefaultData
C:\Users\Miłosz\AppData\Local\Google\Chrome\User Data\Profile 1
C:\Users\Miłosz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\9501e18d7c2ab92e\Google Chrome.lnk
C:\Users\Miłosz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\360c22b137d62ce9\Google Chrome.lnk
C:\Windows\system32\aefo
C:\Windows\system32\cecq
C:\Windows\system32\eqo
C:\Windows\system32\fale
C:\Windows\system32\hoi
C:\Windows\system32\jero
C:\Windows\system32\kiyw
C:\Windows\system32\nan
C:\Windows\system32\osos
C:\Windows\system32\uaz
C:\Windows\system32\vidc
DisableService: DiagTrack
CMD: ipconfig /flushdns
CMD: netsh advfirewall reset

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy nadal widzisz problemy.

Edytowane przez picasso
Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...