Przemyslaw1 Opublikowano 13 Czerwca 2016 Zgłoś Udostępnij Opublikowano 13 Czerwca 2016 Witam! Kolega wysłał mi link do programu i po otwarciu go w systemie zainstalowało się duuuużo dziwnych programów, sporo chińskich, jakiś antywirusów, przeglądarki itp. Komputer ledwo co działał. Wyczyściłem tyle ile się dało ADW Cleanerem, ale nie wszystko się usunęło. Mogę prosić o pomoc? Addition.txt FRST.txt Shortcut.txt GMER.txt Odnośnik do komentarza
picasso Opublikowano 15 Czerwca 2016 Zgłoś Udostępnij Opublikowano 15 Czerwca 2016 Nadal widoczna ogromna ilość aktywnych śmieci adware. Działania do przeprowadzenia: 1. Wejdź do folderu C:\Program Files (x86)\MPC Cleaner. Z prawokliku na plik deinstalatora "Uruchom jako administratot". Zresetuj system. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 Gatvokgeu; C:\Users\Miłosz\AppData\Roaming\Wolcacfent\Wolcacfent.exe [170496 2016-06-13] () [brak podpisu cyfrowego] R2 Macjebsh; C:\Users\Miłosz\AppData\Roaming\Fuwijoagky\Fuwijoagky.exe [170496 2016-06-12] () [brak podpisu cyfrowego] R2 Uvupzeqq; C:\Users\Miłosz\AppData\Roaming\OuniilGesjau\Eivynf.exe [121344 2016-06-13] () [brak podpisu cyfrowego] S2 Konksolex; C:\ProgramData\\Konksolex\\Konksolex.exe shuz -f "C:\ProgramData\\Konksolex\\Konksolex.dat" -l -a S2 ktip; Brak ImagePath S3 blNetFilter; \??\C:\Windows\system32\drivers\blNetFilter.sys [X] HKU\S-1-5-21-3088862897-2558729093-2797936310-1000\...\Run: [QGuan10in12] => C:\Users\Miłosz\AppData\Roaming\UPUpdata\service90132.exe /autorun HKU\S-1-5-21-3088862897-2558729093-2797936310-1000\...\Run: [QGuan10in1] => C:\Users\Miłosz\AppData\Roaming\UPUpdata\service72564.exe /autorun AppInit_DLLs: C:\ProgramData\Konksolex\Consing.dll => Brak pliku AppInit_DLLs-x32: C:\ProgramData\Konksolex\BioJayair.dll => Brak pliku ShellIconOverlayIdentifiers: [.QMDeskTopGCIcon] -> {B7667919-3765-4815-A66D-98A09BE662D6} => C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\QMGCShellExt64.dll Brak pliku Task: {71ABE0A4-C140-46E5-861F-9DB8F7B03BDB} - System32\Tasks\{B83A7B4D-B1D1-4AB8-81AE-11CAA0590EF1} => pcalua.exe -a "C:\Program Files (x86)\Hostify\uninstaller.exe" Task: {75536DAD-0AB1-41F3-AC75-3EE32469126D} - System32\Tasks\{DDB87F90-E410-47D8-A809-66F68150752B} => pcalua.exe -a "C:\Program Files (x86)\Common Files\Holdtop\uninstall.exe" -c shuz -f "C:\Program Files (x86)\Common Files\Holdtop\uninstall.dat" -a uninstallme 5EFCBFA2-A8E1-4276-B180-4E7391134263 DeviceId=1d3dadad-c54d-c172-e170-de801dcdccde BarcodeId=51113011 ChannelId=11 DistributerName=APSFTuto4PC Task: {8FC56435-F164-4A0F-9D90-FCEFB608DADF} - System32\Tasks\{305AED41-8A8F-4374-A5BB-64234BFDECAD} => Chrome.exe hxxp://ui.skype.com/ui/0/7.18.0.109/pl/abandoninstall?source=lightinstaller&page=tsBing Task: {F6F25743-0099-4E3E-80E5-0F8D72B8D029} - System32\Tasks\MiłoszMulberryIodinesV2 => Rundll32.exe NonphysiologicalScapulae.dll,main 7 1 ShortcutWithArgument: C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP% ShortcutWithArgument: C:\Users\Default\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP% ShortcutWithArgument: C:\Users\Miłosz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> "hxxp://safebrowsing.biz/?ssid=1465821429&a=1054912&src=sh&uuid=7390d8e5-27a0-4b94-a1eb-3089014a6ff8" ShortcutWithArgument: C:\Users\Miłosz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> "hxxp://safebrowsing.biz/?ssid=1465821429&a=1054912&src=sh&uuid=7390d8e5-27a0-4b94-a1eb-3089014a6ff8" ShortcutWithArgument: C:\Users\Miłosz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> "hxxp://safebrowsing.biz/?ssid=1465821429&a=1054912&src=sh&uuid=7390d8e5-27a0-4b94-a1eb-3089014a6ff8" ShortcutWithArgument: C:\Users\Miłosz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> "hxxp://safebrowsing.biz/?ssid=1465821429&a=1054912&src=sh&uuid=7390d8e5-27a0-4b94-a1eb-3089014a6ff8" ShortcutWithArgument: C:\Users\Miłosz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> "hxxp://safebrowsing.biz/?ssid=1465821429&a=1054912&src=sh&uuid=7390d8e5-27a0-4b94-a1eb-3089014a6ff8" ShortcutWithArgument: C:\Users\Miłosz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> "hxxp://safebrowsing.biz/?ssid=1465821429&a=1054912&src=sh&uuid=7390d8e5-27a0-4b94-a1eb-3089014a6ff8" HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKU\S-1-5-21-3088862897-2558729093-2797936310-1000\Software\Microsoft\Internet Explorer\Main,Start Page = SearchScopes: HKLM -> DefaultScope - brak wartości SearchScopes: HKLM-x32 -> DefaultScope - brak wartości SearchScopes: HKU\S-1-5-21-3088862897-2558729093-2797936310-1000 -> {FDC320A9-B4B2-491E-B140-815C11613CB6} URL = hxxp://search.yahoo.com/search?p={searchTerms} BHO: 电脑管家网页防火墙 -> {7C260B4B-F7A0-40B5-B403-BEFCDC6A4C3B} -> C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\TSWebMon64.dat => Brak pliku CHR HKU\S-1-5-21-3088862897-2558729093-2797936310-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [lmjegmlicamnimmfhcmpkclmigmmcbeh] - hxxps://clients2.google.com/service/update2/crx DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{5EFCBFA2-A8E1-4276-B180-4E7391134263} DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Program Files\Wuctopl C:\Program Files (x86)\Atatuch C:\Program Files (x86)\Libasaraming C:\Program Files (x86)\MPC Cleaner C:\ProgramData\Konksolexs C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MPC C:\Users\Miłosz\AppData\Local\MulberryIodines C:\Users\Miłosz\AppData\Local\Tempfolder C:\Users\Miłosz\AppData\Local\UCBrowser C:\Users\Miłosz\AppData\LocalLow0065F5D8 C:\Users\Miłosz\AppData\LocalLow002CA990 C:\Users\Miłosz\AppData\LocalLow00282010 C:\Users\Miłosz\AppData\LocalLow00000000030B73D8 C:\Users\Miłosz\AppData\LocalLow00534960 C:\Users\Miłosz\AppData\LocalLow004F2010 C:\Users\Miłosz\AppData\LocalLow000000000051D5D8 C:\Users\Miłosz\AppData\LocalLow\Company C:\Users\Miłosz\AppData\Roaming\*.* C:\Users\Miłosz\AppData\Roaming\PriceFountainUpdateVer C:\Users\Miłosz\AppData\Roaming\Fuwijoagky C:\Users\Miłosz\AppData\Roaming\gplyra C:\Users\Miłosz\AppData\Roaming\MCorp C:\Users\Miłosz\AppData\Roaming\Mozilla C:\Users\Miłosz\AppData\Roaming\Nwd6g C:\Users\Miłosz\AppData\Roaming\oSVja C:\Users\Miłosz\AppData\Roaming\OuniilGesjau C:\Users\Miłosz\AppData\Roaming\Wolcacfent C:\Users\Miłosz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer (2).lnk C:\Users\Miłosz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer (3).lnk C:\Users\Miłosz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器 C:\Users\Public\Desktop\MPC Cleaner.lnk C:\Users\Mi硂sz C:\Windows\system32\aan C:\Windows\system32\des C:\Windows\system32\eag C:\Windows\system32\joxp C:\Windows\system32\mix C:\Windows\system32\mufl C:\Windows\system32\pori C:\Windows\system32\vepg C:\Windows\system32\Drivers\etc\hp.bak RemoveProxy: Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Adware podstawiło w Google Chrome całkowicie nowy profil ChromeDefaultData. Należy go usunąć i przywrócić poprzedni, a jeśli poprzedni niedostępny to założyć całkowicie nowy. Czyli: Ustawienia > karta Ustawienia > Osoby > na liście powinien być user0 (to profil utworzony porzez adware). Jeśli to jedyna widoczna "Osoba", skorzystaj z opcji Dodaj Osobę, następnie zaloguj się na nowy profil, zamknij okno poprzedniego, w Ustawieniach skasuj "user0". 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale bez Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
Przemyslaw1 Opublikowano 20 Czerwca 2016 Autor Zgłoś Udostępnij Opublikowano 20 Czerwca 2016 Zrobione. Tylko dalej pojawiają się jakieś reklamy.. Addition.txt Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 20 Czerwca 2016 Zgłoś Udostępnij Opublikowano 20 Czerwca 2016 (edytowane) Uruchomiłeś Fix FRST aż 4 razy (!), skrypty są jednorazowego użytku i nie przetworzą ponownie tego samego. W podanym Fixlog (ostatnim z serii) prawie nic nie przetwarzone, gdyż już pierwsze podejście pewnie załatwiło instrukcje. A reklamy są dalej, bo w międzyczasie powiększył się zakres infekcji i weszła infekcja serwerów DNS... Poza tym, widzę że coś kombinowałeś, są ślady usuwania aplikacji "Uzyskaj Windows 10", a jedna z usług Microsoftu (DiagTrack) nagle nie ma podpisu cyfrowego. Kolejne podejście: 1. Pobierz ponownie FRST, jest już nowsza wersja. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Tcpip\..\Interfaces\{0A543904-EF72-46C9-8BC4-95B264675839}: [NameServer] 104.197.191.4 Tcpip\..\Interfaces\{439F60FC-B755-4442-B84A-D1FA2A7A29ED}: [NameServer] 104.197.191.4 HKLM-x32\...\Run: [ QQPCTray] => "C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\QQPCTRAY.EXE" /regrun /qqrepair Task: {1774EF03-7AF0-4DD2-BBB3-F8726C3FF15F} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {220E4994-1B1B-46E5-B793-C79A27573F33} - System32\Tasks\AutoKMSDaily => C:\Windows\AutoKMS.exe Task: {37E14062-5E56-4C5D-BD72-F4EEAE055BA4} - System32\Tasks\AutoKMS => C:\Windows\AutoKMS.exe Task: {44B0E29C-E5C2-4753-BFF5-54F1D2EB2492} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {467038DD-FCBA-4769-8160-0AA18FE342A7} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {69BF19D3-B076-4EFC-A00F-780E443B3597} - \Microsoft\Windows\Setup\gwx\rundetector -> Brak pliku Task: {8B317F18-274B-4D4B-996B-8876EBA08E13} - \Microsoft\Windows\Application Experience\Microsoft Compatibility Appraiser -> Brak pliku Task: {A0A7E15E-E0DB-4630-BD16-885FE5555682} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {A1D60D55-A6B8-401B-BC05-2938E02DF2F2} - System32\Tasks\Microsoft\Windows Defender\MP Scheduled Scan => d:\program files\windows defender\MpCmdRun.exe Task: {C4E8B14A-4159-4C58-BDAD-281DBBFC97E8} - System32\Tasks\Microsoft\Windows Defender\MpIdleTask => d:\program files\windows defender\MpCmdRun.exe Task: {FA1EC4C2-CD35-4D2A-A5DB-99EEE9F88C1D} - System32\Tasks\Adobe Acrobat Update Task => C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe Task: C:\Windows\Tasks\AutoKMS.job => C:\Windows\AutoKMS.exe Task: C:\Windows\Tasks\AutoKMSDaily.job => C:\Windows\AutoKMS.exe C:\ProgramData\Norton C:\ProgramData\NortonInstaller C:\Users\Miłosz\AppData\Local\Google\Chrome\User Data\ChromeDefaultData C:\Users\Miłosz\AppData\Local\Google\Chrome\User Data\Profile 1 C:\Users\Miłosz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\9501e18d7c2ab92e\Google Chrome.lnk C:\Users\Miłosz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\360c22b137d62ce9\Google Chrome.lnk C:\Windows\system32\aefo C:\Windows\system32\cecq C:\Windows\system32\eqo C:\Windows\system32\fale C:\Windows\system32\hoi C:\Windows\system32\jero C:\Windows\system32\kiyw C:\Windows\system32\nan C:\Windows\system32\osos C:\Windows\system32\uaz C:\Windows\system32\vidc DisableService: DiagTrack CMD: ipconfig /flushdns CMD: netsh advfirewall reset Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy nadal widzisz problemy. Edytowane 21 Lipca 2016 przez picasso Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi