defto Opublikowano 29 Stycznia 2017 Zgłoś Udostępnij Opublikowano 29 Stycznia 2017 Witam, Błądząc dziś po stronach dla dorosłych kliknąłem w taki "click bite'owy" obrazek. No i zassało mi jakiś syf... zainstalowały się programy o nazwie "auto time" "UCBrowser" , w procesach widnieje online-guardian z online.oi application i nie idzie się tego pozbyć. Niby nic się nie dzieje (tylko na początku przeglądarka zaczęła wariować) ale miło by było pozbyć się tego z komputera. Z góry dzięki bo zawsze mi pomagaliście jak potrzebowałem pomocy. GMER.txt Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
Miszel03 Opublikowano 29 Stycznia 2017 Zgłoś Udostępnij Opublikowano 29 Stycznia 2017 Opis stanu systemu napisany przez Ciebie pokrywa się praktycznie w całości z tym co ja widzę w logach, więc pozwolisz, że odpuszczę sobie pisanie tego samego. Taka sytuacja to jest właśnie skutek nie posiadania oprogramowania zabezpieczającego. Do poczytania: KLIK. Dezynfekcja. 1. Przez panel sterowania odinstaluj: Traffic Exchange Wejdź do wymienionych folderów: C:\Program Files (x86)\UCBrowser, C:\Program Files\żěŃą i z ich poziomu spróbuj uruchomić deinstalator (nazwa zbliżona do uninstall.exe). 2. Otwórz Notatnik w nim wklej: CloseProcesses:CreateRestorePoint:HKU\S-1-5-21-2953119984-1137956692-2323332510-1000\...\Run: [xHHuaTIlq7ah7lmg] => C:\Users\Admin\AppData\Roaming\lORoXkvpbymAtVNB\MKiWf5.lnk [740 2017-01-29] () C:\Users\Admin\AppData\Roaming\lORoXkvpbymAtVNB\MKiWf5.lnkHKU\S-1-5-21-2953119984-1137956692-2323332510-1000\...\Run: [msiql] => C:\Users\Admin\AppData\Local\Temp\00007460\msiql.exe [2072064 2017-01-29] () HKU\S-1-5-18\...\Run: [] => 0ShellIconOverlayIdentifiers: [GGDriveOverlay1] -> {E68D0A50-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll -> Brak plikuShellIconOverlayIdentifiers: [GGDriveOverlay2] -> {E68D0A51-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll -> Brak plikuShellIconOverlayIdentifiers: [GGDriveOverlay3] -> {E68D0A52-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll -> Brak plikuShellIconOverlayIdentifiers: [GGDriveOverlay4] -> {E68D0A53-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll -> Brak plikuShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} => C:\Program Files\żěŃą\X64\KZipShell.dll [2017-01-29] ()SearchScopes: HKU\S-1-5-21-2953119984-1137956692-2323332510-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =S2 GoogleChromeUpService; C:\ProgramData\service.exe [1620992 2017-01-29] () [brak podpisu cyfrowego] C:\ProgramData\service.exeR2 KuaizipUpdateChecker; C:\Program Files\żěŃą\X86\kuaizipUpdateChecker.dll [219032 2017-01-29] ()C:\Program Files\żěŃąS3 Sony PC Companion; "C:\Program Files (x86)\Sony\Sony PC Companion\PCCService.exe" [X]S2 UCBrowserSvc; "C:\Program Files (x86)\UCBrowser\Application\UCService.exe" [X]R1 ucdrv; C:\Program Files (x86)\UCBrowser\Security:ucdrv-x64.sys [23652 ] (UC Web Inc.) S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X]S3 tsusbhub; system32\drivers\tsusbhub.sys [X]S3 VGPU; System32\drivers\rdvgkmd.sys [X]C:\Users\Admin\AppData\Local\Temp\00007460\msiql.exeC:\ProgramData\MKiWf5.exeTask: {3D705E37-F180-4DC0-9BA2-0B1271B21423} - System32\Tasks\KuaiZip_Update => C:\PROGRA~1\88D7~1\X86\Update.exe Task: {47DEB4AD-75FE-448C-8D72-FD7ED0C1D0BE} - System32\Tasks\UCBrowserUpdater => C:\Program Files (x86)\UCBrowser\Application\update_task.exe Task: {8E71CB49-4EA0-42BC-B3CE-E4F4874A89A7} - System32\Tasks\UCBrowserUpdaterCore => C:\Program Files (x86)\UCBrowser\Application\update_task.exe WMI_ActiveScriptEventConsumer_ASEC: ShortcutWithArgument: C:\Users\Admin\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Admin\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://fanli90.cn/ShortcutWithArgument: C:\Users\Admin\Desktop\Program uruchamiający aplikacje Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Admin\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://fanli90.cn/ShortcutWithArgument: C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Program uruchamiający aplikacje Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --show-app-listShortcutWithArgument: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer (64-bit).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://fanli90.cn/ShortcutWithArgument: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://fanli90.cn/ShortcutWithArgument: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Google Chrome\Program uruchamiający aplikacje Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --show-app-listShortcutWithArgument: C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://fanli90.cn/ShortcutWithArgument: C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Admin\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://fanli90.cn/ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Admin\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://fanli90.cn/AlternateDataStreams: C:\Windows\system32\drivers:ucdrv-x64.sys [23652]AlternateDataStreams: C:\Windows\system32\drivers:x64 [1479458]AlternateDataStreams: C:\Windows\system32\drivers:x86 [1205026]AlternateDataStreams: C:\ProgramData\TEMP:1CE11B51 [137] DeleteKey: HKCU\Software\MozillaDeleteKey: HKCU\Software\MozillaPluginsDeleteKey: HKLM\SOFTWARE\MozillaDeleteKey: HKLM\SOFTWARE\MozillaPluginsDeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaDeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.orgDeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPluginsC:\Users\Admin\AppData\Local\MozillaC:\Users\Admin\AppData\Roaming\MozillaC:\Users\Admin\AppData\Roaming\ProfilesEmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarkę Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
defto Opublikowano 29 Stycznia 2017 Autor Zgłoś Udostępnij Opublikowano 29 Stycznia 2017 Problem miałem tylko z pkt 1 (nie można było odinstalować) reszta zrobiona. Addition.txt FRST.txt Shortcut.txt Fixlog.txt AdwCleanerS0.txt Odnośnik do komentarza
Miszel03 Opublikowano 29 Stycznia 2017 Zgłoś Udostępnij Opublikowano 29 Stycznia 2017 Problem miałem tylko z pkt 1 (nie można było odinstalować) reszta zrobiona. Co do Traffic Exchange (bo nic na temat innych nie napisałeś) to zauważyłem, że on jest ukryty - pewnie dlatego nie mogłeś go odinstalować. 1. Otwórz Notatnik w nim wklej: Traffic Exchange (x32 Version: 2.0.0 - Microleaves) Hidden Reboot: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Odinstaluj Traffic Exchange. 3. Wszystkie zagrożenia znalezione przez AdwCleaner daj do usuwania (używając opcji Oczyść). 4. Zrób nowy zestaw raportów FRST. Odnośnik do komentarza
defto Opublikowano 29 Stycznia 2017 Autor Zgłoś Udostępnij Opublikowano 29 Stycznia 2017 Usunięte AdwCleanerC0.txt Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
Miszel03 Opublikowano 30 Stycznia 2017 Zgłoś Udostępnij Opublikowano 30 Stycznia 2017 Wygląda to już o wiele lepiej. 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} => C:\Program Files\żěŃą\X64\KZipShell.dll -> Brak pliku C:\Program Files\żěŃą 2017-01-29 19:10 - 2015-11-29 20:53 - 00000000 ____D C:\Users\Admin\AppData\Roaming\lORoXkvpbymAtVNB 2017-01-29 19:10 - 2014-09-12 07:09 - 00002245 _____ C:\Users\Admin\Desktop\Program uruchamiający aplikacje Chrome.lnk 2017-01-29 12:36 - 2017-01-29 12:43 - 00000000 ____D C:\Program Files (x86)\UCBrowser 2017-01-29 12:36 - 2017-01-29 12:36 - 00000456 _____ C:\Windows\Tasks\UCBrowserUpdater.job 2017-01-29 12:36 - 2017-01-29 12:36 - 00000000 ____D C:\Users\Admin\AppData\Local\UCBrowser CustomCLSID: HKU\S-1-5-21-2953119984-1137956692-2323332510-1000_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> C:\Users\Admin\AppData\Roaming\GG\ggdrive\ggdrive-menu.dll => Brak pliku Task: C:\Windows\Tasks\UCBrowserUpdater.job => EmptyTemp: 2. Całościwo przeskanuj system za pomocą programu Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
defto Opublikowano 30 Stycznia 2017 Autor Zgłoś Udostępnij Opublikowano 30 Stycznia 2017 Zrobione Addition.txt FRST.txt Shortcut.txt Malwarebytes.txt Fixlog.txt Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się