Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Maoha - problem z usunięciem

jupi

Przez jupi
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

Jest tu więcej infekcji, nie tylko Maoha. Skrypt we WMI infekuje skróty przeglądarki w określonych odstępach czasu, są też zasady grupy ustawione blokujące określone funkcje Chrome.

 

Działania do przeprowadzenia:

 

1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:

 

CloseProcesses:
(Microsoft Corporation) C:\Windows\explorer.exe
R2 JszipService; C:\Program Files (x86)\Maoha\JiSuZip\JszipSvc.exe [130072 2017-02-16] (深圳市猫哈网络科技发展有限公司)
R2 mptpmdxm; C:\Windows\SysWow64\mptpmdxm.dll [460072 2017-06-14] ()
R1 cytdsk; C:\WINDOWS\System32\drivers\cytdsk.sys [195496 2017-06-13] ()
R1 JszipProtect; C:\Program Files (x86)\Maoha\JiSuZip\JsZipProtect64.sys [39256 2016-12-27] ()
R1 LanmaMaster; C:\WINDOWS\system32\drivers\lanmamaster.sys [2978920 2016-11-11] () [brak podpisu cyfrowego]
R2 UefGdstor; C:\WINDOWS\system32\drivers\UefGdstor.sys [192552 2016-11-11] ()
R1 WiserIso; C:\WINDOWS\System32\Drivers\vcdrom.sys [25432 2016-12-27] ()
Task: {EE6EDC50-E002-43E5-855B-D16EE1FB9364} - System32\Tasks\CloneList => Rundll32.exe "C:\Program Files\CloneList\CloneList.dll",xkYjNSAWtNj 
ShellIconOverlayIdentifiers: [JzShlobj] -> {9A0700D2-920A-4E52-8697-9B5230C92612} => C:\Program Files (x86)\Maoha\JiSuZip\JZipExt.dll [2016-12-27] (深圳市猫哈网络科技发展有限公司)
ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => -> Brak pliku
ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} => -> Brak pliku
ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} => -> Brak pliku
ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => -> Brak pliku
ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => -> Brak pliku
WMI_ActiveScriptEventConsumer_ASEC: 
GroupPolicy: Ograniczenia - Chrome 
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia 
HKU\S-1-5-21-646645915-3493183111-878668481-1001\Software\Microsoft\Internet Explorer\Main,Start Page =
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\Program Files\CloneList
C:\Program Files (x86)\Maoha
C:\Program Files (x86)\UCBrowser
C:\Program Files (x86)\WindowsTM
C:\ProgramData\Cache
C:\ProgramData\WinCacheData
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\极速压缩
C:\Users\lucca\AppData\Local\InstallationConfiguration.xml
C:\Users\lucca\AppData\Local\installer.dat
C:\Users\lucca\AppData\Local\test_db_cara.db
C:\Users\lucca\AppData\Roaming\Nvu
C:\Users\lucca\AppData\Roaming\Microsoft\Windows\Start Menu\IPCSearch.lnk
C:\Users\lucca\AppData\Roaming\Microsoft\Windows\Start Menu\IPCSearcher.exe.lnk
C:\Users\lucca\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Start Tor Browser.lnk
C:\Users\lucca\Desktop\IPCSearch.lnk
C:\WINDOWS\System32\drivers\cytdsk.sys
C:\WINDOWS\system32\drivers\lanmamaster.sys
C:\WINDOWS\system32\drivers\UefGdstor.sys
C:\WINDOWS\System32\Drivers\vcdrom.sys
C:\Windows\SysWow64\mptpmdxm.dll
CMD: netsh advfirewall reset
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. W Google Chrome Ustawienia > karta Rozszerzenia > odinstaluj Tables.

 

3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt oraz logi z folderu C:\AdwCleaner.

Odnośnik do komentarza
jupi

jupi

Opublikowano
  • Autor
Opublikowano

W załączniku fixlog i nowe logi z FRST.

 

Wrzucam też logi z ADWcleanera

Wszystkich jest kilkadziesiąt, wrzuciłem z dnia dzisiejszego. przed naprawą FRST i kilka po..

 

ADW cały czas znajduje jakieś zagrożenie o nazwie Lanmamaster. Nie może sobie poradzić z usunięciem.

 

Addition.txt

FRST.txt

Fixlog.txt

AdwCleanerS10.txt

AdwCleanerC10.txt

AdwCleanerS9.txt

AdwCleanerC9.txt

AdwCleanerS8.txt

AdwCleanerC8.txt

AdwCleanerS7.txt

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Miałeś tylko dostarczyć logi z AdwCleaner sprzed pojawienia się na forum (czyli z wczoraj lub wcześniej), a nie uruchamiać program przed i po naprawie FRST. Kolizja ze skryptem FRST i zaciemnianie wyników. Obecnie trzymaj się tylko operacji z FRST, gdy będę potrzebować odczyt z AdwCleaner, poproszę o niego.

 

FRST nie był w stanie ubić sterownika UefGdstor (w ogóle nie wykrywany przez AdwCleaner). Natomiast LanmaMaster nie jest obecny w dostarczonym raporcie FRST, ale pokazuje go nowszy log z AdwCleaner (czyli sterownik mógł wrócić). Ja się jednak trzymam odczytu z FRST a nie AdwCleaner, najwyżej podam potem kolejną poprawkę.

 

Kolejne podejście:

 

1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:

 

CloseProcesses:
U2 mptpmdxm; C:\Windows\SysWow64\mptpmdxm.dll [460072 2017-06-14] ()
R2 UefGdstor; C:\WINDOWS\system32\drivers\UefGdstor.sys [192552 2016-11-11] ()
C:\ProgramData\Cache
C:\WINDOWS\system32\drivers\UefGdstor.sys
C:\WINDOWS\SysWOW64\mptpmdxm.dll

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z klawiatury CTRL+S, by zapisać zmiany. Wejdź w Tryb awaryjny Windows *. Uruchom FRST i kliknij Napraw (Fix). Nastąpi restart, opuść tryb awaryjny. Powstanie kolejny fixlog.txt.

 

* Tryb awaryjny Windows 10: przycisk Start > Ustawienia > Aktualizacja i zabezpieczenia > Odzyskiwanie > Uruchamianie zaawansowane > Uruchom teraz > system zrestartuje i pojawi się ekan z opcjami > Ustawienia zaawansowane > Ustawienia uruchamiania > Tryb awaryjny.

 

2. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut, oraz GMER. Dołącz też plik fixlog.txt.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

"Rootkit" wykryty przez GMER to sterowniki tymczasowe Windows Defender relatywne do aktualizacji bazy danych. Wyniki do zignorowania.

 

Poprzednie zadania wykonane pomyślnie, ale rzeczywiście LanmaMaster wrócił w czasie między logami FRST a AdwCleaner. Poprawki:

 

1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:

 

CloseProcesses:
R1 LanmaMaster; C:\WINDOWS\system32\drivers\lanmamaster.sys [2957416 2016-11-11] () [brak podpisu cyfrowego]
C:\ProgramData\WinCacheData
C:\Users\Public\Documents\XMUpdate
C:\WINDOWS\system32\lanmamasterHelp.dll
C:\WINDOWS\system32\drivers\lanmamaster.sys

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z klawiatury CTRL+S, by zapisać zmiany. Wejdź w Tryb awaryjny Windows. Uruchom FRST i kliknij Napraw (Fix). Nastąpi restart, opuść tryb awaryjny. Powstanie kolejny fixlog.txt.

 

2. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...