kapucga Opublikowano 16 Lipca 2015 Zgłoś Udostępnij Opublikowano 16 Lipca 2015 Cześć! Chciałem ściągnąć ostatnio program do pobierania ebooków i wraz z nim naściągało mi się pełno chińskiego syfu. Chciałbym prosić o pomoc z usunięciem tego wszystkiego. Korzystałem już z AdwCleanera oraz Malwarebytes Anti-Malware, ale oczywiście nie usunęło to wszystkiego. Poza tym, podczas analizy, pewnie znajdzie się jeszcze coś, co należy usunąć. W załącznikach wklejam pliki tekstowe utworzone przez GMER oraz FRST, aczkolwiek podczas skanowania (Quick Scan) GMERem otrzymałem takie komunikaty, przez co nie wiem, czy skan wykonał się do końca: Bardzo proszę i z góry dziękuję za wszelką pomoc. Pozdrawiam, kapucga GMER.txt Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 16 Lipca 2015 Zgłoś Udostępnij Opublikowano 16 Lipca 2015 Widać jeden aktywny wpis startowy Baidu, poza tym jednak same szczątkowe / puste wpisy. Akcje do przeprowadzenia: 1. Deinstalacje: - Pytaniem jest czy Rising Antivirus to była celowa instalacja - to także chiński wyrób i wg dat w logu powstał wtedy, gdy inne niepożądane elementy. - Pozbądź się firmowych ASUS-owych zbędników: ASUS WebStorage Sync Agent, Bing Bar, Shared C Run-time for x64 (ten ostatni to szczątek po odinstalowanym McAfee). ASUS WebStorage to program znany z tworzenia błędów explorer.exe. - Odinstaluj też starsze wersje (potem będzie instalacja najnowszych): Adobe Reader XI (11.0.12), Java 7 Update 45, Java 8 Update 45 (64-bit), Java SE Development Kit 8 Update 45 (64-bit). 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: U2 QQSysMonX64; \??\C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\QQSysMonX64.sys [X] S1 TSDefenseBt; \??\C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\TSDefenseBT64.sys [X] HKLM-x32\...\Run: [] => [X] HKLM-x32\...\Run: [ QQPCTray] => "C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\QQPCTRAY.EXE" /regrun /qqrepair HKLM-x32\...\Run: [mcui_exe] => "C:\Program Files\McAfee.com\Agent\mcagent.exe" /runkey HKU\S-1-5-21-3625697315-574066735-3411081838-1001\...\Run: [apphide] => C:\Program Files (x86)\baidu\baidu.exe [61440 2015-06-20] () HKU\S-1-5-21-3625697315-574066735-3411081838-1001\...\Policies\Explorer: [] ShellIconOverlayIdentifiers: [.QMDeskTopGCIcon] -> {B7667919-3765-4815-A66D-98A09BE662D6} => C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\QMGCShellExt64.dll No File HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = StartMenuInternet: IEXPLORE.EXE - iexplore.exe FF Plugin: @iqiyi.com/npclient -> C:\IQIYI Video\LStyle\npclient.dll No File FF Plugin: @iqiyi.com/npWebPlayer -> C:\IQIYI Video\LStyle\npWebPlayer.dll No File FF Plugin-x32: @iqiyi.com/npclient -> C:\IQIYI Video\LStyle\npclient.dll No File FF Plugin-x32: @iqiyi.com/npWebPlayer -> C:\IQIYI Video\LStyle\npWebPlayer.dll No File FF Plugin-x32: @qq.com/QQPCMgr -> C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\npQMExtensionsMozilla.dll No File FF Plugin HKU\S-1-5-21-3625697315-574066735-3411081838-1001: @iqiyi.com/npWebPlayer -> C:\IQIYI Video\LStyle\npWebPlayer.dll No File CustomCLSID: HKU\S-1-5-21-3625697315-574066735-3411081838-1001_Classes\CLSID\{0B628DE4-07AD-4284-81CA-5B439F67C5E6}\localserver32 -> D:\Autocad\AutoCAD 2015\acad.exe /Automation No File CustomCLSID: HKU\S-1-5-21-3625697315-574066735-3411081838-1001_Classes\CLSID\{149DD748-EA85-45A6-93C5-AC50D0260C98}\localserver32 -> D:\Autocad\AutoCAD 2015\acad.exe No File CustomCLSID: HKU\S-1-5-21-3625697315-574066735-3411081838-1001_Classes\CLSID\{E2C40589-DE61-11ce-BAE0-0020AF6D7005}\InprocServer32 -> D:\Autocad\AutoCAD 2015\pl-PL\acadficn.dll No File Task: {1903686A-82DF-4BF6-9F48-B4A3FD1C32FA} - System32\Tasks\{93676F8E-D262-4403-8682-F1482494E4F6} => pcalua.exe -a "C:\Team17\Worms Armageddon\wa.exe" -d "c:\Team17\Worms Armageddon" Task: {BBC97DBF-3158-4580-9856-6EE7EB9B85D7} - System32\Tasks\{AB774A4A-99AC-48A2-B8F5-28CE0353E177} => pcalua.exe -a C:\Users\Jasiu\Downloads\raidcall_v7.3.6.exe -d C:\Users\Jasiu\Downloads Task: {BDF5EAF1-2D83-462A-B472-7F321D2C77CC} - System32\Tasks\{AC834C79-C1E1-4C87-ADD4-D586D8A7EDB3} => pcalua.exe -a D:\Bwgen\Bwgen.exe -d D:\Bwgen HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\str => ""="service" C:\ppsfile C:\qycache C:\Program Files (x86)\baidu C:\ProgramData\Temp C:\ProgramData\Tencent C:\ProgramData\TXQMPC C:\Users\Jasiu\AppData\Local\SysassistByHotWheel C:\Users\Jasiu\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\爱奇艺万能播放器.lnk C:\Users\Jasiu\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\腾讯软件 C:\Users\Jasiu\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\爱奇艺万能播放器.lnk C:\Users\Jasiu\AppData\Roaming\ppslog C:\Users\Jasiu\Downloads\*(*)-dp*.* C:\Users\Jasiu\Downloads\Gbooks__1598_i1558290670_il360.exe.zip C:\Users\Jasiu\Downloads\Google Books Downloader Lite.exe C:\Users\Public\QiYi C:\WINDOWS\system32\Drivers\TFsFltX64.sys Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v mcpltui_exe /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v mcui_exe /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v " QQPCTray" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v fst_pl_121 /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v mcui_exe /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v SunJavaUpdateSched /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "mobilegeni daemon" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v apphide /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v LiveSupport /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "DAEMON Tools Lite" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan - zaznacz ponowie pole Addition. Dołącz też plik fixlog.txt. Wypowiedz się czy gdzieś jeszcze widać "chińszczyznę". Odnośnik do komentarza
kapucga Opublikowano 16 Lipca 2015 Autor Zgłoś Udostępnij Opublikowano 16 Lipca 2015 Dziękuję za szybką odpowiedź! FRST podczas operacji "fix" przestał odpowiadać podczas czyszczenia czegoś w stylu Firefox/Profiles. Mimo to, po przeprowadzeniu powyższych czynności chińszczyzny już nie widać. Usunąłem też ten Rising Antivirus, bo zainstalował się razem innym niepożądanym oprogramowaniem. W załącznikach ponownie pliki z FRST. Addition.txt Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 16 Lipca 2015 Zgłoś Udostępnij Opublikowano 16 Lipca 2015 Fix FRST zatrzymał się na ostatniej komendzie EmptyTemp: (czyszczenie lokalizacji tymczasowych) - wskazujesz, że w oknie przetwarzaną wtedy ścieżką było coś od Firefoxa. Tę komendę trzeba będzie powtórzyć. Jeden "chiński" wpis mi umknął + pozostałe poprawki (m.in. szczątki Rising): Otwórz Notatnik i wklej w nim: Task: {244EA8EB-A876-41F7-A5A5-C60B279EBDC8} - System32\Tasks\RsDelayLauncher_{8A34248E-7D35-4832-8378-7659E0B0A380} => C:\Program Files (x86)\Rising\RAV\rsdelaylauncher.exe S2 RsMgrSvc; No ImagePath BHO: 电脑管家网页防火墙 -> {7C260B4B-F7A0-40B5-B403-BEFCDC6A4C3B} -> C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\TSWebMon64.dat No File RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files (x86)\GUM4B64.tmp RemoveDirectory: C:\Program Files (x86)\Rising RemoveDirectory: C:\ProgramData\Rising RemoveDirectory: C:\RavBin CMD: del /q C:\Users\Jasiu\Downloads\tz51hegy.exe CMD: del /q C:\WINDOWS\SysWOW64\vpatch.dll Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v RSDTRAY /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v RavTRAY /f Hosts: EmptyTemp: Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść obok narzędzia FRST. Przejdź w Tryb awaryjny Windows. Uruchom FRST i kliknij w Fix. Ma nastąpić restart, opuść Tryb awaryjny. Przedstaw wynikowy fixlog.txt. Nowy skan FRST nie jest mi potrzebny. Odnośnik do komentarza
kapucga Opublikowano 16 Lipca 2015 Autor Zgłoś Udostępnij Opublikowano 16 Lipca 2015 W trybie awaryjnym zrobiło cały "fix". W załączniku plik fixlog. Fixlog.txt Odnośnik do komentarza
Rekomendowane odpowiedzi