ponczekcharlie Opublikowano 28 Maja 2016 Zgłoś Udostępnij Opublikowano 28 Maja 2016 Cześć, wczoraj na moim komputerze pojawił się wirus Tendent. Z pomocą youtube'a wydaję mi się że poradziłem sobie z tym problemem, natomiast dziś zlokalizowałem całą masę nowego szitu. W trybie awaryjnym usunąłem wszystkie pliki z dysku C, które zostały utworzone dziś lub wczoraj. Z menadżera plików zniknęło jakieś 15 procesów. Jednak moje zaniepokojenie wzbudził fakt, że kurczy się miejsce na dysku C praktycznie z minuty na minutę i nie wiem co to powoduje i gdzie mnożą się te robale. Wrzucam logi z FRST, liczę na waszą pomoc. Z góry dziękuję. up gmer.txt Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 31 Maja 2016 Zgłoś Udostępnij Opublikowano 31 Maja 2016 Na dostarczonych tu raportach nie da się pracować. Posłużyłeś się potwornie starą wersją FRST pozbawioną wielu nowych skanów i poprawek: Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 02-05-2015 (ATTENTION: ====> FRST version is 393 days old and could be outdated) Proszę pobierz najnowszą z przyklejonego i zrób raporty zgodnie z wytycznymi: KLIK. Odnośnik do komentarza
picasso Opublikowano 2 Czerwca 2016 Zgłoś Udostępnij Opublikowano 2 Czerwca 2016 Nowe logi wstawione, przechodzimy do usuwania. Odpowiadasz mi już w nowym poście, nie edytuj pierwszego i nie podmieniaj logów. Problem podstawowy to aktywna infekcja DNS i modyfikacja systemowych plików dnsapi.dll. Prócz tego masa odpadków adware. Działania wstępne: 1. Uruchom RepairDNS. Na Pulpicie powstanie log RepairDNS.txt. 2. Odinstaluj Ace Stream Media 3.1.1.1 (wbudowany moduł adware) oraz Adobe Flash Player 10 ActiveX (stara niebezpieczna wersja). 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S2 Afict; "C:\Users\Karol\AppData\Roaming\Nudnum\Nudnum.exe" -cms [X] S2 backlh; C:\ProgramData\Logic Handler\set.exe [X] S2 CloudPrinter; C:\ProgramData\\CloudPrinter\\CloudPrinter.exe shuz -f "C:\ProgramData\\CloudPrinter\\CloudPrinter.dat" -l -a S2 cobycekozbt; C:\Program Files (x86)\46313030-1464376569-3142-3230-3139FFFFFFFF\knsm18A8.tmpfs [X] S2 dowidoly; Brak ImagePath S2 Ikermuze; "C:\Users\Karol\AppData\Roaming\JatwOjeura\Siynfunf.exe" -cms [X] S2 Quoteex; C:\ProgramData\\Quoteex\\Quoteex.exe shuz -f "C:\ProgramData\\Quoteex\\Quoteex.dat" -l -a S2 rijufoze; C:\Program Files (x86)\46313030-1464376569-3142-3230-3139FFFFFFFF\hnsc4896.tmp [X] S2 SSFK; C:\Program Files (x86)\SFK\SSFK.exe -s [X] R1 cherimoya; C:\Windows\System32\drivers\cherimoya.sys [82240 2016-05-28] (Cherimoya Ltd) S3 TSSKX64; C:\Windows\System32\drivers\tsskx64.sys [54904 2016-05-27] (电脑管家) S1 MPCKpt; system32\DRIVERS\MPCKpt.sys [X] S1 QMUdisk; \??\C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\QMUdisk64.sys [X] S1 softaal; \??\C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\softaal64.sys [X] S1 SRepairDrv; \??\C:\Program Files (x86)\Tencent\QQPCMGR\SRepairDrv [X] S2 tsnethlpx64; \??\C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\TsNetHlpX64.sys [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\QQPCRTP => ""="service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\QQPCRTP => ""="service" HKLM-x32\...\Run: [svchost.exe -start] => C:\ProgramData\svchost.exe -start HKU\S-1-5-19\...\Run: [sidebar] => %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun HKU\S-1-5-20\...\Run: [sidebar] => %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun AppInit_DLLs: C:\ProgramData\Quoteex\Zathsoft.dll => Brak pliku AppInit_DLLs-x32: C:\ProgramData\Quoteex\HomeTontough.dll => Brak pliku Tcpip\..\Interfaces\{549DF18E-551F-403C-BCE2-9FA15230C1D2}: [NameServer] 104.197.191.4 Tcpip\..\Interfaces\{846ee342-7039-11de-9d20-806e6f6e6963}: [NameServer] 104.197.191.4 HKU\S-1-5-21-1544065239-652640673-2946235325-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccYu6aEhdAQJAr6KR-UDqFZpQuTFuLw5jK08HKqTPVNZGhjy7WlPsBwQAZxBxCt_IklVdBQgEFpU9AiczlF_ZQMnuA3rTrVH6MciT8yqy1UxAkCeXwr_shxMSSwFsB6TWqTTs_9lqfWraMAEBfglef8Ad861Og,,&q={searchTerms} HKU\S-1-5-21-1544065239-652640673-2946235325-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccYu6aEhdAQJAr6KR-UDqFZpQuTFuLw5jK08HKqTPVNZGhjy7WlPsBwQAZxBxCt_IklZe2utCraANmceghWX9XI4m8ZGnnTO5ki8GTH6YAJvEwQNlQjceRUYEgfZ1JHk6huAUllCpDVzBAJmpSHvi6QtrE1o0Q,, HKU\S-1-5-21-1544065239-652640673-2946235325-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccYu6aEhdAQJAr6KR-UDqFZpQuTFuLw5jK08HKqTPVNZGhjy7WlPsBwQAZxBxCt_IklVdBQgEFpU9AiczlF_ZQMnuA3rTrVH6MciT8yqy1UxAkCeXwr_shxMSSwFsB6TWqTTs_9lqfWraMAEBfglef8Ad861Og,,&q={searchTerms} HKU\S-1-5-21-1544065239-652640673-2946235325-1000\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccYu6aEhdAQJAr6KR-UDqFZpQuTFuLw5jK08HKqTPVNZGhjy7WlPsBwQAZxBxCt_IklVdBQgEFpU9AiczlF_ZQMnuA3rTrVH6MciT8yqy1UxAkCeXwr_shxMSSwFsB6TWqTTs_9lqfWraMAEBfglef8Ad861Og,,&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccYu6aEhdAQJAr6KR-UDqFZpQuTFuLw5jK08HKqTPVNZGhjy7WlPsBwQAZxBxCt_IklVdBQgEFpU9AiczlF_ZQMnuA3rTrVH6MciT8yqy1UxAkCeXwr_shxMSSwFsB6TWqTTs_9lqfWraMAEBfglef8Ad861Og,,&q={searchTerms} SearchScopes: HKU\S-1-5-21-1544065239-652640673-2946235325-1000 -> DefaultScope {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccYu6aEhdAQJAr6KR-UDqFZpQuTFuLw5jK08HKqTPVNZGhjy7WlPsBwQAZxBxCt_IklVdBQgEFpU9AiczlF_ZQMnuA3rTrVH6MciT8yqy1UxAkCeXwr_shxMSSwFsB6TWqTTs_9lqfWraMAEBfglef8Ad861Og,,&q={searchTerms} SearchScopes: HKU\S-1-5-21-1544065239-652640673-2946235325-1000 -> {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccYu6aEhdAQJAr6KR-UDqFZpQuTFuLw5jK08HKqTPVNZGhjy7WlPsBwQAZxBxCt_IklVdBQgEFpU9AiczlF_ZQMnuA3rTrVH6MciT8yqy1UxAkCeXwr_shxMSSwFsB6TWqTTs_9lqfWraMAEBfglef8Ad861Og,,&q={searchTerms} CHR HomePage: Default -> hxxp://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccYu6aEhdAQJAr6KR-UDqFZpQuTFuLw5jK08HKqTPVNZGhjy7WlPsBwQAZxBxCt_IklVb5P14roTCx8DakOP-yuMHB2bw9fcSQvlq0PEUi886yUi3RLZxleEBahsRhL7RMvD0x3IBuV7UkFlG0jza4EXoRdAqg,, CHR HKU\S-1-5-21-1544065239-652640673-2946235325-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [mjbepbhonbojpoaenhckjocchgfiaofo] - hxxps://clients2.google.com/service/update2/crx ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> %SNP% ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> %SNF% ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> %SNF% DeleteKey: HKCU\Software\Mozilla\Firefox\Extensions DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AvgUi DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DAEMON Tools Lite DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DIMDownloading your update...1300677038363 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\NVIDIA Corporation\MediaShield C:\ProgramData\Microsoft\Windows\Start Menu\Programs\NVIDIA Corporation\Panel sterowania NVIDIA C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SubtitleCreator C:\Users\Karol\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\腾讯软件 C:\Users\Karol\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Subtitle Workshop\Help C:\Users\Karol\Documents\Corel\CorelDRAW X5 Samples\target.lnk C:\Users\Public\Thunder Network C:\Windows\chromebrowser.exe C:\Windows\system32\ghn C:\Windows\SysWOW64\Number of results C:\Windows\system32\Drivers\etc\hp.bak C:\Windows\system32\Drivers\cherimoya.sys C:\Windows\system32\Drivers\TFsFltX64.sys C:\Windows\system32\Drivers\TSSKX64.sys C:\Windows\SysWOW64\findit.xml C:\Windows\SysWOW64\Drivers\TS888x64.sys CMD: ipconfig /flushdns CMD: netsh advfirewall reset Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Wyczyść przeglądarki z adware: Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 5. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z zaznaczonym polem Addition. Dołącz też pliki fixlog.txt i RepairDNS.txt. Odnośnik do komentarza
ponczekcharlie Opublikowano 4 Czerwca 2016 Autor Zgłoś Udostępnij Opublikowano 4 Czerwca 2016 Bardzo dziękuję za pomoc. W załączniku logi. Addition.txt FRST.txt Fixlog.txt RepairDNS.txt Odnośnik do komentarza
picasso Opublikowano 7 Czerwca 2016 Zgłoś Udostępnij Opublikowano 7 Czerwca 2016 Większość operacji wykonana, ale niestety nie zapisałeś pliku Fixlist w UTF-8, co było konieczne by przetworzyć folder z chińską nazwą. Poprawki: 1. RepairDNS nie naprawił wszystkich wystąpień zainfekowanego dnsapi.dll. Ponów operację z programem. 2. Nie ma oznak wykonania tej operacji: Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: AV: AVG AntiVirus Free Edition 2015 (Enabled - Up to date) {4D41356F-32AD-7C42-C820-63775EE4F413} AS: AVG AntiVirus Free Edition 2015 (Enabled - Up to date) {F620D48B-1497-73CC-F290-58052563BEAE} HKU\S-1-5-21-1544065239-652640673-2946235325-1000\...\Run: [AceWebExtensionUpdater] => C:\Users\Karol\AppData\Roaming\AceWebExtension\updater\ace_web_extension.exe [22824 2015-02-28] () C:\Users\Karol\AppData\Roaming\.ACEStream C:\Users\Karol\AppData\Roaming\ACEStream C:\Users\Karol\AppData\Roaming\AceWebExtension C:\Users\Karol\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\腾讯软件 Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart systemu. Powstanie kolejny fixlog.txt. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też pliki fixlog.txt i RepairDNS.txt. Odnośnik do komentarza
ponczekcharlie Opublikowano 15 Czerwca 2016 Autor Zgłoś Udostępnij Opublikowano 15 Czerwca 2016 Wszystko zgodnie z zaleceniami. W załączniku logi, dzięki. FRST.txt Fixlog.txt RepairDNS.txt Odnośnik do komentarza
picasso Opublikowano 16 Czerwca 2016 Zgłoś Udostępnij Opublikowano 16 Czerwca 2016 Wszystko poprawnie wykonane. Teraz: Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner. Odnośnik do komentarza
ponczekcharlie Opublikowano 20 Czerwca 2016 Autor Zgłoś Udostępnij Opublikowano 20 Czerwca 2016 W załączniku log. Wróciłem do acestream świadomie, nie widzę inne alternatywy dla niego. Dziękuje z góry za pomoc. AdwCleanerS1.txt Odnośnik do komentarza
picasso Opublikowano 11 Lipca 2016 Zgłoś Udostępnij Opublikowano 11 Lipca 2016 (edytowane) Następnym razem proszę powstrzymaj się z przywracaniem programów podczas gdy czyszczenie nie zostało ukończone. To zaburza procesy. No cóż, AdwCleaner wykrywa masę składników Ace Stream Media. Log nie jest więc wiarygodny w kontekście tego, że chcesz zatrzymać ten program, użycie AdwCleaner uszkodzi go, a wykluczeń ręcznych jest tu stanowczo zbyt dużo do wdrożenia. Tymczasowo poprawnie odinstaluj Ace Stream Media, następnie zapuść AdwCleaner ponownie i tym razem zastosuj sekwencję opcji Skanuj + Usuń, dostarcz log z czyszczenia. I na razie Ace Stream Media nie instaluj ponownie, dopóki nie skończymy z czyszczeniem systemu, gdyż kolejny skaner, który mam w zamiarze zastosować może go też wykrywać... To Twoja decyzja, by używać program z adware, ja to jednak odradzam. Edytowane 11 Sierpnia 2016 przez picasso Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi