kondziucha Opublikowano 13 Lipca 2016 Zgłoś Udostępnij Opublikowano 13 Lipca 2016 Dzien Dobry, Jest to moj pierwszy post takze prosze o wyrozumialosc. Mam problem z chinskimi programami ktore poinstalowaly mi sie przy okazji instalacji innego programu z niepewnego zrodla, prosze o pomoc FRST.txt Addition.txt LOG.txt Odnośnik do komentarza
picasso Opublikowano 13 Lipca 2016 Zgłoś Udostępnij Opublikowano 13 Lipca 2016 Zacznij od próby poprawnej deinstalacji: 1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj Reimage Repair, 电脑管家11.6. 2. Zrób nowy log FRST z opcji Skanuj (Scan), z zaznaczonymi polami Addition i Shortcut. Odnośnik do komentarza
kondziucha Opublikowano 13 Lipca 2016 Autor Zgłoś Udostępnij Opublikowano 13 Lipca 2016 udało mi się usunąć 电脑管家11.6 lecz avast pokazuje mi iż zostały jakieś pliki po nim, wklejam nowe logi Addition.txt Shortcut.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 13 Lipca 2016 Zgłoś Udostępnij Opublikowano 13 Lipca 2016 Deinstalalacja wprawdzie pomyślnie wykonana, ale Tencent nie jest w pełni odinstalowany. Poza tym, mamy więcej problemów z adware. Kolejne działania do przeprowadzenia: 1. Wejdź do folderów C:\Program Files (x86)\MPC Cleaner + C:\Program Files (x86)\mpck. Wyszukaj plik deinstalatora (o ile jest) i z prawokliku na niego "Uruchom jako administrator". 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: U2 QQRepair10e7; C:\Program Files (x86)\Tencent\QQPCMGR\QQRepair10e7 [147176 2016-07-05] () S2 QQRepairFixSVC; C:\Program Files (x86)\Tencent\QQPCMGR\QQRepairFixSVC [147176 2016-07-05] () R1 SRepairDrv; \??\C:\Program Files (x86)\Tencent\QQPCMGR\SRepairDrv [179320 2016-07-05] () R4 TAOKernelDriver; C:\Windows\system32\Drivers\TAOKernelEx64.sys [141816 2016-06-22] (Tencent Technology(Shenzhen) Company Limited) R1 UCGuard; C:\Windows\System32\DRIVERS\ucguard.sys [80768 2016-04-25] (Huorong Borui (Beijing) Technology Co., Ltd.) S2 coollevalalyconfigurationService; Brak ImagePath S2 gulesuwizbt; Brak ImagePath R1 QMUdisk; \??\C:\Program Files (x86)\Tencent\QQPCMgr\11.6.17647.229\QMUdisk64.sys [X] R3 softaal; \??\C:\Program Files (x86)\Tencent\QQPCMgr\11.6.17647.229\softaal64.sys [X] R2 tsnethlpx64; \??\C:\Program Files (x86)\Tencent\QQPCMgr\11.6.17647.229\TsNetHlpX64.sys [X] Task: {221EA8EF-8BB5-404F-801E-2E225B8904BD} - System32\Tasks\KondzioDecelerationsPlumagesV2 => Rundll32.exe BilkedBronzier.dll,main 7 1 Task: {4812C033-B219-46DA-9748-7C66B9D18675} - System32\Tasks\Coollevalaly Configuration => C:\Program Files (x86)\Coollevalaly\coollevalalyconfigurationTask.exe Task: {6F1BB191-109F-4EDB-AE63-1D4D51C3CEAB} - System32\Tasks\{36322EEB-8510-5E51-9BDD-6E7D9140FACA} => C:\Users\Kondzio\AppData\Roaming\{36322~1\SYNCVE~1.EXE Task: C:\Windows\Tasks\{36322EEB-8510-5E51-9BDD-6E7D9140FACA}.job => C:\Users\Kondzio\AppData\Roaming\{36322~1\SYNCVE~1.EXE AppInit_DLLs: C:\ProgramData\Quotenamron\Greendax.dll => Brak pliku AppInit_DLLs-x32: C:\ProgramData\Quotenamron\Tiprunsoft.dll => Brak pliku HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\QQPCRTP => ""="service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\QQPCRTP => ""="service" HKLM-x32\...\Run: [apphide] => C:\Program Files (x86)\badu\qq.exe HKU\S-1-5-21-4146119985-1251853827-3017599396-1001\...\Run: [apphide2] => C:\Program Files (x86)\badu\qq.exe HKU\S-1-5-21-4146119985-1251853827-3017599396-1001\...\Run: [blueStacks Agent] => C:\Program Files (x86)\Bluestacks\HD-Agent.exe HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.hao123.com/?tn=92731610_hao_pg HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKU\S-1-5-21-4146119985-1251853827-3017599396-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dPat1KB19jY-l6YWQiYlTnRlNmue7Gwoemo4HZRu3dgEjIK7QEilMSC02k30CQFrHqjHv64_f-Id365bN3zqdmZWfqwFbAj4gTG02n-fPzrl_F7Kh32nLaHEtla0DhlSE2crepcdLeQYjdiB8_XDuvY1Q3Y&q={searchTerms} HKU\S-1-5-21-4146119985-1251853827-3017599396-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dPat1KB19jY-l6YWQiYlTnRlNmue7Gwoemo4HZRu3dgEjIK7QEilMSC02k30CQFrHqjHv64_f-Id365bN3zqdmZWfqwFbAj4gTG02n-fPzrl_F7Kh32nLaHEtla0DhlSE2crepcdLeQYjdiB8_XDuvY1Q3Y&q={searchTerms} HKU\S-1-5-21-4146119985-1251853827-3017599396-1001\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dPat1KB19jY-l6YWQiYlTnRlNmue7Gwoemo4HZRu3dgEjIK7QEilMSC02k30CQFrHqjHv64_f-Id365bN3zqdmZWfqwFbAj4gTG02n-fPzrl_F7Kh32nLaHEtla0DhlSE2crepcdLeQYjdiB8_XDuvY1Q3Y&q={searchTerms} HKU\S-1-5-21-4146119985-1251853827-3017599396-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.hao123.com/?tn=92731610_hao_pg SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dPat1KB19jY-l6YWQiYlTnRlNmue7Gwoemo4HZRu3dgEjIK7QEilMSC02k30CQFrHqjHv64_f-Id365bN3zqdmZWfqwFbAj4gTG02n-fPzrl_F7Kh32nLaHEtla0DhlSE2crepcdLeQYjdiB8_XDuvY1Q3Y&q={searchTerms} SearchScopes: HKU\S-1-5-21-4146119985-1251853827-3017599396-1001 -> DefaultScope {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dPat1KB19jY-l6YWQiYlTnRlNmue7Gwoemo4HZRu3dgEjIK7QEilMSC02k30CQFrHqjHv64_f-Id365bN3zqdmZWfqwFbAj4gTG02n-fPzrl_F7Kh32nLaHEtla0DhlSE2crepcdLeQYjdiB8_XDuvY1Q3Y&q={searchTerms} SearchScopes: HKU\S-1-5-21-4146119985-1251853827-3017599396-1001 -> {EE8FB2EF-1E18-4419-8F18-A175BE3A5C91} URL = hxxps://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=435371&p={searchTerms} SearchScopes: HKU\S-1-5-21-4146119985-1251853827-3017599396-1001 -> {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dPat1KB19jY-l6YWQiYlTnRlNmue7Gwoemo4HZRu3dgEjIK7QEilMSC02k30CQFrHqjHv64_f-Id365bN3zqdmZWfqwFbAj4gTG02n-fPzrl_F7Kh32nLaHEtla0DhlSE2crepcdLeQYjdiB8_XDuvY1Q3Y&q={searchTerms} BHO-x32: Ó¦Óñ¦Ň»Ľü°˛×°˛ĺĽţ -> {50F4150A-48B2-417A-BE4C-C83F580FB904} -> C:\Program Files (x86)\Common Files\Tencent\QQPhoneManager\2.0.201.3192\npQQPhoneManagerExt.dll [2014-05-30] (腾讯公司) DeleteKey: HKCU\Software\Microsoft\Internet Explorer\Search DeleteKey: HKCU\Software\Microsoft\Internet Explorer\SearchUrl DeleteKey: HKCU\Software\Tencent DeleteKey: HKLM\SOFTWARE\Microsoft\Internet Explorer\Search DeleteKey: HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchUrl DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\Tencent DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Search DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchUrl DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Tencent Reg: reg add "HKLM\SYSTEM\CurrentControlSet\Control\Session Manager" /v PendingFileRenameOperations /t REG_MULTI_SZ /d "" /f C:\extensions C:\Program Files\Reimage C:\Program Files\Common Files\Tencent C:\Program Files (x86)\014D8E17-1465842485-11E5-8FC7-507B9D810DC9 C:\Program Files (x86)\badu C:\Program Files (x86)\Coollevalaly C:\Program Files (x86)\Esuyjojeght C:\Program Files (x86)\mpck C:\Program Files (x86)\Phepryhsadom C:\Program Files (x86)\Tencent C:\Program Files (x86)\Common Files\Tencent C:\ProgramData\SogouInput C:\ProgramData\Tencent C:\ProgramData\TXQMPC C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MPC C:\ProgramData\Microsoft\Windows\Start Menu\Programs\腾讯软件 C:\Users\Kondzio\AppData\Local\3810282D-6C19-47B0-8283-5C6C29A7E108 C:\Users\Kondzio\AppData\Local\app C:\Users\Kondzio\AppData\Local\Avg C:\Users\Kondzio\AppData\Local\AvgSetupLog C:\Users\Kondzio\AppData\Local\DecelerationsPlumages C:\Users\Kondzio\AppData\Local\PreadaptedRecrated C:\Users\Kondzio\AppData\Roaming\*.* C:\Users\Kondzio\AppData\Roaming\MCorp C:\Users\Kondzio\AppData\Roaming\Tencent C:\Users\Kondzio\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器 C:\Users\Kondzio\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\腾讯软件 C:\Users\Kondzio\Downloads\ReimageRepair.exe C:\Users\Kondzio\Downloads\ReimageRepair (1).exe C:\Windows\chromebrowser.exe C:\Windows\Reimage.ini C:\Windows\system32\Drivers\TAOKernelEx64.sys C:\Windows\system32\Drivers\TFsFltX64.sys C:\Windows\System32\Drivers\ucguard.sys C:\Windows\SysWOW64\Drivers\TS888x64.sys CMD: netsh advfirewall reset Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Adware podstawiło w Google Chrome całkowicie nowy profil ChromeDefaultData (nazwa wyświetlana user0), który należy usunąć. Czyli: Ustawienia > karta Ustawienia > Osoby > Dodaj Osobę, następnie zaloguj się na nowy profil, zamknij okno poprzedniego, w Ustawieniach skasuj "user0". Po tej akcji trzeba odpiąć skróty Chrome z paska i przypiąć od nowa. Wg raportu FRST jest poprzedni profil na dysku, ale zanieczyszczony przez adware Safefinder. Nie wiadomo też czy traktowany nadal przez Chrome jako działający profil, to może być tylko odpadkowy folder. Na razie nie ruszam tego folderu, na wypadek gdyby trzeba było odzyskać z niego zakładki. 4. Zrób nowy log FRST z opcji Skanuj (Scan), z Addition, już bez Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się też czy w ustawieniach Chrome było widać inny profil niż user0. Odnośnik do komentarza
kondziucha Opublikowano 13 Lipca 2016 Autor Zgłoś Udostępnij Opublikowano 13 Lipca 2016 W ustawieniach Chrome byl tylko user0 a tutaj logi Fixlog.txt FRST.txt Addition.txt Odnośnik do komentarza
picasso Opublikowano 13 Lipca 2016 Zgłoś Udostępnij Opublikowano 13 Lipca 2016 (edytowane) Adware pomyślnie usunięte i nie jest już aktywne. Teraz już tylko poprawki. Kolejna porcja:1. Czy utraciłeś zakładki w Google Chrome, tzn. czy przed infekcją miałeś jakieś zapisane? Jeśli tak, to zamknij Chrome i przekopiuj pliki Bookmarks i Bookmarks.bak z folderu martwego profilu sprzed infekcji:C:\Users\Kondzio\AppData\Local\Google\Chrome\User Data\Default... do świeżo założonego profilu:C:\Users\Kondzio\AppData\Local\Google\Chrome\User Data\Profile 12. Otwórz Notatnik i wklej w nim:HKU\S-1-5-21-4146119985-1251853827-3017599396-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.hao123.com/?tn=92731610_hao_pgS1 MPCKpt; system32\DRIVERS\MPCKpt.sys [X]C:\Program Files (x86)\MPC CleanerC:\Users\Kondzio\AppData\Local\Google\Chrome\User Data\ChromeDefaultDataC:\Users\Kondzio\AppData\Local\Google\Chrome\User Data\DefaultC:\Windows\system32\Drivers\MPCKpt.removed734977625Plik zapisz pod nazwą fixlist.txt (już nie trzeba ustawiać kodowania UTF-8) w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie powinno być restartu. Przedstaw wynikowy fixlog.txt.3. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner. Edytowane 14 Sierpnia 2016 przez picasso Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi