rafal85 Opublikowano 28 Sierpnia 2016 Zgłoś Udostępnij Opublikowano 28 Sierpnia 2016 Witam serdecznie, Laptop został zainfekowany chińskimi trojanami - pojawiło się mnóstwo "aplikacji" i folderów podpisanych "krzaczkami" albo podejrzanymi nazwami. Objawami były/są: - otwieranie się przypadkowych stron www, pop-up'ów, banerów - wygaszanie/odświeżanie ekranu - zwiększone zużycie procesora - zauważyłem, ze przy kursorze non stop "miga" kółko zajętości systemu Do tej pory kilkukrotnie przeprowadziłem czyszczenie AdwCleanerem - dość znacząco poprawiło to sytuację, jednak nadal otwierają się niepożądane strony oraz występuje większe wykorzystanie procesora - procesów wymienionych w temacie nie udało mi się wyeliminować. FRST.txt Addition.txt Shortcut.txt Odnośnik do komentarza
jessica Opublikowano 28 Sierpnia 2016 Zgłoś Udostępnij Opublikowano 28 Sierpnia 2016 1) Otwórz Notatnik i wklej w nim: WMI_ActiveScriptEventConsumer_ASEC: <===== UWAGAR4 Noije; C:\Users\Ewa\AppData\Roaming\Geunfy\Geunfy.exe [170496 2016-08-11] () [brak podpisu cyfrowego]C:\Users\Ewa\AppData\Roaming\AdAnti13.exeShortcutWithArgument: C:\Users\Ewa\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://yeabests.ccShortcutWithArgument: C:\Users\Ewa\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://yeabests.ccShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://yeabests.ccShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://yeabests.ccRemoveDirectory: C:\Users\Ewa\AppData\Roaming\GeunfyRemoveDirectory: C:\Program Files\ZipToolRemoveDirectory: C:\Program Files (x86)\LuDaShiRemoveDirectory: C:\Program Files (x86)\GreatMakerRemoveDirectory: C:\Program Files (x86)\HosispRemoveDirectory: C:\Users\Ewa\AppData\Roaming\GowvePitpagfC:\Users\Ewa\AppData\LocalLow00706F58C:\Users\Ewa\AppData\LocalLow00000222AE48CEA8C:\Program Files (x86)\AdAntiC:\Users\Ewa\AppData\LocalLow0151BE18C:\Users\Ewa\AppData\LocalLow000001EB21507E08C:\Users\Ewa\AppData\LocalLow\CompanyC:\Users\Ewa\AppData\Local\TempfolderC:\Users\Ewa\AppData\Roaming\EYapp.apkC:\Users\Ewa\AppData\Roaming\Installer.datC:\Users\Ewa\AppData\Roaming\InstallationConfiguration.xmlC:\WINDOWS\system32\Drivers\etc\hp.bakS2 Bokvunnu; "C:\Users\Ewa\AppData\Roaming\GowvePitpagf\Lurzem.exe" -cms [X]S2 chkwarduzuspnodifierAtucoch.exe; "C:\Program Files (x86)\Hosisp\chkwarduzuspnodifierAtucoch.exe" {C25DA384-2010-45A4-A1ED-BFA540D4789B} {9DC74CD5-24EA-4ADE-9C42-608A8CE17116} [X]c:\Users\Ewa\AppData\Roaming\ziptool_wc-9015_setup.exeC:\Users\Ewa\Downloads\DAEMON-Tools-Lite-12708-dp.exeC:\Users\Ewa\AppData\Roaming\MaoHaWiFiSetup_262.exeTask: {40DCCCC6-A78D-4432-97B2-B357EF9F3CE0} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku <==== UWAGATask: {660831BD-2B3F-42B0-BAD9-20D01F6E3A72} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku <==== UWAGATask: {A1636EA3-B47B-4EB9-98DA-D05D93C0E1EB} - \PCDoctorBackgroundMonitorTask -> Brak pliku <==== UWAGATask: {B5134E8D-7CD8-4283-9ABF-DCA67E69752A} - \PCDEventLauncherTask -> Brak pliku <==== UWAGATask: {C6251BCF-501A-4A4B-AC12-A658D5157F82} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku <==== UWAGATask: {C87C4EF8-B9CD-4763-A112-549FF32B7A30} - \SystemToolsDailyTest -> Brak pliku <==== UWAGATask: {C8E3056B-9BF3-4F79-AA69-C70E1F7BFA04} - System32\Tasks\{3C64C152-CD1E-4490-A2F8-FFA886AFBFEB} => pcalua.exe -a "C:\Program Files\ZipTool\Uninstall.exe" -c -m=controlTask: {F3A8EA6D-0CEC-4206-8DC8-3A659795F48B} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku <==== UWAGATask: {FCCC4949-FAC9-4774-AE1F-D0AC765E92CD} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku <==== UWAGAFirewallRules: [{E6E0C8B3-B754-46C9-B3FB-E718B7F6D006}] => (Allow) C:\Program Files (x86)\LuDaShi\ComputerZTray.exeFirewallRules: [{78F9C672-1DC9-4F29-B113-F39D947A782F}] => (Allow) C:\Program Files (x86)\LuDaShi\ComputerZTray.exeFirewallRules: [{C02D9EBE-F5B6-43B8-BF46-49ED27807FF2}] => (Allow) C:\Program Files (x86)\LuDaShi\Utils\mininews.exeFirewallRules: [{6CB1343A-0FD9-4099-A230-85B5106344F6}] => (Allow) C:\Program Files (x86)\LuDaShi\Utils\mininews.exeFirewallRules: [{D2278B32-90DA-4913-83AF-700E778262F6}] => (Allow) C:\Program Files (x86)\GreatMaker\MaohaWiFi\MaohaWifiSvr.exeFirewallRules: [{695C3D67-E50D-4BFF-9837-7F24EA2BC639}] => (Allow) C:\Program Files (x86)\GreatMaker\MaohaWiFi\DrvUpdate.exeShellIconOverlayIdentifiers: [JzShlobj] -> {7B286609-DA97-47E1-AC6B-33B8B4732C95} => Brak plikuSearchScopes: HKU\S-1-5-21-2818533651-1657455439-3753040178-1001 -> DefaultScope {70EFC427-9563-4381-BE81-2B19A0D2F11B} URL =SearchScopes: HKU\S-1-5-21-2818533651-1657455439-3753040178-1001 -> {70EFC427-9563-4381-BE81-2B19A0D2F11B} URL =FF Plugin: @mcafee.com/MSC,version=10 -> C:\Program Files\mcafee\msc\npMcSnFFPl64.dll [brak pliku]C:\Users\Ewa\AppData\Roaming\setup.apkHOSTS:EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exeUruchom FRST i kliknij przycisk Fix (NAPRAW). 2) Użyj RepairDNS> https://www.fixitpc.pl/topic/8-dezynfekcja-zbi%C3%B3r-narz%C4%99dzi-usuwaj%C4%85cych/#entry172749 Daj z tego log. 3) Zrób nowe logi FRST. przed skanem zaznacz: Additional.txt Shortcut.txt, 4) Znasz to: ShortcutWithArgument: C:\Users\Ewa\AppData\Local\CallbackArresting\allegro.pl .lnk -> C:\Windows\explorer.exe (Microsoft Corporation) -> C:\Users\Ewa\AppData\Local\CallbackArresting\allegro.pl.smenu.URLShortcutWithArgument: C:\Users\Ewa\AppData\Local\CallbackArresting\allegro.pl.lnk -> C:\Windows\explorer.exe (Microsoft Corporation) -> C:\Users\Ewa\AppData\Local\CallbackArresting\allegro.pl.tbar.URLShortcutWithArgument: C:\Users\Ewa\AppData\Local\CallbackArresting\Booking .lnk -> C:\Windows\explorer.exe (Microsoft Corporation) -> C:\Users\Ewa\AppData\Local\CallbackArresting\Booking.smenu.URLShortcutWithArgument: C:\Users\Ewa\AppData\Local\CallbackArresting\Booking.lnk -> C:\Windows\explorer.exe (Microsoft Corporation) -> C:\Users\Ewa\AppData\Local\CallbackArresting\Booking.tbar.URL jessi Odnośnik do komentarza
rafal85 Opublikowano 28 Sierpnia 2016 Autor Zgłoś Udostępnij Opublikowano 28 Sierpnia 2016 Załączam logi. Po restarcie i uruchomieniu przeglądarki, stroną startową jest Youndoo... Tych skrótów najlepiej byłoby się też pozbyć. FRST.txt Addition.txt Shortcut.txt RepairDNS.txt Odnośnik do komentarza
jessica Opublikowano 28 Sierpnia 2016 Zgłoś Udostępnij Opublikowano 28 Sierpnia 2016 FOUND: C:\WINDOWS\System32\dnsapi.dll [686976] =>DisinfectedFOUND: C:\WINDOWS\SysWOW64\dnsapi.dll [535080] =>Hijacker.DNS.Hosts Jeszcze raz użyj RepairDNS , daj z tego log, a ja przez tez czas przejrzę logi. youndoo - Uninstall (HKLM-x32\...\{277E1AB3-FDB5-4A43-BAE5-1FA72215B736}) (Version: - ) <==== UWAGA Spróbuj odinstalować ten program. jessi Odnośnik do komentarza
rafal85 Opublikowano 28 Sierpnia 2016 Autor Zgłoś Udostępnij Opublikowano 28 Sierpnia 2016 Ponownie uruchomiłem RepairDNS - w załączeniu log. Korzystając z Revo Uninstaller, odinstalowałem Youndoo _________________ edit: dodałem raz jeszcze RepairDNS.txt Odnośnik do komentarza
jessica Opublikowano 28 Sierpnia 2016 Zgłoś Udostępnij Opublikowano 28 Sierpnia 2016 Ponownie uruchomiłem RepairDNS - w załączeniu log. nie widzę tego logu z RepairDNS EDIT: FOUND: C:\WINDOWS\System32\dnsapi.dll [686976] Microsoft Windows® =>DisinfectedFOUND: C:\WINDOWS\SysWOW64\dnsapi.dll [535080] Microsoft Windows® =>Disinfected Te pliki są już OK. Otwórz Notatnik i wklej w nim: S2 Arsmapperkenryneners.exe; C:\Program Files (x86)\Cohughtplebse\Arsmapperkenryneners.exe [367704 2016-08-28] ()R2 SoEasyHelper; C:\ProgramData\SoeasyHelper\Helper.exe [182424 2016-08-28] (TODO: <Company name>) R2 SoEasySvc; C:\Program Files (x86)\SoSoEasy\SoSoEasySvc.exe [182424 2016-08-28] (TODO: <Company name>) RemoveDirectory: C:\ProgramData\SoeasyHelper RemoveDirectory: C:\Program Files (x86)\SoSoEasy RemoveDirectory: C:\Program Files (x86)\Cohughtplebse RemoveDirectory: C:\Users\Ewa\AppData\Local\CallbackArresting ShortcutWithArgument: C:\Users\Ewa\AppData\Local\CallbackArresting\allegro.pl .lnk -> C:\Windows\explorer.exe (Microsoft Corporation) -> C:\Users\Ewa\AppData\Local\CallbackArresting\allegro.pl.smenu.URL ShortcutWithArgument: C:\Users\Ewa\AppData\Local\CallbackArresting\allegro.pl.lnk -> C:\Windows\explorer.exe (Microsoft Corporation) -> C:\Users\Ewa\AppData\Local\CallbackArresting\allegro.pl.tbar.URL ShortcutWithArgument: C:\Users\Ewa\AppData\Local\CallbackArresting\Booking .lnk -> C:\Windows\explorer.exe (Microsoft Corporation) -> C:\Users\Ewa\AppData\Local\CallbackArresting\Booking.smenu.URL ShortcutWithArgument: C:\Users\Ewa\AppData\Local\CallbackArresting\Booking.lnk -> C:\Windows\explorer.exe (Microsoft Corporation) -> C:\Users\Ewa\AppData\Local\CallbackArresting\Booking.tbar.URL FF NewTab: hxxp://www.youndoo.com/?z=c5c50f2e1ea6f59e8f12dcagaz1m6odz1gcw4o7q6b&from=3gs&uid=ADATAXSP920SS_14260C69D9030C69D903&type=hp FF DefaultSearchEngine: youndoo FF DefaultSearchEngine.US: data:text/plain,browser.search.defaultenginename.US=youndoo FF SelectedSearchEngine: youndoo FF Homepage: hxxp://www.youndoo.com/?z=c5c50f2e1ea6f59e8f12dcagaz1m6odz1gcw4o7q6b&from=3gs&uid=ADATAXSP920SS_14260C69D9030C69D903&type=hp FF Keyword.URL: hxxp://www.youndoo.com/search/?z=c5c50f2e1ea6f59e8f12dcagaz1m6odz1gcw4o7q6b&from=3gs&uid=ADATAXSP920SS_14260C69D9030C69D903&type=sp&q= FF SearchPlugin: C:\Users\Ewa\AppData\Roaming\Profiles\thniulru.default\searchplugins\0vcqzr2a.xml [2016-08-28] FF Extension: (GsearchFinder) - C:\Users\Ewa\AppData\Roaming\Profiles\thniulru.default\Extensions\@90B817C8-8A5C-413B-9DDD-B2C61ED6E79A.xpi [2016-08-28] FirewallRules: [{10269BB5-689E-49E7-A151-EF9F33733929}] => (Allow) C:\Users\Ewa\AppData\Local\Temp\23583\inst_buychannel_37.exe FirewallRules: [{53659170-68D3-4C0E-8A00-A80D9A7CD11F}] => (Allow) C:\Users\Ewa\AppData\Local\Temp\23583\inst_buychannel_37.exe EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe Uruchom FRST i kliknij przycisk Fix (NAPRAW). Zrób nowe logi FRST - już bez Shortcut. FOUND: C:\WINDOWS\winsxs\wow64_microsoft-windows-dns-client-minwin_31bf3856ad364e35_10.0.10586.0_none_2c65f66b01dd8f12\dnsapi.dll [17780] =>Hijacker.DNS.Hosts FOUND: C:\WINDOWS\winsxs\amd64_microsoft-windows-dns-client-minwin_31bf3856ad364e35_10.0.10586.0_none_22114c18cd7ccd17\dnsapi.dll [10782] =>Hijacker.DNS.Hosts Te pliki są mi nieznane, nie pasują ani do systemu 32 bit, ani do 64 bit. Nie daję ich do usuwania, ale w przyszłości nie podmieniaj ich na te z C:\WINDOWS\System32\dnsapi.dll lub C:\WINDOWS\SysWOW64\dnsapi.dll jessi Odnośnik do komentarza
rafal85 Opublikowano 28 Sierpnia 2016 Autor Zgłoś Udostępnij Opublikowano 28 Sierpnia 2016 Załączam najnowsze logi z FRST FRST.txt Addition.txt Odnośnik do komentarza
jessica Opublikowano 28 Sierpnia 2016 Zgłoś Udostępnij Opublikowano 28 Sierpnia 2016 W nowych logach nie widzę już niczego podejrzanego, więc chyba możemy kończyć: Otwórz Notatnik i wklej w nim: DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok FRST. Uruchom FRST i kliknij w Fix (NAPRAW).przez SHIFT+DEL usuń pozostały folder C:\FRST.W Adw-Cleaner kliknij na przycisk Odinstaluj (UNINSTALL). RepairDNS - usuń ręcznie. jessi Odnośnik do komentarza
rafal85 Opublikowano 28 Sierpnia 2016 Autor Zgłoś Udostępnij Opublikowano 28 Sierpnia 2016 Dziękuję Ci uprzejmie za pomoc i poświęcony czas, życzę spokojnej nocy :-) Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się