mateusznik Opublikowano 17 Września 2016 Zgłoś Udostępnij Opublikowano 17 Września 2016 Parę dni temu ściągałem jakiś program z internetu i jakieś dziwne inne programy zaczęły się instalować. Odinstalowałem wszystkie programy i myślałem, że problem zażegnany, aż tu dziś znów zaczęło instalować się bardzo dużo różnych dziwnych, chińskich programów, wręcz z 5-10 razy więcej niż kilka dni temu. Musiałem uruchomić windows w trybie save mode, bo inaczej nie dało się z niego skorzystać. Przy tym wszystkim komputer bardzo zwolnił Próbowałem czyścić komputer programami: tdsskiller, rkill, hitmann pro x64 i adw cleanerem,przy czym adw cleaner po próbie usunięcia wykrytych plików zawiesza komputer i niestety trzeba odłączyć go od zasilania. Nie mam pojęcia jak to naprawić. Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 17 Września 2016 Zgłoś Udostępnij Opublikowano 17 Września 2016 Użyłeś potwornie stary FRST, pozbawiony masy poprawek i detekcji: Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 02-05-2015 (ATTENTION: ====> FRST version is 504 days old and could be outdated) Najnowsza wersja jest z dzisiaj. Proszę pobierz najnowszy z przyklejonego i zrób nowe logi (wszystkie trzy): KLIK. Odnośnik do komentarza
mateusznik Opublikowano 17 Września 2016 Autor Zgłoś Udostępnij Opublikowano 17 Września 2016 Zrobione Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
mateusznik Opublikowano 17 Września 2016 Autor Zgłoś Udostępnij Opublikowano 17 Września 2016 W międzyczasie udało mi się jeszcze używając programu revo uninstaler pro usunąć kilka nichcianych programów, które nie dały się usunąć "recznie" Odnośnik do komentarza
picasso Opublikowano 17 Września 2016 Zgłoś Udostępnij Opublikowano 17 Września 2016 Podaj które programy masz na myśli, niestety każda z akcji zmienia postać raportów FRST i trzeba dostarczyć świeże ponownie. Podmień załączniki w poście powyżej. Odnośnik do komentarza
mateusznik Opublikowano 17 Września 2016 Autor Zgłoś Udostępnij Opublikowano 17 Września 2016 Podaj które programy masz na myśli, niestety każda z akcji zmienia postać raportów FRST i trzeba dostarczyć świeże ponownie. Podmień załączniki w poście powyżej. Podmienione. Nazw nie pamiętam, wydaje się już działać całkiem sprawnie, Ciekawe czy wszystko jest już okej. Odnośnik do komentarza
picasso Opublikowano 17 Września 2016 Zgłoś Udostępnij Opublikowano 17 Września 2016 Nadal jest co czyścić, m.in. aktywne sterowniki adware, zainfekowane Google Chrome oraz wszystkie skróty przeglądarek. Przy okazji będę też usuwać odpadki po odinstalowanych programach. Działania do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: S2 Citdhwa; "C:\Users\Przemek\AppData\Roaming\AzigcWig\Geeswu.exe" -cms [X] S2 HpSvc; C:\Program Files (x86)\LuDaShi\lpi\HpSvc.dll [X] S2 Kuaizip Update Checker; C:\Program Files (x86)\KuaiZip\X86\kuaizipUpdateChecker.dll [X] S2 KuaizipUpdateChecker; C:\Program Files\¿ìѹ\X86\kuaizipUpdateChecker.dll [X] S1 HWiNFO32; C:\Windows\SysWOW64\drivers\HWiNFO64A.SYS [27552 2016-09-15] (REALiX(tm)) S2 KuaiZipDrive; C:\Windows\system32\drivers\KuaiZipDrive.sys [92872 2016-09-17] (WinMount International Inc) S2 KuaiZipDrive2; C:\Windows\system32\drivers\KuaiZipDrive2.sys [93072 2016-09-17] (WinMount International Inc) R1 UCGuard; C:\Windows\System32\DRIVERS\ucguard.sys [81792 2016-08-29] (Huorong Borui (Beijing) Technology Co., Ltd.) S2 ComputerZLock; \??\C:\Program Files (x86)\LuDaShi\ComputerZLock_x64.sys [X] S3 ComputerZ_x64; \??\C:\Program Files (x86)\LuDaShi\ComputerZ_x64.sys [X] NETSVCx32: HpSvc -> C:\Program Files (x86)\LuDaShi\lpi\HpSvc.dll ==> No File Task: {0AF14ECA-B2B9-48B5-A34E-89D8306FE486} - System32\Tasks\UCBrowserUpdaterCore => C:\Program Files (x86)\UCBrowser\Application\update_task.exe Task: {A76297F3-3BBC-4275-84B0-6D9234D1A7E4} - System32\Tasks\Microsoft\Windows\Multimedia\Manager => C:\Users\Przemek\AppData\Roaming\Adobe\Manager.exe Task: {B04AFB75-99CB-4F38-A91A-E99E2D52BC56} - System32\Tasks\UCBrowserUpdater => C:\Program Files (x86)\UCBrowser\Application\update_task.exe Task: {DA8D609C-E26D-48D0-AC5A-7BA3F5FBC530} - System32\Tasks\ComputerZ-Tray => C:\Program Files (x86)\LuDaShi\ComputerZTray.exe Task: {DEFAEC10-5A75-418F-8063-D04C84888430} - System32\Tasks\KuaiZip_Update => C:\PROGRA~1\F85A~1\X86\Update.exe Task: {F37800E9-3BA8-4E7E-B6AD-98ABD7A0E413} - System32\Tasks\Microsoft\Windows\Multimedia\ReportSender => C:\Users\Przemek\ReportSender\ReportSender.exe Task: C:\Windows\Tasks\UCBrowserUpdater.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe Task: C:\Windows\Tasks\UCBrowserUpdaterCore.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe HKLM-x32\...\Run: [win_en_77] => "C:\Program Files (x86)\win_en_77\win_en_77.exe" HKLM-x32\...\Run: [app] => C:\Program Files (x86)\sbqh\uc.exe HKLM\...\RunOnce: [GrpConv] => grpconv -o HKLM-x32\...\RunOnce: [{AA6E0D33-1840-4D0A-98EA-E7B4E82016DC}] => cmd.exe /C start /D "C:\Users\Przemek\AppData\Local\Temp\{AA6E0D33-1840-4D0A-98EA-E7B4E82016DC}" /B {9B3387C1-398F-42AD-A67A-85C6283565EB}.exe -accepteula -accepteulaksn -postboot HKU\S-1-5-21-1027309677-2631733394-661215758-1000\...\Run: [installer] => C:\Users\Przemek\AppData\Local\Temp\is-64H6C.tmp\51490.exe /autorun ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} => C:\Program Files\¿ìѹ\X64\KZipShell.dll No File ShellIconOverlayIdentifiers: [KzShlobj2] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F3} => C:\Program Files (x86)\KuaiZip\X64\KZipShell.dll No File SearchScopes: HKU\S-1-5-21-1027309677-2631733394-661215758-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = Toolbar: HKU\S-1-5-21-1027309677-2631733394-661215758-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File GroupPolicy: Restriction - Chrome GroupPolicyScripts: Restriction GroupPolicyScripts-x32: Restriction CHR HKLM\SOFTWARE\Policies\Google: Restriction ShortcutWithArgument: C:\Users\Przemek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer (64-bit).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://navsmart.info ShortcutWithArgument: C:\Users\Przemek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://navsmart.info ShortcutWithArgument: C:\Users\Przemek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Przemek\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://navsmart.info ShortcutWithArgument: C:\Users\Przemek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://navsmart.info ShortcutWithArgument: C:\Users\Przemek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Przemek\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://navsmart.info ShortcutWithArgument: C:\Users\Przemek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://navsmart.info ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Przemek\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://navsmart.info ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Przemek\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" FirewallRules: [{69CAB555-BA9E-4731-882F-DFC2126E450D}] => (Allow) C:\Users\Przemek\AppData\Local\Temp\is-64H6C.tmp\download\MiniThunderPlatform.exe FirewallRules: [{4235CDA7-3945-4CBF-8977-ED1CA8A03CB9}] => (Allow) C:\Program Files (x86)\UCBrowser\Application\UCBrowser.exe FirewallRules: [{F3741A6B-EAC4-4B83-9F15-2D7A76B913E6}] => (Allow) C:\Program Files (x86)\UCBrowser\Application\UCBrowser.exe FirewallRules: [{4F15D172-C36B-4CCC-AB50-FC685F80901D}] => (Allow) C:\Program Files (x86)\UCBrowser\Application\Downloader\download\MiniThunderPlatform.exe HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\75420476.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\75420476.sys => ""="Driver" DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Microsoft\Microsoft Antimalware DeleteKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Program Files (x86)\Temp C:\ProgramData\mntemp C:\ProgramData\AVAST Software C:\ProgramData\Avg C:\ProgramData\Avira C:\ProgramData\IObit C:\ProgramData\ProductData C:\ProgramData\Thunder Network C:\ProgramData\UniqueId C:\ProgramData\Microsoft\Windows\Start Menu\Programs\7-Zip C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ttwifi C:\ProgramData\Microsoft\Windows\Start Menu\Programs\鲁大师 C:\Users\Przemek\AppData\Local\Ckotoghzunle C:\Users\Przemek\AppData\Local\Tempfolder C:\Users\Przemek\AppData\Local\UCBrowser C:\Users\Przemek\AppData\Local\Zemana C:\Users\Przemek\AppData\LocalLow\Company C:\Users\Przemek\AppData\LocalLow\IObit C:\Users\Przemek\AppData\LocalLow\Octogear Games C:\Users\Przemek\AppData\Roaming\agent.dat C:\Users\Przemek\AppData\Roaming\Installer.dat C:\Users\Przemek\AppData\Roaming\Main.dat C:\Users\Przemek\AppData\Roaming\Adobe C:\Users\Przemek\AppData\Roaming\Hemkajdoa C:\Users\Przemek\AppData\Roaming\IObit C:\Users\Przemek\AppData\Roaming\KuaiZip C:\Users\Przemek\AppData\Roaming\Ludashi C:\Users\Przemek\AppData\Roaming\Macromedia C:\Users\Przemek\AppData\Roaming\Mozilla C:\Users\Przemek\AppData\Roaming\Origin C:\Users\Przemek\AppData\Roaming\Softlink C:\Users\Przemek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\UC浏览器.lnk C:\Users\Przemek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\UC浏览器.lnk C:\Users\Przemek\AppData\Roaming\Microsoft\Windows\Start Menu\¿ìÑ1.lnk C:\Users\Przemek\AppData\Roaming\Microsoft\Windows\Start Menu\¿ìѹ.lnk C:\Users\Przemek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器 C:\Users\Przemek\Downloads\*.crdownload C:\Users\Public\Thunder Network C:\Windows\libcurl-4.dll C:\Windows\libeay32.dll C:\Windows\libwinpthread-1.dll C:\Windows\Azart C:\Windows\IObit C:\Windows\system32\Drivers\KuaiZipDrive.sys C:\Windows\system32\Drivers\KuaiZipDrive2.sys C:\Windows\system32\Drivers\ucguard.sys C:\Windows\SysWOW64\atrc.dll C:\Windows\SysWOW64\authmgr.dll C:\Windows\SysWOW64\clntxres.dll C:\Windows\SysWOW64\colorcvt.dll C:\Windows\SysWOW64\cook.dll C:\Windows\SysWOW64\drv1.dll C:\Windows\SysWOW64\drv2.dll C:\Windows\SysWOW64\drvc.dll C:\Windows\SysWOW64\GameCenter.exe.config C:\Windows\SysWOW64\GameXP.exe.config C:\Windows\SysWOW64\MUpdater.exe.config C:\Windows\SysWOW64\pncrt.dll C:\Windows\SysWOW64\pnen3260.dll C:\Windows\SysWOW64\raac.dll C:\Windows\SysWOW64\ramfformat.dll C:\Windows\SysWOW64\ramrender.dll C:\Windows\SysWOW64\rarender.dll C:\Windows\SysWOW64\rmfformat.dll C:\Windows\SysWOW64\rv10.dll C:\Windows\SysWOW64\rv20.dll C:\Windows\SysWOW64\rv30.dll C:\Windows\SysWOW64\rv40.dll C:\Windows\SysWOW64\rvrender.dll C:\Windows\SysWOW64\sipr.dll C:\Windows\SysWOW64\smplfsys.dll C:\Windows\SysWOW64\vidsite.dll C:\Windows\SysWOW64\vp6vfw.dll C:\Windows\SysWOW64\Drivers\HWiNFO64A.SYS EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Przejdź w Tryb awaryjny Windows. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu, opuść Tryb awaryjny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. W Google Chrome jest ustawiony jako domyśny profil adware (nazwa na dysku ChromeDefaultData, ale w opcjach prawdopodobnie user0). Wymagana całkowita zmiana profilu. Menu Ustawienia > karta Ustawienia > Osoby: - Jeśli widać tylko jeden profil, Dodaj nową osobę i uruchom Chrome z poziomu tego profilu, a okno poprzedniego zamknij. Następnie w ustawieniach skasuj poprzedni profil. - Jeśli jednak widać dwa, przełącz się na ten poprzedni, a user0 skasuj. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition ale już bez Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
mateusznik Opublikowano 17 Września 2016 Autor Zgłoś Udostępnij Opublikowano 17 Września 2016 Po kliknięciu w przyciski Napraw (Fix) Program ujawnił napis "Proszę czekać, naprawianie w toku" i jakby przestał odpowiadać. Czekam już około 15 minut. Mogę co prawda poruszać myszką i prawdopodobnie włączać inne foldery lub aplikacje, ale obawiam się, że jeżeli to zrobię komputer całkowicie się zawiesi i będę musiał odciąć go od zasilania. Sytuacja dokładnie taka sama jak z programem Adw Cleaner. Odnośnik do komentarza
picasso Opublikowano 17 Września 2016 Zgłoś Udostępnij Opublikowano 17 Września 2016 Czy na pewno uruchomiłeś program w trybie awaryjnym Windows? Odnośnik do komentarza
mateusznik Opublikowano 17 Września 2016 Autor Zgłoś Udostępnij Opublikowano 17 Września 2016 Tak, safe mode with networking. Zmieniłem na safe mode minimal i spróbuje. Odnośnik do komentarza
mateusznik Opublikowano 17 Września 2016 Autor Zgłoś Udostępnij Opublikowano 17 Września 2016 Zrobione, Wygląda to tak. Addition.txt Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 17 Września 2016 Zgłoś Udostępnij Opublikowano 17 Września 2016 Zadałam tryb awaryjny (a nie awaryjny z obsługą sieci) właśnie ze względu na sterownik UCGuard od niepożądanej instalacji UCBrowser. To on blokował procesy usuwania. Skrypt FRST pomyślnie wykonany. Poprawki: 1. Nowy profil Google Chrome założony, a już zanieczyszczony przez niepożądane przekierowania Wize Search. Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj Wize. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > ustaw Google jako domyślną, po tym skasuj z listy powiązaną wyszukiwarkę Wize. 2. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\TDSSKiller_Quarantine RemoveDirectory: C:\Users\Przemek\AppData\Local\Google\Chrome\User Data\ChromeDefaultData RemoveDirectory: C:\Users\Przemek\AppData\Local\Google\Chrome\User Data\Default Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie powinno być restartu. Przedstaw wynikowy fixlog.txt. 3. Uruchom AdwCleaner ponownie i sprawdź czy coś jeszcze wykrywa. Odnośnik do komentarza
mateusznik Opublikowano 17 Września 2016 Autor Zgłoś Udostępnij Opublikowano 17 Września 2016 AdwCleaner nadal wykrywa problemy, przesyłam raport. Fixlog.txt AdwCleanerS0.txt Odnośnik do komentarza
picasso Opublikowano 17 Września 2016 Zgłoś Udostępnij Opublikowano 17 Września 2016 AdwCleaner wykrył sporo szczątków adware w rejestrze. Skasuj wszystko za pomocą AdwCleaner. UCGuard usunięty, więc program powinien wykonać zadanie. Na wszelki wypadek sprawdź też czy Hitman nadal coś widzi. Odnośnik do komentarza
mateusznik Opublikowano 17 Września 2016 Autor Zgłoś Udostępnij Opublikowano 17 Września 2016 Udało się skasować wszystko z pomocą AdwCleaner. Hitman nie wykrywa już zagrożeń. Problem chyba został rozwiązany. Bardzo dziękuję za pomoc Odnośnik do komentarza
picasso Opublikowano 17 Września 2016 Zgłoś Udostępnij Opublikowano 17 Września 2016 Działania końcowe: 1. W Dzienniku zdarzeń drobny błąd WMI. Skoryguj na podstawie wytycznych Microsoftu: KLIK. 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 3. Zaktualizuj Internet Explorer do wersji IE11. Obecnie stoi stara niewspierana wersja IE8. To wszystko. Odnośnik do komentarza
Rekomendowane odpowiedzi