sqbany Opublikowano 10 Października 2016 Zgłoś Udostępnij Opublikowano 10 Października 2016 Witam, Podczas próby zaktualizowania excela w pośpiechu pobrałem kmspico, które oczywiście okazało najgorszym możliwym krokiem który mogłem wykonać. W przeciągu 2 min cały pc został zawalony śmieciami, których nawet nie byłem w stanie ogarnąć. Spyhunter nawet jak coś wykrył to przy próbie restartu, crashował się na nowo cały pc. Adw cleanerem wyczyściłem co moglem oprócz UCGuard który wiesza program. Nie mam pojęcia co jeszcze jest do usnięcia i czym, na pewno w przeglądarce coś jeszcze zostało bo co i rusz przekierowuje mnie na dziwne linki. Logi w załączniku Z góry dzięki za pomoc. Pozdrawiam FRST.txt Addition.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 10 Października 2016 Zgłoś Udostępnij Opublikowano 10 Października 2016 Działania do przeprowadzenia: 1. Deinstalacje niepożądanych programów: - Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj skaner-naciągacz SpyHunter4 wersja 4.21.10.4585. Następnie, niezależnie od tego czy deinstalacja się powiedzie, zastosuj narzędzie SpyHunterCleaner. - Z prawokliku na plik C:\Program Files (x86)\LuDaShi\uninst.exe wybierz Uruchom jako administrator. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CMD: type C:\Users\F1\AppData\Roaming\Mozilla\Firefox\profiles.ini WMI_ActiveScriptEventConsumer_ASEC: R1 UCGuard; C:\Windows\System32\DRIVERS\ucguard.sys [81792 2016-08-02] (Huorong Borui (Beijing) Technology Co., Ltd.) R2 WebServe; C:\Program Files (x86)\YouKu\YoukuClient\WebServe.exe [370224 2015-12-08] (TODO: ) S3 WinDivert1.1; C:\ProgramData\KMSAuto\bin\driver\x64WDV\WinDivert.sys [35376 2013-12-03] (Basil Projects) Task: {D47065B1-E37B-4679-9592-21537E3097FA} - System32\Tasks\Qaferty Mapper => C:\Program Files (x86)\Ponetherhzertain\terbopy.exe [2016-10-09] (VideoLAN) Task: {E7B0141A-1F7D-41BD-B40A-AE2A98C36129} - System32\Tasks\UCBrowserUpdater => C:\Program Files (x86)\UCBrowser\Application\update_task.exe [2016-08-02] (UCWeb Inc) Task: C:\WINDOWS\Tasks\UCBrowserUpdater.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe IE trusted site: HKU\S-1-5-21-3954227706-1016283541-2954051212-1001\...\amazon.com -> hxxps://amazon.com ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} => Brak pliku ShellIconOverlayIdentifiers: [KzShlobj2] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F3} => Brak pliku FirewallRules: [{98AAFED2-738C-477A-BE24-F27FCDF57C6F}] => (Allow) C:\Program Files (x86)\UCBrowser\Application\Downloader\download\MiniThunderPlatform.exe FirewallRules: [{C5013C34-DE0D-45C5-BD7A-CDF4CBEF96A1}] => (Allow) C:\Program Files (x86)\UCBrowser\Application\UCBrowser.exe FirewallRules: [{BC9B0D58-0D1C-48F0-96C3-E115378887B2}] => (Allow) C:\Program Files (x86)\UCBrowser\Application\UCBrowser.exe FirewallRules: [{A4326DC8-9674-423D-AC8F-BA321CC9738D}] => (Allow) C:\Program Files (x86)\LuDaShi\Utils\mininews.exe FirewallRules: [{4E8ABDC9-CBEE-4F17-8348-6CD78CE8FFEB}] => (Allow) C:\Program Files (x86)\LuDaShi\Utils\mininews.exe FirewallRules: [{081F5245-6CFA-4046-86D6-62700DACE1D8}] => (Allow) C:\Program Files (x86)\GreatMaker\MaohaWiFi\DrvUpdate.exe FirewallRules: [{17A6193D-D68E-4855-A14D-EE0DA81535C0}] => (Allow) C:\Program Files (x86)\LuDaShi\ComputerZTray.exe FirewallRules: [{710CC3C5-2991-4848-B81A-E837577D52F7}] => (Allow) C:\Program Files (x86)\LuDaShi\ComputerZTray.exe FirewallRules: [{30E5A3FA-3158-4156-B8AF-F5215D6D49F4}] => (Allow) C:\Users\F1\AppData\Local\Temp\00019128\inst_buychannel_37.exe FirewallRules: [{3E96E715-97DA-4C0F-B19D-191FACEBCF3C}] => (Allow) C:\Users\F1\AppData\Local\Temp\00019128\inst_buychannel_37.exe FirewallRules: [{2BB9CD84-8163-4E02-B19A-F8B5B82FC114}] => (Allow) C:\Program Files (x86)\GreatMaker\MaohaWiFi\MaohaWifiSvr.exe FirewallRules: [{F3E64768-22CF-4C65-BCF1-A166908B5D69}] => (Allow) C:\Users\F1\AppData\Local\Temp\is-6N9BM.tmp\download\MiniThunderPlatform.exe C:\Program Files (x86)\Amazon C:\Program Files (x86)\LuDaShi C:\Program Files (x86)\Ponetherhzertain C:\Program Files (x86)\UCBrowser C:\Program Files (x86)\YouKu C:\ProgramData\KMSAuto C:\ProgramData\Microsoft\Windows\Start Menu\Programs\鲁大师 C:\TOSTACK C:\Users\F1\AppData\Local\{C8056D7B-0ACB-41ED-B934-B496BA0D38BF} C:\Users\F1\AppData\Local\BITE808.tmp C:\Users\F1\AppData\Local\Anulert C:\Users\F1\AppData\Local\Ixbdsoft C:\Users\F1\AppData\Local\svchost C:\Users\F1\AppData\Local\Tempfolder C:\Users\F1\AppData\Local\UCBrowser C:\Users\F1\AppData\Local\YRSPack C:\Users\F1\AppData\Local\Google\Chrome\User Data\ChromeDefaultData C:\Users\F1\AppData\Local\Google\Chrome\User Data\Profile 1 C:\Users\F1\AppData\Local\Google\Chrome\User Data\Profile 2 C:\Users\F1\AppData\Roaming\*.* C:\Users\F1\AppData\Roaming\Anaderviole C:\Users\F1\AppData\Roaming\Hemkajdoa C:\Users\F1\AppData\Roaming\Introvert.R C:\Users\F1\AppData\Roaming\youku C:\Users\F1\AppData\Roaming\ytmediacenter C:\Users\F1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器 C:\Users\F1\AppData\Roaming\Mozilla\Firefox\naweriweentcofise C:\Users\F1\Downloads\Registry_Activation C:\WINDOWS\10 C:\WINDOWS\system32\Drivers\ucguard.sys C:\WINDOWS\system32\mars Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Przejdź w Tryb awaryjny * konieczny, by ubić sterownik UCGuard. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu, opuść Tryb awaryjny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. * Tryb awaryjny Windows 10: przycisk Start > Ustawienia > Aktualizacja i zabezpieczenia > Odzyskiwanie > Uruchamianie zaawansowane > Uruchom teraz > system zrestartuje i pojawi się ekan z opcjami > Ustawienia zaawansowane > Ustawienia uruchamiania > Tryb awaryjny. 3. Adware podstawiało fałszywe profile w przeglądarkach Google Chrome i Firefox. W Google Chrome już zrobiłeś nowy profil, został problem w Firefox. Wyeksportuj zakładki, o ile jest co eksportować. Następnie zamknij Firefox. Klawisz z flagą Windows + R > wklej poniższą komendę i ENTER. W menedżerze profilów usuń wszystkie widoczne i załóż nowy, zaloguj się na niego. "C:\Program Files (x86)\Mozilla Firefox\firefox.exe" -p 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
sqbany Opublikowano 10 Października 2016 Autor Zgłoś Udostępnij Opublikowano 10 Października 2016 Zrobione wszystkie kroki, tak to wygląda na ten moment. Fixlog.txt FRST.txt Addition.txt Odnośnik do komentarza
picasso Opublikowano 10 Października 2016 Zgłoś Udostępnij Opublikowano 10 Października 2016 Czy zgłaszane problemy ustąpiły? Wszystko pomyślnie wykonane. Ale niestety w międzyczasie infekcja zaszyta we WMI (usuwana skryptem FRST) zdążyła zmodyfikować skróty przeglądarek doklejając do nich start strony 9o0gle.com. Poprawki: Otwórz Notatnik i wklej w nim: ShortcutWithArgument: C:\Users\F1\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\F1\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://9o0gle.com/ ShortcutWithArgument: C:\Users\F1\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\F1\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://9o0gle.com/ ShortcutWithArgument: C:\Users\F1\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://9o0gle.com/ ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\F1\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://9o0gle.com/ ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://9o0gle.com/ ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\F1\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://9o0gle.com/ ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku U0 aswVmm; Brak ImagePath DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SpyHunter4_is1 RemoveDirectory: C:\26VWT6kuDk4XZLQl RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\ProgramData\AVAST Software RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SpyHunter4 StartBatch: del /q C:\Users\F1\AppData\Roaming\Adobe-GB1-1 del /q C:\Users\F1\Desktop\SpyHunter*.* del /q C:\WINDOWS\system32\chtbrkg.dll del /q C:\WINDOWS\SysWOW64\chtbrkg.dll del /q C:\WINDOWS\SysWOW64\sh4native.exe EndBatch: Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Kodowanie UTF-8 nie jest w tym przypadku wymagane. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie powinno być restartu. Przedstaw wynikowy fixlog.txt. Odnośnik do komentarza
sqbany Opublikowano 10 Października 2016 Autor Zgłoś Udostępnij Opublikowano 10 Października 2016 Umieszczam fixlog, na pierwszy rzut oka wszystko wróciło do normy. Jeśli w międzyczasie gdy złośliwe oprogramowanie było na pc podłączyłem dysk przenośny jest szansa żeby cokolwiek na ten dysk przeszło? Jeśli tak, w jaki sposób mogę go przeskanować lub upewnić się czy przypadkiem nie stanowi dalszego zagrożenia dla pc? Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 10 Października 2016 Zgłoś Udostępnij Opublikowano 10 Października 2016 Skrypt FRST pomyślnie wykonany. 1. Skorzystaj z aplikacji DelFix. 2. Na wszelki wypadek zrób jeszcze skan Hitman Pro. Jeśli coś znajdzie, dostarcz log. Jeśli w międzyczasie gdy złośliwe oprogramowanie było na pc podłączyłem dysk przenośny jest szansa żeby cokolwiek na ten dysk przeszło? Nie, to nie ten rodzaj infekcji. W systemie były modyfikacje z grupy adware/PUP, a nie robaki czy wirusy zdolne "przerzucać się" po dyskach. Odnośnik do komentarza
sqbany Opublikowano 10 Października 2016 Autor Zgłoś Udostępnij Opublikowano 10 Października 2016 Hitman wykrył jedynie Tracking Cookie. Dziękuję za profesjonalne podejście i szybką pomoc z usunięciem problemu. Odnośnik do komentarza
picasso Opublikowano 10 Października 2016 Zgłoś Udostępnij Opublikowano 10 Października 2016 Nitmanie, to na koniec wyczyść foldery Przywracania systemu. Instrukcje pod tym samym linkiem co DelFix. Odnośnik do komentarza
Rekomendowane odpowiedzi