Ravengerro Opublikowano 12 Października 2016 Zgłoś Udostępnij Opublikowano 12 Października 2016 Witam! Jestem w sytuacji podbramkowej mam 1 dzien do oddania pracy magisterskiej i moj komputer się zbuntował. Mianowicie pewnie dobrze wam znany Hemkajdoa.exe. Komputer się wyłącza co 2 minuty (restartuje). Zdażyłem tylko te skany zrobic przez te 2 minuty. Gmera nie zdążyłem zrobić bo się resetuje. Proszę o pomoc!! Addition.txt FRST.txt Rkill.txt Odnośnik do komentarza
picasso Opublikowano 13 Października 2016 Zgłoś Udostępnij Opublikowano 13 Października 2016 Zabrakło trzeciego obowiązkowego raportu FRST Shortcut. Działania do przeprowadzenia; 1. Otwórz Notatnik i wklej w nim: CloseProcesses: R2 backlh; C:\ProgramData\Logic Handler\set.exe [3786752 2016-10-07] () [Brak podpisu cyfrowego] R2 Citdhwa; C:\Users\Radek\AppData\Roaming\AzigcWig\Geeswu.exe [121344 2016-08-11] () [Brak podpisu cyfrowego] R2 GoogleChromeUpService; C:\ProgramData\service.exe [1620992 2016-10-12] () [Brak podpisu cyfrowego] R2 Kuaizip Update Checker; C:\Program Files (x86)\KuaiZip\X86\kuaizipUpdateChecker.dll [216704 2016-10-12] () R2 KuaizipUpdateChecker; C:\Program Files\żěŃą\X86\kuaizipUpdateChecker.dll [219072 2016-10-12] () R2 MaohaWifiSvr; C:\Program Files (x86)\GreatMaker\MaohaWiFi\MaohaWifiSvr.exe [170464 2014-12-18] (猫哈网络 版权所有) R2 Nettrans; C:\ProgramData\NetworkPacketManitor\Nettrans.exe [57856 2016-09-28] () [Brak podpisu cyfrowego] R2 Rohucultatoergh; C:\Program Files (x86)\Hzocult\rrgsch.dll [280064 2016-10-12] () [Brak podpisu cyfrowego] R2 Viokdojvaf; C:\Users\Radek\AppData\Roaming\Hemkajdoa\Hemkajdoa.exe [170496 2016-08-11] () [Brak podpisu cyfrowego] R2 fysevowu; C:\Program Files (x86)\00000000-1476269399-0000-0000-4CCC6A653515\knsz7298.tmpfs [X] S3 cpuz136; C:\Windows\TEMP\cpuz136\cpuz136_x64.sys [23856 2016-09-09] (CPUID) R2 KuaiZipDrive; C:\Windows\system32\drivers\KuaiZipDrive.sys [92872 2016-10-12] (WinMount International Inc) S2 KuaiZipDrive2; C:\Windows\system32\drivers\KuaiZipDrive2.sys [93072 2016-10-12] (WinMount International Inc) <==== UWAGA R1 MaohaWifiNetPro; C:\Program Files (x86)\GreatMaker\MaohaWiFi\MaoHaWiFiNet64.sys [871152 2015-10-27] () R1 UCGuard; C:\Windows\System32\DRIVERS\ucguard.sys [81792 2016-08-02] (Huorong Borui (Beijing) Technology Co., Ltd.) <==== UWAGA S4 NVHDA; \SystemRoot\system32\drivers\nvhda64v.sys [X] HKLM\...\Run: [gplyra] => C:\Users\Radek\AppData\Roaming\gplyra\gplyra\start.cmd [216 2016-01-19] () HKLM-x32\...\Run: [StereoLinksInstall] => "C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvstlink.exe" /install1 HKU\S-1-5-21-2224646682-2379115363-2177298087-1001\...\Run: [msiql] => C:\Users\Radek\AppData\Local\Temp\00030760\msiql.exe [1883648 2016-10-12] () <===== UWAGA HKU\S-1-5-18\...\Run: [] => 0 HKLM\...\StartupApproved\Run32: => "app" HKU\S-1-5-21-2224646682-2379115363-2177298087-1001\...\StartupApproved\Run: => "apphide" HKU\S-1-5-21-2224646682-2379115363-2177298087-1001\...\StartupApproved\Run: => "svchost0" ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} => C:\Program Files\żěŃą\X64\KZipShell.dll [2016-10-12] () ShellIconOverlayIdentifiers: [KzShlobj2] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F3} => C:\Program Files (x86)\KuaiZip\X64\KZipShell.dll [2016-10-12] () TasksDetails: Task: {14308DB2-0D2B-4971-A160-B54F6681AF23} - System32\Tasks\UCBrowserUpdater => C:\Program Files (x86)\UCBrowser\Application\update_task.exe <==== UWAGA Task: {6680C602-81A6-4B0C-B05D-E8E753619F3C} - System32\Tasks\KuaiZip_Update => C:\Program Files\żěŃą\X86\Update.exe [2016-10-12] (Shanghai Guangle Network Technology Ltd) <==== UWAGA Task: {F43D8B4D-30F4-4F84-9744-02ABF2FAE382} - System32\Tasks\Chtisriropy Renew => C:\Program Files (x86)\Hzocult\detught.exe [2016-10-12] (Glarysoft Ltd) Task: C:\Windows\Tasks\UCBrowserUpdater.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe <==== UWAGA Tcpip\..\Interfaces\{278113f7-8e6e-4ef4-9979-f7ea34593993}: [NameServer] 104.197.191.4 Tcpip\..\Interfaces\{9a09523d-76ef-11e6-a54d-806e6f6e6963}: [NameServer] 104.197.191.4 Tcpip\..\Interfaces\{f38d7eb6-4b2a-45c1-b419-54cb4fa7c1ed}: [NameServer] 104.197.191.4 WMI_ActiveScriptEventConsumer_ASEC: <===== UWAGA ShortcutWithArgument: C:\Users\Radek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> %SNP% ShortcutWithArgument: C:\Users\Radek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\9501e18d7c2ab92e\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory="Profile 2" ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> %SNP% CHR HomePage: Profile 2 -> hxxp://www.mystartsearch.com/?type=sy&ts=1434643989&z=18341b13a003e248251a383gdzcc1zdq8zcc8t9t6c&from=cmi&uid=WDCXWD3200BPVT-22JJ5T0_WD-WX91C12R0412R0412 CHR StartupUrls: Profile 2 -> "hxxp://www.mystartsearch.com/?type=hp&ts=1434641622&z=f67b43f16ba5c60eafc3566g5zdc8zbq8zageqco4q&from=cmi&uid=WDCXWD3200BPVT-22JJ5T0_WD-WX91C12R0412R0412","hxxp://www.mystartsearch.com/?type=hppp&ts=1434643989&z=18341b13a003e248251a383gdzcc1zdq8zcc8t9t6c&from=cmi&uid=WDCXWD3200BPVT-22JJ5T0_WD-WX91C12R0412R0412" HKU\S-1-5-21-2224646682-2379115363-2177298087-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccZ9CG1th_NJ3aIxi49zmOXbQL8qaC_zZ9NirkP5IQSM5CsInT_YxA1S5uLdtDeaEJHIiwp5VrFFfnaayWQQomPVJDrkFKc6RK_1dnOLmDduChNcD6CloIwOy_PzKwx_cdxb8MWkInRYXyZp1HJKRzaO3ovRJg,,&q={searchTerms} HKU\S-1-5-21-2224646682-2379115363-2177298087-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617910&ResetID=131207683642326213&GUID=A5398763-DE7D-448E-B204-226BC1CE32FA HKU\S-1-5-21-2224646682-2379115363-2177298087-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccZ9CG1th_NJ3aIxi49zmOXbQL8qaC_zZ9NirkP5IQSM5CsInT_YxA1S5uLdtDeaEJHIiwp5VrFFfnaayWQQomPVJDrkFKc6RK_1dnOLmDduChNcD6CloIwOy_PzKwx_cdxb8MWkInRYXyZp1HJKRzaO3ovRJg,,&q={searchTerms} HKU\S-1-5-21-2224646682-2379115363-2177298087-1001\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccZ9CG1th_NJ3aIxi49zmOXbQL8qaC_zZ9NirkP5IQSM5CsInT_YxA1S5uLdtDeaEJHIiwp5VrFFfnaayWQQomPVJDrkFKc6RK_1dnOLmDduChNcD6CloIwOy_PzKwx_cdxb8MWkInRYXyZp1HJKRzaO3ovRJg,,&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccZ9CG1th_NJ3aIxi49zmOXbQL8qaC_zZ9NirkP5IQSM5CsInT_YxA1S5uLdtDeaEJHIiwp5VrFFfnaayWQQomPVJDrkFKc6RK_1dnOLmDduChNcD6CloIwOy_PzKwx_cdxb8MWkInRYXyZp1HJKRzaO3ovRJg,,&q={searchTerms} SearchScopes: HKU\S-1-5-21-2224646682-2379115363-2177298087-1001 -> DefaultScope {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccZ9CG1th_NJ3aIxi49zmOXbQL8qaC_zZ9NirkP5IQSM5CsInT_YxA1S5uLdtDeaEJHIiwp5VrFFfnaayWQQomPVJDrkFKc6RK_1dnOLmDduChNcD6CloIwOy_PzKwx_cdxb8MWkInRYXyZp1HJKRzaO3ovRJg,,&q={searchTerms} SearchScopes: HKU\S-1-5-21-2224646682-2379115363-2177298087-1001 -> {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccZ9CG1th_NJ3aIxi49zmOXbQL8qaC_zZ9NirkP5IQSM5CsInT_YxA1S5uLdtDeaEJHIiwp5VrFFfnaayWQQomPVJDrkFKc6RK_1dnOLmDduChNcD6CloIwOy_PzKwx_cdxb8MWkInRYXyZp1HJKRzaO3ovRJg,,&q={searchTerms} FirewallRules: [{5B41EDAA-57A8-49EC-891A-0374D4A8EDF0}] => (Allow) C:\Program Files (x86)\UCBrowser\Application\UCBrowser.exe FirewallRules: [{431AF16F-D728-4155-A416-CEF9A1F4AE8B}] => (Allow) C:\Users\Radek\AppData\Local\Temp\is-63UA0.tmp\download\MiniThunderPlatform.exe FirewallRules: [{9DA86F76-960D-47EF-A589-CDBA4928018D}] => (Allow) C:\Program Files (x86)\GreatMaker\MaohaWiFi\MaohaWifiSvr.exe DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\PopupProduct DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Program Files\żěŃą C:\Program Files (x86)\00000000-1476269399-0000-0000-4CCC6A653515 C:\Program Files (x86)\GreatMaker C:\Program Files (x86)\Hzocult C:\Program Files (x86)\KuaiZip C:\Program Files (x86)\Microleaves C:\Program Files (x86)\WeatherChickn C:\ProgramData\service.exe C:\ProgramData\Logic Handler C:\ProgramData\NetworkPacketManitor C:\ProgramData\Thunder Network C:\ProgramData\Quoteexs C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MaohaWiFi C:\TOSTACK C:\Users\Public\Thunder Network C:\Users\Radek\AppData\Local\00000000-1476301844-0000-0000-4CCC6A653515 C:\Users\Radek\AppData\Local\app C:\Users\Radek\AppData\Local\Rukutyvition C:\Users\Radek\AppData\Local\UCBrowser C:\Users\Radek\AppData\Local\Tempfolder C:\Users\Radek\AppData\Local\Google\Chrome\User Data\Profile 1 C:\Users\Radek\AppData\Local\Google\Chrome\User Data\System Profile C:\Users\Radek\AppData\Roaming\*.* C:\Users\Radek\AppData\Roaming\AzigcWig C:\Users\Radek\AppData\Roaming\Cjotionplaratain C:\Users\Radek\AppData\Roaming\gplyra C:\Users\Radek\AppData\Roaming\Hemkajdoa C:\Users\Radek\AppData\Roaming\KuaiZip C:\Users\Radek\AppData\Roaming\Microleaves C:\Users\Radek\AppData\Roaming\Mozilla C:\Users\Radek\AppData\Roaming\NVIDIA C:\Users\Radek\AppData\Roaming\Softlink C:\Users\Radek\AppData\Roaming\Microsoft\Windows\Start Menu\KuaiZip.lnk C:\Users\Radek\AppData\Roaming\Microsoft\Windows\Start Menu\żěŃą.lnk C:\Users\Radek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器.lnk C:\Users\Radek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器 C:\Users\Radek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\YSPackage C:\Users\Radek\Desktop\AutoTime.lnk C:\Users\Radek\Desktop\żěŃą.lnk C:\Windows\system32\Drivers\bsdpf64.sys C:\Windows\system32\Drivers\bsdpr64.sys C:\Windows\system32\Drivers\KuaiZipDrive.sys C:\Windows\system32\Drivers\KuaiZipDrive2.sys C:\Windows\system32\Drivers\ucguard.sys C:\Windows\SysWOW64\findit.xml C:\Windows\SysWOW64\Number of results CMD: ipconfig /flushdns Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Przejdź w Tryb awaryjny Windows *. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu, opuść Tryb awaryjny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. * Tryb awaryjny Windows 10: przycisk Start > Ustawienia > Aktualizacja i zabezpieczenia > Odzyskiwanie > Uruchamianie zaawansowane > Uruchom teraz > system zrestartuje i pojawi się ekan z opcjami > Ustawienia zaawansowane > Ustawienia uruchamiania > Tryb awaryjny. 2. Wyczyść Google Chrome z adware: Zresetuj synchronizację (o ile włączona): Otwórz Panel Google. Na dole kliknij Resetuj synchronizację. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 3. Zrób nowy log FRST z opcji Skanuj (Scan), z zaznaczonym polem Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
Ravengerro Opublikowano 13 Października 2016 Autor Zgłoś Udostępnij Opublikowano 13 Października 2016 Więc tak zrobiłem tą naprawę, ale skanując FRST ponownie tworzą się tylko logi frst.txt i addition.txt, pożniej proces staje w miejscu na działaniu "Skanowanie Dziennik Aplikacja: 2812". Sysytem już stabilny dołączam te logi które komputer wykonał Dziękuje za tymczasowe rady!! Coś jeszcze mam zrobić? Fixlog.txt FRST.txt Addition.txt Odnośnik do komentarza
picasso Opublikowano 13 Października 2016 Zgłoś Udostępnij Opublikowano 13 Października 2016 Nie zapisałeś Fixlist w UTF-8, dlatego pewne wpisy nie zostały przetworzone. Zadania w większości pomyślnie wykonane, będą zadania doczyszczające, ale dostarcz pełne logi: Cytat Więc tak zrobiłem tą naprawę, ale skanując FRST ponownie tworzą się tylko logi frst.txt i addition.txt, pożniej proces staje w miejscu na działaniu "Skanowanie Dziennik Aplikacja: 2812". Sysytem już stabilny dołączam te logi które komputer wykonał Log Addition niekompletny z powodu który wymieniasz. Wyczyść Dzienniki: Klawisz z flagą Windows + X > Podgląd zdarzeń > W sekcji Dzienniki systemu Windows z prawokliku wyczyść gałęzie Aplikacja i System. Uruchom FRST, zaznacz pole Shortcut.txt i ponów skan. Dostarcz pliki Addition.txt i Shortcut.txt. Odnośnik do komentarza
Ravengerro Opublikowano 13 Października 2016 Autor Zgłoś Udostępnij Opublikowano 13 Października 2016 Ok teraz poszła całość! Dostarczam dwa pliki o które proszono! Addition.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 14 Października 2016 Zgłoś Udostępnij Opublikowano 14 Października 2016 Idziemy dalej: 1. Pojawiła się nowa infekcja DNS (modyfikacja plików dnsapi.dll). Uruchom RepairDNS i zresetuj system po jego użyciu. Na Pulpicie powstanie plik RepairDNS.txt. 2. W Google Chrome są nadal wpisy adware: CHR HomePage: Profile 2 -> hxxp://www.mystartsearch.com/?type=sy&ts=1434643989&z=18341b13a003e248251a383gdzcc1zdq8zcc8t9t6c&from=cmi&uid=WDCXWD3200BPVT-22JJ5T0_WD-WX91C12R0412R0412 CHR StartupUrls: Profile 2 -> "hxxp://www.mystartsearch.com/?type=hp&ts=1434641622&z=f67b43f16ba5c60eafc3566g5zdc8zbq8zageqco4q&from=cmi&uid=WDCXWD3200BPVT-22JJ5T0_WD-WX91C12R0412R0412","hxxp://www.mystartsearch.com/?type=hppp&ts=1434643989&z=18341b13a003e248251a383gdzcc1zdq8zcc8t9t6c&from=cmi&uid=WDCXWD3200BPVT-22JJ5T0_WD-WX91C12R0412R0412" Czy na pewno resetowałeś przeglądarkę wg podanych kroków? Powtórz zadanie. 3. Otwórz Notatnik i wklej w nim: C:\Users\Radek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器.lnk C:\Users\Radek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器 C:\Users\Radek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\MaohaWiFi.lnk C:\Users\Radek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\UC浏览器.lnk C:\Windows\system32\mic StartBatch: del /q C:\Windows\Minidump\*.dmp ipconfig /flushdns netsh advfirewall reset EndBatch: Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Powstanie kolejny plik fixlog.txt. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też pliki fixlog.txt i RepairDNS.txt. Odnośnik do komentarza
Rekomendowane odpowiedzi