Problem

Najpierw sprawy infekcji. W systemie ślady adware / PUP (m.in UCBrowser), które przypuszczalnie założyły blokady typu Debugger na aplikacje RegWorks oraz RSIT. Akcja:

1. Uruchom ewentualny deinstalator (pliki typu uninstall.exe) z folderu: C:\Program Files (x86)\UCBrowser

2. Otwórz Notatnik w nim wklej:

CloseProcesses:
CreateRestorePoint:
IFEO\RegWorks.exe: [Debugger] svchost.exe
IFEO\RSITx64.exe: [Debugger] svchost.exe
GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia S1 bzuamdgc; \??\C:\Windows\system32\drivers\bzuamdgc.sys [X]
S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X]
S3 MSICDSetup; \??\H:\CDriver64.sys [X]
S3 NTIOLib_1_0_C; \??\H:\NTIOLib_X64.sys [X]
S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X]
S3 vmci; \SystemRoot\system32\DRIVERS\vmci.sys [X]
S3 VMnetAdapter; system32\DRIVERS\vmnetadapter.sys [X]
S3 X6va029; \??\C:\Windows\SysWOW64\Drivers\X6va029 [X]
S3 xhunter1; \??\C:\Windows\xhunter1.sys [X]
2016-11-26 10:25 - 2016-11-26 10:56 - 00000292 _____ C:\Windows\Tasks\UCBrowserUpdaterCore.job
2016-11-26 10:25 - 2016-11-26 10:25 - 00002556 _____ C:\Windows\System32\Tasks\UCBrowserUpdaterCore
2016-11-17 07:45 - 2016-10-14 10:13 - 00000000 ____D C:\Program Files (x86)\UCBrowser
2016-11-13 17:08 - 2016-10-14 10:15 - 00003430 _____ C:\Windows\System32\Tasks\UCBrowserUpdater
2016-11-06 16:30 - 2016-11-06 16:30 - 07299584 _____ C:\Users\Radek\AppData\Roaming\agent.dat
2016-11-06 16:30 - 2016-11-06 16:30 - 00018432 _____ C:\Users\Radek\AppData\Roaming\Main.dat
2016-11-06 16:29 - 2016-11-06 16:29 - 00140288 _____ C:\Users\Radek\AppData\Roaming\Installer.dat
Task: {4F53EC71-FF85-4089-B0A5-7F0D07CE83CE} - System32\Tasks\UCBrowserUpdaterCore => C:\Program Files (x86)\UCBrowser\Application\update_task.exe [2016-11-16] (UCWeb Inc) Task: {9BC7D7A6-D070-45C3-83B5-5AB0E7ABFCCB} - System32\Tasks\UCBrowserUpdater => C:\Program Files (x86)\UCBrowser\Application\update_task.exe [2016-11-16] (UCWeb Inc) Task: C:\Windows\Tasks\UCBrowserUpdater.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe Task: C:\Windows\Tasks\UCBrowserUpdaterCore.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe CMD: dir /a "C:\Program Files"
CMD: dir /a "C:\Program Files (x86)"
CMD: dir /a "C:\Program Files\Common Files\System"
CMD: dir /a "C:\Program Files (x86)\Common Files\System"
CMD: dir /a C:\ProgramData
CMD: dir /a C:\Users\Radek\AppData\Local
CMD: dir /a C:\Users\Radek\AppData\LocalLow
CMD: dir /a C:\Users\Radek\AppData\Roaming
EmptyTemp:

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

3. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum.

4. Zrób nowy raport FRST z opcji Skanuj (Scan) razem z Addition i Shortcut. Dołącz też plik fixlog.txt.

Gorky · 26 Listopada 2016

uinstal jest ale chińskie krzaczki, próbowałem tam klikać ale wyskakiwało okno dla uprawnień dla setup.exe

i co mam zrobić z tym po wklejeniu? to jest fixlist?

Miszel03 · 26 Listopada 2016

i co mam zrobić z tym po wklejeniu? to jest fixlist?

Wszystko napisane jest pod skryptem.

uinstal jest ale chińskie krzaczki, próbowałem tam klikać ale wyskakiwało okno dla uprawnień dla setup.exe

Pomiń ten krok.

Gorky · 26 Listopada 2016

Aero dalej nie działa

Fixlog.txt

AdwCleanerS21.txt

Miszel03 · 26 Listopada 2016

Aero dalej nie działa

Najpierw oczyścimy system, dopiero po tym zajmiemy się problemem z kompozycją Aero.

A gdzie raporty FRST? Zapoznaj się z pkt. 4 mojego przedniego posta.

Gorky · 26 Listopada 2016

wybacz

Addition.txt

FRST.txt

Shortcut.txt

Miszel03 · 26 Listopada 2016

Raporty dostarczone, więc idziemy dalej.

1. W AdwCleaner: znowu skanowanie, ale po nim kliknij Usuń (Clean) i jak poprzednio dostarcz raport z tego działania.

2. Skasuj ręcznie plik C:\Users\Radek\AppData\Local\nsl2A16.tmp oraz folder C:\Users\Radek\AppData\Local\UCBrowser

3. Zaktualizuj ważne programy oraz usuń narzędzia diagnostyczno / dezynfekcyjne - KLIK / KLIK.

Gorky · 26 Listopada 2016

pierwszy etap

pousuwałem i tym programem zrobiłem

AdwCleanerC8.txt

AdwCleanerS22.txt

DelFix.txt

Miszel03 · 26 Listopada 2016

Dziwne AdwCleaner nie jest w stanie usunąć FLLogs, więc niestety (musisz na nowo pobrać narzędzie FRST, niepotrzebnie zlecałem pkt. 3 no, ale cóż...nie spodziewałem się odmowy AdwCleanera) spróbujemy to zrobić w FRST.

1. Otwórz Notatnik w nim wklej:

CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-1844162989-3989572184-385285012-1000\...\Run: [FLlogs] => wscript.exe //B "C:\Users\Radek\AppData\Roaming\FLlogs.vbs"
Startup: C:\Users\Radek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\FLlogs.vbs [2016-03-05] ()
2016-02-29 11:01 - 2016-03-05 08:22 - 0000000 _____ () C:\Users\Radek\AppData\Roaming\FLlogs.vbs
Reboot:

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

2. Dostarcz Fixlog.txt

Gorky · 26 Listopada 2016

gotowe

Fixlog.txt

Miszel03 · 26 Listopada 2016

Wygląda na to, że wszystko pomyślnie usunięte i wykonane. Muszę pomyśleć nad rozwiązaniem problemu z kompozycją Aero.

Gorky · 26 Listopada 2016

będę jeszcze bardziej wdzięczny

Miszel03 · 27 Listopada 2016

1. Przez menu Start wejdź do folderu Narzędzia Administracyjne, a następnie z niego uruchom aplikację Usługi.

2. Odnajdź usługę Kompozycje, jeśli jest wyłączona to z PPM wybierz Uruchom, a jeśli jest włączona to tak samo z PPM wybierz opcję Uruchom Ponownie. (Tryb automatyczny / ręczny)

3. Uruchom ponownie komputer.

Napisz czy coś to pomogło.

Gorky · 27 Listopada 2016

ehhh, czyli antywirus musiał to usunąć, bo znalazł tam wirusa. Pytanie czy jak ściągnę instalke win7 to bedę mógł to jakoś zainstalować?

Miszel03 · 29 Listopada 2016

Daj mi jeszcze trochę czasu na to, tymczasem wykonaj jeszcze to (ma to związek z infekcjami):

1. Otwórz Notatnik w nim wklej:

CloseProcesses:
CreateRestorePoint:
C:\Users\Public\Desktop\Gооglе Сhrоmе.lnk
C:\Users\Radek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Gооglе Сhrоmе.lnk
C:\Users\Radek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Intеrnеt Ехрlоrеr.lnk
C:\Users\Radek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Ехрlоrеr.lnk
C:\Users\Radek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnеt Ехрlоrеr (Nо Аdd-оns).lnk
C:\Users\Radek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WorldofTanks
EmptyTemp:

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

Plik zapisz (jako kodowanie UTF-8) pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

2. Dostarcz plik Fixlog.txt

Gorky · 1 Grudnia 2016

Zrobione

Fixlog.txt

Miszel03 · 1 Grudnia 2016

OK. Nie mam pomysłu na naprawę tego.

Najlepiej zgłoś swój temat w temacie picasso - KLIK, ona pewnie będzie wiedziała co zrobić.

picasso · 3 Grudnia 2016

Problemem tu nie jest brak usługi Kompozycji, bo ją widzisz, lecz modyfikacja adware powodująca że usługa się nie może uruchomić. Opowiada o tym Dziennik zdarzeń:

Error: (11/26/2016 03:10:39 PM) (Source: Service Control Manager) (EventID: 7003) (User: )
Description: Usługa Kompozycje zależy od następującej usługi: iThemes5. Ta usługa może nie być zainstalowana.

To usługa adware, która wygląda tak (u Ciebie już usunięta):

R3 iThemes5; C:\Program Files (x86)\Common Files\Services\iThemes.dll [626688 2016-11-21] () [brak podpisu cyfrowego]

Komunikat Dziennika wyraźnie mówi, że iThemes5 ustawiło się jako zależność dla systemowego Themes. Po usunięciu adware ale nie tej modyfikacji, usługa systemowa się nie uruchomi. W kluczu Themes jest dostawiona wartość DependOnService kierująca na usługę adware.

1. Otwórz Notatnik i wklej w nim:

Reg: reg delete HKLM\SYSTEM\CurrentControlSet\Services\Themes /v DependOnService /f
Reboot:

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart, a usługa Kompozycje powinna się pomyślnie uruchomić. Powstanie kolejny fixlog.txt.

2. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt.

Gorky · 8 Grudnia 2016

Udało się wróciło do normy. Bardzo dziękuje za pomoc

Addition.txt

Fixlog.txt

FRST.txt

Zaloguj się

Problem

Rekomendowane odpowiedzi

Odnośnik do komentarza

Odnośnik do komentarza

Odnośnik do komentarza

Odnośnik do komentarza

Odnośnik do komentarza

Odnośnik do komentarza

Odnośnik do komentarza

Odnośnik do komentarza

Odnośnik do komentarza

Odnośnik do komentarza

Odnośnik do komentarza

Odnośnik do komentarza

Odnośnik do komentarza

Odnośnik do komentarza

Odnośnik do komentarza

Odnośnik do komentarza

Odnośnik do komentarza

Odnośnik do komentarza

Odnośnik do komentarza

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Zarejestruj nowe konto

Zaloguj się

Ostatnio przeglądający 0 użytkowników