Ucguard - reklamy - problem z AdCleanerem

[Biartyy]

Witam.

Po wizycie mojej siostry, i używaniu mojego komputera, w przeglądarce CHROME, pojawiło się mnóstwo reklam i zmiana domyślnej wyszukiwarki.

Oczywiście długo nie myśląc, odpalam ADCLEANER'a. Po skanowaniu,(125 zagrożeń ) próbuję oczyścić z wszelakiego syfu. Nie udaje mi się to jednak, gdyż ADWCleaner po kilku sekundach pracy się zawiesza.

Wygooglowałem, że Usługa UCGUARD wywołuje taką reakcję. Po drugim skanowaniu, widzę że mam UCGUARD na dysku i nie mam pojęcia jak to usunąć  . Byłbym bardzo wdzięczny za pomoc.

W Załączniku logi z FSRT oraz GMER.  

FRST.txt

Addition.txt

Shortcut.txt

GMER.txt

Edytowane 9 Grudnia 2016 przez Rucek

[Miszel03]

1. Przez panel sterowania odisntaluj: amuleC, McAfee Security Scan Plus.
 
2. Otwórz Notatnik w nim wklej:
 

CloseProcesses:
CreateRestorePoint:
Task: {1890E3A3-B36B-43C2-911B-72DE0C8F8989} - System32\Tasks\d064844f7814ad7c35be8f9196931919 => Rundll32.exe "C:\Program Files (x86)\DOSBox-0.72\gj5voc.dll",e62dc6c6547f46bda862da2d05af6862 Task: {4C71A57B-B49B-45F0-B4EF-C2542BF79DEF} - \PPI Update -> Brak pliku Task: {8484F60D-7F7C-452C-B9E3-C2BCD892DF7C} - System32\Tasks\UCBrowserUpdater => C:\Program Files (x86)\UCBrowser\Application\update_task.exe Task: C:\Windows\Tasks\UCBrowserUpdater.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe Task: {E3D4FAA7-8CA5-4B2A-A5E8-414D0F76CDC7} - System32\Tasks\ChelfNotify Task => C:\ProgramData\ChelfNotify\BrowserUpdate.exe [2016-06-30] (Tencent) C:\Program Files (x86)\UCBrowser
C:\ProgramData\ChelfNotify
ShortcutWithArgument: C:\Users\biartyy\Desktop\Wurm Online.lnk -> C:\Program Files (x86)\Java\jre1.8.0_111\bin\javaws.exe (Oracle Corporation) -> -localfile -J-Djnlp.application.href=hxxp://www.wurmonline.com/client/wurmclient.jnlp "C:\Users\biartyy\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\41\5fef8269-5fc80b7e"
ShortcutWithArgument: C:\Users\biartyy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Wurm Online\Wurm Online.lnk -> C:\Program Files (x86)\Java\jre1.8.0_111\bin\javaws.exe (Oracle Corporation) -> -localfile -J-Djnlp.application.href=hxxp://www.wurmonline.com/client/wurmclient.jnlp "C:\Users\biartyy\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\41\5fef8269-5fc80b7e"
ShortcutWithArgument: C:\Users\biartyy\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\69639df789022856\Google Chrome.lnk -> C:\Program Files (x86)\Setmy\Application\chrome.exe (Google Inc.) -> --profile-directory="Profile 1"
ShortcutWithArgument: C:\Users\biartyy\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\5993945003975900\Google Chrome.lnk -> C:\Program Files (x86)\Setmy\Application\chrome.exe (Google Inc.) -> --profile-directory="Profile 1"
C:\Users\biartyy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Ехрlоrеr.lnk
C:\Users\biartyy\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk
C:\Users\biartyy\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gооglе Сhrоmе.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk
C:\Users\Public\Desktop\Google Chrome.lnk
HKU\S-1-5-18\...\Run: [] => 0
Startup: C:\Users\biartyy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\monhost.lnk [2016-10-27] ShortcutTarget: monhost.lnk -> C:\Users\biartyy\AppData\Roaming\VDI\Shared\Product Updater\monhost.exe (Brak pliku)
GroupPolicy: Ograniczenia - Chrome HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.mylucky123.com/?type=hp&ts=1478246785&z=181e37f4ee4b9a5f6c6df30gezemfbeo1zcqcm9b4w&from=che0812&uid=SanDiskXSDSSDA120G_153282404537
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.mylucky123.com/?type=hp&ts=1478246785&z=181e37f4ee4b9a5f6c6df30gezemfbeo1zcqcm9b4w&from=che0812&uid=SanDiskXSDSSDA120G_153282404537
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.mylucky123.com/search/?type=ds&ts=1478246785&z=181e37f4ee4b9a5f6c6df30gezemfbeo1zcqcm9b4w&from=che0812&uid=SanDiskXSDSSDA120G_153282404537&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.mylucky123.com/search/?type=ds&ts=1478246785&z=181e37f4ee4b9a5f6c6df30gezemfbeo1zcqcm9b4w&from=che0812&uid=SanDiskXSDSSDA120G_153282404537&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mylucky123.com/?type=hp&ts=1478246785&z=181e37f4ee4b9a5f6c6df30gezemfbeo1zcqcm9b4w&from=che0812&uid=SanDiskXSDSSDA120G_153282404537
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mylucky123.com/?type=hp&ts=1478246785&z=181e37f4ee4b9a5f6c6df30gezemfbeo1zcqcm9b4w&from=che0812&uid=SanDiskXSDSSDA120G_153282404537
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1478246785&z=181e37f4ee4b9a5f6c6df30gezemfbeo1zcqcm9b4w&from=che0812&uid=SanDiskXSDSSDA120G_153282404537&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1478246785&z=181e37f4ee4b9a5f6c6df30gezemfbeo1zcqcm9b4w&from=che0812&uid=SanDiskXSDSSDA120G_153282404537&q={searchTerms}
HKU\S-1-5-21-1339383410-1821958394-229966200-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.mylucky123.com/?type=hp&ts=1478246785&z=181e37f4ee4b9a5f6c6df30gezemfbeo1zcqcm9b4w&from=che0812&uid=SanDiskXSDSSDA120G_153282404537
HKU\S-1-5-21-1339383410-1821958394-229966200-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mylucky123.com/?type=hp&ts=1478246785&z=181e37f4ee4b9a5f6c6df30gezemfbeo1zcqcm9b4w&from=che0812&uid=SanDiskXSDSSDA120G_153282404537
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1478246785&z=181e37f4ee4b9a5f6c6df30gezemfbeo1zcqcm9b4w&from=che0812&uid=SanDiskXSDSSDA120G_153282404537&q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1478246785&z=181e37f4ee4b9a5f6c6df30gezemfbeo1zcqcm9b4w&from=che0812&uid=SanDiskXSDSSDA120G_153282404537&q={searchTerms}
SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1478246785&z=181e37f4ee4b9a5f6c6df30gezemfbeo1zcqcm9b4w&from=che0812&uid=SanDiskXSDSSDA120G_153282404537&q={searchTerms}
SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1478246785&z=181e37f4ee4b9a5f6c6df30gezemfbeo1zcqcm9b4w&from=che0812&uid=SanDiskXSDSSDA120G_153282404537&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1339383410-1821958394-229966200-1001 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1478246785&z=181e37f4ee4b9a5f6c6df30gezemfbeo1zcqcm9b4w&from=che0812&uid=SanDiskXSDSSDA120G_153282404537&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1339383410-1821958394-229966200-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1478246785&z=181e37f4ee4b9a5f6c6df30gezemfbeo1zcqcm9b4w&from=che0812&uid=SanDiskXSDSSDA120G_153282404537&q={searchTerms}
BHO: Brak nazwy -> {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} -> Brak pliku
BHO: Brak nazwy -> {95E84BD3-3604-4AAC-B2CA-D9AC3E55B64B} -> Brak pliku
BHO-x32: Brak nazwy -> {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} -> Brak pliku
S2  WISvc; C:\ProgramData\Microsoft\Blend\14.0\1033\ResourceCacher.dll [X]
R2 ed2kidle; C:\Program Files (x86)\amuleC\ed2k.exe [237568 2016-11-02] (hxxp://www.amule.org/) [brak podpisu cyfrowego] C:\Program Files (x86)\amuleC
R1 UCGuard; C:\Windows\System32\DRIVERS\ucguard.sys [81792 2016-08-02] (Huorong Borui (Beijing) Technology Co., Ltd.) S3 MSICDSetup; \??\E:\CDriver64.sys [X]
S3 NAVENG; \??\C:\Program Files (x86)\Norton Security\NortonData\22.5.0.124\Definitions\VirusDefs\20160128.003\ENG64.SYS [X]
S3 NAVEX15; \??\C:\Program Files (x86)\Norton Security\NortonData\22.5.0.124\Definitions\VirusDefs\20160128.003\EX64.SYS [X]
S3 NTIOLib_1_0_C; \??\E:\NTIOLib_X64.sys [X]
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-21\Software\Microsoft\Internet Explorer\SearchScopes" /f
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\Users\biartyy\AppData\Local\Mozilla
C:\Users\biartyy\AppData\Roaming\Mozilla
C:\Users\biartyy\AppData\Roaming\Profiles
C:\Program Files (x86)\Mozilla Firefox
C:\Programdata\Mozilla
CMD: dir /a "C:\Program Files"
CMD: dir /a "C:\Program Files (x86)"
CMD: dir /a "C:\Program Files\Common Files\System"
CMD: dir /a "C:\Program Files (x86)\Common Files\System"
CMD: dir /a C:\ProgramData
CMD: dir /a C:\Users\biartyy\AppData\Local
CMD: dir /a C:\Users\biartyy\AppData\LocalLow
CMD: dir /a C:\Users\biartyy\AppData\Roaming
EmptyTemp:

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 
Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.
 
3. Wyczyść Google Chrome:

• Zresetuj synchronizację (o ile włączona): KLIK.
• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
• Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google.
• Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.
• Ustaw Google Chrome jako domyślną przeglądarkę. 

4. Użyj (najnowszej wersji) AdwCleaner (teraz powinno Ci się udać) uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner.

5. Wygeneruj nowe raporty FRST (bez GMER).