Piotrwin Opublikowano 15 Stycznia 2017 Zgłoś Udostępnij Opublikowano 15 Stycznia 2017 (edytowane) Witam,Mam podobny problem jak kolega JackDaniels: https://www.fixitpc.pl/topic/31619-usuni%C4%99cie-ucguard-z-win-10/konkretnie zapaprany system trochę udało się uporać ale nie ze wszystkim pozostało na pewno UCBrowser oraz windows defender wyszukuje hack tools/win32/keygen no i ciągle jakiś robaki w rejestrze ratunku []przesyłam log z FRST oraz adwcleaner Addition.txt FRST.txt Shortcut.txt AdwCleanerC4.txt Edytowane 15 Stycznia 2017 przez Rucek Odnośnik do komentarza
Miszel03 Opublikowano 15 Stycznia 2017 Zgłoś Udostępnij Opublikowano 15 Stycznia 2017 Korzystasz z oprogramowania SpyHunter, a to delikatnie mówiąc program o bardzo wątpliwej reputacji. Cytuję z tematu picasso: SpyHunter - Skaner wątpliwej reputacji bardzo silnie forsowany w wynikach Google i stosujący techniki manipulacji skłaniające do instalacji. Na Google cała masa wysoko pozycjonowanych opisów "usuwania malware" skonstruowanych w taki sposób, by pobrać SpyHunter jako cudowny darmowy lek na daną infekcję. Po instalacji okazuje się, że jest to program płatny. Niestety SpyHunter raczej nie jest wykrywany i usuwany, gdyż każde takie podejście kończy się sprawą w sądzie - przykład z AdwCleaner. Jeśli Ty zechcesz się go pozbyć to odinstalujesz go z poziomu panelu sterowania (jeśli będę problemy, a mogą być bo instalacja wygląda na uszkodzoną to zastosujesz program SpyHunterCleaner). Żeby było jasne: to Twoja decyzja, ja nic nie sugeruję. System jest zainfekowany przez nowoczesne (jak i nie) adware. Widzę również elementy infekcji BRONTOK. Od razu przechodzimy do działań. 1. Wejdź do poniżej wymiennych katalogów i spróbuj z ich poziomu uruchomić deinstalator (pliku uninstall.exe).C:\Program Files (x86)\UCBrowserC:\Program Files\żěŃą 2. Otwórz Notatnik w nim wklej: CloseProcesses:CreateRestorePoint:ShellExecuteHooks: Brak nazwy - {C5E9BD50-D3FB-11E6-9B39-64006A5CFC35} - C:\Users\Pryta\AppData\Roaming\Jaesywacuk\Ratether.dll -> Brak plikuShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak plikuShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} => -> Brak plikuBootExecute: autocheck autochk * sh4native Sh4RemovalGroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = S3 MozillaMaintenance; "C:\Program Files (x86)\Mozilla Maintenance Service\maintenanceservice.exe" [X]S4 MSSQLServerADHelper; "C:\Program Files (x86)\Microsoft SQL Server\90\Shared\sqladhlp90.exe" [X]S2 SpyHunter 4 Service; C:\Program Files\Enigma Software Group\SpyHunter\SH4Service.exe [X]U0 aswVmm; Brak ImagePathS2 ATE_PROCMON; \??\C:\Program Files (x86)\Anti Trojan Elite\ATEPMon.sys [X]S0 b06bdrv; System32\drivers\bxvbda.sys [X]U3 idsvc; Brak ImagePath2017-01-13 16:14 - 2017-01-13 16:14 - 0140288 _____ () C:\Users\Pryta\AppData\Roaming\Installer.dat2017-01-13 16:15 - 2017-01-13 16:15 - 0018432 _____ () C:\Users\Pryta\AppData\Roaming\Main.datTask: {158FAEEE-3658-4E40-89DB-EBB39C21513B} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {4031543A-16BF-4565-932A-42347CA60E66} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {48E12151-4E60-47CE-9764-351965FFD1B1} - \Microsoft\Windows\Setup\GWXTriggers\OnIdle-5d -> Brak pliku Task: {5726270D-24B0-4EB7-8234-FDC5DA049DD7} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {60247F35-FA52-4E85-BEFE-E7BF4696908B} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {7656A53C-9444-40F1-B721-9E8F481A5140} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {9075CEED-D6EC-4473-A438-45165AA3B4E6} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {91D85B07-ED99-43A4-8784-6360ACDAE4A6} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {95915DCA-D28E-4F09-BAC9-BBA12C283471} - System32\Tasks\UCBrowserSecureUpdater => C:\Program Files (x86)\UCBrowser\Security\uclauncher.exe Task: {9A07D37A-3BEF-4687-A824-2C314BBFADD8} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> Brak pliku Task: {AF468194-9394-455D-B97E-56E6C88B03C5} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> Brak pliku Task: {B9345462-2825-4EF3-805C-18B53E804B87} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {BB10524F-1AD5-4B75-8142-B23834CF447C} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> Brak pliku Task: {C7BC5D33-2389-48AD-A657-85A3E6426143} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {D980B7EA-DC49-4E88-BA51-92D884221E14} - System32\Tasks\PrytaPauperismDenaturationV2 => Rundll32.exe OstentationPyrethrin.dll,main 7 1 Task: {F3497017-D3AA-429D-971E-E7F04D1C3238} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku ShortcutWithArgument: C:\Users\Pryta\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Aplikacje Chrome\AirMirror (1).lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory="Profile 3" --app-id=macmgoeeggnlnmpiojbcniblabkdjpheShortcutWithArgument: C:\Users\Pryta\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Aplikacje Chrome\Cut the Rope (1).lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory="Profile 3" --app-id=jfbadlndcminbkfojhlimnkgaackjmdoShortcutWithArgument: C:\Users\Pryta\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Aplikacje Chrome\Google Hangouts (1).lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory="Profile 3" --app-id=knipolnnllmklapflnccelgolnpehhplShortcutWithArgument: C:\Users\Pryta\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> ShortcutWithArgument: C:\Users\Pryta\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> ShortcutWithArgument: C:\Users\Pryta\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\360c22b137d62ce9\Piotrek18 - Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory=ChromeDefaultDataShortcutWithArgument: C:\Users\Pryta\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\225bb61db2f318c1\Piotrek - Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory="Profile 3"ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) ->C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SpyHunter4\SpyHunter4.lnkC:\ProgramData\Microsoft\Windows\Start Menu\Programs\SpyHunter4\Óäŕëčňü SpyHunter4.lnkC:\ProgramData\Microsoft\Windows\Start Menu\Programs\Microsoft SQL Server 2005\Configuration Tools\SQL Server Error and Usage Reporting.lnkC:\ProgramData\Microsoft\Windows\Start Menu\Programs\Microsoft SQL Server 2005\Configuration Tools\SQL Server Surface Area Configuration.lnkC:\Users\Pryta\AppData\Roaming\Microsoft\Windows\Start Menu\żěŃą.lnkC:\Users\Pryta\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器\卸载UC浏览器.lnkC:\Users\Pryta\AppData\Roaming\Microsoft\Windows\SendTo\Android (ALLPlayer Pilot).lnkC:\Program Files (x86)\UCBrowserC:\Program Files\żěŃąEmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Profil w przeglądarce Google Chrome ChromeDefaultData jest zidentyfikowany już od dawna jako prefabrykowana modyfikacja adware. Działania: kasacja profilu, założenie czystego. Otwórz Google Chrome następnie: Ustawienia > karta Ustawienia > Osoby > Dodaj Osobę > Załóż czysty profil > ponownie wejdź do sekcji Osoby i skasuj wszystkie stare profile. 4. Zrób raport z narzędzia AdwCleaner z opcji Skanuj (chcę sprawdzić czy na pewno już nic nie widzi). Dostarcz ten raport. 5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
Piotrwin Opublikowano 15 Stycznia 2017 Autor Zgłoś Udostępnij Opublikowano 15 Stycznia 2017 (edytowane) Dziękuję za info. Punkt 1 robiłem wcześniej ale bez skutku. Na chwilę obecną w folderze UCBrowser nic nie ma ale oczywście nie mogę go usunąć bo folder jest używany. Folderu C:\Program Files\żěŃą nie mogę znaleźć w ogóle. Kolejne punkty wykonane. Dodam że nie mogę zrobić log z GMER bo ciągle niebieskie tło w trakcie się robi i reset kompa.-Jak narazie wrzucam log z quick scan programu GMER EDIT:Udało się dokończyć pełne skanowanie i uzyskanie log z programu GMER Fixlog.txt AdwCleanerC41111.txt Addition.txt FRST.txt Shortcut.txt loggmer.txt gmerlog2.txt Edytowane 15 Stycznia 2017 przez Rucek Łączę. Odnośnik do komentarza
Miszel03 Opublikowano 15 Stycznia 2017 Zgłoś Udostępnij Opublikowano 15 Stycznia 2017 Prosiłem tylko o przeprowadzenia skanowania, a nie dezynfekcji w programie AdwCleaner. To dobre narzędzie, ale trzeba z nim uważać. Niech już będzie. Generalnie wygląda to już o wiele lepiej, teraz poproszę o przeprowadzenie całościowego skanowania systemu za pomocą narzędzia Malwarebytes AntiMalware (widzę tutaj elementy infekcji BRONTOK). Jeśli coś wykryję to niczego nie usuwaj, a dostarcz raport. Odnośnik do komentarza
Piotrwin Opublikowano 15 Stycznia 2017 Autor Zgłoś Udostępnij Opublikowano 15 Stycznia 2017 Zakończyło się pełne skanowanie wysyłam log. Jak narazie niczego nie usuwam Malwarebyteslog.txt Odnośnik do komentarza
Miszel03 Opublikowano 16 Stycznia 2017 Zgłoś Udostępnij Opublikowano 16 Stycznia 2017 Wszystkie wykryte zagrożenia możesz usunąć (na szczęście brak detekcji BRONTOKA). Podsumuj obecny stan systemu. Odnośnik do komentarza
Piotrwin Opublikowano 16 Stycznia 2017 Autor Zgłoś Udostępnij Opublikowano 16 Stycznia 2017 Zagrożenia usunięte, ale nie wszystko wygląda tak fajnie przesyłam log. Addition.txt adwcleaner.txt FRST.txt gmerlog.txt Shortcut.txt Odnośnik do komentarza
Miszel03 Opublikowano 17 Stycznia 2017 Zgłoś Udostępnij Opublikowano 17 Stycznia 2017 UCBrowser odtworzył się, więc walczymy z nim dalej. Inne adware udało się usunąć w całości, a tak tj. mówiłem wcześniejszej plik Brontoka to była tylko szczątka. 1. Detekcje AdwCleaner do usunięcia, dostarcz z tego raport. Sprawdź dodatkowo czy AdwCleaner przy kolejnym skanowaniu (po wykonanym pkt. 2) wykryje coś jeszcze. 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: DisableService: ucdrv R1 ucdrv; C:\Program Files (x86)\UCBrowser\Security:ucdrv-x64.sys [23652 ] (UC Web Inc.) RemoveDirectory: C:\Program Files (x86)\UCBrowser RemoveDirectory: C:\Users\Pryta\AppData\Local\UCBrowser RemoveDirectory: C:\Users\Pryta\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器 C:\Users\Pryta\Downloads\UCBrowser_V6.0.1308.1013_windows_pf101_(Build17011217).exe C:\Users\Pryta\Downloads\UCNewsIntl_V1.3.0.825_android_pf178_(Build160720184530).apk C:\Users\Pryta\AppData\Local\Kosong.Bron.Tok.txt C:\Users\Pryta\AppData\Local\*brontok* EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Na liście programów nadal widoczny SpyHunter, w raportach też trochę go widzę. Czy odinstalowałeś go? Jeśli tak to zastosuj jeszcze mimo wszystko SpyHunterCleaner. 4. Wyczyść folder Pobrane / Download, nie chcę tego robić skryptem, bo może masz tam coś co chcesz zostawić (p.s pobierając więcej pirackiego oprogramowania tylko pogorszysz sprawę). 5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
Piotrwin Opublikowano 17 Stycznia 2017 Autor Zgłoś Udostępnij Opublikowano 17 Stycznia 2017 Cześć, Punkt 1 zrobiony ADWC nadal wykrywa UCBrowser (najpierw zrobiłem punkt 2) już chyba tylko to zostało jak to usunąć? Brak jakichkolwiek plików w folderze C:\Program Files (x86)\UCBrowser\Security Punkt 2. Wykonany Punkt 3. Robiłem dokładnie to samo wczoraj ale dziś zrobiłem to jeszcze raz. Proszę zerknij czy już wszystko usunięte ? Punkt 4. Wyczyszczone Punkt 5. Pliki poniżej AdwCleanerC5.txt AdwCleanerS6.txt Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
Miszel03 Opublikowano 18 Stycznia 2017 Zgłoś Udostępnij Opublikowano 18 Stycznia 2017 Ustrojstwo dalej siedzi, ale wiem co jest przyczyną. Nie mogę kasować tyle tego co widać w raportach = mój ewidentny błąd. Poproszę o wygląd rejestru i plików pod kątem UCBrowser. Uruchom FRST, w polu Szukaj (Search) wklej poniższą frazę i kliknij w Szukaj w rejestrze (Search Registry). ucborwser W obok FRST powstanie raport SearchReg.txt - zaprezentuj go na forum, następnie przeszukasz pliki tak samo, z tym, że wkleisz: ucborwser*.* i klikniesz w Szukaj Plików (Search Files). J/w dostarczasz raport SearchFiles. Odnośnik do komentarza
Piotrwin Opublikowano 18 Stycznia 2017 Autor Zgłoś Udostępnij Opublikowano 18 Stycznia 2017 Raporty w załączeniu. Fajnie, że i tak udało się już tyle tego wyplewić Edit: Dodatkowo znalazłem pliki w rejestrze żěŃą Search111.txt SearchReg111.txt SearchReg222.txt Odnośnik do komentarza
Miszel03 Opublikowano 20 Stycznia 2017 Zgłoś Udostępnij Opublikowano 20 Stycznia 2017 Edit: Dodatkowo znalazłem pliki w rejestrze żěŃą W takim razie powtórz wyszukiwania również dla tego wyniku. Robisz to samo ale w przypadku wyszukiwania w rejestrze wklej: żěŃą a w przypadku wyszukiwania plików wklej: żěŃą*.* Odnośnik do komentarza
Piotrwin Opublikowano 21 Stycznia 2017 Autor Zgłoś Udostępnij Opublikowano 21 Stycznia 2017 Już to zrobiłem plik searchreg222 wyniki przeszukiwania rejestru a plików żadnych nie znaleziono. Odnośnik do komentarza
Miszel03 Opublikowano 21 Stycznia 2017 Zgłoś Udostępnij Opublikowano 21 Stycznia 2017 Odpowiem za kilka godzin edytując ten post. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się