badfox Opublikowano 15 Stycznia 2017 Zgłoś Udostępnij Opublikowano 15 Stycznia 2017 (edytowane) Witam, wszystkich na forum. Nie wiem czy to dobry dział, jeśli zły proszę o przeniesienie tematu.Podczas ściągania programu zainstalował mi się żěŃą (chiński badziewi) ja to usunąć? (czytałem że muszę dodać na stronę jakieś pliki z rejestru txt. by uzyskać ) proszę informację jak to zrobić.Pozdrawiam Zainstalowała się jeszcze przeglądarka UC(reszta po chińsku) logo jakby wiewiórka;/ EDIT:Dziękuję za wskazówki.Podsyłam pliki, nie robię żadnych zmian na komputerze. Nie do końca wiedziałem jak włączyć przywracanie systemu z resztą dałem radę (chyba) FRST.txt Shortcut.txt GMER.txt Addition.txt AdwCleanerS1.txt Addition.txt Shortcut.txt Fixlog.txt Edytowane 15 Stycznia 2017 przez badfox Łaczę. Odnośnik do komentarza
Miszel03 Opublikowano 15 Stycznia 2017 Zgłoś Udostępnij Opublikowano 15 Stycznia 2017 W raportach widocznych sporo infekcji, instalacji adware / PUP. Od razu przechodzimy do działań: 1. Włącz przywracanie systemu. 2. Przez Panel Sterownia odinstaluj: Online.io Application Traffic Exchange Dodatkowo wejdź do tych katalogów: C:\Program Files (x86)\UCBrowser, C:\Program Files\żěŃą i spróbuj uruchomić z nich plik deinstalatora (nazwa to będzie coś typu uninstall.exe). 3. Otwórz Notatnik w nim wklej: CloseProcesses:CreateRestorePoint:HKLM\...\Policies\Explorer: [EnableShellExecuteHooks] 1HKU\S-1-5-18\...\Run: [] => 0ShellExecuteHooks: Brak nazwy - {5F51FFFE-7463-4220-B711-E5B9ACB8EDFE} - C:\ProgramData\igfxDH.dll -> Brak plikuShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} => C:\Program Files\żěŃą\X64\KZipShell.dll [2017-01-15] ()C:\Program Files\żěŃąHKU\S-1-5-21-4025576816-31018432-1891004371-1002\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccYrAOqy038KKUuPkN7Jsblii8mKtbeE-Mw-MI4xTQQ0a5MNblKKsmndVX-wbZmf8S94xMm2--tymdeODLPWzkQ7B3sdQZx9HWMVDAFZA3jelIbZ9XRHW0VnVmasn2LyA0nYbB4u6pPudJ71w2SjSBh7OD3goA,,&q={searchTerms}HKU\S-1-5-21-4025576816-31018432-1891004371-1002\Software\Microsoft\Internet Explorer\Main,Start Page = SearchScopes: HKLM-x32 -> DefaultScope - brak wartościSearchScopes: HKU\S-1-5-21-4025576816-31018432-1891004371-1002 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = U1 ucdrv; C:\Program Files (x86)\UCBrowser\Security:ucdrv-x64.sys [23652 ] (UC Web Inc.) 2017-01-15 10:52 - 2017-01-15 11:17 - 00003476 _____ C:\WINDOWS\System32\Tasks\UCBrowserSecureUpdater2017-01-15 10:52 - 2017-01-15 10:55 - 00000486 _____ C:\WINDOWS\Tasks\UCBrowserUpdater.job2017-01-15 10:52 - 2017-01-15 10:52 - 00003502 _____ C:\WINDOWS\System32\Tasks\UCBrowserUpdater2017-01-15 10:52 - 2017-01-15 10:52 - 00001597 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\UC浏览器.lnk2017-01-15 10:52 - 2017-01-15 10:52 - 00000000 ____D C:\Users\user\AppData\Local\UCBrowser2017-01-15 10:52 - 2017-01-15 10:52 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\UC浏览器2017-01-15 10:52 - 2017-01-15 10:52 - 00000000 ____D C:\Program Files (x86)\UCBrowser2017-01-15 10:51 - 2017-01-15 10:51 - 00092832 _____ (WinMount International Inc) C:\WINDOWS\system32\Drivers\KuaiZipDrive.sys2017-01-15 10:51 - 2017-01-15 10:51 - 00000884 _____ C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\żěŃą.lnk2017-01-15 10:51 - 2017-01-15 10:51 - 00000860 _____ C:\Users\user\Desktop\żěŃą.lnk2017-01-15 10:51 - 2017-01-15 10:51 - 00000000 ____D C:\Program Files\żěŃą2017-01-15 10:50 - 2017-01-15 10:50 - 07316480 _____ C:\Users\user\AppData\Roaming\agent.dat2017-01-15 10:50 - 2017-01-15 10:50 - 01938534 _____ C:\Users\user\AppData\Roaming\Hot-Com.bin2017-01-15 10:50 - 2017-01-15 10:50 - 01907313 _____ C:\Users\user\AppData\Roaming\Zot-Phase.tst2017-01-15 10:50 - 2017-01-15 10:50 - 00982016 _____ C:\Users\user\AppData\Roaming\Zot-Phase.exe2017-01-15 10:50 - 2017-01-15 10:50 - 00982016 _____ C:\Users\user\AppData\Roaming\Tonfan.exe2017-01-15 10:50 - 2017-01-15 10:50 - 00140288 _____ C:\Users\user\AppData\Roaming\Installer.dat2017-01-15 10:50 - 2017-01-15 10:50 - 00126464 _____ C:\Users\user\AppData\Roaming\noah.dat2017-01-15 10:50 - 2017-01-15 10:50 - 00126464 _____ C:\Users\user\AppData\Roaming\lobby.dat2017-01-15 10:50 - 2017-01-15 10:50 - 00072787 _____ C:\Users\user\AppData\Roaming\Tonfan.tst2017-01-15 10:50 - 2017-01-15 10:50 - 00070752 _____ C:\Users\user\AppData\Roaming\Config.xml2017-01-15 10:50 - 2017-01-15 10:50 - 00054272 _____ C:\Users\user\AppData\Roaming\ApplicationHosting.dat2017-01-15 10:50 - 2017-01-15 10:50 - 00018432 _____ C:\Users\user\AppData\Roaming\Main.dat2017-01-15 10:50 - 2017-01-15 10:50 - 00016560 _____ C:\Users\user\AppData\Roaming\InstallationConfiguration.xml2017-01-15 10:50 - 2017-01-15 10:50 - 00005568 _____ C:\Users\user\AppData\Roaming\md.xmlTask: {202D255C-1CFA-4768-BD03-8C2AB63918B1} - System32\Tasks\psv_Dongron => /c regedit.exe /s "C:\ProgramData\Hotfresh\Stronglight.reg" & del "C:\ProgramData\Hotfresh\Stronglight.reg" & SCHTASKS /Delete /TN "psv_Dongron" /F Task: {3B50FBD6-82F1-48E6-9A55-BA186D726C38} - System32\Tasks\psv_Dondincom => /c regedit.exe /s "C:\ProgramData\Hotfresh\Black-Phase.reg" & del "C:\ProgramData\Hotfresh\Black-Phase.reg" & SCHTASKS /Delete /TN "psv_Dondincom" /F Task: {3DE937E6-1DDE-4714-AE2B-CA2B1EAC4ED5} - System32\Tasks\psv_RunTojob => /c regedit.exe /s "C:\ProgramData\Hotfresh\Freshtolight.reg" & del "C:\ProgramData\Hotfresh\Freshtolight.reg" & SCHTASKS /Delete /TN "psv_RunTojob" /F Task: {42404135-7397-4B1F-8680-1CBD913C35A0} - System32\Tasks\psv_Goldentone => /c regedit.exe /s "C:\ProgramData\Hotfresh\Cof-Touch.reg" & del "C:\ProgramData\Hotfresh\Cof-Touch.reg" & SCHTASKS /Delete /TN "psv_Goldentone" /F Task: {5448DC11-3EF6-4CB8-BA7D-AB8ED96461BD} - System32\Tasks\UCBrowserUpdater => C:\Program Files (x86)\UCBrowser\Application\update_task.exe [2017-01-11] (UCWeb Inc) Task: {5803BD9B-9037-47DA-A2C5-AD0CBD396A6F} - System32\Tasks\psv_Canity => /c regedit.exe /s "C:\ProgramData\Hotfresh\Fresh-Zap.reg" & del "C:\ProgramData\Hotfresh\Fresh-Zap.reg" & SCHTASKS /Delete /TN "psv_Canity" /F Task: {78AF8A6E-0E7A-487C-BA6F-BE9CC6AA1D9B} - System32\Tasks\UCBrowserSecureUpdater => C:\Program Files (x86)\UCBrowser\Security\uclauncher.exe [2017-01-15] (UC Web Inc.) Task: C:\WINDOWS\Tasks\UCBrowserUpdater.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe C:\ProgramData\HotfreshEmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Wyczyść przeglądarkę Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 5. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 6. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się