UCGuard- Ifekcja systemu- samo włączające się strony typu uuc,worko...

[sicek1]

Witam,

kilka dni temu ściągnąłem program po którym mój komputer zaczął włączać samoczynnie różne strony internetowe jakieś reklamy. Jednym w głównych objawów jest włączająca się chińska przeglądarka po każdorazowym włączeniu komputera- jakieś chińskie znaczki. Dodatkowo przy każdym włączeniu przeglądarki mozilla resetuje ustawienia przeglądarki ( wyszukiwarka google, strona startowa) jako startowe strony uruchamiają się różne strony m.in.uuc0789.ex, workno.ru i inne. Początkowo próbowałem usunąć nowo zainstalowane programy przez Total Uninstall 6. Ale nadal nie odzyskałem pełnej kontroli nad komputerem.

Dołączam wykonane logi.

Proszę Was bardzo o pomoc

Pozdrawiam Konrad

Addition.txt

FRST.txt

Shortcut.txt

[sicek1]

Nikt nic nie pomoże?

[Miszel03]

W przypadku kiedy widzisz, że jakimś cudem omijam temat (np. Twój) to należy go zgłosić - KLIK. Pomoc na forum wymaga inicjatywy z obu stron  

P.S: Przepraszam za opóźnienia. 

 

---

 

W systemie kolosalny bałagan, infekcji obok infekcji. Infekcje adware, koparki bitcoin i wiele, wiele innych. 

 

Do poczytania: KLIK.

 

1. Włącz przywracanie systemu, 

 

2. Przez panel sterowania odinstaluj:

• Adware: My Web Shield.

Uruchom deinstalator UCBrowser: C:\Program Files (x86)\UCBrowser\Application\Uninstall.exe.

Wejdź do folderu C:\Program Files\żěŃą i z jego poziomu spróbuj uruchomić plik deinstalacyjny (nazwa ma być zbliżona do uninstall.exe).

 

3. Otwórz Notatnik w nim wklej:

 

CloseProcesses:
CreateRestorePoint:
Task: {000A1667-F072-453A-BD86-97B916D43FF8} - System32\Tasks\UCBrowserSecureUpdater => C:\Program Files (x86)\UCBrowser\Security\uclauncher.exe [2017-02-18] (UC Web Inc.) 
Task: {3314D1F1-754B-4FBB-9616-22E15AF0D565} - System32\Tasks\SMW_UpdateTask_Time_323935363634313336352d5537375a346c2d3232345b41 => Wscript.exe //B "C:\ProgramData\SearchModule\smhe.js" smu.exe /invoke /f:check_services /l:0 
Task: {346FD75F-2436-45AE-9B7B-8B529C5E9556} - System32\Tasks\UCBrowserUpdaterCore => C:\Program Files (x86)\UCBrowser\Application\update_task.exe [2017-02-13] (UCWeb Inc) 
Task: {37AD3216-E401-4E04-9580-96304A09A5A7} - System32\Tasks\osTip => Chrome.exe  
Task: {556BC873-4C12-42AF-B5E2-AF505EA65A99} - System32\Tasks\SMW_P => C:\ProgramData\smp2.exe [2017-02-19] () 
Task: {62FB2B69-8A7E-401B-9220-9FAB1CC7416D} - System32\Tasks\psv_Zimdinphase => cmd.exe /c regedit.exe /s "C:\ProgramData\Zaamla\OpeDom.reg" & del "C:\ProgramData\Zaamla\OpeDom.reg" & SCHTASKS /Delete /TN "psv_Zimdinphase" /F 
Task: {75FF93D3-F993-4405-909E-1E17C16131CF} - System32\Tasks\psv_NimZozsing => cmd.exe /c regedit.exe /s "C:\ProgramData\Zaamla\Fresh-Top.reg" & del "C:\ProgramData\Zaamla\Fresh-Top.reg" & SCHTASKS /Delete /TN "psv_NimZozsing" /F 
Task: {8D4E4EF9-1F4D-4896-BC79-B88D9E4EC583} - System32\Tasks\svshost => C:\Users\karol\AppData\Local\svshost\svshost.exe [2017-02-18] () 
Task: {8DACFD5C-9058-44B9-8134-635A2D089470} - System32\Tasks\Thwentfhution => "msiexec" /i hxxp://d2buh1bf1g584w.cloudfront.net/msi/rel.php?u=SAMSUNGXMZNLF128HCHP-00000_S28TNXAGC32881&v=2017218 /q
Task: {9AD8EE5A-F355-44E1-8CDE-4ECE09A261E1} - System32\Tasks\psv_Techcore => cmd.exe /c regedit.exe /s "C:\ProgramData\Zaamla\Hotlight.reg" & del "C:\ProgramData\Zaamla\Hotlight.reg" & SCHTASKS /Delete /TN "psv_Techcore" /F 
Task: {A2AC6AA1-CDA6-4E98-B124-ED0736C76E88} - System32\Tasks\fupdate => C:\Users\karol\AppData\Local\fupdate\fupdate.exe [2017-02-18] () 
Task: {B0FB4407-542B-4D74-ACBE-F96DD8791BA0} - System32\Tasks\snp => C:\ProgramData\Zaamla\Zaamla.exe  
Task: {B54B3893-5684-4FA1-9A9A-4976F7D1706F} - System32\Tasks\psv_Nam-Ron => cmd.exe /c regedit.exe /s "C:\ProgramData\Zaamla\Icesoft.reg" & del "C:\ProgramData\Zaamla\Icesoft.reg" & SCHTASKS /Delete /TN "psv_Nam-Ron" /F 
Task: {C5CA8A9E-ED0A-4437-B83B-3E5024530C24} - System32\Tasks\UCBrowserUpdaterCore => C:\Program Files (x86)\UCBrowser\Application\update_task.exe [2017-02-13] (UCWeb Inc) 
Task: {C5DFEF90-EC74-4899-A776-C03F5A9E6336} - System32\Tasks\RunAtStartup => C:\Users\karol\AppData\Roaming\Event Monitor\em.exe [2017-01-05] () 
Task: {D3D4774D-AC9A-4315-BD78-878BD3ED4420} - \UCBrowserUpdater -> Brak pliku 
Task: {F651DE85-EE16-4643-B03E-8AE48E44B663} - System32\Tasks\snf => C:\ProgramData\Zaamla\Zaamla.exe  
Task: C:\WINDOWS\Tasks\UCBrowserUpdaterCore.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe 
RemoveDirectory: C:\Program Files (x86)\UCBrowser
C:\ProgramData\Zaamla
ShortcutWithArgument: C:\Users\karol\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www%2dsearching.com/?prd=set_epf&s=h2izbcnbl1bu,eaedea06-9d30-45fe-b972-404e013e9e8d,
ShortcutWithArgument: C:\Users\karol\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk -> C:\Windows\System32\rundll32.exe (Microsoft Corporation) -> url,FileProtocolHandler "hxxp://www.mail.ru/cnt/20775012?gp=811008"
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www-searching.com/?prd=set_epf&s=h2izbcnbl1bu,eaedea06-9d30-45fe-b972-404e013e9e8d,
ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www-searching.com/?prd=set_epf&s=h2izbcnbl1bu,eaedea06-9d30-45fe-b972-404e013e9e8d,
AlternateDataStreams: C:\WINDOWS\system32\drivers:ucdrv-x64.sys [25444]
AlternateDataStreams: C:\WINDOWS\system32\drivers:x64 [371912]
AlternateDataStreams: C:\WINDOWS\system32\drivers:x86 [1214242]
FirewallRules: [{35334B9B-0EF2-47DD-B57D-AE032C32CD40}] => (Allow) C:\Program Files (x86)\UCBrowser\Application\UCBrowser.exe
FirewallRules: [{313A28AF-771E-4D7A-B458-C2205A64EF61}] => (Allow) C:\Program Files (x86)\UCBrowser\Application\UCBrowser.exe
FirewallRules: [{FB648779-BB2B-4D70-B329-C1EC802ABF8B}] => (Allow) C:\Program Files (x86)\UCBrowser\Application\Downloader\download\MiniThunderPlatform.exe
HKLM\...\Run: [gplyra] => C:\Users\karol\AppData\Roaming\gplyra\gplyra.exe 
C:\Users\karol\AppData\Roaming\gplyra
HKU\S-1-5-21-1001290168-2904822511-823766712-1001\...\Run: [svchost0] => "C:\Program Files (x86)\UCBrowser\Application\UCBrowser.exe"\UUC0789.exe
HKU\S-1-5-21-1001290168-2904822511-823766712-1001\...\Run: [hçy--oPaVZ.exe] => C:\Users\karol\AppData\Local\Temp\{821-08-ca-984a4-91988-dad7-82eaa}\hçy--oPaVZ.exe -r1_1 -r2_1 
HKU\S-1-5-21-1001290168-2904822511-823766712-1001\...\Run: [bl-NDq_Daa.exe] => C:\Users\karol\AppData\Local\Temp\{821-08-ca-984a4-91988-dad7-82eaa}\Bl-NDq_Daa.exe 1 0 
HKU\S-1-5-21-1001290168-2904822511-823766712-1001\...\Run: [msiql] => C:\Users\karol\AppData\Local\Temp\00021614\msiql.exe /RUNNING 
HKU\S-1-5-21-1001290168-2904822511-823766712-1001\...\Run: [apphide] => C:\Program Files (x86)\xxx\uc.exe [159830 2017-02-16] (Unauthorized copy)
C:\Program Files (x86)\xxx
HKU\S-1-5-21-1001290168-2904822511-823766712-1001\...\Run: [qqwdalfxvv] => explorer "hxxp://azwebty.ru/?utm_source=uoua03&utm_content=fbd6fe6f2d628d670a663a405d23b55e&utm_term=E841F19B371A4C874D6EF9E6A200D17F&utm_d=20170218" 
HKLM\...\Providers\ahwq7cx4: C:\Program Files (x86)\Arodupychinering Nodifier\local64spl.dll [307712 2017-02-18] ()
C:\Program Files (x86)\Arodupychinering Nodifier
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Brak pliku
ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} => C:\Program Files\żěŃą\X64\KZipShell.dll [2017-02-18] ()
RemoveDirectory: C:\Program Files\żěŃą
GroupPolicy: Ograniczenia 
GroupPolicy\User: Ograniczenia 
KU\S-1-5-21-1001290168-2904822511-823766712-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBFnYN5R-SRTQR4zPSPg7lDWkjCrgzmouuJGbeLR9A1biOirgGkAc143v-YoHPywP0CgUWpzp-hySfxZHriwVp-A8lEV69p6exekaN1GnFd1Jo2DisHSzLgSDmM_kZgPSZDKce8t2sfkJUiDHtUCecOF-MZuNoW-PEu96nQ24L4NLaARygrfyOZJe0-&q={searchTerms}
SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = 
SearchScopes: HKLM-x32 -> ielnksrch URL = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBFnYN5R-SRTQR4zPSPg7lDWkjCrgzmouuJGbeLR9A1biOirgGkAc143v-YoHPywP0CgUWpzp-hySfxZHriwVp-A8lEV69p6exekaN1GnFd1Jo2DisHSzLgSDmM_kZgPSZDKce8t2sfkJUiDHtUCecOF-MZuNoW-PEu96nQ24L4NLaARygrfyOZJe0-&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1001290168-2904822511-823766712-1001 -> {E1BCE238-BB86-4CBA-A110-5F7C92E4789A} URL = 
SearchScopes: HKU\S-1-5-21-1001290168-2904822511-823766712-1001 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7B6BF4E8FE-66E8-42CE-8379-13BB96A5B7EB%7D&gp=811014
SearchScopes: HKU\S-1-5-21-1001290168-2904822511-823766712-1001 -> {ielnksrch} URL = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBFnYN5R-SRTQR4zPSPg7lDWkjCrgzmouuJGbeLR9A1biOirgGkAc143v-YoHPywP0CgUWpzp-hySfxZHriwVp-A8lEV69p6exekaN1GnFd1Jo2DisHSzLgSDmM_kZgPSZDKce8t2sfkJUiDHtUCecOF-MZuNoW-PEu96nQ24L4NLaARygrfyOZJe0-&q={searchTerms}
ShellExecuteHooks: Brak nazwy - {D4385D50-F441-11E6-BA98-64006A5CFC23} - C:\Program Files (x86)\Miqoshzesetion\Stergalycuvoent.dll -> Brak pliku
BHO-x32: Ďîčńę@Mail.Ru -> {8E8F97CD-60B5-456F-A201-73065652D099} -> C:\Users\karol\AppData\Local\Mail.Ru\Sputnik\IESearchPlugin.dll [2017-02-18] (Mail.Ru)
C:\Users\karol\AppData\Local\Mail.Ru
FF NewTab: Mozilla\Firefox\Profiles\ndoc02yp.default -> hxxp://www-searching.com/?site=shyosffdefault&prd=set_ff&s=h2izbcnbl1bu,eaedea06-9d30-45fe-b972-404e013e9e8d,
FF SelectedSearchEngine: Mozilla\Firefox\Profiles\ndoc02yp.default -> 
FF Homepage: Mozilla\Firefox\Profiles\ndoc02yp.default -> hxxp://www-searching.com/?site=shyosffdefault&prd=set_ff&s=h2izbcnbl1bu,eaedea06-9d30-45fe-b972-404e013e9e8d,
FF Keyword.URL: Mozilla\Firefox\Profiles\ndoc02yp.default -> hxxp://www-searching.com/search.aspx?site=shdefault1&prd=smw&pid=s&shr=d&q={searchTerms}&s=H2Izbcnbl1BU,eaedea06-9d30-45fe-b972-404e013e9e8d,
R2 Amazon 1Button App Service; c:\Program Files (x86)\Amazon\Amazon1ButtonApp\Amazon1ButtonService64.Exe [460472 2016-12-12] (Amazon Inc.)
R2 GoogleChromeUpService; C:\ProgramData\service.exe [1620992 2017-02-18] () [brak podpisu cyfrowego] 
R2 KuaizipUpdateChecker; C:\Program Files\żěŃą\X86\kuaizipUpdateChecker.dll [219032 2017-02-18] ()
R2 UCBrowserSvc; C:\Program Files (x86)\UCBrowser\Application\UCService.exe [599440 2017-02-13] ()
S2 serverss; C:\WINDOWS\Temp\CA53.tmp [X]
R1 mwescontroller; C:\WINDOWS\system32\drivers\mwescontroller.sys [57680 2016-08-31] () 
R1 ucdrv; C:\Program Files (x86)\UCBrowser\Security:ucdrv-x64.sys [25444 ] (UC Web Inc.) 
2017-02-18 10:25 - 2017-02-18 10:25 - 7319040 _____ () C:\Users\karol\AppData\Roaming\agent.dat
2017-02-18 10:25 - 2017-02-18 10:25 - 0023622 _____ () C:\Users\karol\AppData\Roaming\aliexpress.ico
2017-02-18 10:25 - 2017-02-18 10:25 - 0099678 _____ () C:\Users\karol\AppData\Roaming\booking.ico
2017-02-18 10:25 - 2017-02-18 10:25 - 0070752 _____ () C:\Users\karol\AppData\Roaming\Config.xml
2017-02-18 10:25 - 2017-02-18 10:25 - 0016224 _____ () C:\Users\karol\AppData\Roaming\InstallationConfiguration.xml
2017-02-18 10:25 - 2017-02-18 10:25 - 0140288 _____ () C:\Users\karol\AppData\Roaming\Installer.dat
2017-02-18 10:25 - 2017-02-18 10:25 - 0982016 _____ () C:\Users\karol\AppData\Roaming\Lamcanron.exe
2017-02-18 10:25 - 2017-02-18 10:25 - 1907163 _____ () C:\Users\karol\AppData\Roaming\Lamcanron.tst
2017-02-18 10:25 - 2017-02-18 10:25 - 0018432 _____ () C:\Users\karol\AppData\Roaming\Main.dat
2017-02-18 10:25 - 2017-02-18 10:25 - 0005568 _____ () C:\Users\karol\AppData\Roaming\md.xml
2017-02-18 10:25 - 2017-02-18 10:25 - 0126464 _____ () C:\Users\karol\AppData\Roaming\noah.dat
2017-02-18 10:25 - 2017-02-18 10:25 - 0278518 _____ () C:\Users\karol\AppData\Roaming\TinTip.bin
C:\ProgramData\service.exe
C:\ProgramData\smp2.exe
Hosts:
EmptyTemp: 

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

4. Wyczyść i zabezpiecz przeglądarkę Mozilla FireFox:

• Odłącz synchronizację (o ile włączona): KLIK.
• Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.
• Menu Historia > Wyczyść historię przeglądania.
• Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin.
• Ustaw tą przeglądarkę jako domyślną lub jakąkolwiek inną w celu cofnięcia modyfikacji infekcji.

5. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner.

 

6. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

[sicek1]

1. Włącz przywracanie systemu- zrobione

2. Przez panel sterowania odinstaluj:

• Adware: My Web Shield.- nie znalazłemtego pliku iestety, może przy deinstalacji programów wtedy go odinstalowałem.

Uruchom deinstalator UCBrowser: C:\Program Files (x86)\UCBrowser\Application\Uninstall.exe.- w folderze Program Files brak takiego folderu jak UCBrowser
Wejdź do folderu C:\Program Files\żěŃą i z jego poziomu spróbuj uruchomić plik deinstalacyjny (nazwa ma być zbliżona do uninstall.exe)- w folderze C:\Program Files brak \żěŃą
 
3. Otwórz Notatnik w nim wklej:- zrobione

4. Wyczyść i zabezpiecz przeglądarkę Mozilla FireFox:- wszystkie kroki zrobione

5. w załączniku
6. w załączniku

Addition.txt

FRST.txt

Shortcut.txt

AdwCleanerS0.txt

Fixlog.txt

Edytowane 23 Lutego 2017 przez Rucek

[sicek1]

Witam, proszę o pomoc w powyższej sprawie.