Skocz do zawartości

Zainfekowany komputer, prośba o pomoc.


Rekomendowane odpowiedzi

Witam.

Mam następujący problem. Pobrałem grę z internetu i podczas jej instalacji odszedłem od komputera. Gdy powróciłem instalacja miała się ku końcowi aczkolwiek razem z nią zainstalowało się milion innych rzeczy, razem z jakimiś chińskimi programami. Ogólnie zaczęły same otwierać się reklamy w firefoxie i jakiejś innej przeglądarce która sama się zainstalowała i usunęły mi się zakładki z google chroma. Próbowałem przeskanować komputer esetem ale chyba nie daje rady, ponieważ wykrył troszkę wirusów ale problem nie ustąpił do końca. Reklamy przestały się samoczynnie otwierać ponieważ eset je blokuje. Aczkolwiek podczas każdego uruchomienia chroma wyskakuje problem związany z czymś takim Kemgadeojglibflomicgnfeopkdffink. 

 

Wykonałem skanowanie programem GMER i FRST. Logi z FRST dodaje w załącznikach a z programu GMER niestety nie mogę dodać bo wyskakuje komunikat, że nie mam takich uprawnień. Tak więc skan z programu GMER wstawiłem tutaj :http://pastebin.com/fpBiSQhm.

 

Proszę o pomoc bo nie poradzę sobie sam. Jeśli trzeba jeszcze jakieś skany czy coś to proszę powiedzieć jakim programem, ponieważ nie bardzo orientuję się w zaawansowanym odinfekowywaniu. A i jeszcze jedno skanowałem kompa programami adaware i adw cleaner ale też nie dają sobie rady.

 

Jeszcze raz proszę o pomoc i pozdrawiam. :)

 

 

Addition.txt

FRST.txt

Shortcut.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

A i jeszcze jedno skanowałem kompa programami adaware i adw cleaner ale też nie dają sobie rady.

 

Dostarcz raporty z tych działań.

 


 

W systemie widoczny kolosalny bałagan spowodowany nowoczesnymi infekcjami adware. Najwyższy czas uprzątnąć to wypisko. 

P.S: Na przyszłość nie zaznaczaj opcji "MD5 List", bo jest ona mi zbędną.

 

Do poczytania: KLIK.

 

1. Przez panel sterowania odinstaluj:

  • Adware / PUP: SafeFinder, Traffic Exchange.
Następnie spróbuj alternatywą metodą odinstalować (uruchamiając pliki o nazwie zbliżonej do uninstall.exe) z poziomu niżej wymienionych folderów.
  • C:\Program Files (x86)\UCBrowser
  • C:\Program Files\żěŃą
  • C:\Program Files (x86)\QForlLgs0EYm Updater
2. Otwórz Notatnik w nim wklej:

 

CloseProcesses:
CreateRestorePoint:
Task: {0F85B90E-DF19-4B9B-A8D5-66FE28C58AFD} - System32\Tasks\QForlLgs0EYm => qforllgs0eym.exe
Task: {1993EA93-792D-4088-99F2-5C4BF6BC9C78} - System32\Tasks\UCBrowserUpdaterCore => C:\Program Files (x86)\UCBrowser\Application\update_task.exe [2017-02-28] (UCWeb Inc) 
Task: {9ECB4862-7499-44C0-9165-941F13E2135A} - System32\Tasks\UCBrowserSecureUpdater => C:\Program Files (x86)\UCBrowser\Security\uclauncher.exe [2017-02-28] (UC Web Inc.) 
Task: {CA96C101-3522-4CCD-8A76-1B80B333B395} - System32\Tasks\UCBrowserUpdater => C:\Program Files (x86)\UCBrowser\Application\update_task.exe [2017-02-28] (UCWeb Inc) 
Task: {E6B89740-96EF-42E0-9B63-82B777361269} - System32\Tasks\58R656h8568i777 => Rundll32.exe "C:\ProgramData\58R656h8568i777\58R656h8568i777.dll",RhiBTBgLj 
Task: C:\Windows\Tasks\UCBrowserUpdater.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe 
Task: C:\Windows\Tasks\UCBrowserUpdaterCore.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe 
RemoveDirectory: C:\Program Files (x86)\UCBrowser
RemoveDirectory: C:\Users\Daniel\AppData\Local\UCBrowser
C:\ProgramData\58R656h8568i777
WMI_ActiveScriptEventConsumer_ASEC: 
ShortcutWithArgument: C:\Users\Daniel\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://qtipr.com/
ShortcutWithArgument: C:\Users\Daniel\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Daniel\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/
ShortcutWithArgument: C:\Users\Daniel\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://qtipr.com/
ShortcutWithArgument: C:\Users\Daniel\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Daniel\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/
ShortcutWithArgument: C:\Users\Daniel\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://qtipr.com/
ShortcutWithArgument: C:\Users\Daniel\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\9501e18d7c2ab92e\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory="Profile 2"
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Daniel\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> D:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://qtipr.com/
ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Daniel\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/
ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> D:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://qtipr.com/
C:\Users\Daniel\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk
AlternateDataStreams: C:\Windows\system32\drivers:ucdrv-x64.sys [25444]
AlternateDataStreams: C:\Windows\system32\drivers:x64 [1496610]
AlternateDataStreams: C:\Windows\system32\drivers:x86 [1221154]
FirewallRules: [{526A456C-3720-4FD6-A9E9-FF80FE7AE33F}] => (Allow) C:\Program Files (x86)\UCBrowser\Application\UCBrowser.exe
HKLM\...\Providers\0hvzx1eq: C:\Program Files (x86)\Butspplikule System\local64spl.dll
C:\Program Files (x86)\Butspplikule System
ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} => C:\Program Files\żěŃą\X64\KZipShell.dll [2017-02-28] ()
RemoveDirectory: C:\Program Files\żěŃą
GroupPolicy: Ograniczenia - Chrome 
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia 
HKU\S-1-5-21-4075855626-25370417-906772903-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia 
HKU\S-1-5-21-4075855626-25370417-906772903-1000\Software\Microsoft\Internet Explorer\Main,Start Page =
SearchScopes: HKLM-x32 -> DefaultScope - brak wartości
R2 QForlLgs0EYm Updater; C:\Program Files (x86)\QForlLgs0EYm Updater\QForlLgs0EYm Updater.exe [313344 2017-02-22] () [brak podpisu cyfrowego]
C:\Program Files (x86)\QForlLgs0EYm Updater
R1 ucdrv; C:\Program Files (x86)\UCBrowser\Security:ucdrv-x64.sys [25444 ] (UC Web Inc.) 
S3 catchme; \??\C:\ComboFix\catchme.sys [X]
2017-02-28 13:51 - 2017-02-28 13:51 - 0054272 _____ () C:\Users\Daniel\AppData\Roaming\ApplicationHosting.dat
2017-02-28 13:51 - 2017-02-28 13:51 - 0072787 _____ () C:\Users\Daniel\AppData\Roaming\Dento-Home.tst
2017-02-28 13:51 - 2017-02-28 13:51 - 0126464 _____ () C:\Users\Daniel\AppData\Roaming\lobby.dat
2017-02-28 13:51 - 2017-02-28 13:51 - 1892491 _____ () C:\Users\Daniel\AppData\Roaming\Sandax.tst
CMD: dir /a "C:\Program Files"
CMD: dir /a "C:\Program Files (x86)"
CMD: dir /a "C:\Program Files\Common Files\System"
CMD: dir /a "C:\Program Files (x86)\Common Files\System"
CMD: dir /a C:\ProgramData
CMD: dir /a C:\Users\Daniel\AppData\Local
CMD: dir /a C:\Users\Daniel\AppData\LocalLow
CMD: dir /a C:\Users\Daniel\AppData\Roaming
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Ze względu na modyfikacje adware, trzeba kompleksowo wymienić profile w przeglądarce Google Chrome, w tym celu wykonaj poniższą instrukcję.

 

Otwórz przeglądarkę Google Chrome, następnie przejdź do Ustawienia > karta Ustawienia > Osoby > Dodaj Osobę > dodaj nową osobę, zaloguj się na nią, okno poprzedniej osoby zamknij > wejdź ponownie do opcji i skasuj wszystkie poprzednie Osoby.

 

4. Wyczyść i zabezpiecz przeglądarkę Mozilla FireFox.

  • Odłącz synchronizację (o ile włączona): KLIK.
  • Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.
  • Menu Historia > Wyczyść historię przeglądania.
  • Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin.
5. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner.

 

6. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Odnośnik do komentarza

Witam.

Na wstępie dziękuję za zainteresowanie się moim problemem i Pańską pomoc. Od razu przejdę do rzeczy. Raport z adwcleanera załączam w załączniku natomiast raportu z adaware nie jestem w stanie znaleźć, ponieważ usunąłem ten program. Najprościej będzie jak będę też odpisywał odnośnikami także przechodzę do rzeczy.

 

1. Usunąłem SafeFinder w panelu sterowania aczkolwiek wyskoczyło tylko okienko czy na pewno chce usunąć, 

kliknąłem tak i okienko znikło po czym nie wyskoczył żaden proces dezinstalacjii (nie wiem czy na pewno się skasowało).

Natomiast Traffic Exchange nie mogę znaleźć w panelu.

W folderze z UC Browser, żěŃą nie mogę niestety znaleźć żadnego pliku do dezinstalacjii.

W folderze z QForlLgs0EYm Updater znalazłem plik do dezinstalacjii i wszystko przebiegło ok, na końcu wyskoczył komunikat, że program został usunięty.

 

2. Zrobione wszystko przebiegło bez problemu. Plik załączam w załączniku.

 

3.Zrobiłem tak jak napisałeś, aczkolwiek po usunięciu obecnego profilu i utworzeniu nowego nastąpiła zmiana wyszukiwarki a w lewym górnym rogu było logo SafeFinder więc chyba nie został pokonany do końca ten program. Usunąłem ten dodatek i ustawiłem strone wyszukiwania na google i jest ok narazie. Problem związany z Kemgadeojglibflomicgnfeopkdffink już nie występuje przy starcie przeglądarki.

 

4.Zrobione wszystko tak jak napisałeś.

 

5.Zrobiłem tak jak napisałeś. Pliki w załącznikach.

 

6.Tak jak napisałeś. Pliki w załącznikach.

 

Dodam jeszcze, że ESET wyświetla komunikaty co jakiś czas, że znajduje wirusy w pamięci komputera, nie wiem czy wykonać nim skanowanie czy przeszkodzi to w procesie naprawy także na razie nie robię nic i czekam na Twoją opinię.

 

Dzięki za dotychczasową pomoc, jednocześnie proszę o dalszą, ponieważ chciałbym już do końca odinfekować mój komputer.

 

Pozdrawiam.   :)

AdwCleanerC3.txt

AdwCleanerS0.txt

AdwCleanerS1.txt

AdwCleanerS2.txt

Addition.txt

Fixlog.txt

FRST.txt

Shortcut.txt

Odnośnik do komentarza

Dodam jeszcze, że ESET wyświetla komunikaty co jakiś czas, że znajduje wirusy w pamięci komputera, nie wiem czy wykonać nim skanowanie czy przeszkodzi to w procesie naprawy także na razie nie robię nic i czekam na Twoją opinię.

 

Poproszę o raport, może być screen ekranu. 

 

5.Zrobiłem tak jak napisałeś. Pliki w załącznikach.

 

Prosiłem tylko o skan, a nie o skan i dezynfekcję. Już trudno, niech będzie. 

 


 

Klucz w rejestrze uniemożliwa Ci zobaczenie tego programu, więc go usuwam (wcześniej nie zauważyłem i przez to musimy powtarzać część zadań). 

 

1. Otwórz Notatnik w nim wklej:

 

CloseProcesses:
CreateRestorePoint:
Traffic Exchange (x32 Version: 2.1.0 - Microleaves) Hidden 
ShortcutWithArgument: C:\Users\Daniel\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\48499db33039e897\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory="Profile 4"
S2 UCBrowserSvc; "C:\Program Files (x86)\UCBrowser\Application\UCService.exe" [X]
RemoveDirectory: C:\Program Files (x86)\UCBrowser
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Odinstaluj: Traffic Exchange.

 

3. Upewnij się, że AdwCleaner (jest nowa aktualizacja, więc pobierz od nowa) już niczego nie wykrywa. Tym razem od razu możesz podjąć akcję dezynfekcji. 

 

4. Powtórz pkt. 3 z mojego poprzedniego posta. 

 

5. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryję to niczego nie usuwaj, a dostarcz raport. 

 

6. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Odnośnik do komentarza

Dziękuję za zainteresowanie i dalszą pomoc. Przechodzę do rzeczy


1.Zrobione wszystko tak jak napisałeś.


2. Niestety tutaj poległem. Nie mogę tego znaleźć w panelu ani też na dysku.


3. Zrobiłem tak jak napisałeś. Wykryło 2 wirusy, w załącznikach dodaje raporty.


4. .Zrobiłem tak jak pisałeś. Ale przy każdej próbie utworzenia nowej osoby w polu ustawień dotyczących wyszukiwarki wyskakuje takie coś: „Kontrolę nad tym ustawieniem ma rozszerzenie Wize Search SafeFinder.” Za każdym razem to odinstalowuje, ale to znowu pojawia się samo.


5. Przeskanowałem, raport w załącznikach.


6. Przeskanowałem, raporty w załącznikach.


 


Dodatkowo załączam 2 screeny z tego co co jakiś czas wyłapuje ESET.


 


Proszę o dalszą pomoc. Pozdrawiam


AdwCleanerC4.txt

AdwCleanerS3.txt

Fixlog.txt

Malwarebytes raport.txt

post-19008-0-09350000-1488630383_thumb.png

post-19008-0-45230000-1488630383_thumb.png

Odnośnik do komentarza

Okej zrobiłem tak jak napisałeś, za pierwszym razem malwarebytes wykrył dużo zagrożeń, usunąłem je, a za drugim już zero. Raporty dodałem w załącznikach. Natomiast komunikat z ESETA o wykrywanym wirusie przestał wyskakiwać od usunięcia wirusów przez malwarebytes, ale jeśli wyskoczy dodam nowego screena. Dzięki za pomoc. Jeszcze proszę o sprawdzenie czy na pewno się ze wszystkim uporałem. Dzięki i pozdrawiam.

Addition.txt

FRST.txt

malwarebytes raport.txt

Shortcut.txt

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...