Skocz do zawartości

Azjatyckie strony po włączeniu komputera


Rekomendowane odpowiedzi

Witam, proszę o sprawdzenie logów. Po zainstalowaniu programu doinstalował się dodatkowo jeszcze jeden, którego nazwy nie pamiętam, bo usunąłem go odrazu po instalacji. Problem z wyskakującymi azjatyckimi stronami tuż po stracie systemu i przy późniejszym używaniu przeglądarki.

 

http://wklej.org/id/3073688/

http://wklej.org/id/3073698/

http://wklej.org/id/3073701/

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

System jest intensywnie zainfekowany, nie będę owijał w bawełnę - jest dramat. I to jest właśnie skutek nie posiadania zewnętrznego oprogramowania antywirusowego przez niedoświadczonego użytkownika na Windows 10.

Od razu przechodzimy do działań, ale przedtem poczytaj: KLIK.

1. Włącz przywracanie systemu.

2. Przez panel sterowania odinstaluj:

  • IzO1FHinrqLy Updater version 1.2.0.4
  • RunBooster
  • VidsqaurE

Następnie spróbuj alternatywą metodą odinstalować (uruchamiając pliki o nazwie zbliżonej do uninstall.exe) z poziomu niżej wymienionych folderów.

  • C:\Program Files\żěŃą
  • C:\Program Files (x86)\IzO1FHinrqLy Updater
  • C:\Program Files (x86)\UCBrowser

3. Otwórz Notatnik w nim wklej:
 

CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-1070418328-2864983831-1580514669-1001\...\Run: [msiql] => C:\Users\Renata\AppData\Local\Temp\00004329\msiql.exe [2072064 2017-03-20] () HKU\S-1-5-18\...\Run: [] => [X]
ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} => C:\Program Files\żěŃą\X64\KZipShell.dll -> Brak pliku
RemoveDirectory: C:\Program Files\żěŃą
SearchScopes: HKU\S-1-5-21-1070418328-2864983831-1580514669-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-21-1070418328-2864983831-1580514669-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
R2 GoogleChromeUpService; C:\ProgramData\service.exe [1620992 2017-03-20] () [brak podpisu cyfrowego] S2 IzO1FHinrqLy Updater; C:\Program Files (x86)\IzO1FHinrqLy Updater\IzO1FHinrqLy Updater.exe [X]
S2 KuaizipUpdateChecker; C:\Program Files\żěŃą\X86\kuaizipUpdateChecker.dll [X]
S4 mccspsvc; "C:\Program Files\Common Files\McAfee\CSP\2.3.290.0\\McCSPServiceHost.exe" [X]
RemoveDirectory: C:\Program Files (x86)\IzO1FHinrqLy Updater
R1 ucdrv; C:\Program Files (x86)\UCBrowser\Security:ucdrv-x64.sys [25444 ] (UC Web Inc.) RemoveDirectory: C:\Program Files (x86)\UCBrowser
S3 dbx; system32\DRIVERS\dbx.sys [X]
S3 e1edc438-f640-4184-a443-d2a7c37a01dc; \??\C:\OA30\690b33e1-0462-4e84-9bea-c7552b45432a.sys [X]
C:\Users\Renata\AppData\Local\Temp\00004329\msiql.exe
C:\ProgramData\service.exe
Task: {4F3AC16B-7D0F-4166-ACDB-F97F96A10D8E} - System32\Tasks\KuaiZip_Update => C:\PROGRA~1\88D7~1\X86\Update.exe Task: {6967DF58-4D02-446B-9A6E-16A58EAF9EC0} - System32\Tasks\osTip => Chrome.exe Task: {9D99AF45-CF4F-47BC-B497-2915BA97DFC5} - System32\Tasks\PPI Update => C:\WINDOWS\explorer.exe "hxxp://insightcdn.online/download/index.php?mn=9995" Task: {AA7F380A-FB80-4BF5-94B2-549DC41573B3} - System32\Tasks\IzO1FHinrqLy => izo1fhinrqly.exe
Task: {C02BF5A5-57A1-4657-B33B-A9C5546ACD40} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> Brak pliku Task: {E49FB2D1-E3C3-44EC-B5D2-581C99439D11} - System32\Tasks\UCBrowserUpdaterCore => C:\Program Files (x86)\UCBrowser\Application\update_task.exe [2017-03-07] (UCWeb Inc) Task: {F26E6187-488F-4820-B70B-5FE38FFE9BCC} - System32\Tasks\UCBrowserUpdater => C:\Program Files (x86)\UCBrowser\Application\update_task.exe [2017-03-07] (UCWeb Inc) Task: {F2CF466B-8DED-43FE-A4B3-11B4D6AE49CB} - System32\Tasks\UCBrowserSecureUpdater => C:\Program Files (x86)\UCBrowser\Security\uclauncher.exe [2017-03-20] (UC Web Inc.) Task: C:\WINDOWS\Tasks\UCBrowserUpdater.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe Task: C:\WINDOWS\Tasks\UCBrowserUpdaterCore.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe WMI_ActiveScriptEventConsumer_ASEC: ShortcutWithArgument: C:\Users\Renata\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Renata\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/
ShortcutWithArgument: C:\Users\Renata\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Renata\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/
ShortcutWithArgument: C:\Users\Renata\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Renata\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/
AlternateDataStreams: C:\WINDOWS\system32\drivers:ucdrv-x64.sys [25444]
AlternateDataStreams: C:\WINDOWS\system32\drivers:x64 [1498914]
AlternateDataStreams: C:\WINDOWS\system32\drivers:x86 [1223458]
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Renata\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/
ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Renata\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/
FirewallRules: [{44AE9C5E-4AC8-40E2-9EE4-BC9F024717F3}] => (Allow) C:\Program Files (x86)\UCBrowser\Application\UCBrowser.exe
FirewallRules: [{CE9F2E19-AD6E-4F46-9F11-4DFC80F0F5E8}] => (Allow) C:\Program Files (x86)\UCBrowser\Application\Downloader\download\MiniThunderPlatform.exe
FirewallRules: [{B489D72E-CA36-4297-B6AF-0D31CFB44FBA}] => (Allow) C:\Program Files (x86)\UCBrowser\Application\UCBrowser.exe
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\Users\Renata\AppData\Local\Mozilla
C:\Users\Renata\AppData\Roaming\Mozilla
C:\Users\Renata\AppData\Roaming\Profiles
C:\Users\Renata\AppData\Roaming\Microsoft\Word\Dane%20członków%20założycieli305818943092029224\Dane%20członków%20założycieli.doc.lnk
C:\Users\Renata\AppData\Roaming\Microsoft\Windows\Start Menu\żěŃą.lnk
Traffic Exchange (x32 Version: 2.1.0 - Microleaves) Hidden EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 
Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

4. Ochronny wpis szkodliwego programu po pkt. 2 powinien być ubity, dlatego odinstaluj: Traffic Exchange.

5. Wyczyść przeglądarkę Google Chrome.
  • Zresetuj synchronizację (o ile włączona): KLIK.
  • Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia.
  • Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
  • Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google.

6. Pobierz AdwCleaner uruchom go i kliknij Skanuj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner Raport zaprezentuj na forum.

7. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...