LaroWitcher Opublikowano 31 Marca 2017 Zgłoś Udostępnij Opublikowano 31 Marca 2017 Komputer z systemem Windows 10 (32-bit) został zainfekowany jakimś chińskim ścierwem po nieopatrznym zainstalowaniu UXThemePatcher Extras. Komputer wariował, pojawiały się typowe okienka z reklamami, uruchamiała się Chińska wersja Chrome, itp.AdwCleaner znalazł i usunął sporo (270 wpisów), resztę usunąłem ręcznie z Panelu Sterowania. System już nie szaleje ale zostały korzenie w postaci śmieci z Chińskimi krzaczkami, skróty z pulpitu prowadzą m.in od folderów o nazwie KuaiZip oraz SogouExplorer.Poniżej przedstawiam logi (GMER zgłasza rootkity). Shortcut.txt Addition.txt FRST.txt GMER.txt Odnośnik do komentarza
Miszel03 Opublikowano 1 Kwietnia 2017 Zgłoś Udostępnij Opublikowano 1 Kwietnia 2017 AdwCleaner znalazł i usunął sporo (270 wpisów) Nie dostarczyłeś z tego raportu, więc musimy to powtórzyć. W raportach nadal widać infekcję adware i trzeba się z tym uporać szybko. GMER nie wykrył rootkita, a ukryte usługi adware, które usuwam. Do poczytania: KLIK. Akcja. 1. Spróbuj uruchomić pliki deinstalacyjne (nazwa zbliżona do uninstall.exe) z poniższych folderów. C:\Program Files\UCBrowser C:\Program Files\żěŃą 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKLM\...\Run: [] => [X] HKLM\...\Providers\8ius33qf: C:\Program Files\Liertherjubtion Log\local32spl.dll [275968 2017-03-31] () ShellExecuteHooks: Brak nazwy - {D0F35EEE-15B7-11E7-B58E-64006A5CFC23} - C:\Users\Mr. Robot\AppData\Roaming\Anerposyreegety\Reefercharumase.dll -> Brak pliku C:\Program Files\Liertherjubtion Log C:\Users\Mr. Robot\AppData\Roaming\Anerposyreegety GroupPolicy: Ograniczenia ? SearchScopes: HKU\S-1-5-21-2595376921-211916493-2743171331-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = FF NewTab: Mozilla\Firefox\Profiles\p5wnm392.default -> hxxp://www.initialsite123.com/?z=d4042d0a4f81f892779abebg8z4t5e2t6m1c1o5w4b&from=clc&uid=WDCXWD1600BEVS-00RST0_WD-WXE608NW7046W7046&type=hp FF DefaultSearchEngine: Mozilla\Firefox\Profiles\p5wnm392.default -> initialsite123 FF SelectedSearchEngine: Mozilla\Firefox\Profiles\p5wnm392.default -> initialsite123 FF Homepage: Mozilla\Firefox\Profiles\p5wnm392.default -> hxxp://www.initialsite123.com/?z=d4042d0a4f81f892779abebg8z4t5e2t6m1c1o5w4b&from=clc&uid=WDCXWD1600BEVS-00RST0_WD-WXE608NW7046W7046&type=hp R0 flowhlp; C:\Windows\System32\drivers\flowhlp.dat [134248 2017-03-31] () [brak podpisu cyfrowego] C:\Windows\system32\drivers\KuaiZipDrive.sys U3 agxdiaoc; C:\Users\MR92DE~1.ROB\AppData\Local\Temp\agxdiaoc.sys [104960 2017-03-31] (GMER) [brak podpisu cyfrowego] S1 ucdrv; \??\C:\Program Files\UCBrowser\Security:ucdrv-x86.sys [X] C:\Program Files\UCBrowser 2017-03-31 17:35 - 2017-03-31 17:18 - 00797672 _____ (深圳市史宾赛科技有限公司) C:\Users\Mr. Robot\AppData\Local\FlowSprit.dll 2017-03-31 17:35 - 2017-03-31 17:18 - 00516072 _____ (深圳市史宾赛科技有限公司) C:\Users\Mr. Robot\AppData\Local\uninst.tmp 2017-03-31 17:20 - 2017-03-31 17:20 - 00002160 _____ C:\Users\Mr. Robot\Desktop\搜狗高速浏览器.lnk 2017-03-31 17:20 - 2017-03-31 17:20 - 00001399 _____ C:\Users\Mr. Robot\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\SogouExplorer.lnk 2017-03-31 17:15 - 2017-03-31 17:15 - 00000000 ____D C:\Users\Mr. Robot\AppData\Local\UCBrowser 2017-03-31 17:14 - 2017-03-31 17:14 - 00000000 ____D C:\Users\Mr. Robot\AppData\Local\Reerqerghtkomise 2017-03-31 17:14 - 2017-03-31 17:14 - 00000000 ____D C:\Program Files\Drewespgrerwey 2017-03-31 17:11 - 2017-03-31 17:11 - 00001063 _____ C:\Users\Mr. Robot\AppData\Roaming\Microsoft\Windows\Start Menu\żěŃą.lnk 2017-03-31 17:11 - 2017-03-31 17:11 - 00001039 _____ C:\Users\Mr. Robot\Desktop\żěŃą.lnk 2017-03-31 17:10 - 2017-03-31 17:10 - 00000000 ____D C:\Program Files\żěŃą Task: {DF5E982F-630E-46BE-904D-23F6491397AF} - System32\Tasks\Open URL by RoboForm => Rundll32.exe url.dll,FileProtocolHandler "hxxp://www.roboform.com/test-pass.html?aaa=KICMMMJMLJOMJJLJGMLJCNNMLMMMPMCNLMJJLJOJCNNJLJOJMMCNOJIMLJJJIMOJGMJJLMPMOJMJJNJICMIMCNGMCNOMHMFMOMOMCNLMNMPMCNOMPMKMHMJMFMPMCNPMCNOMPMKMHMJMCNNMJNPICMPMFMEKMICNJJCKFMPMJNHICMEKMICNJJCKJNBJCMCLNIBNPNNKAJNJAJLIJNKJCMJNNICMJNDJCMPI (dane wartości zawierają 53 znaków więcej). EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarkę Mozilla FireFox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale rozszerzenia zostaną skasowane (KLIK). Menu Historia > Wyczyść historię przeglądania. 4. Pobierz AdwCleaner uruchom go i kliknij Skanuj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 5. Zrób nowy log FRST z opcji Skanuj (Scan), wraz z Addition i Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
LaroWitcher Opublikowano 1 Kwietnia 2017 Autor Zgłoś Udostępnij Opublikowano 1 Kwietnia 2017 Ok, zrobiłem j/w. Dołączam logi, łącznie ze starym (ze wczoraj) i nowym logiem z AdwCleanera. Addition.txt Fixlog.txt FRST.txt nowyLOG_AdwCleaner_3_zagr.txt Shortcut.txt staryLOG_AdwCleaner_270_zagr.txt Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się