Skocz do zawartości

Malware po instalacji UXThemePatcher Extras


Rekomendowane odpowiedzi

Komputer z systemem Windows 10 (32-bit) został zainfekowany jakimś chińskim ścierwem po nieopatrznym zainstalowaniu UXThemePatcher Extras. Komputer wariował, pojawiały się typowe okienka z reklamami, uruchamiała się Chińska wersja Chrome, itp.

AdwCleaner znalazł i usunął sporo (270 wpisów), resztę usunąłem ręcznie z Panelu Sterowania. System już nie szaleje ale zostały korzenie w postaci śmieci z Chińskimi krzaczkami, skróty z pulpitu prowadzą m.in od folderów o nazwie KuaiZip oraz SogouExplorer.

Poniżej przedstawiam logi (GMER zgłasza rootkity).

Shortcut.txt

Addition.txt

FRST.txt

GMER.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

AdwCleaner znalazł i usunął sporo (270 wpisów)

 

Nie dostarczyłeś z tego raportu, więc musimy to powtórzyć. 

 


 

W raportach nadal widać infekcję adware i trzeba się z tym uporać szybko. GMER nie wykrył rootkita, a ukryte usługi adware, które usuwam.

 

Do poczytania: KLIK. Akcja.  

 

 

1. Spróbuj uruchomić pliki deinstalacyjne (nazwa zbliżona do uninstall.exe) z poniższych folderów.

  • C:\Program Files\UCBrowser
  • C:\Program Files\żěŃą
2. Otwórz Notatnik w nim wklej:

 

CloseProcesses:
CreateRestorePoint:
HKLM\...\Run: [] => [X]
HKLM\...\Providers\8ius33qf: C:\Program Files\Liertherjubtion Log\local32spl.dll [275968 2017-03-31] ()
ShellExecuteHooks: Brak nazwy - {D0F35EEE-15B7-11E7-B58E-64006A5CFC23} - C:\Users\Mr. Robot\AppData\Roaming\Anerposyreegety\Reefercharumase.dll -> Brak pliku
C:\Program Files\Liertherjubtion Log
C:\Users\Mr. Robot\AppData\Roaming\Anerposyreegety
GroupPolicy: Ograniczenia ? 
SearchScopes: HKU\S-1-5-21-2595376921-211916493-2743171331-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
FF NewTab: Mozilla\Firefox\Profiles\p5wnm392.default -> hxxp://www.initialsite123.com/?z=d4042d0a4f81f892779abebg8z4t5e2t6m1c1o5w4b&from=clc&uid=WDCXWD1600BEVS-00RST0_WD-WXE608NW7046W7046&type=hp
FF DefaultSearchEngine: Mozilla\Firefox\Profiles\p5wnm392.default -> initialsite123
FF SelectedSearchEngine: Mozilla\Firefox\Profiles\p5wnm392.default -> initialsite123
FF Homepage: Mozilla\Firefox\Profiles\p5wnm392.default -> hxxp://www.initialsite123.com/?z=d4042d0a4f81f892779abebg8z4t5e2t6m1c1o5w4b&from=clc&uid=WDCXWD1600BEVS-00RST0_WD-WXE608NW7046W7046&type=hp
R0 flowhlp; C:\Windows\System32\drivers\flowhlp.dat [134248 2017-03-31] () [brak podpisu cyfrowego]
C:\Windows\system32\drivers\KuaiZipDrive.sys
U3 agxdiaoc; C:\Users\MR92DE~1.ROB\AppData\Local\Temp\agxdiaoc.sys [104960 2017-03-31] (GMER) [brak podpisu cyfrowego] 
S1 ucdrv; \??\C:\Program Files\UCBrowser\Security:ucdrv-x86.sys [X] 
C:\Program Files\UCBrowser
2017-03-31 17:35 - 2017-03-31 17:18 - 00797672 _____ (深圳市史宾赛科技有限公司) C:\Users\Mr. Robot\AppData\Local\FlowSprit.dll
2017-03-31 17:35 - 2017-03-31 17:18 - 00516072 _____ (深圳市史宾赛科技有限公司) C:\Users\Mr. Robot\AppData\Local\uninst.tmp
2017-03-31 17:20 - 2017-03-31 17:20 - 00002160 _____ C:\Users\Mr. Robot\Desktop\搜狗高速浏览器.lnk
2017-03-31 17:20 - 2017-03-31 17:20 - 00001399 _____ C:\Users\Mr. Robot\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\SogouExplorer.lnk
2017-03-31 17:15 - 2017-03-31 17:15 - 00000000 ____D C:\Users\Mr. Robot\AppData\Local\UCBrowser
2017-03-31 17:14 - 2017-03-31 17:14 - 00000000 ____D C:\Users\Mr. Robot\AppData\Local\Reerqerghtkomise
2017-03-31 17:14 - 2017-03-31 17:14 - 00000000 ____D C:\Program Files\Drewespgrerwey
2017-03-31 17:11 - 2017-03-31 17:11 - 00001063 _____ C:\Users\Mr. Robot\AppData\Roaming\Microsoft\Windows\Start Menu\żěŃą.lnk
2017-03-31 17:11 - 2017-03-31 17:11 - 00001039 _____ C:\Users\Mr. Robot\Desktop\żěŃą.lnk
2017-03-31 17:10 - 2017-03-31 17:10 - 00000000 ____D C:\Program Files\żěŃą
Task: {DF5E982F-630E-46BE-904D-23F6491397AF} - System32\Tasks\Open URL by RoboForm => Rundll32.exe url.dll,FileProtocolHandler "hxxp://www.roboform.com/test-pass.html?aaa=KICMMMJMLJOMJJLJGMLJCNNMLMMMPMCNLMJJLJOJCNNJLJOJMMCNOJIMLJJJIMOJGMJJLMPMOJMJJNJICMIMCNGMCNOMHMFMOMOMCNLMNMPMCNOMPMKMHMJMFMPMCNPMCNOMPMKMHMJMCNNMJNPICMPMFMEKMICNJJCKFMPMJNHICMEKMICNJJCKJNBJCMCLNIBNPNNKAJNJAJLIJNKJCMJNNICMJNDJCMPI (dane wartości zawierają 53 znaków więcej).
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Wyczyść przeglądarkę Mozilla FireFox:

  • Odłącz synchronizację (o ile włączona): KLIK.
  • Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale rozszerzenia zostaną skasowane (KLIK). 
  • Menu Historia > Wyczyść historię przeglądania.
4. Pobierz AdwCleaner uruchom go i kliknij Skanuj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum.

 

5. Zrób nowy log FRST z opcji Skanuj (Scan), wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...