żěŃą - POMOCY

[Ponczo867]

Witam.

Mam problem z żěŃą. Pojawiło się u mnie podczas pobierania jednego z programów (którego już odinstalowałem). Tego nie mogę odinstalować. Co jakiś czas wyświetla mi się także jakaś nowa przeglądarka i tam są reklamy po chińsku. Widziałem już parę tematów o tym żěŃą ale wydawało mi się że to trzeba indywidualnie b0o te logi i wgl. Proszę o pomoc...

FRST.txt

Fixlog.txt

Addition.txt

Shortcut.txt

[Miszel03]

System jest przerażająco zainfekowany przez adware i dezynfekcja może być oporna. Infekcja wszelaki począwszy od prefabrykowanych profilach w przeglądarkach do infekcji adresów DNS (są zagraniczne - Izrael oraz Holandia).

 

Do poczytania, na przyszłość: KLIK.  

 

1. Przez Panel sterowania odinstaluj adware / PUP:

• Browser-Security
• VidsqaurE

Następnie przejdź do poniższych katalogów i z ich poziomu spróbuj uruchomić plik deinstalacyjny (nazwa zbliżona do uninstall.exe).

• C:\Program Files (x86)\UCBrowser\Security
• C:\Program Files\żěŃą
• C:\ProgramData\WindowsMsg

2. Otwórz Notatnik w nim wklej:

 

CloseProcesses:
CreateRestorePoint:
Task: {2D7DEADA-6630-4824-A8F5-1B161BB74221} - \KuaiZip_Update -> Brak pliku 
Task: {2E16D6D8-EC6C-4723-ADEC-D9314913158C} - System32\Tasks\{2CD4C103-6F92-5EA9-C790-6A2FBDD8D73C} => C:\Users\Kacper\AppData\Roaming\PRICEF~1\PRODUC~1.EXE 
Task: {3BBE577F-0019-4825-94E5-10472AFC3D0C} - System32\Tasks\UCBrowserSecureUpdater => C:\Program Files (x86)\UCBrowser\Security\uclauncher.exe [2017-04-08] (UC Web Inc.) 
Task: {3F18417A-0ECC-402F-8AEC-BD3682E0036B} - System32\Tasks\KacperDeprehensionIllegiblyV2 => Rundll32.exe GhostlyGuardhouse.dll,main 7 1 
Task: {43611C83-5F51-4C6F-BAD3-937969300360} - \osTip -> Brak pliku 
Task: {540FBDF9-B27A-4B9C-9FB6-AA9903038292} - \UCBrowserUpdaterCore -> Brak pliku 
Task: {7FBB4D51-7F87-46A9-A19A-B566A02E717D} - System32\Tasks\En9IpgiXoZLe => en9ipgixozle.exe
Task: {8174900A-E5A0-4E01-930B-0724EBAAF7F1} - \UCBrowserUpdater -> Brak pliku 
Task: {F1EE5A54-9BAD-452C-A887-FD18D50303CB} - System32\Tasks\Coasuent Monitor => C:\Program Files (x86)\Zoqusedrerbash\xarergoy.exe [2017-04-08] (Glarysoft Ltd)
Task: {F67A3E67-11B5-46FA-8DF6-B990CA671411} - System32\Tasks\Shofsy => "msiexec" /i hxxp://D2bUH1bF1g584W.clOuDfroNt.net/mmtsk/occup.php?p=SAMSUNGXSP2514N_S08BJ1HL312211&d=20170408 /q
Task: C:\Windows\Tasks\{2CD4C103-6F92-5EA9-C790-6A2FBDD8D73C}.job => C:\Users\Kacper\AppData\Roaming\PRICEF~1\PRODUC~1.EXE 
C:\Users\Kacper\AppData\Roaming\PRICEF~1
C:\Program Files (x86)\UCBrowser\Security
C:\Program Files (x86)\Zoqusedrerbash
WMI_ActiveScriptEventConsumer_ASEC: 
ShortcutWithArgument: C:\Users\Kacper\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer (64-bit).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://qtipr.com/
ShortcutWithArgument: C:\Users\Kacper\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://qtipr.com/
ShortcutWithArgument: C:\Users\Kacper\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://qtipr.com/
ShortcutWithArgument: C:\Users\Kacper\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://qtipr.com/
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://qtipr.com/
ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://qtipr.com/
AlternateDataStreams: C:\Windows\system32\drivers:ucdrv-x64.sys [25444]
AlternateDataStreams: C:\Windows\system32\drivers:x64 [1498914]
AlternateDataStreams: C:\Windows\system32\drivers:x86 [1223458]
HKLM\...\Policies\Explorer: [EnableShellExecuteHooks] 1
HKU\S-1-5-21-730243133-2252115748-3518476468-1000\...\Run: [msiql] => C:\Users\Kacper\AppData\Local\Temp\00008959\msiql.exe [2072064 2017-04-08] () 
HKU\S-1-5-21-730243133-2252115748-3518476468-1000\...\Run: [svchost0] => "C:\Program Files (x86)\UCBrowser\Application\UCBrowser.exe"\UUC0789.exe
HKU\S-1-5-21-730243133-2252115748-3518476468-1000\...\Run: [osmsg] => C:\ProgramData\WindowsMsg\chrome.exe /AUTORUN
C:\ProgramData\WindowsMsg
HKU\S-1-5-21-730243133-2252115748-3518476468-1000\...\Run: [apphide] => C:\Program Files (x86)\ttt\uc.exe [139350 2017-04-05] ()
C:\Program Files (x86)\ttt
HKLM\...\Providers\zy7w25lt: C:\Program Files (x86)\Coasuent Monitor\local64spl.dll [307200 2017-04-08] ()
C:\Program Files (x86)\Coasuent Monitor
AppInit_DLLs: C:\ProgramData\Quotenamron\Vilala.dll => Brak pliku
AppInit_DLLs-x32: C:\ProgramData\Quotenamron\Zimlax.dll => Brak pliku
ShellExecuteHooks: Brak nazwy - {2D5D8F5C-1485-11E7-A215-64006A5CFC23} - C:\Users\Kacper\AppData\Roaming\Coehaplahaph\Ganagfory.dll -> Brak pliku
ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} => C:\Program Files\żěŃą\X64\KZipShell.dll [2017-04-08] ()
GroupPolicyScripts: Ograniczenia 
SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL =
R2 KuaizipUpdateChecker; C:\Program Files\żěŃą\X86\kuaizipUpdateChecker.dll [219032 2017-04-08] ()
R2 UCBrowserSvc; C:\Program Files (x86)\UCBrowser\Application\UCService.exe [599440 2017-02-15] ()
S2 En9IpgiXoZLe Updater; C:\Program Files (x86)\En9IpgiXoZLe Updater\En9IpgiXoZLe Updater.exe [X]
R2 GoogleChromeUpService; C:\ProgramData\service.exe /s GoogleChromeUpService /uid:51504 /local:br [X] 
R1 ucdrv; C:\Program Files (x86)\UCBrowser\Security:ucdrv-x64.sys [25444 ] (UC Web Inc.) 
S3 RTL85n64; system32\DRIVERS\RTL85n64.sys [X]
S3 vmci; \SystemRoot\system32\DRIVERS\vmci.sys [X]
S3 VMnetAdapter; system32\DRIVERS\vmnetadapter.sys [X]
2016-06-06 15:05 - 2016-06-06 15:05 - 6863360 _____ () C:\Users\Kacper\AppData\Roaming\agent.dat
2016-06-06 15:05 - 2016-06-06 15:05 - 0067968 _____ () C:\Users\Kacper\AppData\Roaming\Config.xml
2016-06-06 15:04 - 2016-06-06 15:05 - 0014448 _____ () C:\Users\Kacper\AppData\Roaming\InstallationConfiguration.xml
2016-06-06 15:04 - 2016-06-06 15:04 - 0128512 _____ () C:\Users\Kacper\AppData\Roaming\Installer.dat
2016-06-06 15:05 - 2016-06-06 15:05 - 0018432 _____ () C:\Users\Kacper\AppData\Roaming\Main.dat
2016-06-06 15:05 - 2016-06-06 15:04 - 0792064 _____ () C:\Users\Kacper\AppData\Roaming\MathRunzap.exe
2016-06-06 15:05 - 2016-06-06 15:05 - 1757907 _____ () C:\Users\Kacper\AppData\Roaming\MathRunzap.tst
2016-06-06 15:05 - 2016-06-06 15:05 - 0005568 _____ () C:\Users\Kacper\AppData\Roaming\md.xml
2016-06-06 15:05 - 2016-06-06 15:05 - 0126464 _____ () C:\Users\Kacper\AppData\Roaming\noah.dat
2016-06-06 15:05 - 2016-06-06 15:05 - 2279413 _____ () C:\Users\Kacper\AppData\Roaming\Opeex.bin
2016-06-06 15:05 - 2016-06-06 15:05 - 0032038 _____ () C:\Users\Kacper\AppData\Roaming\uninstall_temp.ico
2017-04-08 11:00 - 2017-04-08 10:42 - 00797672 _____ (深圳市史宾赛科技有限公司) C:\Users\Kacper\AppData\Local\FlowSprit.dll
2017-04-08 11:00 - 2017-04-08 10:42 - 00516072 _____ (深圳市史宾赛科技有限公司) C:\Users\Kacper\AppData\Local\uninst.tmp
2017-04-08 10:39 - 2017-04-08 10:39 - 00092832 _____ (WinMount International Inc) C:\Windows\system32\Drivers\KuaiZipDrive.sys
2017-04-08 10:39 - 2017-04-08 10:39 - 00000837 _____ C:\Users\Kacper\AppData\Roaming\Microsoft\Windows\Start Menu\żěŃą.lnk
2017-04-08 10:39 - 2017-04-08 10:39 - 00000813 _____ C:\Users\Kacper\Desktop\żěŃą.lnk
2017-04-08 10:39 - 2017-04-08 10:39 - 00000000 ____D C:\Users\Kacper\AppData\Roaming\Softlink
2017-04-08 10:39 - 2017-04-08 10:39 - 00000000 ____D C:\Users\Kacper\AppData\Roaming\KuaiZip
2017-04-08 10:38 - 2017-04-08 10:40 - 00000000 ____D C:\Users\Kacper\AppData\Roaming\UCChannel
2017-04-08 10:38 - 2017-04-08 10:38 - 00000000 __SHD C:\Users\Kacper\AppData\Local\svchost
2017-04-08 10:38 - 2017-04-08 10:38 - 00000000 ____D C:\Users\Kacper\AppData\Local\kemgadeojglibflomicgnfeopkdfflnw
2017-04-08 10:42 - 2017-04-08 10:42 - 00155168 _____ C:\Windows\system32\Drivers\flowhlp.dat
2017-04-08 10:41 - 2017-04-08 10:56 - 00000000 ____D C:\Program Files (x86)\UCBrowser
2017-04-08 10:41 - 2017-04-08 10:41 - 00000000 ____D C:\Users\Kacper\AppData\Local\UCBrowser
2017-04-08 10:39 - 2017-04-08 10:46 - 00000000 ____D C:\Program Files\żěŃą
2017-04-08 10:36 - 2017-04-08 10:36 - 00000000 ____D C:\Users\Kacper\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk
2017-04-08 10:35 - 2017-04-08 10:36 - 00000000 ____D C:\Program Files (x86)\En9IpgiXoZLe
2017-04-08 10:34 - 2017-04-08 10:56 - 00000000 ____D C:\Users\Kacper\AppData\Roaming\Coehaplahaph
2017-04-08 10:34 - 2017-04-08 10:35 - 00000000 ____D C:\Users\Kacper\AppData\Local\Zerkerward
2017-04-08 10:34 - 2017-04-08 10:34 - 00005054 _____ C:\Windows\System32\Tasks\Shofsy
Tcpip\..\Interfaces\{93854431-57D1-47E4-8E67-F0A94C40002A}: [NameServer] 82.163.142.8,95.211.158.136
CMD: ipconfig /flushdns
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Kompleksowo wymień profil w przeglądarce Google Chrome, gdyż obecny jest zarażony. 

 

Otwórz Google Chrome następnie: Ustawienia > karta Ustawienia > Osoby > Dodaj Osobę > Załóż czysty profil > ponownie wejdź do sekcji Osoby i skasuj wszystkie stare profile.

 

Na nowym profilu polecam zainstalować rozszerzenie uBlock Origin. blokujące reklamy o podłożu nieinfekcyjnym. 

 

4. Wyczyść i zabezpiecz przeglądarkę Mozilla FireFox:

• Odłącz synchronizację (o ile włączona): KLIK.
• Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.
• Menu Historia > Wyczyść historię przeglądania.
• Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin.

5. Pobierz AdwCleaner uruchom go i kliknij Skanuj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum.

 

6. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.