Skocz do zawartości

żěŃą - POMOCY


Rekomendowane odpowiedzi

Witam.

Mam problem z żěŃą. Pojawiło się u mnie podczas pobierania jednego z programów (którego już odinstalowałem). Tego nie mogę odinstalować. Co jakiś czas wyświetla mi się także jakaś nowa przeglądarka i tam są reklamy po chińsku. Widziałem już parę tematów o tym żěŃą ale wydawało mi się że to trzeba indywidualnie b0o te logi i wgl. Proszę o pomoc...

FRST.txt

Fixlog.txt

Addition.txt

Shortcut.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

System jest przerażająco zainfekowany przez adware i dezynfekcja może być oporna. Infekcja wszelaki począwszy od prefabrykowanych profilach w przeglądarkach do infekcji adresów DNS (są zagraniczne - Izrael oraz Holandia).

 

Do poczytania, na przyszłość: KLIK.  

 

1. Przez Panel sterowania odinstaluj adware / PUP:

  • Browser-Security
  • VidsqaurE
Następnie przejdź do poniższych katalogów i z ich poziomu spróbuj uruchomić plik deinstalacyjny (nazwa zbliżona do uninstall.exe).
  • C:\Program Files (x86)\UCBrowser\Security
  • C:\Program Files\żěŃą
  • C:\ProgramData\WindowsMsg
2. Otwórz Notatnik w nim wklej:

 

CloseProcesses:
CreateRestorePoint:
Task: {2D7DEADA-6630-4824-A8F5-1B161BB74221} - \KuaiZip_Update -> Brak pliku 
Task: {2E16D6D8-EC6C-4723-ADEC-D9314913158C} - System32\Tasks\{2CD4C103-6F92-5EA9-C790-6A2FBDD8D73C} => C:\Users\Kacper\AppData\Roaming\PRICEF~1\PRODUC~1.EXE 
Task: {3BBE577F-0019-4825-94E5-10472AFC3D0C} - System32\Tasks\UCBrowserSecureUpdater => C:\Program Files (x86)\UCBrowser\Security\uclauncher.exe [2017-04-08] (UC Web Inc.) 
Task: {3F18417A-0ECC-402F-8AEC-BD3682E0036B} - System32\Tasks\KacperDeprehensionIllegiblyV2 => Rundll32.exe GhostlyGuardhouse.dll,main 7 1 
Task: {43611C83-5F51-4C6F-BAD3-937969300360} - \osTip -> Brak pliku 
Task: {540FBDF9-B27A-4B9C-9FB6-AA9903038292} - \UCBrowserUpdaterCore -> Brak pliku 
Task: {7FBB4D51-7F87-46A9-A19A-B566A02E717D} - System32\Tasks\En9IpgiXoZLe => en9ipgixozle.exe
Task: {8174900A-E5A0-4E01-930B-0724EBAAF7F1} - \UCBrowserUpdater -> Brak pliku 
Task: {F1EE5A54-9BAD-452C-A887-FD18D50303CB} - System32\Tasks\Coasuent Monitor => C:\Program Files (x86)\Zoqusedrerbash\xarergoy.exe [2017-04-08] (Glarysoft Ltd)
Task: {F67A3E67-11B5-46FA-8DF6-B990CA671411} - System32\Tasks\Shofsy => "msiexec" /i hxxp://D2bUH1bF1g584W.clOuDfroNt.net/mmtsk/occup.php?p=SAMSUNGXSP2514N_S08BJ1HL312211&d=20170408 /q
Task: C:\Windows\Tasks\{2CD4C103-6F92-5EA9-C790-6A2FBDD8D73C}.job => C:\Users\Kacper\AppData\Roaming\PRICEF~1\PRODUC~1.EXE 
C:\Users\Kacper\AppData\Roaming\PRICEF~1
C:\Program Files (x86)\UCBrowser\Security
C:\Program Files (x86)\Zoqusedrerbash
WMI_ActiveScriptEventConsumer_ASEC: 
ShortcutWithArgument: C:\Users\Kacper\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer (64-bit).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://qtipr.com/
ShortcutWithArgument: C:\Users\Kacper\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://qtipr.com/
ShortcutWithArgument: C:\Users\Kacper\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://qtipr.com/
ShortcutWithArgument: C:\Users\Kacper\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://qtipr.com/
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://qtipr.com/
ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://qtipr.com/
AlternateDataStreams: C:\Windows\system32\drivers:ucdrv-x64.sys [25444]
AlternateDataStreams: C:\Windows\system32\drivers:x64 [1498914]
AlternateDataStreams: C:\Windows\system32\drivers:x86 [1223458]
HKLM\...\Policies\Explorer: [EnableShellExecuteHooks] 1
HKU\S-1-5-21-730243133-2252115748-3518476468-1000\...\Run: [msiql] => C:\Users\Kacper\AppData\Local\Temp\00008959\msiql.exe [2072064 2017-04-08] () 
HKU\S-1-5-21-730243133-2252115748-3518476468-1000\...\Run: [svchost0] => "C:\Program Files (x86)\UCBrowser\Application\UCBrowser.exe"\UUC0789.exe
HKU\S-1-5-21-730243133-2252115748-3518476468-1000\...\Run: [osmsg] => C:\ProgramData\WindowsMsg\chrome.exe /AUTORUN
C:\ProgramData\WindowsMsg
HKU\S-1-5-21-730243133-2252115748-3518476468-1000\...\Run: [apphide] => C:\Program Files (x86)\ttt\uc.exe [139350 2017-04-05] ()
C:\Program Files (x86)\ttt
HKLM\...\Providers\zy7w25lt: C:\Program Files (x86)\Coasuent Monitor\local64spl.dll [307200 2017-04-08] ()
C:\Program Files (x86)\Coasuent Monitor
AppInit_DLLs: C:\ProgramData\Quotenamron\Vilala.dll => Brak pliku
AppInit_DLLs-x32: C:\ProgramData\Quotenamron\Zimlax.dll => Brak pliku
ShellExecuteHooks: Brak nazwy - {2D5D8F5C-1485-11E7-A215-64006A5CFC23} - C:\Users\Kacper\AppData\Roaming\Coehaplahaph\Ganagfory.dll -> Brak pliku
ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} => C:\Program Files\żěŃą\X64\KZipShell.dll [2017-04-08] ()
GroupPolicyScripts: Ograniczenia 
SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL =
R2 KuaizipUpdateChecker; C:\Program Files\żěŃą\X86\kuaizipUpdateChecker.dll [219032 2017-04-08] ()
R2 UCBrowserSvc; C:\Program Files (x86)\UCBrowser\Application\UCService.exe [599440 2017-02-15] ()
S2 En9IpgiXoZLe Updater; C:\Program Files (x86)\En9IpgiXoZLe Updater\En9IpgiXoZLe Updater.exe [X]
R2 GoogleChromeUpService; C:\ProgramData\service.exe /s GoogleChromeUpService /uid:51504 /local:br [X] 
R1 ucdrv; C:\Program Files (x86)\UCBrowser\Security:ucdrv-x64.sys [25444 ] (UC Web Inc.) 
S3 RTL85n64; system32\DRIVERS\RTL85n64.sys [X]
S3 vmci; \SystemRoot\system32\DRIVERS\vmci.sys [X]
S3 VMnetAdapter; system32\DRIVERS\vmnetadapter.sys [X]
2016-06-06 15:05 - 2016-06-06 15:05 - 6863360 _____ () C:\Users\Kacper\AppData\Roaming\agent.dat
2016-06-06 15:05 - 2016-06-06 15:05 - 0067968 _____ () C:\Users\Kacper\AppData\Roaming\Config.xml
2016-06-06 15:04 - 2016-06-06 15:05 - 0014448 _____ () C:\Users\Kacper\AppData\Roaming\InstallationConfiguration.xml
2016-06-06 15:04 - 2016-06-06 15:04 - 0128512 _____ () C:\Users\Kacper\AppData\Roaming\Installer.dat
2016-06-06 15:05 - 2016-06-06 15:05 - 0018432 _____ () C:\Users\Kacper\AppData\Roaming\Main.dat
2016-06-06 15:05 - 2016-06-06 15:04 - 0792064 _____ () C:\Users\Kacper\AppData\Roaming\MathRunzap.exe
2016-06-06 15:05 - 2016-06-06 15:05 - 1757907 _____ () C:\Users\Kacper\AppData\Roaming\MathRunzap.tst
2016-06-06 15:05 - 2016-06-06 15:05 - 0005568 _____ () C:\Users\Kacper\AppData\Roaming\md.xml
2016-06-06 15:05 - 2016-06-06 15:05 - 0126464 _____ () C:\Users\Kacper\AppData\Roaming\noah.dat
2016-06-06 15:05 - 2016-06-06 15:05 - 2279413 _____ () C:\Users\Kacper\AppData\Roaming\Opeex.bin
2016-06-06 15:05 - 2016-06-06 15:05 - 0032038 _____ () C:\Users\Kacper\AppData\Roaming\uninstall_temp.ico
2017-04-08 11:00 - 2017-04-08 10:42 - 00797672 _____ (深圳市史宾赛科技有限公司) C:\Users\Kacper\AppData\Local\FlowSprit.dll
2017-04-08 11:00 - 2017-04-08 10:42 - 00516072 _____ (深圳市史宾赛科技有限公司) C:\Users\Kacper\AppData\Local\uninst.tmp
2017-04-08 10:39 - 2017-04-08 10:39 - 00092832 _____ (WinMount International Inc) C:\Windows\system32\Drivers\KuaiZipDrive.sys
2017-04-08 10:39 - 2017-04-08 10:39 - 00000837 _____ C:\Users\Kacper\AppData\Roaming\Microsoft\Windows\Start Menu\żěŃą.lnk
2017-04-08 10:39 - 2017-04-08 10:39 - 00000813 _____ C:\Users\Kacper\Desktop\żěŃą.lnk
2017-04-08 10:39 - 2017-04-08 10:39 - 00000000 ____D C:\Users\Kacper\AppData\Roaming\Softlink
2017-04-08 10:39 - 2017-04-08 10:39 - 00000000 ____D C:\Users\Kacper\AppData\Roaming\KuaiZip
2017-04-08 10:38 - 2017-04-08 10:40 - 00000000 ____D C:\Users\Kacper\AppData\Roaming\UCChannel
2017-04-08 10:38 - 2017-04-08 10:38 - 00000000 __SHD C:\Users\Kacper\AppData\Local\svchost
2017-04-08 10:38 - 2017-04-08 10:38 - 00000000 ____D C:\Users\Kacper\AppData\Local\kemgadeojglibflomicgnfeopkdfflnw
2017-04-08 10:42 - 2017-04-08 10:42 - 00155168 _____ C:\Windows\system32\Drivers\flowhlp.dat
2017-04-08 10:41 - 2017-04-08 10:56 - 00000000 ____D C:\Program Files (x86)\UCBrowser
2017-04-08 10:41 - 2017-04-08 10:41 - 00000000 ____D C:\Users\Kacper\AppData\Local\UCBrowser
2017-04-08 10:39 - 2017-04-08 10:46 - 00000000 ____D C:\Program Files\żěŃą
2017-04-08 10:36 - 2017-04-08 10:36 - 00000000 ____D C:\Users\Kacper\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk
2017-04-08 10:35 - 2017-04-08 10:36 - 00000000 ____D C:\Program Files (x86)\En9IpgiXoZLe
2017-04-08 10:34 - 2017-04-08 10:56 - 00000000 ____D C:\Users\Kacper\AppData\Roaming\Coehaplahaph
2017-04-08 10:34 - 2017-04-08 10:35 - 00000000 ____D C:\Users\Kacper\AppData\Local\Zerkerward
2017-04-08 10:34 - 2017-04-08 10:34 - 00005054 _____ C:\Windows\System32\Tasks\Shofsy
Tcpip\..\Interfaces\{93854431-57D1-47E4-8E67-F0A94C40002A}: [NameServer] 82.163.142.8,95.211.158.136
CMD: ipconfig /flushdns
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Kompleksowo wymień profil w przeglądarce Google Chrome, gdyż obecny jest zarażony. 

 

Otwórz Google Chrome następnie: Ustawienia > karta Ustawienia > Osoby > Dodaj Osobę > Załóż czysty profil > ponownie wejdź do sekcji Osoby i skasuj wszystkie stare profile.

 

Na nowym profilu polecam zainstalować rozszerzenie uBlock Origin. blokujące reklamy o podłożu nieinfekcyjnym. 

 

4. Wyczyść i zabezpiecz przeglądarkę Mozilla FireFox:

  • Odłącz synchronizację (o ile włączona): KLIK.
  • Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.
  • Menu Historia > Wyczyść historię przeglądania.
  • Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin.
5. Pobierz AdwCleaner uruchom go i kliknij Skanuj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum.

 

6. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...