mersudog Opublikowano 10 Kwietnia 2017 Zgłoś Udostępnij Opublikowano 10 Kwietnia 2017 (edytowane) Witam,zwracam się do was z prośbą o pomoc ponieważ widziałem że tego typu problemy pojawiały się już u innych użytkowników i udało wam się im pomóc. Szukając spsobu rozwiązania swojego problemu trafiłem właśnie na wasze forum i prawdopodobnie jest to jedyna szansa dla mnie na rozwiązanie mojego problemu więc bardzo proszę was o pomoc.Problem wygląda następująco:Jakiś czas temu otworzyłem niezaufany instalator z azjatyckiego regionu, zainstalował on kilka niechcianych aplikacji których nazw już niestety nie pamiętam. Od tego czasu system znacząco zwolnił, a przeglądarki zawieszają się i działają dużo wolniej niż wcześniej.W tej chwili do skrótu Chrome'a podpina się polecenie: --load-extension="C:\Users\Lenovo\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/ a wcześniej było to hxxp://fanli90.cn(link zmieniony xx iksami)Dodam że w przypadku przeglądarki mozilli firefox sprawa wygląda podobnie jak w chromie.Myślę że to nie jest jedyna szkoda jaką spowodował ten azjatycki wirus.Na komputerze jest Win 10 Home 64bit oryginalny, komputer kupiony z systemem. Komputer na klika miesięcy. Nie ukrywam że wolałbym uniknąć formatu systemu. W momencie zainfekowania na komputerze miałem darmowy antywirus Avira jednak on nic nie wykrył.Później przeskanowałem AVG wykrył jakieś problemy ale chyba nie umiał sobie z nimi poradzić ponieważ problem pozostał bez zmian.Podjęte działania:- dezinstalacja w "Aplikacje i funkcje" wszystkich zainstalowanych aplikacji o tej porze- wyrzucenie z Program Files i Program Files (x86) podejrzanych folderów- przeskanowanie systemu AdwCleaner znalazł on kilka błędówPrzeglądając sieć znalazłem kilka programów naprawiających które niby naprawiają takie problemy typu spyHunter niestety nie stać mnie na zakup takich programów tym bardziej że nie mam do nich zaufania.Bardzo proszę o pomoc.Dodam że żaden ze mnie informatyk i nie jestem biegły w tego typu sprawach więc proszę o wyrozumiałość.Dołączam wymagane raporty, dodatkowo pozwalam sobie dołączyć raport z AdwCleaner ponieważ widziałem że prosiliście o niego w podobnych sytuacjach, mam nadzieję że nie naruszam tym regulaminu dodawania tematu, jeśli tak to przepraszam.Pozdrawiam Łukasz GMER.txt Addition.txt FRST.txt Shortcut.txt AdwCleanerS3.txt Edytowane 11 Kwietnia 2017 przez Rucek Odnośnik do komentarza
Miszel03 Opublikowano 11 Kwietnia 2017 Zgłoś Udostępnij Opublikowano 11 Kwietnia 2017 Na temat SpyHunter poczytaj sobie w spoilerze. Przeglądając sieć znalazłem kilka programów naprawiających które niby naprawiają takie problemy typu spyHunter niestety nie stać mnie na zakup takich programów tym bardziej że nie mam do nich zaufania. SpyHunter to oprogramowanie o bardzo wątpliwej reputacji. Cytuję z tematu picasso: SpyHunter - Skaner wątpliwej reputacji bardzo silnie forsowany w wynikach Google i stosujący techniki manipulacji skłaniające do instalacji. Na Google cała masa wysoko pozycjonowanych opisów "usuwania malware" skonstruowanych w taki sposób, by pobrać SpyHunter jako cudowny darmowy lek na daną infekcję. Po instalacji okazuje się, że jest to program płatny. Niestety SpyHunter raczej nie jest wykrywany i usuwany, gdyż każde takie podejście kończy się sprawą w sądzie - przykład z AdwCleaner. System jest zainfekowany przez infekcje adware oraz PUP (które powodują defekty wypisane przez Ciebie). Ślady pozostawione w systemie (martwe adresy Izraelskie) wskazują* na (w przeszłości) obecną infekcję DNS Unlocker / Trojan.DNS. Myślę, że szybko się z tym uporamy (choć do zwalczenie jest UCBrowser, które może się bronić). Przeczytaj: KLIK. 1. Włącz przywracanie systemu.2. Otwórz Notatnik w nim wklej:CloseProcesses:CreateRestorePoint:Task: {99635C4F-3516-4878-BC16-8E106567AFC3} - System32\Tasks\UCBrowserSecureUpdater => C:\Program Files (x86)\UCBrowser\Security\uclauncher.exe [2017-03-11] (UC Web Inc.) Task: {AF2A026E-9293-45FC-A9A9-8E51B56CEADB} - System32\Tasks\{7FBF4EFF-853F-366E-CF01-A056035EC122} => Regsvr32.exe /s /n /i:"/rt" "C:\PROGRA~3\52b53b4\15bbccb8.dll" Task: {DD3F4D4C-3693-41EA-9000-FA7B755CE4CB} - System32\Tasks\{2A435AC5-9DE8-ED6E-4973-5B30EEB69026} => C:\ProgramData\{DEB7C27A-691C-75D1-B290-7BCD06321079}\86B7E5BD- 311C-5216-1DE2-0AF056F5D4E8.exe Task: {60DFB6F7-494C-4C95-8AFB-8BCED386D635} - System32\Tasks\Ckerbulemahitain Provider => C:\Program Files (x86)\Lafetqilse\atuhesy.exe C:\Program Files (x86)\Lafetqilse WMI_ActiveScriptEventConsumer_ASEC: ShortcutWithArgument: C:\Users\Lenovo\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Lenovo\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Lenovo\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://qtipr.com/ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Lenovo\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://qtipr.com/AlternateDataStreams: C:\WINDOWS\system32\drivers:ucdrv-x64.sys [25444]AlternateDataStreams: C:\WINDOWS\system32\drivers:x64 [1498914]AlternateDataStreams: C:\WINDOWS\system32\drivers:x86 [1223458]HKLM\...\Policies\Explorer: [EnableShellExecuteHooks] 1HKLM\...\Providers\h49mkssl: C:\Program Files (x86)\Ckerbulemahitain Provider\local64spl.dllC:\Program Files (x86)\Ckerbulemahitain ProviderShellExecuteHooks: Brak nazwy - {D1CD7500-DE3D-11E6-8016-64006A5CFC23} - C:\Program Files (x86)\Plerqer\Pafght.dll -> Brak plikuC:\Program Files (x86)\PlerqerShellIconOverlayIdentifiers: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak plikuSearchScopes: HKU\S-1-5-21-2037147976-1584751365-2601269577-1003 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-2037147976-1584751365-2601269577-1003 -> {8C65EB5C-AE03-4984-B8EB-7C9B00C867C3} URL =R1 ucdrv; C:\WINDOWS\System32\drivers:ucdrv-x64.sys [25444 ] (UC Web Inc.) 2017-04-10 19:14 - 2017-04-10 19:14 - 00014658 _____ C:\Users\Lenovo\Downloads\[Electro-Torrent.pl] SpyHunter 4.21.10.4585 [Ml-Eng] [Cicha instalacja & portable].torrentC:\ProgramData\Microsoft\Windows\Start Menu\Programs\FIFA 15\FIFA 15.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FIFA 15\FIFA 15使用者授權協議.lnkC:\ProgramData\Microsoft\Windows\Start Menu\Programs\FIFA 15\技術支援.lnkC:\Users\Public\Desktop\Download Crack Setup.ex...lnkC:\Users\Public\Desktop\Gadget DT.lnkTcpip\Parameters: [NameServer] 82.163.143.176 82.163.142.178CMD: ipconfig /flushdnsHosts:EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.3. Wyczyść i (dodatkowo) zabezpiecz przeglądarkę Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie inne nieznane i niepotrzebne Ci rozszerzenia Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin 4. Wyczyść i (dodatkowo) zabezpiecz przeglądarkę Mozilla FireFox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania. Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin. 5. Pobierz AdwCleaner uruchom go i kliknij Skanuj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. 6. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut). Dołącz też plik fixlog.txt.* - sprawdziłem adres IP, z którego się logujesz na forum i bieżące adres DNS w Twoim systemie są polskie, w logu Addition także, - tak na pewno to już martwa infekcja. Odnośnik do komentarza
mersudog Opublikowano 14 Kwietnia 2017 Autor Zgłoś Udostępnij Opublikowano 14 Kwietnia 2017 Zrobione. Na tą chwilę wszytko działa sprawnie. Do przeglądarek nie podpina się już żadne polecenie, działają sprawnie. Bardzo dziękuję za pomoc. Addition.txt AdwCleanerS3.txt Fixlog.txt FRST.txt Shortcut.txt Odnośnik do komentarza
Miszel03 Opublikowano 17 Kwietnia 2017 Zgłoś Udostępnij Opublikowano 17 Kwietnia 2017 Wszystko pomyślnie wykonane, moglibyśmy już kończyć, lecz program (tj. mówiłem) UCBrowser zaczyna się bronić i dochodzi do reinstalacji. 1. Wejdź do trybu awaryjnego (kliknij klawisz F8 przed startem systemu). Z tego poziomu systemu masz wykonać poniższe zadania oprócz pkt. 4. 2. Wszystkie zagrożenia wykryte przez AdwCleaner daj do kasacji (używając opcji Oczyść). 3. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: R1 ucdrv; C:\WINDOWS\System32\drivers:ucdrv-x64.sys [25444 ] (UC Web Inc.) AlternateDataStreams: C:\WINDOWS\system32\drivers:ucdrv-x64.sys [25444] AlternateDataStreams: C:\WINDOWS\system32\drivers:x64 [1498914] AlternateDataStreams: C:\WINDOWS\system32\drivers:x86 [1223458] Task: {A232A8CC-7144-40CD-A7B9-5AEAD06BD34B} - System32\Tasks\UCBrowserSecureUpdater => C:\Program Files (x86)\UCBrowser\Security\uclauncher.exe [2017-03-11] (UC Web Inc.) RemoveDirectory: C:\Program Files (x86)\UCBrowser C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FIFA 15\FIFA 15使用者授權協議.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FIFA 15\技術支援.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut). Dołącz też plik fixlog.txt. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się