Skocz do zawartości

Run DLL


Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
Task: {EFA44B45-C51A-419B-A547-704EDC0E1991} - System32TaskshU0g91rcrg => C:hU0g91rcrghU0g91rcrghU0g91rcrg.vbs [2017-04-08] () <==== UWAGA

Jest to Zaplanowane Zadanie.

 

Ale, oprócz tego, masz też infekcje.

 

Logi są zniekształcone, bo na wklejto trzeba wklejać tekst, a nie plik.

Popraw to, bo z takich zniekształconych logów nie da się sporządzić "fixlogu"

 

2345安全卫士 (HKLM-x32...2345PCSafe) (Version: v2.11 - 2345.com)

jeśli nie znasz tego programu, to go odinstaluj.

 

Zajrzyj do folderów C:\Program Files (x86)\UCBrowser\Application

jeśli jest tam plik deinstalacyjny (np. uninstall.exe), to go użyj.

 

jessi

Odnośnik do komentarza

Otwórz Notatnik i wklej w nim:

 

FirewallRules: [{A85A9F44-3630-42B0-AABC-2092C03EB37C}] => (Allow) C:\Program Files (x86)\UCBrowser\Application\UCBrowser.exe
FirewallRules: [{9FB6538F-7997-4149-8416-7AE7210E5F1B}] => (Allow) C:\Users\Edyta\AppData\Local\Temp\FlowSpritSetup_slnt_5016.exe
AlternateDataStreams: C:\WINDOWS\system32\drivers:ucdrv-x64.sys [25444]
AlternateDataStreams: C:\WINDOWS\system32\drivers:x64 [1498914]
AlternateDataStreams: C:\WINDOWS\system32\drivers:x86 [1223458]
Task: C:\WINDOWS\Tasks\UCBrowserUpdater.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe <==== UWAGA
Task: {EFA44B45-C51A-419B-A547-704EDC0E1991} - System32\Tasks\hU0g91rcrg => C:\hU0g91rcrghU0g91rcrg\hU0g91rcrg.vbs [2017-04-08] () <==== UWAGA
Task: {E8A6A4EA-6237-4216-A4FB-745AF4DF61AC} - System32\Tasks\UCBrowserSecureUpdater => C:\Program Files (x86)\UCBrowser\Security\uclauncher.exe [2017-04-16] (UC Web Inc.) <==== UWAGA
Task: {2C261954-BEC9-47E3-BC3D-5EC0475271ED} - System32\Tasks\UCBrowserUpdater => C:\Program Files (x86)\UCBrowser\Application\update_task.exe [2017-02-15] (UCWeb Inc) <==== UWAGA  
RemoveDirectory: C:\Program Files (x86)\UCBrowser
RemoveDirectory: C:\hU0g91rcrghU0g91rcrg
RemoveDirectory: C:\Users\Edyta\hU0g91rcrg
RemoveDirectory: C:\Users\Edyta\AppData\Local\IIIQF
C:\Program Files (x86)\sss
C:\Users\Edyta\AppData\Local\UCBrowser
C:\Program Files (x86)\FlowSprit
C:\WINDOWS\system32\Drivers\flowhlp.dat
C:\ProgramData\mntemp
S3 X6va062; \??\C:\WINDOWS\SysWOW64\Drivers\X6va062 [X]
R1 ucdrv; C:\WINDOWS\System32\drivers:ucdrv-x64.sys [25444 ] (UC Web Inc.) <==== UWAGA
R0 flowhlp; C:\WINDOWS\System32\drivers\flowhlp.dat [155168 2017-04-15] ()
HKU\S-1-5-21-1814096791-1805441597-336969800-1002\...\Winlogon: [shell] C:\WINDOWS\explorer.exe [2755504 2016-08-27] (Microsoft Corporation) <==== UWAGA
AppInit_DLLs: C:\PROGRA~2\Amazon\AMAZON~1\AMAZON~2.DLL => Brak pliku
AppInit_DLLs-x32: C:\PROGRA~2\Amazon\AMAZON~1\AMAZON~3.DLL => Brak pliku
HOSTS:
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix (NAPRAW).

 

2) Zrób nowe logi FRST. (przed skanem zaznacz: Additional.txt Shortcut.txt,)

 

jessi

Odnośnik do komentarza
AlternateDataStreams: C:\WINDOWS\system32\drivers:ucdrv-x64.sys [25444]

AlternateDataStreams: C:\WINDOWS\system32\drivers:x64 [1498914]

AlternateDataStreams: C:\WINDOWS\system32\drivers:x86 [1223458]

od razu widać, ze infekcja jest dalej.

 

Otwórz Notatnik i wklej w nim:

 

AlternateDataStreams: C:\WINDOWS\system32\drivers:ucdrv-x64.sys [25444]

AlternateDataStreams: C:\WINDOWS\system32\drivers:x64 [1498914]

AlternateDataStreams: C:\WINDOWS\system32\drivers:x86 [1223458]

S0 flowhlp; system32\drivers\flowhlp.dat [X]

R1 ucdrv; C:\WINDOWS\System32\drivers:ucdrv-x64.sys [25444 ] (UC Web Inc.) <==== UWAGA

S2 0082491492433058mcinstcleanup; C:\WINDOWS\TEMP\008249~1.EXE -cleanup -nolog [X]

FF Plugin-x32: @esn.me/esnsonar,version=0.70.4 -> C:\Program Files (x86)\Battlelog Web Plugins\Sonar\0.70.4\npesnsonar.dll [brak pliku]

HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.2345.com/?33983

HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.2345.com/?33983

HKU\S-1-5-21-1814096791-1805441597-336969800-1002\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.2345.com/?33983

2017-04-15 18:47 - 2017-04-17 17:09 - 00000000 ____D C:\Users\Edyta\AppData\Roaming\2345SoftMgr

2017-04-15 18:47 - 2017-04-17 17:09 - 00000000 ____D C:\Users\Edyta\AppData\Roaming\2345PCSafe

2017-04-15 18:47 - 2017-04-17 17:09 - 00000000 ____D C:\Users\Edyta\AppData\Roaming\2345AvScan

2017-04-15 18:47 - 2017-04-17 17:09 - 00000000 ____D C:\Program Files (x86)\2345Soft

2017-04-15 18:47 - 2017-04-17 17:08 - 02113536 _____ C:\WINDOWS\Rule.dat

EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe

 

2) Wejdź w Tryb Awaryjny (F8 przed startem Systemu)

a może:

Tryb awaryjny: Klawisz z flagą Windows + I > Zmień ustawienia komputera > Aktualizacja i odzyskiwanie > Odzyskiwanie > Uruchamianie zaawansowane > Uruchom teraz > system zrestartuje i pojawi się ekran z opcjami > Ustawienia zaawansowane > Ustawienia uruchamiania > Tryb awaryjny.

 

3) Uruchom FRST i kliknij przycisk Fix (NAPRAW).

 

4) Zrób nowe logi FRST - już bez Shortcut.

 

jessi

Odnośnik do komentarza

Nie jest dobrze. :(

 

Otwórz Notatnik i wklej w nim:

 

AlternateDataStreams: C:\WINDOWS\system32\drivers:ucdrv-x64.sys [25444]
AlternateDataStreams: C:\WINDOWS\system32\drivers:x64 [1498914]
AlternateDataStreams: C:\WINDOWS\system32\drivers:x86 [1223458]
R1 ucdrv; C:\WINDOWS\System32\drivers:ucdrv-x64.sys [25444 ] (UC Web Inc.) <==== UWAGA
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
 

 

Wejdź w Tryb Awaryjny

 

 

Uruchom FRST i kliknij przycisk Fix (NAPRAW).

 

 

Zrób nowe logi FRST.

 

 

Napiszę do Moderatora - może zna skuteczniejszy sposób usunięcia tych strumieni ADS

 

temat pewnie zostanie przesunięty do działu https://www.fixitpc.pl/forum/38-dzia%C5%82-pomocy-dora%C5%BAnej/

i tam zajmie się nim @Miszel03 https://www.fixitpc.pl/user/14035-miszel03/

 

jessi

Odnośnik do komentarza

Ja poproszę o dostarczenie kompletnego zestawu raportów FRST, czyli plik FRST, Addition oraz Shortcut*. Dołącz również raport GMER

 

* bez niego diagnostyka jest nie pełna, więc tamtych raportów nie biorę pod uwagę. 

 

Jeśli to możliwe to poproszę również o raporty z wykonania skryptu (plik Fixlog.txt). Przeszukaj rejestr, bo chcę widzieć całe to ustrojstwo w systemie (układ plików wezmę z bazy). 

 

Uruchom FRST, w polu Szukaj (Search) wklej poniższą frazę i kliknij w Szukaj w rejestrze (Search Registry).

 

ucbrowser

 

Obok powstanie raport SearchReg.txt - zaprezentuj go na forum. 

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...