Run DLL

[LOLEM]

Witam. Mam problem z błędem RunDLL "Wystąpił problem podczas uruchamiania pliku C:\hU0g91rcrghU0g91rcrg\b52s.dll" proszę o pomoc. Chciałbym jeszcze dodać że nie za bardzo się na tym znam

[jessica]

To prawdopodobnie efekt szkodliwego Zaplanowanego Zadania.

 

Zrób logi FRST https://www.fixitpc.pl/topic/61-diagnostyka-og%C3%B3lne-raporty-systemowe/?do=findComment&comment=160527

Przed skanem zaznacz "Addition.txt" (czyli logi mają być dwa: FRST.txt, oraz Addition.txt)

 

jessi

[LOLEM]

addition: http://wklejto.pl/275744

FRST: http://www.wklejto.pl/275745

[jessica]

Task: {EFA44B45-C51A-419B-A547-704EDC0E1991} - System32TaskshU0g91rcrg => C:hU0g91rcrghU0g91rcrghU0g91rcrg.vbs [2017-04-08] () <==== UWAGA

Jest to Zaplanowane Zadanie.

 

Ale, oprócz tego, masz też infekcje.

 

Logi są zniekształcone, bo na wklejto trzeba wklejać tekst, a nie plik.

Popraw to, bo z takich zniekształconych logów nie da się sporządzić "fixlogu"

 

2345安全卫士 (HKLM-x32...2345PCSafe) (Version: v2.11 - 2345.com)

jeśli nie znasz tego programu, to go odinstaluj.

 

Zajrzyj do folderów C:\Program Files (x86)\UCBrowser\Application

jeśli jest tam plik deinstalacyjny (np. uninstall.exe), to go użyj.

 

jessi

[LOLEM]

program usunąłem a tutaj logi FRST http://wklejto.pl/275747 addition http://www.wklejto.pl/275748

[jessica]

Otwórz Notatnik i wklej w nim:

 

FirewallRules: [{A85A9F44-3630-42B0-AABC-2092C03EB37C}] => (Allow) C:\Program Files (x86)\UCBrowser\Application\UCBrowser.exe
FirewallRules: [{9FB6538F-7997-4149-8416-7AE7210E5F1B}] => (Allow) C:\Users\Edyta\AppData\Local\Temp\FlowSpritSetup_slnt_5016.exe
AlternateDataStreams: C:\WINDOWS\system32\drivers:ucdrv-x64.sys [25444]
AlternateDataStreams: C:\WINDOWS\system32\drivers:x64 [1498914]
AlternateDataStreams: C:\WINDOWS\system32\drivers:x86 [1223458]
Task: C:\WINDOWS\Tasks\UCBrowserUpdater.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe <==== UWAGA
Task: {EFA44B45-C51A-419B-A547-704EDC0E1991} - System32\Tasks\hU0g91rcrg => C:\hU0g91rcrghU0g91rcrg\hU0g91rcrg.vbs [2017-04-08] () <==== UWAGA
Task: {E8A6A4EA-6237-4216-A4FB-745AF4DF61AC} - System32\Tasks\UCBrowserSecureUpdater => C:\Program Files (x86)\UCBrowser\Security\uclauncher.exe [2017-04-16] (UC Web Inc.) <==== UWAGA
Task: {2C261954-BEC9-47E3-BC3D-5EC0475271ED} - System32\Tasks\UCBrowserUpdater => C:\Program Files (x86)\UCBrowser\Application\update_task.exe [2017-02-15] (UCWeb Inc) <==== UWAGA  
RemoveDirectory: C:\Program Files (x86)\UCBrowser
RemoveDirectory: C:\hU0g91rcrghU0g91rcrg
RemoveDirectory: C:\Users\Edyta\hU0g91rcrg
RemoveDirectory: C:\Users\Edyta\AppData\Local\IIIQF
C:\Program Files (x86)\sss
C:\Users\Edyta\AppData\Local\UCBrowser
C:\Program Files (x86)\FlowSprit
C:\WINDOWS\system32\Drivers\flowhlp.dat
C:\ProgramData\mntemp
S3 X6va062; \??\C:\WINDOWS\SysWOW64\Drivers\X6va062 [X]
R1 ucdrv; C:\WINDOWS\System32\drivers:ucdrv-x64.sys [25444 ] (UC Web Inc.) <==== UWAGA
R0 flowhlp; C:\WINDOWS\System32\drivers\flowhlp.dat [155168 2017-04-15] ()
HKU\S-1-5-21-1814096791-1805441597-336969800-1002\...\Winlogon: [shell] C:\WINDOWS\explorer.exe [2755504 2016-08-27] (Microsoft Corporation) <==== UWAGA
AppInit_DLLs: C:\PROGRA~2\Amazon\AMAZON~1\AMAZON~2.DLL => Brak pliku
AppInit_DLLs-x32: C:\PROGRA~2\Amazon\AMAZON~1\AMAZON~3.DLL => Brak pliku
HOSTS:
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix (NAPRAW).

 

2) Zrób nowe logi FRST. (przed skanem zaznacz: Additional.txt Shortcut.txt,)

 

jessi

[LOLEM]

dziękuję ::DD

[jessica]

dziękuję ::DD

 

ale to dopiero początek usuwania infekcji.

pokaż nowe logi

 

jessi

[LOLEM]

addiation http://wklejto.pl/275756 shortcut http://www.wklejto.pl/275757 frst http://www.wklejto.pl/275758

[jessica]

AlternateDataStreams: C:\WINDOWS\system32\drivers:ucdrv-x64.sys [25444]

AlternateDataStreams: C:\WINDOWS\system32\drivers:x64 [1498914]

AlternateDataStreams: C:\WINDOWS\system32\drivers:x86 [1223458]

od razu widać, ze infekcja jest dalej.

 

Otwórz Notatnik i wklej w nim:

 

AlternateDataStreams: C:\WINDOWS\system32\drivers:ucdrv-x64.sys [25444]

AlternateDataStreams: C:\WINDOWS\system32\drivers:x64 [1498914]

AlternateDataStreams: C:\WINDOWS\system32\drivers:x86 [1223458]

S0 flowhlp; system32\drivers\flowhlp.dat [X]

R1 ucdrv; C:\WINDOWS\System32\drivers:ucdrv-x64.sys [25444 ] (UC Web Inc.) <==== UWAGA

S2 0082491492433058mcinstcleanup; C:\WINDOWS\TEMP\008249~1.EXE -cleanup -nolog [X]

FF Plugin-x32: @esn.me/esnsonar,version=0.70.4 -> C:\Program Files (x86)\Battlelog Web Plugins\Sonar\0.70.4\npesnsonar.dll [brak pliku]

HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.2345.com/?33983

HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.2345.com/?33983

HKU\S-1-5-21-1814096791-1805441597-336969800-1002\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.2345.com/?33983

2017-04-15 18:47 - 2017-04-17 17:09 - 00000000 ____D C:\Users\Edyta\AppData\Roaming\2345SoftMgr

2017-04-15 18:47 - 2017-04-17 17:09 - 00000000 ____D C:\Users\Edyta\AppData\Roaming\2345PCSafe

2017-04-15 18:47 - 2017-04-17 17:09 - 00000000 ____D C:\Users\Edyta\AppData\Roaming\2345AvScan

2017-04-15 18:47 - 2017-04-17 17:09 - 00000000 ____D C:\Program Files (x86)\2345Soft

2017-04-15 18:47 - 2017-04-17 17:08 - 02113536 _____ C:\WINDOWS\Rule.dat

EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe

 

2) Wejdź w Tryb Awaryjny (F8 przed startem Systemu)

a może:

Tryb awaryjny: Klawisz z flagą Windows + I > Zmień ustawienia komputera > Aktualizacja i odzyskiwanie > Odzyskiwanie > Uruchamianie zaawansowane > Uruchom teraz > system zrestartuje i pojawi się ekran z opcjami > Ustawienia zaawansowane > Ustawienia uruchamiania > Tryb awaryjny.

 

3) Uruchom FRST i kliknij przycisk Fix (NAPRAW).

 

4) Zrób nowe logi FRST - już bez Shortcut.

 

jessi

[LOLEM]

od razu widać, ze infekcja jest dalej.

 

zaraz ...

?

 

[jessica]

?

 

wróć do mojego poprzedniego postu

[LOLEM]

addition http://wklejto.pl/275766 FRST http://www.wklejto.pl/275768

[jessica]

Nie jest dobrze.

 

Otwórz Notatnik i wklej w nim:

 

AlternateDataStreams: C:\WINDOWS\system32\drivers:ucdrv-x64.sys [25444]
AlternateDataStreams: C:\WINDOWS\system32\drivers:x64 [1498914]
AlternateDataStreams: C:\WINDOWS\system32\drivers:x86 [1223458]
R1 ucdrv; C:\WINDOWS\System32\drivers:ucdrv-x64.sys [25444 ] (UC Web Inc.) <==== UWAGA
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
 

 

Wejdź w Tryb Awaryjny

 

 

Uruchom FRST i kliknij przycisk Fix (NAPRAW).

 

 

Zrób nowe logi FRST.

 

 

Napiszę do Moderatora - może zna skuteczniejszy sposób usunięcia tych strumieni ADS

 

temat pewnie zostanie przesunięty do działu https://www.fixitpc.pl/forum/38-dzia%C5%82-pomocy-dora%C5%BAnej/

i tam zajmie się nim @Miszel03 https://www.fixitpc.pl/user/14035-miszel03/

 

jessi

[LOLEM]

addition http://wklejto.pl/275776 FRST http://www.wklejto.pl/275777

[Rucek]

Temat trochę sprzątam.

Logi dodawaj albo jako załączniki albo tu: wklej.org  (przeklej, popraw linki, zrób jeszcze trzeci log - shortcuts)

Czekamy na Miszela, może on coś poradzi.

[Miszel03]

Ja poproszę o dostarczenie kompletnego zestawu raportów FRST, czyli plik FRST, Addition oraz Shortcut*. Dołącz również raport GMER. 

 

* bez niego diagnostyka jest nie pełna, więc tamtych raportów nie biorę pod uwagę. 

 

Jeśli to możliwe to poproszę również o raporty z wykonania skryptu (plik Fixlog.txt). Przeszukaj rejestr, bo chcę widzieć całe to ustrojstwo w systemie (układ plików wezmę z bazy). 

 

Uruchom FRST, w polu Szukaj (Search) wklej poniższą frazę i kliknij w Szukaj w rejestrze (Search Registry).

 

ucbrowser

 

Obok powstanie raport SearchReg.txt - zaprezentuj go na forum.