Skocz do zawartości

Blokada instalacji antywirusów


Rekomendowane odpowiedzi

Witam, miałam problem wczoraj z wirusem/plikiem? nie jestem o nazwie UC浏览器基础服务, wyskakiwały mi nie ustanie reklamy i próbowały instalować różne programy, używają adwcleaner i revo unistaller jakoś problem zażegnałam ale w tym momencie pozostał problem reklam w przeglądarce i nie jestem w stanie już instalować czy używać programów antywirusowych przez wyskakujący komunikat że "ten program został zablokowany w celu ochrony użytkownika".

 


Shortcut.txt

Addition.txt

FRST.txt

GMER.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

W systemie nadal działa ogromna ilość szkodliwych elementów, a antywirusy są zablokowane metodą Niezaufanych certyfikatów. Działania do przeprowadzenia:

 

1. Przez Panel sterowania odinstaluj wątpliwy program Plumbytes Anti-Malware 2017.

 

2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:

 

CloseProcesses:
R1 cryptfd; C:\Windows\System32\drivers\cryptfd.sys [195496 2017-05-25] ()
R1 ucdrv; C:\Program Files (x86)\UCBrowser\Security:ucdrv-x64.sys [25444 ] (UC Web Inc.) 
AlternateDataStreams: C:\Windows\system32\drivers:ucdrv-x64.sys [25444]
AlternateDataStreams: C:\Windows\system32\drivers:x64 [1498914]
AlternateDataStreams: C:\Windows\system32\drivers:x86 [1223458]
HKLM-x32\...\Run: [ProductUpdater] => C:\Program Files (x86)\Common Files\Freemake Shared\ProductUpdater\ProductUpdater.exe
HKLM\...\RunOnce: [KOMPUTEREK] => C:\Windows\Temp\g445F.tmp.exe [313856 2017-06-11] () 
HKLM\ DisallowedCertificates: 03D22C9C66915D58C88912B64C1F984B8344EF09 (Comodo Security Solutions) 
HKLM\ DisallowedCertificates: 0F684EC1163281085C6AF20528878103ACEFCAAB (F-Secure Corporation) 
HKLM\ DisallowedCertificates: 1667908C9E22EFBD0590E088715CC74BE4C60884 (FRISK Software International/F-Prot) 
HKLM\ DisallowedCertificates: 18DEA4EFA93B06AE997D234411F3FD72A677EECE (Bitdefender SRL) 
HKLM\ DisallowedCertificates: 2026D13756EB0DB753DF26CB3B7EEBE3E70BB2CF (G DATA Software AG) 
HKLM\ DisallowedCertificates: 249BDA38A611CD746A132FA2AF995A2D3C941264 (Malwarebytes Corporation) 
HKLM\ DisallowedCertificates: 31AC96A6C17C425222C46D55C3CCA6BA12E54DAF (Symantec Corporation) 
HKLM\ DisallowedCertificates: 331E2046A1CCA7BFEF766724394BE6112B4CA3F7 (Trend Micro) 
HKLM\ DisallowedCertificates: 3353EA609334A9F23A701B9159E30CB6C22D4C59 (Webroot Inc.) 
HKLM\ DisallowedCertificates: 373C33726722D3A5D1EDD1F1585D5D25B39BEA1A (SUPERAntiSpyware.com) 
HKLM\ DisallowedCertificates: 3850EDD77CC74EC9F4829AE406BBF9C21E0DA87F (Kaspersky Lab) 
HKLM\ DisallowedCertificates: 3D496FA682E65FC122351EC29B55AB94F3BB03FC (AVG Technologies CZ) 
HKLM\ DisallowedCertificates: 4243A03DB4C3C15149CEA8B38EEA1DA4F26BD159 (PC Tools) 
HKLM\ DisallowedCertificates: 42727E052C0C2E1B35AB53E1005FD9EDC9DE8F01 (K7 Computing Pvt Ltd) 
HKLM\ DisallowedCertificates: 4420C99742DF11DD0795BC15B7B0ABF090DC84DF (Doctor Web Ltd.) 
HKLM\ DisallowedCertificates: 4C0AF5719009B7C9D85C5EAEDFA3B7F090FE5FFF (Emsisoft Ltd) 
HKLM\ DisallowedCertificates: 5240AB5B05D11B37900AC7712A3C6AE42F377C8C (Check Point Software Technologies Ltd.) 
HKLM\ DisallowedCertificates: 5DD3D41810F28B2A13E9A004E6412061E28FA48D (Emsisoft Ltd) 
HKLM\ DisallowedCertificates: 7457A3793086DBB58B3858D6476889E3311E550E (K7 Computing Pvt Ltd) 
HKLM\ DisallowedCertificates: 76A9295EF4343E12DFC5FE05DC57227C1AB00D29 (BullGuard Ltd) 
HKLM\ DisallowedCertificates: 775B373B33B9D15B58BC02B184704332B97C3CAF (McAfee) 
HKLM\ DisallowedCertificates: 872CD334B7E7B3C3D1C6114CD6B221026D505EAB (Comodo Security Solutions) 
HKLM\ DisallowedCertificates: 88AD5DFE24126872B33175D1778687B642323ACF (McAfee) 
HKLM\ DisallowedCertificates: 9132E8B079D080E01D52631690BE18EBC2347C1E (Adaware Software) 
HKLM\ DisallowedCertificates: 982D98951CF3C0CA2A02814D474A976CBFF6BDB1 (Safer Networking Ltd.) 
HKLM\ DisallowedCertificates: 9A08641F7C5F2CCA0888388BE3E5DBDDAAA3B361 (Webroot Inc.) 
HKLM\ DisallowedCertificates: 9C43F665E690AB4D486D4717B456C5554D4BCEB5 (ThreatTrack Security) 
HKLM\ DisallowedCertificates: 9E3F95577B37C74CA2F70C1E1859E798B7FC6B13 (CURIOLAB S.M.B.A.) 
HKLM\ DisallowedCertificates: A1F8DCB086E461E2ABB4B46ADCFA0B48C58B6E99 (Avira Operations GmbH & Co. KG) 
HKLM\ DisallowedCertificates: A5341949ABE1407DD7BF7DFE75460D9608FBC309 (BullGuard Ltd) 
HKLM\ DisallowedCertificates: A59CC32724DD07A6FC33F7806945481A2D13CA2F (ESET) 
HKLM\ DisallowedCertificates: AB7E760DA2485EA9EF5A6EEE7647748D4BA6B947 (AVG Technologies CZ) 
HKLM\ DisallowedCertificates: AD4C5429E10F4FF6C01840C20ABA344D7401209F (Avast Antivirus/Software) 
HKLM\ DisallowedCertificates: AD96BB64BA36379D2E354660780C2067B81DA2E0 (Symantec Corporation) 
HKLM\ DisallowedCertificates: B8EBF0E696AF77F51C96DB4D044586E2F4F8FD84 (Malwarebytes Corporation) 
HKLM\ DisallowedCertificates: CDC37C22FE9272D8F2610206AD397A45040326B8 (Trend Micro) 
HKLM\ DisallowedCertificates: D3F78D747E7C5D6D3AE8ABFDDA7522BFB4CBD598 (Kaspersky Lab) 
HKLM\ DisallowedCertificates: DB303C9B61282DE525DC754A535CA2D6A9BD3D87 (ThreatTrack Security) 
HKLM\ DisallowedCertificates: DB77E5CFEC34459146748B667C97B185619251BA (Avast Antivirus/Software) 
HKLM\ DisallowedCertificates: E22240E837B52E691C71DF248F12D27F96441C00 (Total Defense, Inc.) 
HKLM\ DisallowedCertificates: E513EAB8610CFFD7C87E00BCA15C23AAB407FCEF (AVG Technologies CZ) 
HKLM\ DisallowedCertificates: ED841A61C0F76025598421BC1B00E24189E68D54 (Bitdefender SRL) 
HKLM\ DisallowedCertificates: F83099622B4A9F72CB5081F742164AD1B8D048C9 (ESET) 
HKLM\ DisallowedCertificates: FBB42F089AF2D570F2BF6F493D107A3255A9BB1A (Panda Security S.L) 
HKLM\ DisallowedCertificates: FFFA650F2CB2ABC0D80527B524DD3F9FC172C138 (Doctor Web Ltd.) 
HKU\S-1-5-21-1768268483-3808830105-315920841-1000\...\Run: [blueStacks Agent] => C:\Program Files (x86)\BlueStacks\HD-Agent.exe
HKU\S-1-5-21-1768268483-3808830105-315920841-1000\...\Run: [e2r2-dqG-i.exe] => C:\Program Files\Windows Media Player\SYKUMONAG79KUXM4N3QUV5440\e2r2-dqG-i.exe [274944 2017-06-10] ()
HKU\S-1-5-21-1768268483-3808830105-315920841-1000\...\Run: [7QjUzbh.exe] => C:\Users\Admin\AppData\Local\Temp\bfd0ceadeeff4bb7b543fedb69ed363a\7QjUzbh.exe [274944 2017-06-10] () 
HKU\S-1-5-21-1768268483-3808830105-315920841-1000\...\Run: [g5r5bvtQx.exe] => C:\Users\Admin\AppData\Roaming\cc8a6a80f7fd4a7aadc900c39a1609f7\g5r5bvtQx.exe [274944 2017-06-10] ()
HKU\S-1-5-21-1768268483-3808830105-315920841-1000\...\Run: [G2SljB6G6ktJQ.exe] => C:\Users\Admin\AppData\Local\cfd39f6f03fe4cc399a0c58897b84128\G2SljB6G6ktJQ.exe [274944 2017-06-10] ()
HKU\S-1-5-21-1768268483-3808830105-315920841-1000\...\Run: [Goblyw3fZx.exe] => C:\Users\Admin\AppData\Roaming\2676253838a14647bbb331a1744e4bec\Goblyw3fZx.exe [274944 2017-06-10] ()
ShellIconOverlayIdentifiers: [JzShlobj] -> {9A0700D2-920A-4E52-8697-9B5230C92612} => C:\Program Files (x86)\Maoha\JiSuZip\JZipExt.dll -> Brak pliku
BHO: VKOKAdBlock -> {FF20459C-DA6E-41A7-80BC-8F4FEFD9C575} -> C:\Program Files (x86)\VKOKAblockIE\t7XYIfbUR.dll => Brak pliku
HKU\S-1-5-21-1768268483-3808830105-315920841-1000\Software\Microsoft\Internet Explorer\Main,Start Page =
GroupPolicy: Ograniczenia - Chrome 
FirewallRules: [{48B34065-295C-4828-9BE8-083D0598A8EB}] => (Allow) C:\Windows\system32\rundll32.exe
FirewallRules: [{63460BFC-9796-4764-BE1A-06D9E1ADE21B}] => (Allow) C:\Windows\System32\rundll32.exe
FirewallRules: [{B09F3E96-572A-44DA-8AEF-7460A7D94F2F}] => (Allow) C:\Windows\System32\rundll32.exe
FirewallRules: [{49D76C2E-8733-40AF-85CD-707349E02C6C}] => (Allow) C:\Windows\System32\rundll32.exe
FirewallRules: [{80F63EEC-7473-4A05-A2C0-469F2DC1E9AF}] => (Allow) C:\Windows\System32\rundll32.exe
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\Program Files (x86)\GUT2CF9.tmp
C:\Program Files (x86)\UCBrowser
C:\Program Files\Windows Media Player\SYKUMONAG79KUXM4N3QUV5440
C:\ProgramData\WindowsVideoErrorReporting
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Dragon Age Początek\Centrum pomocy produktów EA.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Dragon Age Początek\Przeglądaj plik Readme.lnk
C:\ProgramData\Microsoft\Windows\GameExplorer\{CF057CC4-4F39-42AF-A61E-6B4DE25C7AF2}
C:\ProgramData\Microsoft\Windows\GameExplorer\{C7BFE639-CE26-4F2C-9239-76541CCB0933}
C:\Users\Admin\AppData\Local\installer.dat
C:\Users\Admin\AppData\Local\test_db_cara.db
C:\Users\Admin\AppData\Local\TroubleshooterConfig.json
C:\Users\Admin\AppData\Local\{12A8CCFE-3C33-4995-BAD8-074E4C5B22FD}
C:\Users\Admin\AppData\Local\cfd39f6f03fe4cc399a0c58897b84128
C:\Users\Admin\AppData\LocalLow\VKOK
C:\Users\Admin\AppData\Roaming\aa59a429f78e41c1afe07429c433b20c
C:\Users\Admin\AppData\Roaming\2676253838a14647bbb331a1744e4bec
C:\Users\Admin\AppData\Roaming\1a7fa33c17c847c4aee3a60ba065f9c6
C:\Users\Admin\AppData\Roaming\cc8a6a80f7fd4a7aadc900c39a1609f7
C:\Users\Admin\AppData\Roaming\02e8a25c1de946749c7ef6d2dcdd74a0
C:\Users\Admin\AppData\Roaming\Opera Software\Opera Stable\Extensions\cockmkcmoohjkdpaiglfomnfapioccfd
C:\Users\Admin\AppData\Roaming\Opera Software\Opera Stable\Extensions\pbdpajcdgknpendpmecafmopknefafha
C:\Users\Admin\Desktop\Gmail.lnk
C:\Users\Admin\Desktop\games\Mass Effect.lnk
C:\Users\Admin\Desktop\games\McAfee Security Scan Plus.lnk
C:\Windows\System32\drivers\cryptfd.sys
C:\Windows\System32\Tasks\Hafez Video Converter
C:\Windows\System32\Tasks\SMW_UpdateTask_Time_313538383034363130352d3437415a556c2a3223346c41
Hosts:
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie przejdź w Tryb awaryjny Windows, uruchom FRST i klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu, opuść Tryb awaryjny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. W Operze CTRL+SHIFT+E i na liście rozszerzeń sprawdź co się wyświetla. Jeśli widać tam dwa dziwne rozszerzenia, odinstaluj.

 

4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt.

Odnośnik do komentarza

Wszystko zgodnie z planem, blokady programów zdjęte. Poprawki:

 

1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:

 

RemoveDirectory: C:\AdwCleaner
RemoveDirectory: C:\FRST\Quarantine
RemoveDirectory: C:\Program Files\Plumbytes Software
StartBatch:
del /q C:\Users\Admin\Downloads\sp0twyow.exe
netsh advfirewall reset
EndBatch:

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

 

2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Odnośnik do komentarza

Fix FRST pomyślnie wykonany. AdwCleaner wykrył dwa odpadkowe klucze adware - uruchom program ponownie i tym razem przeprowadź usuwanie.

Ale jeszcze nie kończymy tematu. Ze względu na błąd w FRST, Harmonogram zadań nie został poprawnie przeskanowany (zero wykrytych elementów, a spodziewane conajmniej kilka) i nie wiadomo co tam jest. Oczekuję na naprawę tego. Zawiadomię gdy pojawi się nowa wersja FRST i poproszę o nowy log Addition.txt.

 

EDIT: Usuwam dodane logi. Na razie przecież nie ma nowej wersji FRST, więc logi pokazują nadal to samo co wcześniej. Jak mówiłam, zawiadomię, gdy pojawi się nowa wersja.

Odnośnik do komentarza

Do usunięcia są jeszcze odpadkowe zadania w Harmonogramie.

 

Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:

 

Task: {1E3E029E-8A67-41C1-B05D-8930D8D5061F} - System32\Tasks\{46FC16A6-753D-42E5-B569-E9091E9B0A2A} => D:\start.exe
Task: {38E82E58-252D-4A9C-8EC7-9F068B4B458C} - System32\Tasks\{7FEE7A07-E358-4742-B1A4-A235E4A415ED} => D:\start.exe
Task: {5072B7A2-BBA6-4B15-BB6C-FF7668A163DD} - System32\Tasks\{74B4FD57-CA51-464D-B2EB-BFA59E6D241D} => D:\start.exe
Task: {52D5F3F8-BE38-49AF-A7A4-56E4E064D97A} - System32\Tasks\{114EA879-A4C5-4DC7-8487-67DDB07A3CDD} => C:\Program Files (x86)\LucasArts\Star Wars® Knights of the Old Republic® COLLECTION\swkotor.exe
Task: {604A0514-77C2-4F27-AEF9-1A59B666D76F} - System32\Tasks\Microsoft\Windows\Windows Error Reporting\VideErroroReporting => C:\\ProgramData\\WindowsVideoErrorReporting\\wvermgr.exe
Task: {777181A4-41A4-46A7-AFCE-910EF1FFA9F3} - System32\Tasks\{8F1F9A0F-CC95-4C47-B243-A24461635CD8} => D:\start.exe
Task: {81136C5F-F319-4992-85B3-997CD9E0F60D} - System32\Tasks\{A8381DDB-DD9A-4E67-A55F-267A680D818E} => pcalua.exe -a C:\Users\Admin\Downloads\ME2_NormandyCrash.exe -d C:\Users\Admin\Downloads
Task: {8CD04E0E-577F-49A3-9BEE-6014A1AD3299} - System32\Tasks\{5ECD89E2-2474-4DC7-BCB7-553BC440D67E} => D:\start.exe
Task: {A07A2632-17EC-4ECD-A463-5F4E7FD770AA} - System32\Tasks\{B8064F46-7468-4884-97EB-94A83CBAED4C} => pcalua.exe -a C:\Users\Admin\Downloads\ME2_CerberusArc.exe -d C:\Users\Admin\Downloads
Task: {A3AC129A-4982-4D0F-AE1F-7B5DC3ADB7B7} - \Hafez Video Converter -> Brak pliku 
Task: {B7C60ECE-E024-4D9D-A906-90F8B8A793FB} - System32\Tasks\{4B9EE198-1D99-448A-88F9-F284F386AA94} => pcalua.exe -a C:\Users\Admin\Downloads\ME2_Kasumi.exe -d C:\Users\Admin\Downloads
Task: {B8991878-9CB9-4D98-875C-52ECC4609D0B} - System32\Tasks\{3D99E44C-7E90-4475-A0F7-0FBC509CAE45} => pcalua.exe -a C:\Users\Admin\Downloads\ME2_CerberusWpnArmor.exe -d C:\Users\Admin\Downloads
Task: {BB99E143-5CC3-481F-95DA-6433998CCA09} - System32\Tasks\{170672F0-B11A-4925-A63A-AF8237EB888B} => pcalua.exe -a C:\Users\Admin\Downloads\ME2_Zaeed.exe -d C:\Users\Admin\Downloads
Task: {D0C83FEB-3C85-4C69-A80C-BAABDAA1C3F3} - \SMW_UpdateTask_Time_313538383034363130352d3437415a556c2a3223346c41 -> Brak pliku 
Task: {E54CA4D8-8116-401B-ACD3-DC11EF34AA2E} - \UCBrowserUpdater -> Brak pliku 
Task: {F636BD17-054E-4458-A57C-D4755C858F6C} - System32\Tasks\{B3DBC376-C7E6-4FE0-B9FF-D5581F88B093} => pcalua.exe -a C:\Users\Admin\Downloads\nox_setup_v3.8.0.5_full_intl.exe -d C:\Users\Admin\Downloads

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...