mart32 Opublikowano 11 Czerwca 2017 Zgłoś Udostępnij Opublikowano 11 Czerwca 2017 Witam, miałam problem wczoraj z wirusem/plikiem? nie jestem o nazwie UC浏览器基础服务, wyskakiwały mi nie ustanie reklamy i próbowały instalować różne programy, używają adwcleaner i revo unistaller jakoś problem zażegnałam ale w tym momencie pozostał problem reklam w przeglądarce i nie jestem w stanie już instalować czy używać programów antywirusowych przez wyskakujący komunikat że "ten program został zablokowany w celu ochrony użytkownika". Shortcut.txt Addition.txt FRST.txt GMER.txt Odnośnik do komentarza
picasso Opublikowano 12 Czerwca 2017 Zgłoś Udostępnij Opublikowano 12 Czerwca 2017 W systemie nadal działa ogromna ilość szkodliwych elementów, a antywirusy są zablokowane metodą Niezaufanych certyfikatów. Działania do przeprowadzenia: 1. Przez Panel sterowania odinstaluj wątpliwy program Plumbytes Anti-Malware 2017. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: R1 cryptfd; C:\Windows\System32\drivers\cryptfd.sys [195496 2017-05-25] () R1 ucdrv; C:\Program Files (x86)\UCBrowser\Security:ucdrv-x64.sys [25444 ] (UC Web Inc.) AlternateDataStreams: C:\Windows\system32\drivers:ucdrv-x64.sys [25444] AlternateDataStreams: C:\Windows\system32\drivers:x64 [1498914] AlternateDataStreams: C:\Windows\system32\drivers:x86 [1223458] HKLM-x32\...\Run: [ProductUpdater] => C:\Program Files (x86)\Common Files\Freemake Shared\ProductUpdater\ProductUpdater.exe HKLM\...\RunOnce: [KOMPUTEREK] => C:\Windows\Temp\g445F.tmp.exe [313856 2017-06-11] () HKLM\ DisallowedCertificates: 03D22C9C66915D58C88912B64C1F984B8344EF09 (Comodo Security Solutions) HKLM\ DisallowedCertificates: 0F684EC1163281085C6AF20528878103ACEFCAAB (F-Secure Corporation) HKLM\ DisallowedCertificates: 1667908C9E22EFBD0590E088715CC74BE4C60884 (FRISK Software International/F-Prot) HKLM\ DisallowedCertificates: 18DEA4EFA93B06AE997D234411F3FD72A677EECE (Bitdefender SRL) HKLM\ DisallowedCertificates: 2026D13756EB0DB753DF26CB3B7EEBE3E70BB2CF (G DATA Software AG) HKLM\ DisallowedCertificates: 249BDA38A611CD746A132FA2AF995A2D3C941264 (Malwarebytes Corporation) HKLM\ DisallowedCertificates: 31AC96A6C17C425222C46D55C3CCA6BA12E54DAF (Symantec Corporation) HKLM\ DisallowedCertificates: 331E2046A1CCA7BFEF766724394BE6112B4CA3F7 (Trend Micro) HKLM\ DisallowedCertificates: 3353EA609334A9F23A701B9159E30CB6C22D4C59 (Webroot Inc.) HKLM\ DisallowedCertificates: 373C33726722D3A5D1EDD1F1585D5D25B39BEA1A (SUPERAntiSpyware.com) HKLM\ DisallowedCertificates: 3850EDD77CC74EC9F4829AE406BBF9C21E0DA87F (Kaspersky Lab) HKLM\ DisallowedCertificates: 3D496FA682E65FC122351EC29B55AB94F3BB03FC (AVG Technologies CZ) HKLM\ DisallowedCertificates: 4243A03DB4C3C15149CEA8B38EEA1DA4F26BD159 (PC Tools) HKLM\ DisallowedCertificates: 42727E052C0C2E1B35AB53E1005FD9EDC9DE8F01 (K7 Computing Pvt Ltd) HKLM\ DisallowedCertificates: 4420C99742DF11DD0795BC15B7B0ABF090DC84DF (Doctor Web Ltd.) HKLM\ DisallowedCertificates: 4C0AF5719009B7C9D85C5EAEDFA3B7F090FE5FFF (Emsisoft Ltd) HKLM\ DisallowedCertificates: 5240AB5B05D11B37900AC7712A3C6AE42F377C8C (Check Point Software Technologies Ltd.) HKLM\ DisallowedCertificates: 5DD3D41810F28B2A13E9A004E6412061E28FA48D (Emsisoft Ltd) HKLM\ DisallowedCertificates: 7457A3793086DBB58B3858D6476889E3311E550E (K7 Computing Pvt Ltd) HKLM\ DisallowedCertificates: 76A9295EF4343E12DFC5FE05DC57227C1AB00D29 (BullGuard Ltd) HKLM\ DisallowedCertificates: 775B373B33B9D15B58BC02B184704332B97C3CAF (McAfee) HKLM\ DisallowedCertificates: 872CD334B7E7B3C3D1C6114CD6B221026D505EAB (Comodo Security Solutions) HKLM\ DisallowedCertificates: 88AD5DFE24126872B33175D1778687B642323ACF (McAfee) HKLM\ DisallowedCertificates: 9132E8B079D080E01D52631690BE18EBC2347C1E (Adaware Software) HKLM\ DisallowedCertificates: 982D98951CF3C0CA2A02814D474A976CBFF6BDB1 (Safer Networking Ltd.) HKLM\ DisallowedCertificates: 9A08641F7C5F2CCA0888388BE3E5DBDDAAA3B361 (Webroot Inc.) HKLM\ DisallowedCertificates: 9C43F665E690AB4D486D4717B456C5554D4BCEB5 (ThreatTrack Security) HKLM\ DisallowedCertificates: 9E3F95577B37C74CA2F70C1E1859E798B7FC6B13 (CURIOLAB S.M.B.A.) HKLM\ DisallowedCertificates: A1F8DCB086E461E2ABB4B46ADCFA0B48C58B6E99 (Avira Operations GmbH & Co. KG) HKLM\ DisallowedCertificates: A5341949ABE1407DD7BF7DFE75460D9608FBC309 (BullGuard Ltd) HKLM\ DisallowedCertificates: A59CC32724DD07A6FC33F7806945481A2D13CA2F (ESET) HKLM\ DisallowedCertificates: AB7E760DA2485EA9EF5A6EEE7647748D4BA6B947 (AVG Technologies CZ) HKLM\ DisallowedCertificates: AD4C5429E10F4FF6C01840C20ABA344D7401209F (Avast Antivirus/Software) HKLM\ DisallowedCertificates: AD96BB64BA36379D2E354660780C2067B81DA2E0 (Symantec Corporation) HKLM\ DisallowedCertificates: B8EBF0E696AF77F51C96DB4D044586E2F4F8FD84 (Malwarebytes Corporation) HKLM\ DisallowedCertificates: CDC37C22FE9272D8F2610206AD397A45040326B8 (Trend Micro) HKLM\ DisallowedCertificates: D3F78D747E7C5D6D3AE8ABFDDA7522BFB4CBD598 (Kaspersky Lab) HKLM\ DisallowedCertificates: DB303C9B61282DE525DC754A535CA2D6A9BD3D87 (ThreatTrack Security) HKLM\ DisallowedCertificates: DB77E5CFEC34459146748B667C97B185619251BA (Avast Antivirus/Software) HKLM\ DisallowedCertificates: E22240E837B52E691C71DF248F12D27F96441C00 (Total Defense, Inc.) HKLM\ DisallowedCertificates: E513EAB8610CFFD7C87E00BCA15C23AAB407FCEF (AVG Technologies CZ) HKLM\ DisallowedCertificates: ED841A61C0F76025598421BC1B00E24189E68D54 (Bitdefender SRL) HKLM\ DisallowedCertificates: F83099622B4A9F72CB5081F742164AD1B8D048C9 (ESET) HKLM\ DisallowedCertificates: FBB42F089AF2D570F2BF6F493D107A3255A9BB1A (Panda Security S.L) HKLM\ DisallowedCertificates: FFFA650F2CB2ABC0D80527B524DD3F9FC172C138 (Doctor Web Ltd.) HKU\S-1-5-21-1768268483-3808830105-315920841-1000\...\Run: [blueStacks Agent] => C:\Program Files (x86)\BlueStacks\HD-Agent.exe HKU\S-1-5-21-1768268483-3808830105-315920841-1000\...\Run: [e2r2-dqG-i.exe] => C:\Program Files\Windows Media Player\SYKUMONAG79KUXM4N3QUV5440\e2r2-dqG-i.exe [274944 2017-06-10] () HKU\S-1-5-21-1768268483-3808830105-315920841-1000\...\Run: [7QjUzbh.exe] => C:\Users\Admin\AppData\Local\Temp\bfd0ceadeeff4bb7b543fedb69ed363a\7QjUzbh.exe [274944 2017-06-10] () HKU\S-1-5-21-1768268483-3808830105-315920841-1000\...\Run: [g5r5bvtQx.exe] => C:\Users\Admin\AppData\Roaming\cc8a6a80f7fd4a7aadc900c39a1609f7\g5r5bvtQx.exe [274944 2017-06-10] () HKU\S-1-5-21-1768268483-3808830105-315920841-1000\...\Run: [G2SljB6G6ktJQ.exe] => C:\Users\Admin\AppData\Local\cfd39f6f03fe4cc399a0c58897b84128\G2SljB6G6ktJQ.exe [274944 2017-06-10] () HKU\S-1-5-21-1768268483-3808830105-315920841-1000\...\Run: [Goblyw3fZx.exe] => C:\Users\Admin\AppData\Roaming\2676253838a14647bbb331a1744e4bec\Goblyw3fZx.exe [274944 2017-06-10] () ShellIconOverlayIdentifiers: [JzShlobj] -> {9A0700D2-920A-4E52-8697-9B5230C92612} => C:\Program Files (x86)\Maoha\JiSuZip\JZipExt.dll -> Brak pliku BHO: VKOKAdBlock -> {FF20459C-DA6E-41A7-80BC-8F4FEFD9C575} -> C:\Program Files (x86)\VKOKAblockIE\t7XYIfbUR.dll => Brak pliku HKU\S-1-5-21-1768268483-3808830105-315920841-1000\Software\Microsoft\Internet Explorer\Main,Start Page = GroupPolicy: Ograniczenia - Chrome FirewallRules: [{48B34065-295C-4828-9BE8-083D0598A8EB}] => (Allow) C:\Windows\system32\rundll32.exe FirewallRules: [{63460BFC-9796-4764-BE1A-06D9E1ADE21B}] => (Allow) C:\Windows\System32\rundll32.exe FirewallRules: [{B09F3E96-572A-44DA-8AEF-7460A7D94F2F}] => (Allow) C:\Windows\System32\rundll32.exe FirewallRules: [{49D76C2E-8733-40AF-85CD-707349E02C6C}] => (Allow) C:\Windows\System32\rundll32.exe FirewallRules: [{80F63EEC-7473-4A05-A2C0-469F2DC1E9AF}] => (Allow) C:\Windows\System32\rundll32.exe DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Program Files (x86)\GUT2CF9.tmp C:\Program Files (x86)\UCBrowser C:\Program Files\Windows Media Player\SYKUMONAG79KUXM4N3QUV5440 C:\ProgramData\WindowsVideoErrorReporting C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Dragon Age Początek\Centrum pomocy produktów EA.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Dragon Age Początek\Przeglądaj plik Readme.lnk C:\ProgramData\Microsoft\Windows\GameExplorer\{CF057CC4-4F39-42AF-A61E-6B4DE25C7AF2} C:\ProgramData\Microsoft\Windows\GameExplorer\{C7BFE639-CE26-4F2C-9239-76541CCB0933} C:\Users\Admin\AppData\Local\installer.dat C:\Users\Admin\AppData\Local\test_db_cara.db C:\Users\Admin\AppData\Local\TroubleshooterConfig.json C:\Users\Admin\AppData\Local\{12A8CCFE-3C33-4995-BAD8-074E4C5B22FD} C:\Users\Admin\AppData\Local\cfd39f6f03fe4cc399a0c58897b84128 C:\Users\Admin\AppData\LocalLow\VKOK C:\Users\Admin\AppData\Roaming\aa59a429f78e41c1afe07429c433b20c C:\Users\Admin\AppData\Roaming\2676253838a14647bbb331a1744e4bec C:\Users\Admin\AppData\Roaming\1a7fa33c17c847c4aee3a60ba065f9c6 C:\Users\Admin\AppData\Roaming\cc8a6a80f7fd4a7aadc900c39a1609f7 C:\Users\Admin\AppData\Roaming\02e8a25c1de946749c7ef6d2dcdd74a0 C:\Users\Admin\AppData\Roaming\Opera Software\Opera Stable\Extensions\cockmkcmoohjkdpaiglfomnfapioccfd C:\Users\Admin\AppData\Roaming\Opera Software\Opera Stable\Extensions\pbdpajcdgknpendpmecafmopknefafha C:\Users\Admin\Desktop\Gmail.lnk C:\Users\Admin\Desktop\games\Mass Effect.lnk C:\Users\Admin\Desktop\games\McAfee Security Scan Plus.lnk C:\Windows\System32\drivers\cryptfd.sys C:\Windows\System32\Tasks\Hafez Video Converter C:\Windows\System32\Tasks\SMW_UpdateTask_Time_313538383034363130352d3437415a556c2a3223346c41 Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie przejdź w Tryb awaryjny Windows, uruchom FRST i klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu, opuść Tryb awaryjny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W Operze CTRL+SHIFT+E i na liście rozszerzeń sprawdź co się wyświetla. Jeśli widać tam dwa dziwne rozszerzenia, odinstaluj. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
mart32 Opublikowano 12 Czerwca 2017 Autor Zgłoś Udostępnij Opublikowano 12 Czerwca 2017 Wszystko zgodnie z poleceniem Fixlog.txt Addition.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 12 Czerwca 2017 Zgłoś Udostępnij Opublikowano 12 Czerwca 2017 Wszystko zgodnie z planem, blokady programów zdjęte. Poprawki: 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files\Plumbytes Software StartBatch: del /q C:\Users\Admin\Downloads\sp0twyow.exe netsh advfirewall reset EndBatch: Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner. Odnośnik do komentarza
mart32 Opublikowano 12 Czerwca 2017 Autor Zgłoś Udostępnij Opublikowano 12 Czerwca 2017 * AdwCleanerS0.txt Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 12 Czerwca 2017 Zgłoś Udostępnij Opublikowano 12 Czerwca 2017 Fix FRST pomyślnie wykonany. AdwCleaner wykrył dwa odpadkowe klucze adware - uruchom program ponownie i tym razem przeprowadź usuwanie.Ale jeszcze nie kończymy tematu. Ze względu na błąd w FRST, Harmonogram zadań nie został poprawnie przeskanowany (zero wykrytych elementów, a spodziewane conajmniej kilka) i nie wiadomo co tam jest. Oczekuję na naprawę tego. Zawiadomię gdy pojawi się nowa wersja FRST i poproszę o nowy log Addition.txt. EDIT: Usuwam dodane logi. Na razie przecież nie ma nowej wersji FRST, więc logi pokazują nadal to samo co wcześniej. Jak mówiłam, zawiadomię, gdy pojawi się nowa wersja. Odnośnik do komentarza
picasso Opublikowano 12 Czerwca 2017 Zgłoś Udostępnij Opublikowano 12 Czerwca 2017 Nowa wersja FRST z poprawką właśnie wydana. Zaktualizuj FRST i zrób skan, ale dostarcz tylko log Addition.txt. Odnośnik do komentarza
mart32 Opublikowano 12 Czerwca 2017 Autor Zgłoś Udostępnij Opublikowano 12 Czerwca 2017 * Addition.txt Odnośnik do komentarza
picasso Opublikowano 12 Czerwca 2017 Zgłoś Udostępnij Opublikowano 12 Czerwca 2017 Do usunięcia są jeszcze odpadkowe zadania w Harmonogramie. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: Task: {1E3E029E-8A67-41C1-B05D-8930D8D5061F} - System32\Tasks\{46FC16A6-753D-42E5-B569-E9091E9B0A2A} => D:\start.exe Task: {38E82E58-252D-4A9C-8EC7-9F068B4B458C} - System32\Tasks\{7FEE7A07-E358-4742-B1A4-A235E4A415ED} => D:\start.exe Task: {5072B7A2-BBA6-4B15-BB6C-FF7668A163DD} - System32\Tasks\{74B4FD57-CA51-464D-B2EB-BFA59E6D241D} => D:\start.exe Task: {52D5F3F8-BE38-49AF-A7A4-56E4E064D97A} - System32\Tasks\{114EA879-A4C5-4DC7-8487-67DDB07A3CDD} => C:\Program Files (x86)\LucasArts\Star Wars® Knights of the Old Republic® COLLECTION\swkotor.exe Task: {604A0514-77C2-4F27-AEF9-1A59B666D76F} - System32\Tasks\Microsoft\Windows\Windows Error Reporting\VideErroroReporting => C:\\ProgramData\\WindowsVideoErrorReporting\\wvermgr.exe Task: {777181A4-41A4-46A7-AFCE-910EF1FFA9F3} - System32\Tasks\{8F1F9A0F-CC95-4C47-B243-A24461635CD8} => D:\start.exe Task: {81136C5F-F319-4992-85B3-997CD9E0F60D} - System32\Tasks\{A8381DDB-DD9A-4E67-A55F-267A680D818E} => pcalua.exe -a C:\Users\Admin\Downloads\ME2_NormandyCrash.exe -d C:\Users\Admin\Downloads Task: {8CD04E0E-577F-49A3-9BEE-6014A1AD3299} - System32\Tasks\{5ECD89E2-2474-4DC7-BCB7-553BC440D67E} => D:\start.exe Task: {A07A2632-17EC-4ECD-A463-5F4E7FD770AA} - System32\Tasks\{B8064F46-7468-4884-97EB-94A83CBAED4C} => pcalua.exe -a C:\Users\Admin\Downloads\ME2_CerberusArc.exe -d C:\Users\Admin\Downloads Task: {A3AC129A-4982-4D0F-AE1F-7B5DC3ADB7B7} - \Hafez Video Converter -> Brak pliku Task: {B7C60ECE-E024-4D9D-A906-90F8B8A793FB} - System32\Tasks\{4B9EE198-1D99-448A-88F9-F284F386AA94} => pcalua.exe -a C:\Users\Admin\Downloads\ME2_Kasumi.exe -d C:\Users\Admin\Downloads Task: {B8991878-9CB9-4D98-875C-52ECC4609D0B} - System32\Tasks\{3D99E44C-7E90-4475-A0F7-0FBC509CAE45} => pcalua.exe -a C:\Users\Admin\Downloads\ME2_CerberusWpnArmor.exe -d C:\Users\Admin\Downloads Task: {BB99E143-5CC3-481F-95DA-6433998CCA09} - System32\Tasks\{170672F0-B11A-4925-A63A-AF8237EB888B} => pcalua.exe -a C:\Users\Admin\Downloads\ME2_Zaeed.exe -d C:\Users\Admin\Downloads Task: {D0C83FEB-3C85-4C69-A80C-BAABDAA1C3F3} - \SMW_UpdateTask_Time_313538383034363130352d3437415a556c2a3223346c41 -> Brak pliku Task: {E54CA4D8-8116-401B-ACD3-DC11EF34AA2E} - \UCBrowserUpdater -> Brak pliku Task: {F636BD17-054E-4458-A57C-D4755C858F6C} - System32\Tasks\{B3DBC376-C7E6-4FE0-B9FF-D5581F88B093} => pcalua.exe -a C:\Users\Admin\Downloads\nox_setup_v3.8.0.5_full_intl.exe -d C:\Users\Admin\Downloads Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Przedstaw wynikowy fixlog.txt. Odnośnik do komentarza
mart32 Opublikowano 12 Czerwca 2017 Autor Zgłoś Udostępnij Opublikowano 12 Czerwca 2017 * Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 12 Czerwca 2017 Zgłoś Udostępnij Opublikowano 12 Czerwca 2017 Wszystko zrobione. Na koniec: 1. Zastosuj DelFix, by usunąć używane narzędzia. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Zaktualizuj Internet Explorer do wersji 11 (nawet jeśli z niego nie korzystasz). Upewnij się, że reszta aktualizacji z Windows Update jest zaaplikowana. To wszystko. Odnośnik do komentarza
mart32 Opublikowano 12 Czerwca 2017 Autor Zgłoś Udostępnij Opublikowano 12 Czerwca 2017 Dziękuje za pomoc i temat do zamknięcia. Odnośnik do komentarza
Rekomendowane odpowiedzi