Witamy na forum PC Format Zapraszamy do REJESTRACJI


Użytkownicy przeglądający ten wątek: 1 gości

AdwCleaner zawiesza się podczas pracy

#1
AdwCleaner zawiesza się podczas pracy
Witam serdecznie,

Mam problem, ponieważ AdwCleaner zawiesza siebie a w konsekwencji cały system podczas próby usunięcia plików, które wykrył.
Zaczęło się od tego, że samemu starałem się usunąć złośliwe oprogramowanie oraz klucze z rejestru. Niestety, zrobiłem to niedokładnie i postanowiłem spróbować dokończyć to programem Malwarebytes Anti-Malware.
Po restarcie systemu zaczęło wyskakiwać takie okienko:
https://zapodaj.net/74ed814503d67.jpg.html

Zacząłem rozglądać się po różnych forach i postanowiłem skorzystać z programu AdwCleaner. Dwukrotnie próbowałem coś z tym zrobić, ale za każdym razem program przestał odpowiadać przy próbie usunięcia złośliwego oprogramowania. Czyżby chodziło o sławny UCGuard?

http://wklej.org/id/2918931/ AdwCleaner[S0].txt
http://wklej.org/id/2918933/ AdwCleaner[S1].txt

Szukałem pomocy dalej, aż trafiłem na to forum. Prześledziłem kilka wątków, ale nie jestem informatykiem i w gruncie rzeczy nie wiem, co trzeba wpisać w fixlogu itp.

Sprawdziłem logi w kilku programach:
http://wklej.org/id/2918934/ MBRCheck_10.19.16_12.15.48.txt

http://wklej.org/id/2918936/ Gmer.txt

http://wklej.org/id/2918937/ OTL.txt

http://wklej.org/id/2918938/ Extras.txt

http://wklej.org/id/2918948/ log.txt

http://wklej.org/id/2918949/ FRST.txt

http://wklej.org/id/2918951/ Addition.txt

http://wklej.org/id/2918953/ Shortcut.txt

To chyba tyle. Obecnie używam Kaspersky Internet Security 2016.

Proszę o pomoc w usunięciu tych złośliwych plików.
Pozdrawiam.
 System operacyjny: windows_seven Przeglądarka: chrome
#2
RE: AdwCleaner zawiesza się podczas pracy
C:\Program Files (x86)\UCBrowser - jest

Otwórz Notatnik i wklej w nim:
Cytat:FirewallRules: [{A31AE051-1618-4821-B299-FC08A8E0FD2C}] => (Allow) C:\Program Files (x86)\UCBrowser\Application\UCBrowser.exe
FirewallRules: [{72DF884B-4993-4396-82E8-886C03EC452B}] => (Allow) C:\Program Files (x86)\UCBrowser\Application\Downloader\download\MiniThunderPlatform.exe
FirewallRules: [{974AAF60-E3D2-44B3-8E37-06BF62059BA0}] => (Allow) C:\Program Files (x86)\UCBrowser\Application\UCBrowser.exe
ShortcutWithArgument: C:\Users\Czaro\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk -> C:\Windows\System32\rundll32.exe (Microsoft Corporation) -> url,FileProtocolHandler "hxxp://www.mail.ru/cnt/20775012?gp=811008"
Shortcut: C:\Users\Czaro\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Ехрlоrеr (64-bit).lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) <===== Cyrillic
Shortcut: C:\Users\Czaro\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Ехрlоrеr.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) <===== Cyrillic
Shortcut: C:\Users\Czaro\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnеt Ехрlоrеr (Nо Аdd-оns).lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) <===== Cyrillic
Shortcut: C:\Users\Czaro\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gооglе Сhrоmе.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) <===== Cyrillic
Shortcut: C:\Users\Czaro\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Intеrnеt Ехрlоrеr.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) <===== Cyrillic
Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gооglе Сhrоmе.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) <===== Cyrillic
Shortcut: C:\Users\Public\Desktop\Gооglе Сhrоmе.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) <===== Cyrillic
Task: {159C71B8-90CA-4B26-AB6C-97E426DB1085} - System32\Tasks\3db5abaad42743d35b323d2d5ab1b243 => Rundll32.exe "C:\Program Files (x86)\Google\q1ypmg.dll",e62dc6c6547f46bda862da2d05af6862
R1 UCGuard; C:\Windows\System32\DRIVERS\ucguard.sys [81792 2016-08-02] (Huorong Borui (Beijing) Technology Co., Ltd.) [Brak podpisu cyfrowego] <==== UWAGA
U0 aswVmm; Brak ImagePath
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
CHR HKLM-x32\...\Chrome\Extension: [fhoibnponjcgjgcnfacekaijdbbplhib] - hxxps://chrome.google.com/webstore/detail/fhoibnponjcgjgcnfacekaijdbbplhib
CHR HKLM\...\Chrome\Extension: [fhoibnponjcgjgcnfacekaijdbbplhib] - hxxps://chrome.google.com/webstore/detail/fhoibnponjcgjgcnfacekaijdbbplhib
CHR DefaultProfile: ChromeDefaultData
CHR HomePage: ChromeDefaultData -> mail.ru/cnt/11956636?rciguc__PARAM__
CHR StartupUrls: ChromeDefaultData -> "hxxp://mail.ru/cnt/10445?gp=811009","hxxp://www.youndoo.com/?z=54d31a49fcb158c1c6c2b6dgdz5m7q9bagct3tcz9g&from=amz&uid=MaxtorX6V200E0_V40BYHGG&type=hp"
CHR Profile: C:\Users\Czaro\AppData\Local\Google\Chrome\User Data\ChromeDefaultData [2016-10-19] <==== UWAGA
BHO-x32: Ďîčńę@Mail.Ru -> {8E8F97CD-60B5-456F-A201-73065652D099} -> C:\Users\Czaro\AppData\Local\Mail.Ru\Sputnik\IESearchPlugin.dll => Brak pliku
HKU\S-1-5-21-992104472-2621173781-3890832427-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://mail.ru/cnt/10445?gp=818405
SearchScopes: HKU\S-1-5-21-992104472-2621173781-3890832427-1000 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7B1294FC26-CD57-4184-90E8-D99FB54D0C5E%7D&gp=811014
GroupPolicy: Ograniczenia - Chrome <======= UWAGA
GroupPolicy\User: Ograniczenia <======= UWAGA
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku
ShellIconOverlayIdentifiers: [KzShlobj2] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F3} => Brak pliku
RemoveDirectory: C:\Program Files (x86)\UCBrowser
RemoveDirectory: C:\ProgramData\Mail.Ru
RemoveDirectory: C:\ProgramData\Application Data\Mail.Ru
RemoveDirectory: C:\Users\Czaro\AppData\Local\app
RemoveDirectory: C:\ProgramData\Avira
RemoveDirectory: C:\ProgramData\Avg
RemoveDirectory: C:\Windows\SysWOW64\%APPDATA%
RemoveDirectory: C:\ProgramData\AVAST Software
RemoveDirectory: C:\Program Files\Common Files\AV
RemoveDirectory: C:\Users\Czaro\AppData\Roaming\BrowserModule
RemoveDirectory: C:\Users\Czaro\AppData\Local\YQPack
C:\Users\Czaro\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk
C:\Program Files (x86)\Google\q1ypmg.dll
C:\Users\Czaro\AppData\Local\Microsoft\Internet Explorer\DOMStore\MDOBUOH1\safepcrepair.dl.myway[1].xml
C:\Users\Czaro\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk
C:\Users\Czaro\Favorites\Mail.Ru.url
C:\Users\Czaro\Favorites\Mail.Ru Агент - используй для общения!.url
C:\Windows\SysNative\drivers\ucguard.sys
C:\Users\Czaro\AppData\Local\Google\Chrome\User Data\ChromeDefaultData
HKU\S-1-5-21-992104472-2621173781-3890832427-1000\...\Run: [IXKsoft] => C:\Windows\SysWOW64\regsvr32.exe C:\Users\Czaro\AppData\Local\YQPack\vphjevqd.dll
HKU\S-1-5-18\...\Run: [] => 0
C:\Users\Czaro\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\UC浏览器.lnk
HOSTS:
EmptyTemp:
>>Menu Notatnika >> Plik >>
>>Zapisz jako >>
Nazwa pliku: fixlist
Zapisz jako typ: Dokumenty tekstowe
Kodowanie: UTF -8
>>Zapisz
Plik umieść w folderze C:\Users\Czaro\Downloads
Uruchom FRST i kliknij przycisk Fix (NAPRAW).

2) Uruchom Google Chrome
> Naciśnij klawisze: lewy Alt+F i kliknij przycisk Ustawienia >
> Sekcja: OSOBY
>zaznacz (wybierz): user0
>kliknij z znaczek X znajdujący się po prawej stronie

3) Zrób nowe logi FRST
Przed skanem zaznacz "Addition.txt" oraz "Shortcut.txt".
.
 System operacyjny: windows_seven Przeglądarka: seamonkey
#3
RE: AdwCleaner zawiesza się podczas pracy
Ok, zrobiłem tak, jak zalecałeś:

http://wklej.org/id/2919175/ Fixlog.txt

Przy starcie Windowsa nie wyskakiwał już problem z RegSvr32. Przy okazji zauważyłem, że z pulpitu i dolnego paska zniknęły ikonki IE oraz Chrome.

http://wklej.org/id/2919176/ FRST.txt

http://wklej.org/id/2919177/ Addition.txt

http://wklej.org/id/2919179/ Shortcut.txt
 System operacyjny: windows_seven Przeglądarka: chrome
#4
RE: AdwCleaner zawiesza się podczas pracy
Cytat:zauważyłem, że z pulpitu i dolnego paska zniknęły ikonki IE oraz Chrome.
tak, dałem je do usunięcia, bo: <===== Cyrillic
miały takie oznaczenie
zrób sobie nowe skróty w tych samych miejscach:
Cytat:Shortcut: C:\Users\Czaro\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Ехрlоrеr (64-bit).lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) <===== Cyrillic
Shortcut: C:\Users\Czaro\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Ехрlоrеr.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) <===== Cyrillic
Shortcut: C:\Users\Czaro\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnеt Ехрlоrеr (Nо Аdd-оns).lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) <===== Cyrillic
Shortcut: C:\Users\Czaro\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gооglе Сhrоmе.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) <===== Cyrillic
Shortcut: C:\Users\Czaro\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Intеrnеt Ехрlоrеr.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) <===== Cyrillic
Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gооglе Сhrоmе.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) <===== Cyrillic
Shortcut: C:\Users\Public\Desktop\Gооglе Сhrоmе.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) <===== Cyrillic

1) Otwórz Notatnik i wklej w nim:
Cytat:C:\Windows\system32\Drivers\ucguard.sys
CHR Extension: (Mail.Ru) - C:\Users\Czaro\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\ojlcebdkbpjdpiligkdbbkdkfjmchbfd [2016-10-19]
CHR Extension: (Домашняя страница Mail.Ru) - C:\Users\Czaro\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\ccfifbojenkenpkmnbnndeadpfdiffof [2016-10-19]
CHR HomePage: Profile 1 -> mail.ru/cnt/11956636?rciguc__PARAM__
CHR DefaultSearchURL: Profile 1 -> hxxps://inline.go.mail.ru/search?inline_comp=dse&q={searchTerms}&fr=chxtn12.0.11
CHR DefaultSearchKeyword: Profile 1 -> mail.ru
CHR DefaultSuggestURL: Profile 1 -> hxxp://suggests.go.mail.ru/chrome?q={searchTerms}
SearchScopes: HKU\S-1-5-21-992104472-2621173781-3890832427-1000 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7B1294FC26-CD57-4184-90E8-D99FB54D0C5E%7D&gp=811014
HOSTS:
EmptyTemp:
>>Menu Notatnika >> Plik >>
>>Zapisz jako >>
Nazwa pliku: fixlist
Zapisz jako typ: Dokumenty tekstowe
Kodowanie: U nicode
>>Zapisz
Plik umieść w folderze C:\Users\Czaro\Downloads
Uruchom FRST i kliknij przycisk Fix (NAPRAW).

2) Spróbuj znów użyć Adw-Cleaner:
najpierw kliknij na SKANUJ (SCAN), a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ (CLEANING), to kliknij na niego.

3) Zrób nowe logi FRST - już bez Shortcut.
.
 System operacyjny: windows_seven Przeglądarka: seamonkey
#5
RE: AdwCleaner zawiesza się podczas pracy
Zdaję się, że jest już po sprawie.

Wielkie dzięki za pomoc.

http://wklej.org/id/2919277/ Fixlog.txt

Nie wiem dlaczego, ale AdwCleaner stworzył dwa logi (może przed i po restarcie?):
http://wklej.org/id/2919280/ AdwCleaner[S2].txt

http://wklej.org/id/2919281/ AdwCleaner[C0].txt

http://wklej.org/id/2919282/ FRST.txt

http://wklej.org/id/2919284/ Addition.txt

Pozdrawiam.
 System operacyjny: windows_seven Przeglądarka: chrome
#6
RE: AdwCleaner zawiesza się podczas pracy
Cytat:Nie wiem dlaczego, ale AdwCleaner stworzył dwa logi
Log oznaczony literką "S" - to wykrycie
Log oznaczony literką "C" - to usunięcie wykrytych obiektów.


Cytat:127.0.0.1 down.baidu2016.com

127.0.0.1 123.sogou.com
127.0.0.1 http://www.czzsyzgm.com
127.0.0.1 http://www.czzsyzxl.com
127.0.0.1 union.baidu2019.com
tego nie udało się usunąć, i nawet nie wiem dlaczego:

Cytat:"C:\Windows\System32\Drivers\etc\hosts" => Nie można przenieść.
Nie można przywrócić Hosts.

Spróbujemy jeszcze raz:
Otwórz Notatnik i wklej w nim:

Cytat:HOSTS:
EmptyTemp:
Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix (NAPRAW).
Powstanie plik fixlog.txt.
Daj ten log.
.
 System operacyjny: windows_seven Przeglądarka: seamonkey
#7
RE: AdwCleaner zawiesza się podczas pracy
Ok, rzeczywiście coś chyba jest nie tak z przywróceniem Hostów:

http://wklej.org/id/2919331/ Fixlog.txt

.
 System operacyjny: windows_seven Przeglądarka: chrome
#8
RE: AdwCleaner zawiesza się podczas pracy
Spróbuj sam pokombinować na podstawie http://www.fixitpc.pl/topic/4960-plik-hosts/
HOSTS w obecnej postaci może w każdej chwili ściągnąć od nowa tę samą infekcję.
.
 System operacyjny: windows_seven Przeglądarka: seamonkey
#9
RE: AdwCleaner zawiesza się podczas pracy
Ok, dzięki za pomoc.

Wieczorem się do tego zabiorę.
 System operacyjny: windows_seven Przeglądarka: chrome
#10
RE: AdwCleaner zawiesza się podczas pracy
Dobra, przywróciłem domyślny plik "hosts" według tej instrukcji: https://support.microsoft.com/pl-pl/kb/972034

Następnie powtórzyłem czynność z fixlist.txt, ale znowu bez rezultatów:
http://wklej.org/id/2919905/ Fixlog.txt

No i puściłem jeszcze raz analizę FRST:
http://wklej.org/id/2919907/ FRST.txt

http://wklej.org/id/2919910/ Addition.txt

Już chyba z hostami wszystko jest w porządku, przynajmniej ja nic nie dostrzegłem.

Czy teraz wszystko gra?
 System operacyjny: windows_seven Przeglądarka: chrome
Programy: Polecane / Nowe / Inne




Podobne wątki (AdwCleaner zawiesza się podczas pracy)
Wątek: Autor Odpowiedzi: Wyświetleń: Ostatni post
  Wirus blokuje adwcleaner, malvarebytes Blu255 7 8334 22.09.2018, 23:39
Ostatni post: Blu255
  Wirus blokuje adwcleaner, malvarebytes Blu255 0 7127 18.09.2018, 23:53
Ostatni post: Blu255
  Wirus blokuje programy typu adwcleaner, malwarebytes Bartexi 4 8816 10.08.2018, 19:01
Ostatni post: Bartexi

Skocz do: