Witamy na forum PC Format Zapraszamy do REJESTRACJI


Użytkownicy przeglądający ten wątek: 1 gości

Kolejna ofiara UC Guard i UC Browser

#1
Kolejna ofiara UC Guard i UC Browser
Witam.
Jestem kolejną ofiarą tego ustrojstwa. Jeśli ktoś by miał chwilę czasu to prosiłbym o pomoc.

FRST: http://www.wklej.org/id/2888245/
Addition: http://www.wklej.org/id/2888246/
 System operacyjny: windows_seven Przeglądarka: chrome
#2
RE: Kolejna ofiara UC Guard i UC Browser
1) Odinstaluj niepotrzebny do niczego Akamai NetSession Interface

2) Otwórz Notatnik i wklej w nim:
Cytat:FirewallRules: [TCP Query User{AAD9201A-5DE8-4E75-86A1-93BE1DB2915C}C:\users\tomek\appdata\local\ucbrowser\user data\thunder\1.0.0.0\download\minithunderplatform.exe] => (Block) C:\users\tomek\appdata\local\ucbrowser\user data\thunder\1.0.0.0\download\minithunderplatform.exe
FirewallRules: [UDP Query User{DCA656C8-D9FC-46E5-984B-1BBC8861ED67}C:\users\tomek\appdata\local\ucbrowser\user data\thunder\1.0.0.0\download\minithunderplatform.exe] => (Block) C:\users\tomek\appdata\local\ucbrowser\user data\thunder\1.0.0.0\download\minithunderplatform.exe
Task: C:\Windows\Tasks\UCBrowserUpdater.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe <==== UWAGA
Task: C:\Windows\Tasks\UCBrowserUpdaterCore.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe <==== UWAGA
Task: {A52498D0-2B07-40D5-9741-8C07B2467436} - System32\Tasks\Coollevalaly Configuration => C:\Program Files (x86)\Coollevalaly\coollevalalyconfigurationTask.exe <==== UWAGA
Task: {657922EA-68E4-4FD8-984E-36D1840AADB6} - System32\Tasks\UCBrowserUpdater => C:\Program Files (x86)\UCBrowser\Application\update_task.exe [2016-08-23] (UCWeb Inc) <==== UWAGA
Task: {44EDBB5B-16B6-4EE7-93AC-5C4851611606} - System32\Tasks\UCBrowserUpdaterCore => C:\Program Files (x86)\UCBrowser\Application\update_task.exe [2016-08-23] (UCWeb Inc) <==== UWAGA
2016-03-22 21:18 - 2016-03-22 21:18 - 6493696 _____ () C:\Users\Tomek\AppData\Roaming\agent.dat
2016-03-22 21:18 - 2016-03-22 21:18 - 0065232 _____ () C:\Users\Tomek\AppData\Roaming\Config.xml
2016-06-12 20:29 - 2016-06-12 20:29 - 0005120 _____ () C:\Users\Tomek\AppData\Roaming\GiftBag.db
2016-03-22 21:17 - 2016-03-22 21:17 - 0083749 _____ () C:\Users\Tomek\AppData\Roaming\inst.lat
2016-03-22 21:17 - 2016-03-22 21:18 - 0014208 _____ () C:\Users\Tomek\AppData\Roaming\InstallationConfiguration.xml
2016-03-22 21:17 - 2016-03-22 21:17 - 0127488 _____ () C:\Users\Tomek\AppData\Roaming\Installer.dat
2016-03-22 21:18 - 2016-03-22 21:17 - 0858112 _____ () C:\Users\Tomek\AppData\Roaming\JobQvotam.exe
2016-03-22 21:18 - 2016-03-22 21:18 - 1622056 _____ () C:\Users\Tomek\AppData\Roaming\JobQvotam.tst
2016-06-29 13:36 - 2016-06-29 13:36 - 240397312 _____ () C:\Users\Tomek\AppData\Roaming\Launcher.dat
2016-03-22 21:18 - 2016-03-22 21:18 - 0018432 _____ () C:\Users\Tomek\AppData\Roaming\Main.dat
2016-03-22 21:18 - 2016-03-22 21:18 - 0005568 _____ () C:\Users\Tomek\AppData\Roaming\md.xml
2016-03-22 21:18 - 2016-03-22 21:18 - 0126464 _____ () C:\Users\Tomek\AppData\Roaming\noah.dat
2016-03-22 21:19 - 2016-03-22 21:19 - 0032038 _____ () C:\Users\Tomek\AppData\Roaming\uninstall_temp.ico
2016-06-29 13:36 - 2016-06-29 13:36 - 0000009 _____ () C:\Users\Tomek\AppData\Roaming\update.dat
2016-03-22 21:18 - 2016-03-22 21:18 - 0402905 _____ () C:\Users\Tomek\AppData\Roaming\ZimKeylax.bin
2016-06-29 13:37 - 2016-06-29 15:00 - 0000004 _____ () C:\Users\Tomek\AppData\Roaming\Microsoft\notaut.txt
2016-09-09 21:50 - 2016-10-08 21:32 - 00002580 _____ C:\Windows\System32\Tasks\UCBrowserUpdaterCore
2016-09-09 21:50 - 2016-10-08 21:32 - 00000294 _____ C:\Windows\Tasks\UCBrowserUpdaterCore.job
RemoveDirectory: C:\Program Files (x86)\UCBrowser
RemoveDirectory: C:\users\tomek\appdata\local\ucbrowser
RemoveDirectory: C:\Program Files (x86)\Coollevalaly
RemoveDirectory: C:\Users\Tomek\AppData\Roaming\istartsurf
RemoveDirectory: C:\Users\Public\Thunder Network
RemoveDirectory: C:\ProgramData\Thunder Network
RemoveDirectory: C:\ProgramData\Quotenamron
RemoveDirectory: C:\Users\Tomek\AppData\Roaming\taskmgr
R1 UCGuard; C:\Windows\System32\DRIVERS\ucguard.sys [81792 2016-07-01] (Huorong Borui (Beijing) Technology Co., Ltd.) <==== UWAGA
S2 UCBrowserSvc; C:\Program Files (x86)\UCBrowser\Application\UCService.exe [931504 2016-08-23] ()
C:\Users\Tomek\AppData\Local\Google\Chrome\User Data\ChromeDefaultData
HKU\S-1-5-21-2863719938-885709891-4018434297-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.viceice.com/
AppInit_DLLs-x32: C:\ProgramData\Quotenamron\Temping.dll => Brak pliku
AppInit_DLLs: C:\ProgramData\Quotenamron\Freestrong.dll => Brak pliku
FirewallRules: [TCP Query User{26ACF176-6B8D-4FCC-95AB-89391B17B7D2}C:\users\tomek\appdata\local\akamai\netsession_win.exe] => (Block) C:\users\tomek\appdata\local\akamai\netsession_win.exe
FirewallRules: [UDP Query User{7C1ADD0F-A1C5-42BC-BE52-9717574A4507}C:\users\tomek\appdata\local\akamai\netsession_win.exe] => (Block) C:\users\tomek\appdata\local\akamai\netsession_win.exe
ShortcutWithArgument: C:\Users\Tomek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\360c22b137d62ce9\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory=ChromeDefaultData
Task: {D5640CD6-119D-4E4C-8701-86E77CA1277E} - System32\Tasks\{882E5494-2AF8-4E09-92A4-F1A9EDD08CFB} => pcalua.exe -a "E:\Gry\Medieval 2 Total War\Launcher.exe" -d "E:\Gry\Medieval 2 Total War"
Task: {ABCFE552-FDEE-4C3C-B500-6A4D57E7B636} - System32\Tasks\{C1357468-464E-4F09-811E-1898C62F4B46} => pcalua.exe -a C:\Users\Tomek\Desktop\Update3\setup.exe -d C:\Users\Tomek\Desktop\Update3
Task: {84C5ECF4-3540-40DC-8AD4-0BE98AB9EB5D} - System32\Tasks\{294339C6-333E-491F-871D-82FB55C4E47B} => pcalua.exe -a E:\install.exe -d E:\
Task: {69887FF0-FCA8-4DF4-9B86-D0B92B167F04} - System32\Tasks\{17332E53-E253-4C43-B943-91CFBB304BEF} => pcalua.exe -a C:\Users\Tomek\AppData\Roaming\istartsurf\UninstallManager.exe -c -ptid=cor
Task: {01ECE2BC-E9F6-4391-A42D-195988903890} - System32\Tasks\{1755BD44-4E8A-417B-B1A2-D01D7E826CA2} => pcalua.exe -a H:\dotnetfx35.exe -d H:\
CustomCLSID: HKU\S-1-5-21-2863719938-885709891-4018434297-1000_Classes\CLSID\{6D7AE628-FF41-4CD3-91DD-34825BB1A251}\localserver32 -> D:\Programy\AutoCAD 2010\acad.exe /Automation => Brak pliku
CustomCLSID: HKU\S-1-5-21-2863719938-885709891-4018434297-1000_Classes\CLSID\{7DE1BE5C-CEBA-4F1D-ACBC-9CE11EE9A2A1}\localserver32 -> D:\Programy\AutoCAD 2014\acad.exe /Automation => Brak pliku
CustomCLSID: HKU\S-1-5-21-2863719938-885709891-4018434297-1000_Classes\CLSID\{D70E31AD-2614-49F2-B0FC-ACA781D81F3E}\localserver32 -> D:\Programy\AutoCAD 2010\acad.exe => Brak pliku
C:\Windows\System32\Tasks\UCBrowserUpdater
C:\Windows\Tasks\UCBrowserUpdater.job
S3 ALSysIO; \??\C:\Users\Tomek\AppData\Local\Temp\ALSysIO64.sys [X]
S3 pccsmcfd; system32\DRIVERS\pccsmcfdx64.sys [X]
S2 VBoxAswDrv; \??\D:\Programy\Avast \ng\vbox\VBoxAswDrv.sys [X]
S3 AvastVBoxSvc; "D:\Programy\Avast \ng\vbox\AvastVBoxSVC.exe" [X]
S2 coollevalalyconfigurationService; Brak ImagePath
CHR HKLM\...\Chrome\Extension: [jdiejbegdjikmehflknhkbieocmnogcf] - <Brak Path/update_url>
CHR Extension: (SafeFinder Search) - C:\Users\Tomek\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\jidkebcigjgheaahopdnlfaohgnocfai [2016-10-07]
CHR HomePage: Profile 1 -> hxxp://www.ask.com/?l=dis&o=14780
CHR StartupUrls: Profile 1 -> "hxxps://www.google.pl/search?q=zylaki+odbytu&espv=2&biw=1366&bih=643&source=lnms&tbm=isch&sa=X&ei=GiQkVPSaKIu07QbD0oGYAg&ved=0CAYQ_AUoAQ","hxxp://www.ask.com/?l=dis&o=14780","hxxp://search.conduit.com/?CUI=UN32926451531190315&ctid=CT3176921&SearchSource=48","hxxp://rts.dsrlte.com/","hxxp://isearch.omiga-plus.com/?type=hp&ts=1419174042&from=cor&uid=ST380811AS_5PS1S8AYXXXX5PS1S8AY","hxxp://search.yahoo.com/?fr=hp-ddc-bd&type=616_pr__alt__ddc_dsssyc_bd_com","hxxp://www.mystartsearch.com/?type=hp&ts=1435956652&z=f711410b8e8503df877ca2fgcz3c9w6t7w0q8q5wbg&from=cor&uid=WDCXWD7500BPVT-35HXZT3_WD-WXV1C52L7805L7805","hxxp://us.yhs4.search.yahoo.com/yhs/web?hspart=iry&hsimp=yhs-fullyhosted_003&type=wncy_ir_15_28&param1=1&param2=f%3D7%26b%3DChrome%26cc%3Dpl%26pa%3DWincy%26cd%3D2XzuyEtN2Y1L1QzutCzzyCyB0BtDyByDyC0A0Ezy0B0ByEyCtN0D0Tzu0StCtBzztCtN1L2XzutAtFtCtDtFtCtDtFtCtN1L1Czu1StN1L1G1B1V1N2Y1L1Qzu2StCyDyEyE0FyEyE0DtGtCzzyByEtGtByC0FyBtGtA0AyDzytG0E0CtAtByByBtC0F0AyC0F0C2QtN1M1F1B2Z1V1N2Y1L1Qzu2S0D0CzyyBzy0EtCzztG0D0C0DzytGyE0C0ByEtG0AyBzz0EtGyByDtAyD0A0D0AyDtC0AyB0F2QtN0A0LzuyE%26cr%3D1117037030%26a%3Dwncy_ir_15_28%26os%3DWindows 7 Home Premium","hxxp://us.yhs4.search.yahoo.com/yhs/web?hspart=iry&hsimp=yhs-fullyhosted_003&type=wny_ir_15_28&param1=1&param2=f%3D7%26b%3DChrome%26cc%3Dpl%26pa%3DWinYahoo%26cd%3D2XzuyEtN2Y1L1QzutCzzyCyB0BtDyByDyC0A0Ezy0B0ByEyCtN0D0Tzu0StCtBzztCtN1L2XzutAtFtCtDtFtCtDtFtDtN1L1Czu1StN1L1G1B1V1N2Y1L1Qzu2SyB0E0EtA0ByE0A0CtGtBtAyCyDtGyEtCyDyBtGyBtB0C0BtGtA0F0DtCtC0DyByE0CzytC0C2QtN1M1F1B2Z1V1N2Y1L1Qzu2S0EtBtA0CyEyEzz0CtG0B0FzzyEtGyE0C0FyEtGzztD0FtAtG0A0BtDyE0D0A0CyCtC0B0F0F2QtN0A0LzuyE%26cr%3D396844913%26a%3Dwny_ir_15_28%26os%3DWindows 7 Home Premium","hxxp://www.mystartsearch.com/?type=hp&ts=1440105409&z=63376ed64ecb310a0c7e4f2g3zcz6edgce5w2cdecz&from=cor&uid=WDCXWD7500BPVT-35HXZT3_WD-WXV1C52L7805L7805","hxxp://www.istartsurf.com/?type=hp&ts=1440106588&z=124d4c45640ca732d293e2eg9z5z5e0g4e3qaz2b0c&from=cornl&uid=WDCXWD7500BPVT-35HXZT3_WD-WXV1C52L7805L7805","hxxp://www.istartsurf.com/?type=hp&ts=1445982601&z=4b9f35d24f3fc165f06856ag5zbzcw2t1b7o6ccc2m&from=cor&uid=WDCXWD7500BPVT-35HXZT3_WD-WXV1C52L7805L7805","hxxp://d391tbweljugwk.cloudfront.net/?ts=AHEqBHQpBH8sAE..&v=20160611&uid=143C2C5258F5099CA607D562D3EC9ACE&ptid=wak&mode=loadm"
CHR DefaultSearchURL: Profile 1 -> hxxp://feed.safefinder.biz/?fext=true&publisherid=51218&publisher=extensiondefaultap&st=ed&q={searchTerms}
CHR DefaultSearchKeyword: Profile 1 -> SafeFinder
CHR Profile: C:\Users\Tomek\AppData\Local\Google\Chrome\User Data\ChromeDefaultData [2016-10-07] <==== UWAGA
HKU\S-1-5-21-2863719938-885709891-4018434297-1000\...\Winlogon: [Shell] C:\Users\Tomek\AppData\Roaming\taskmgr\taskmgr.exe [153448448 2016-06-29] () <==== UWAGA
HKU\S-1-5-21-2863719938-885709891-4018434297-1000\...\Policies\Explorer: []
HKU\S-1-5-21-2863719938-885709891-4018434297-1000\...\Run: [Akamai NetSession Interface] => C:\Users\Tomek\AppData\Local\Akamai\netsession_win.exe [4691384 2015-09-10] (Akamai Technologies, Inc.)
C:\Users\Tomek\AppData\Local\Akamai\netsession_win.exe
HOSTS:
EmptyTemp:
Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix (NAPRAW).

3) Zrób nowe logi FRST.
Przed skanem zaznacz "Addition.txt" oraz "Shortcut.txt".
.
 System operacyjny: windows_seven Przeglądarka: seamonkey
#3
RE: Kolejna ofiara UC Guard i UC Browser
Dzięki za podpowiedź. Jak coś jeszcze niepotrzebnego Ci się rzuci w oczy to gitara.

Nowe logi:
FRST: http://www.wklej.org/id/2888359/
Addition: http://www.wklej.org/id/2888360/
Shortcut: http://www.wklej.org/id/2888362/
 System operacyjny: windows_seven Przeglądarka: chrome
#4
RE: Kolejna ofiara UC Guard i UC Browser
Otwórz Notatnik i wklej w nim:
Cytat:C:\Users\Tomek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\UC浏览器.lnk
C:\Users\Tomek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\UC浏览器.lnk
C:\Users\Public\Desktop\UC超级返.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\UC浏览器\UC浏览器.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\UC浏览器
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\UC浏览器.lnk
S4 nvvad_WaveExtensible; system32\drivers\nvvad64v.sys [X]
S2 VBoxAswDrv; \??\D:\Programy\Avast \ng\vbox\VBoxAswDrv.sys [X]
CHR Extension: (Brak nazwy) - C:\Users\Tomek\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\aohghmighlieiainnegkcijnfilokake [2016-10-07]
CHR Extension: (Brak nazwy) - C:\Users\Tomek\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2016-10-07]
EmptyTemp:
>>Menu Notatnika >> Plik >>
>>Zapisz jako >>
Nazwa pliku: fixlist
Zapisz jako typ: Dokumenty tekstowe
Kodowanie: UTF -8
>>Zapisz
Plik umieść w folderze D:\Pobrane-przeglądarka
Uruchom FRST i kliknij przycisk Fix (NAPRAW).

----------------------
Jeśli będzie OK, to będziemy kończyć:
Otwórz Notatnik i wklej w nim:
Cytat:DeleteQuarantine:
Plik zapisz pod nazwą fixlist.txt i umieść obok FRST. Uruchom FRST i kliknij w Fix (NAPRAW).
przez SHIFT+DEL usuń pozostały folder C:\FRST.
.
 System operacyjny: windows_seven Przeglądarka: seamonkey
#5
RE: Kolejna ofiara UC Guard i UC Browser
Na chwilę obecną wszystko działa.

Dzięki wielkie i zimne piwko na Ciebie kolego !.
 System operacyjny: windows_seven Przeglądarka: chrome
Programy: Polecane / Nowe / Inne




Podobne wątki (Kolejna ofiara UC Guard i UC Browser)
Wątek: Autor Odpowiedzi: Wyświetleń: Ostatni post
  Wirus Browser redirect. Jak się go pozbyć? LordMefi 2 7041 08.03.2018, 12:12
Ostatni post: LordMefi
  Samootwierające się strony/reklamy - hijack browser? Larvock 4 4158 01.10.2015, 23:13
Ostatni post: Larvock
  Browser warden - pomoc Misieq 7 3807 16.11.2014, 15:22
Ostatni post: knief47

Skocz do:


Wybrane wątki (Kolejna ofiara UC Guard i UC Browser)
Wątek: Autor Odpowiedzi: Wyświetleń: Ostatni post
  Samoistne włączanie się wiersza poleceń po starcie systemu dipladoks.org Corristo 6 9239 02.04.2019 21:35
Ostatni post: morderca
  Samoistne otwieranie niechcianych stron Google Chrome ZooMM 10 13355 19.03.2019 13:11
Ostatni post: ZooMM
  Po starcie systemu włącza się strona z wirusem maciek11991 4 9108 12.03.2019 20:23
Ostatni post: morderca
  Problem z usunięciem Pup.optional i dziwne powiadomienia Java zee84 4 1310 11.03.2019 21:12
Ostatni post: zee84
  Samoczynnie wyłączające się programy - nowy laptop Purrek 0 6197 09.03.2019 20:01
Ostatni post: Purrek
  DuckDuckgo jako główna wyszukiwarka asik121 1 6261 03.03.2019 16:13
Ostatni post: morderca
  Wszystkie połączenia przechodzą przez jeden serwer w Hong Kongu Valath 6 7276 27.02.2019 00:51
Ostatni post: Juntao
  Dr web nie wyleczył pliku neah 3 6580 16.02.2019 06:31
Ostatni post: morderca
  saoistne włączanie się strony przy starcie systemu adams35wawa 2 6300 12.02.2019 12:51
Ostatni post: adams35wawa
  Samoczynne otwieranie się stron internetowych Ziemniak210994 1 5589 09.02.2019 23:15
Ostatni post: morderca
  Dziwne procesy PannaNatalka 1 8391 08.02.2019 20:44
Ostatni post: Juntao
  Przekierowania przeglądarki na niechciane strony. Goalkeper 8 6327 07.02.2019 12:38
Ostatni post: Goalkeper
  Komputer zwolnił. Pomoc w sprawdzeniu logów z FRST wojtekq2 3 5972 06.02.2019 03:08
Ostatni post: Illidan
  SMS od nieznanego numeru z linkiem w wiadomości koper1473 2 5893 06.02.2019 03:04
Ostatni post: Illidan
  czarny ekran oraz konsola podczas włączania komputera Jedrek232 1 5572 02.02.2019 18:51
Ostatni post: morderca