Witamy na forum PC Format Zapraszamy do REJESTRACJI


Użytkownicy przeglądający ten wątek: 1 gości

Pozostałość po wirusie.

#1
Pozostałość po wirusie.
Witam serdecznie. Mam mały problem, gdyż wczoraj mój laptop został zainfekowany przez pewien nietypowy wirus, który zainfekował DNSy i ogólnie poinstalował sporo syfu na komuterze. Wydawało mi się, że sobie z nim poradziłem, jednak przy skanie adw cleaner wciąż figurują dwie powiązane infekcje, których nie mogę wyczyścić. Widziałem, że w podobnych sytuacjach ludzie podsyłali logi z frst, więc żeby zaoszczędzić czasu, zrobię to od ręki i proszę o sprawdzenie.

http://wklej.org/id/2807379/ frst
http://wklej.org/id/2807406/ addition
http://wklej.org/id/2807408/ shortcut
http://wklej.org/id/2808562/ adwcleaner

Dodam jescze, że używałem frst na polecenie specjalisty z komputerświat. Niestety pomoc, którą otrzymałem nie rozwiązała problemu. Jeśli mam zrobić innym programem, proszę napisać.
 System operacyjny: windows_ten Przeglądarka: firefox
#2
RE: Pozostałość po wirusie.
1) Otwórz Notatnik i wklej w nim:

Cytat:Task: {FE592D35-4538-4169-ACD0-A6C78633DE63} - System32\Tasks\{0A176653-71B9-45DC-AFAB-82DF3934CF43} => pcalua.exe -a D:\4.Gry\TRL\trl.exe -d D:\4.Gry\TRL
Task: {EE2F7575-44C8-40F1-A467-7DDD3ADA6ACA} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku <==== UWAGA
Task: {B9B9E4DA-6627-439B-AD82-21CF2670BF0A} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku <==== UWAGA
Task: {C3D247CC-4D53-441F-A1D9-F766F7A0D30B} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku <==== UWAGA
Task: {C7236266-A2D2-418C-974B-CD725C4032B0} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku <==== UWAGA
Task: {C8585E3E-CB4F-4AD7-8558-30FB88E06C65} - System32\Tasks\Deheght Client => C:\Program Files (x86)\Totekreiduty\Dhgclnckntion.exe
Task: {B0D6BE83-47D1-44DF-A7FD-B22912F094E1} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku <==== UWAGA
Task: {86658CC5-9B50-4149-88BF-22056F1CAF47} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku <==== UWAGA
Task: {8BE39B17-8F4E-4CFA-9BF5-BC7B3594A1DF} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku <==== UWAGA
Task: {7C86E476-F403-4BA6-B1CD-77A7296C0344} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku <==== UWAGA
Task: {76D34791-0C84-449D-9BF7-71E6D7948048} - System32\Tasks\{2C26A06C-6679-4C26-8098-08B2234A6CA3} => pcalua.exe -a C:\Users\Michał\Desktop\Faraon\Setup.exe -d C:\Users\Michał\Desktop\Faraon
Task: {3D94A85F-2171-41EE-B8FC-2751B843DE77} - System32\Tasks\{FC3131C7-4C8C-46AD-A819-E3793E2FF390} => pcalua.exe -a F:\ISSetupPrerequisites\{074EE22F-2485-4FED-83D1-AAC36C3D9ED0}\Helper.exe -d F:\ISSetupPrerequisites\{074EE22F-2485-4FED-83D1-AAC36C3D9ED0}
Task: {3DA11190-0E88-4903-8672-BB1AC697D0BD} - System32\Tasks\b103958fac63462bbc5251603d9e9c7b => C:\Program Files (x86)\o7aF0C3\698F0D2.bat [2016-08-30] ()
Task: {1B5C71E0-7A21-4CE8-A094-E5384AF97CFC} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku <==== UWAGA
Task: {028CD3C4-C704-4FCD-9B9D-12FADFA08FF7} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku <==== UWAGA
Task: {10A7412D-5556-4F4E-996C-59F97974356C} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku <==== UWAGA
2016-08-30 11:14 - 2016-08-30 11:14 - 7118336 _____ () C:\Users\Michał\AppData\Roaming\agent.dat
2016-08-30 11:13 - 2016-08-30 11:13 - 0054272 _____ () C:\Users\Michał\AppData\Roaming\ApplicationHosting.dat
2016-08-30 11:14 - 2016-08-30 11:14 - 0071232 _____ () C:\Users\Michał\AppData\Roaming\Config.xml
2016-08-30 11:12 - 2016-08-30 11:16 - 0011568 _____ () C:\Users\Michał\AppData\Roaming\InstallationConfiguration.xml
2016-08-30 11:12 - 2016-08-30 11:12 - 0138240 _____ () C:\Users\Michał\AppData\Roaming\Installer.dat
2016-08-30 11:13 - 2016-08-30 11:13 - 0126464 _____ () C:\Users\Michał\AppData\Roaming\lobby.dat
2016-08-30 11:14 - 2016-08-30 11:14 - 0018432 _____ () C:\Users\Michał\AppData\Roaming\Main.dat
2016-08-30 11:13 - 2016-08-30 11:14 - 0005568 _____ () C:\Users\Michał\AppData\Roaming\md.xml
2016-08-30 11:14 - 2016-08-30 11:14 - 0126464 _____ () C:\Users\Michał\AppData\Roaming\noah.dat
2016-08-30 11:13 - 2016-08-30 11:13 - 0072721 _____ () C:\Users\Michał\AppData\Roaming\Stimstring.tst
2016-08-30 11:16 - 2016-08-30 11:16 - 0032038 _____ () C:\Users\Michał\AppData\Roaming\uninstall_temp.ico
2016-08-30 11:14 - 2016-08-30 11:14 - 1901377 _____ () C:\Users\Michał\AppData\Roaming\UnoHotlax.tst
2016-08-30 11:23 - 2016-08-30 11:57 - 00000000 ____D C:\Users\Michał\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器
2016-08-30 11:19 - 2016-08-30 11:19 - 00000000 ____D C:\Users\Michał\AppData\Local\UCBrowser
2016-08-30 11:19 - 2016-08-23 09:58 - 00081792 _____ (Huorong Borui (Beijing) Technology Co., Ltd.) C:\WINDOWS\system32\Drivers\ucguard.sys
2016-08-30 11:15 - 2016-08-30 12:40 - 00000000 ____D C:\Users\Michał\AppData\Roaming\Hemkajdoa
RemoveDirectory: C:\Program Files (x86)\o7aF0C3
S3 cpuz136; \??\C:\Users\MICHA~1\AppData\Local\Temp\cpuz136\cpuz136_x64.sys [X]
U1 UCGuard; C:\Windows\System32\DRIVERS\ucguard.sys [81792 2016-08-23] (Huorong Borui (Beijing) Technology Co., Ltd.)
S3 Dhgclntudeingjefagh.exe; "C:\Program Files (x86)\Totekreiduty\Dhgclntudeingjefagh.exe" {C25DA384-2010-45A4-A1ED-BFA540D4789B} {9DC74CD5-24EA-4ADE-9C42-608A8CE17116} [X]
FF user.js: detected! => C:\Users\Michał\AppData\Roaming\Profiles\59lsh3zd.default\user.js [2016-08-30]
FF Extension: Brak nazwy - C:\Users\Michał\AppData\Roaming\Profiles\59lsh3zd.default\Extensions\@90B817C8-8A5C-413B-9DDD-B2C61ED6E79A.xpi [2016-08-30]
FF Extension: Brak nazwy - C:\Program Files (x86)\Mozilla Firefox\browser\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}.xpi [2016-04-20]
SearchScopes: HKLM-x32 -> DefaultScope - brak wartości
ProxyServer: [S-1-5-21-477002989-2411049988-1088572618-1001] => 127.0.0.1:80
AppInit_DLLs: C:\ProgramData\Lamzap\Trans-Fresh.dll => Brak pliku
AppInit_DLLs-x32: C:\ProgramData\Lamzap\Quadeco.dll => Brak pliku
ShellIconOverlayIdentifiers: [GGDriveOverlay1] -> {E68D0A50-3C40-4712-B90D-DCFA93FF2534} =>  Brak pliku
ShellIconOverlayIdentifiers: [GGDriveOverlay2] -> {E68D0A51-3C40-4712-B90D-DCFA93FF2534} =>  Brak pliku
ShellIconOverlayIdentifiers: [GGDriveOverlay3] -> {E68D0A52-3C40-4712-B90D-DCFA93FF2534} =>  Brak pliku
ShellIconOverlayIdentifiers: [GGDriveOverlay4] -> {E68D0A53-3C40-4712-B90D-DCFA93FF2534} =>  Brak pliku
HKLM\...\Winlogon: [Userinit] wscript C:\WINDOWS\run.vbs,
C:\WINDOWS\run.vbs,
ShortcutWithArgument: C:\Users\Michał\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Maxthon.lnk -> C:\Program Files (x86)\Maxthon\Bin\Maxthon.exe (Maxthon International ltd.) -> hxxp://yeabests.cc
ShortcutWithArgument: C:\Users\Michał\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://yeabests.cc
ShortcutWithArgument: C:\Users\Michał\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Maxthon Cloud Browser.lnk -> C:\Program Files (x86)\Maxthon\Bin\Maxthon.exe (Maxthon International ltd.) -> hxxp://yeabests.cc
C:\Users\Michał\AppData\Roaming\Microsoft\Windows\SendTo\MPC Desktop.lnk
C:\Program Files (x86)\MPC Cleaner
C:\Users\Michał\AppData\Roaming\Microsoft\Windows\SendTo\Android (ALLPlayer Pilot).lnk
EmptyTemp:
>>Menu Notatnika >> Plik >>

>>Zapisz jako >>
Nazwa pliku: fixlist
Zapisz jako typ: Dokumenty tekstowe
Kodowanie: Unicode
>>Zapisz
Plik umieść w folderze C:\Users\Michał\Desktop
Uruchom FRST i kliknij przycisk Fix (NAPRAW).
Daj z tego raport.

2)  
Cytat:Wersja:04-10-2015
Ściągnij nowszą wersję FRST, bo ta, którą masz, nie widzi tego, co pokazuje Adw-Cleaner:

Cytat:Wykryto klucz : \root\subscription\\ActiveScriptEventConsumer [ASEC]


3) Zrób nowe logi FRST (tym nowym FRST).
Przed skanem zaznacz "Addition.txt" oraz "Shortcut.txt"
.
 System operacyjny: windows_seven Przeglądarka: seamonkey
#3
RE: Pozostałość po wirusie.
http://wklej.org/id/2824120/ fixlog
http://wklej.org/id/2824121/ frst
http://wklej.org/id/2824122/ addition
http://wklej.org/id/2824131/ shortcut

Proszę bardzo. I dziękuję za szybką reakcję.

I jedno zagrożenie mniej, teraz pozostało już tylko to dziadostwo : \root\subscription\\ActiveScriptEventConsumer [ASEC]
 System operacyjny: windows_ten Przeglądarka: firefox
#4
RE: Pozostałość po wirusie.
Otwórz Notatnik i wklej w nim:

Cytat:WMI_ActiveScriptEventConsumer_ASEC: <===== UWAGA
ProxyServer: [S-1-5-21-477002989-2411049988-1088572618-1001] => 127.0.0.1:80
ShortcutWithArgument: C:\Users\Michał\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://yeabests.cc
RemoveDirectory: C:\WINDOWS\system32\cubs
RemoveDirectory: C:\Users\Michał\AppData\LocalLow\Company
RemoveDirectory: C:\Users\Michał\AppData\Local\Tempfolder
EmptyTemp:
Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix (NAPRAW).

Zrób nowe logi FRST.
Przed skanem zaznacz "Addition.txt" oraz "Shortcut.txt"
.
 System operacyjny: windows_seven Przeglądarka: seamonkey
#5
RE: Pozostałość po wirusie.
http://wklej.org/id/2824966/ shortcut
http://wklej.org/id/2824967/ addition
http://wklej.org/id/2824983/ frst

Dodam jeszcze, że adwcleaner nic już nie wykrywa Wesoły
 System operacyjny: windows_ten Przeglądarka: firefox
#6
RE: Pozostałość po wirusie.
Cytat:ShortcutWithArgument: C:\Users\Michał\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://yeabests.cc
To dalej jest.

Otwórz Notatnik i wklej w nim:

Cytat:ShortcutWithArgument: C:\Users\Michał\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://yeabests.cc
ProxyServer: [S-1-5-21-477002989-2411049988-1088572618-1001] => 127.0.0.1:80
Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix (NAPRAW).

Jeśli to dalej będzie, to usuniesz skrót Internet Explorer z paska Zadań (na dole), i zrobisz tam nowy skrót.

Potem możemy kończyć:
Otwórz Notatnik i wklej w nim:

Cytat:DeleteQuarantine:
Plik zapisz pod nazwą fixlist.txt i umieść obok FRST. Uruchom FRST i kliknij w Fix (NAPRAW).
przez SHIFT+DEL usuń pozostały folder C:\FRST.

W Adw-Cleaner kliknij na przycisk Odinstaluj (UNINSTALL).
.
 System operacyjny: windows_seven Przeglądarka: seamonkey
#7
RE: Pozostałość po wirusie.
Pięknie dziękuję. Sprawa załatwiona, wątek można zamknąć Wesoły
 System operacyjny: windows_ten Przeglądarka: firefox
#8
RE: Pozostałość po wirusie.
Witam wszystkich chciałbym wznowić wątek gdyż spotkało mnie to samo co kolegę a mianowicie mój laptop również złapał jakieś paskudztwo i nie mogę się tego pozbyć adwcleaner nie daje rady niby kasuję wszystkie podejrzane zagrożenia ale po ponownym uruchomieniu lapka zostaje jedno i cała zabawa zaczyna się od nowa daje screeny poniżej jak to wszysytko wygląda

http://wklej.org/id/3033527/ - Schortcut
http://wklej.org/id/3033529/ - Addition
http://wklej.org/id/3033531/ - FRST
http://wklej.org/id/3033534/ - adwcleaner (to paskudztwo zostaje po ponownym uruchomieniu lapka)

Będę wdzięczny za pomoc pozdrawiam.
 System operacyjny: windows_eight Przeglądarka: chrome
#9
RE: Pozostałość po wirusie.
załóż swój własny temat
 System operacyjny: windows_seven Przeglądarka: seamonkey
Programy: Polecane / Nowe / Inne




Podobne wątki (Pozostałość po wirusie.)
Wątek: Autor Odpowiedzi: Wyświetleń: Ostatni post
  Proszę o sprawdzenie, pozostałość wirusa jooanna 3 1386 30.03.2017, 10:01
Ostatni post: morderca
  Pozostalosc po wirusie. Wyskakujace okna marcin23l 4 2015 10.02.2017, 23:10
Ostatni post: marcin23l
  Zablokowane logowanie na fb, informacja o wirusie kulturap 1 1708 10.04.2016, 15:10
Ostatni post: morderca

Skocz do: