x-kom hosting

Ciężka infekcja.

Grzel
utworzono
utworzono (edytowane)

Witam,

 

Padłem ofiarą dość sporej infekcji. Z częścią poradziłem sobie sam, ale nadal komputer nie działa jak należy.

Bardzo proszę o pomoc.

 

Poniżej zamieszczam logi FRST.

 

Z góry dziękuje za wszelką pomoc.

Pozdrawiam!

FRST.txt

Addition.txt

 

Twój_Anioł_Stróż
komentarz
komentarz (edytowane)

1) Otwórz Notatnik i wklej w nim:

RemoveDirectory: C:\Program Files (x86)\Alcohol Soft


RemoveDirectory: C:\Program Files (x86)\UCBrowser
RemoveDirectory: C:\Program Files (x86)\LuDaShi
RemoveDirectory: C:\Program Files\żěŃą
Task: {01E2BC56-FAEA-4DFB-B110-8A07E34D1C4B} - \AutoPico Daily Restart -> Brak pliku <==== UWAGA
Task: {61E6FE2B-E294-49DB-B8B4-D066E080C6B3} - System32\Tasks\b5c531f482853000953a0de18a37afc3 => Rundll32.exe "C:\Program Files (x86)\Alcohol Soft\czxkd9.dll",e62dc6c6547f46bda862da2d05af6862 <==== UWAGA
WMI_ActiveScriptEventConsumer_ASEC: <===== UWAGA
ShortcutWithArgument: C:\Users\Grzegorz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://yeabd66.cc/
ShortcutWithArgument: C:\Users\Grzegorz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://yeabd66.cc/
ShortcutWithArgument: C:\Users\Grzegorz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://yeabd66.cc/
ShortcutWithArgument: C:\Users\Grzegorz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://yeabd66.cc/
AlternateDataStreams: C:\Windows\system32\drivers:ucdrv-x64.sys [80850]
AlternateDataStreams: C:\Windows\system32\drivers:x64 [360536]
AlternateDataStreams: C:\Windows\system32\drivers:x86 [1156450]
FirewallRules: [{C9611514-9DBB-44C9-89E5-0F769890AB40}] => C:\Users\Grzegorz\AppData\Local\Temp\00011020\inst_buychannel_07.exe
FirewallRules: [{E1863C97-CBC4-446C-A0DD-4A03CDC1B234}] => C:\Users\Grzegorz\AppData\Local\Temp\00011020\inst_buychannel_07.exe
FirewallRules: [{5978469C-E701-474F-A8F1-18BFAD0F3A76}] => C:\Program Files (x86)\LuDaShi\ComputerZTray.exe
FirewallRules: [{63A95E6B-D24C-4885-9E61-B6CDED662B60}] => C:\Program Files (x86)\LuDaShi\ComputerZTray.exe
FirewallRules: [{77B7C497-5DFA-4EB0-93FC-B1B4AF0BD65C}] => C:\Program Files (x86)\UCBrowser\Application\UCBrowser.exe
FirewallRules: [{4EBCD768-9809-46A8-86BA-764518BBCF30}] => C:\Program Files (x86)\UCBrowser\Application\UCBrowser.exe
HKLM-x32\...\Winlogon: [Userinit] C:\Windows\system32\userinit.exe, [X]
HKU\S-1-5-18\...\Run: [] => 0
ShellExecuteHooks:  - {7188CE06-A5CA-11E6-B4B7-64006A5CFC23} -  Brak pliku [ ]
ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} => C:\Program Files\żěŃą\X64\KZipShell.dll Brak pliku
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA
FF SearchPlugin: C:\Users\Grzegorz\AppData\Roaming\Mozilla\Firefox\Profiles\8fas8w99.default\searchplugins\bbj0vu03.xml [2016-11-13]
FF Plugin-x32: @adobe.com/FlashPlayer -> C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_19_0_0_185.dll [Brak pliku]
S3 PerfHost; %SystemRoot%\SysWow64\perfhost.exe [X]
S1 HWiNFO32; \??\C:\Windows\SysWOW64\drivers\HWiNFO64A.SYS [X]
HOSTS:
EmptyTemp:

 

2)

Cytuj

C:\Windows\SysWOW64\explorer.exe BRAK <==== UWAGA
C:\Windows\SysWOW64\svchost.exe BRAK <==== UWAGA
C:\Windows\SysWOW64\userinit.exe BRAK <==== UWAGA

Uruchom FRST.
W polu SEARCH (SZUKAJ) wklej:

explorer.exe; svchost.exe; userinit.exe;


kliknij na przycisk "Search Files (Szukaj Plików)".
Raport z tego będzie tam, gdzie jest FRST.

 

3) Zrób nowe logi FRST.

przed skanem zaznacz: Additional.txt Shortcut.txt,

.

  • Dobra wypowiedź 1
Twój_Anioł_Stróż
komentarz
komentarz
Cytuj

C:\Windows\WinSxS\wow64_microsoft-windows-explorer_31bf3856ad364e35_6.3.9600.18460_none_4cd924758207ca59\explorer.exe
[2016-10-12 19:13][2016-08-27 19:26] 2411048 ____A (Microsoft Corporation) 042216FBB8B0CCC7402C3C77E58E1BC9 [Plik podpisany cyfrowo]

Masz zapasowy plik "explorer.exe", więc go skopiujemy do C:\Windows\SysWOW64\

Ale nie masz żadnej kopii plików "userinit.exe" (64bit" oraz "svchost.exe" (64bit) - więc z konieczności zostawimy to tak, jak jest (ja nie ma Systemu 64 bit, więc nie podeślę Ci tych plików).

 

Otwórz Notatnik i wklej w nim:

S3 AxAutoMntSrv; C:\Program Files (x86)\Alcohol Soft\Alcohol 120\AxAutoMntSrv.exe [X]


S3 StarWindServiceAE; C:\Program Files (x86)\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe [X]
NETSVCx32: HpSvc -> Brak ścieżki do pliku.
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\鲁大师\卸载鲁大师.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\鲁大师
RemoveDirectory: C:\Program Files (x86)\wanttoxiamen
RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\wanttoxiamen
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\K-Lite Codec Pack\Configuration\ffdshow audio decoder.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\K-Lite Codec Pack\Configuration\ffdshow video decoder.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Alcohol 120%\A.C.I.D. Wizard.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Alcohol 120%\Alcohol 120%.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Alcohol 120%\Alcohol Command Launcher.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Alcohol 120%\Data-Type Analyzer.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Alcohol 120%\Uninstall Alcohol 120%.lnk
C:\Users\Grzegorz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器.lnk
C:\Users\Grzegorz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器\卸载UC浏览器.lnk
C:\Users\Grzegorz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器
C:\Users\Grzegorz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\UC浏览器.lnk
C:\Users\Grzegorz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\UC浏览器.lnk
C:\Users\Grzegorz\AppData\Local\svchost\svchost.exe
C:\Users\Grzegorz\AppData\Local\svchost
CMD: copy /y C:\Windows\WinSxS\wow64_microsoft-windows-explorer_31bf3856ad364e35_6.3.9600.18460_none_4cd924758207ca59\explorer.exe C:\Windows\SysWOW64\
EmptyTemp:


>>Menu Notatnika >> Plik >>
>>Zapisz jako >>
Nazwa pliku: fixlist
Zapisz jako typ: Dokumenty tekstowe
Kodowanie: UTF -8
>>Zapisz
Plik umieść w folderze C:\Users\Grzegorz\Downloads
Uruchom FRST i kliknij przycisk Fix (NAPRAW).

 

Zrób nowe logi FRST.

przed skanem zaznacz: Additional.txt Shortcut.txt,

 

Cytuj

"C:\Program Files (x86)\Alcohol Soft" => pomyślnie usunięto

Ten folder dałem do usuwania, bo miał tę samą datę, co infekcja, a na dodatek nie było go na liście Twoich programów..

Teraz możesz od nowa zainstalować ten program, o ile go potrzebujesz.

.

  • Dobra wypowiedź 1
Grzel
komentarz
komentarz

Dziękuje za pomoc i zaangażowanie.

 

Program przeinstaluje, więc to nie problem.

Po tych operacjach podczas uruchamiania systemu pojawiają się dwa komunikaty o braku możliwości uruchomienia dwóch programów.

Można to jakoś naprawić?

 

Poniżej logi:

Addition.txt

FRST.txt

Shortcut.txt

Twój_Anioł_Stróż
komentarz
komentarz

W nowych logach nie ma niczego podejrzanego.

 

Cytuj

podczas uruchamiania systemu pojawiają się dwa komunikaty o braku możliwości uruchomienia dwóch programów.

Których?

Wciąż szukasz rozwiązania problemu? Napisz teraz na forum!

Możesz zadać pytanie bez konieczności rejestracji - wystarczy, że wypełnisz formularz.

×
×
  • Dodaj nową pozycję...

Powiadomienie o plikach cookie

Strona wykorzystuje pliki cookies w celu prawidłowego świadczenia usług i wygody użytkowników. Warunki przechowywania i dostępu do plików cookies możesz zmienić w ustawieniach przeglądarki.