x-kom hosting

Wirus i złośliwości - mistrz lu i UCbrosware

SNAJPERITTO91
utworzono
utworzono

Witam,

Mam problem z swoim pasztetnikiem - próbowałem pobrać program do zapisu danych z komórki tylko niestety pobrało się jakieś patałaciajstwo.

1. Pobrało się pierdyliard wirusów czy innego ścierwa

2. w przeglądarce (mozilla) zainstalował się jakiś torux czy jak to się tam zwało.

3. Wyłączyło mi Windowego defendera - nie jestem w stanie go włączyć

Poczyściłem ten pasztetnik troche adwcleaner'em, do tego malwarebytes, niestety dalej zalegają te 2 pasztetniki z tematu.

Zrobiłem to co wymagalne - z tego co widzę są podobne tematy/były - ale co komputer to inne opcje i problemy więc dodaję swoje.

Może jest ktoś w stanie podrzucić co mam wkleić do notatnika  czy jak to się tam robiło...

 

Z góry wielkie dziękować.

 

/btw - ktoś wie gdzie zapisują się zapisane pliki z dr. fone

 

 

Addition_24-12-2016 13.53.06.txt

FRST_24-12-2016 13.53.06.txt

Shortcut_24-12-2016 13.53.06.txt

Twój_Anioł_Stróż
komentarz
komentarz

1) Otwórz Notatnik i wklej w nim:

RemoveDirectory: C:\Program Files (x86)\Reersudom


RemoveDirectory: C:\Program Files (x86)\UCBrowser
RemoveDirectory: C:\Users\Sierra\AppData\Roaming\Pralick
RemoveDirectory: C:\Program Files (x86)\LuDaShi
RemoveDirectory: C:\Users\Sierra\AppData\Local\Wewuiedchuqase
RemoveDirectory: C:\Program Files (x86)\Clededomanipery Host
RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\wanttoxiameng
RemoveDirectory: C:\Program Files (x86)\wanttoxiameng
RemoveDirectory: C:\Users\Sierra\AppData\Local\Tempfolder
RemoveDirectory: C:\Users\Sierra\AppData\Roaming\Xeeedxi
RemoveDirectory: C:\Users\Sierra\AppData\LocalLow\Company
RemoveDirectory: C:\Users\Sierra\AppData\Local\UCBrowser
RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\鲁大师
RemoveDirectory: C:\Users\Sierra\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器
RemoveDirectory: C:\Users\Sierra\AppData\Roaming\LDSGameCenter
RemoveDirectory: C:\Windows\system32\dak
RemoveDirectory: C:\Users\Sierra\AppData\Roaming\navplugin
RemoveDirectory: c:\program files\safiplayer
C:\Users\Sierra\AppData\Roaming\JucdiJhnoz
ShortcutWithArgument: C:\Users\Sierra\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器\卸载UC浏览器.lnk -> C:\Program Files (x86)\UCBrowser\Application\Uninstall.exe (UCWeb Inc.) -> --uninstall
Task: {25C53E4B-0250-4876-83D7-822269569F66} - System32\Tasks\Anamipy Manager => C:\Program Files (x86)\Reersudom\veent.exe [2016-12-24] (Glarysoft Ltd)
Task: {6203C2A6-F7F0-4880-BFD8-AA692BC2A3FF} - System32\Tasks\UCBrowserUpdater => C:\Program Files (x86)\UCBrowser\Application\update_task.exe [2016-11-17] (UCWeb Inc) <==== UWAGA
Task: C:\Windows\Tasks\UCBrowserUpdater.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe <==== UWAGA
AlternateDataStreams: C:\Windows\system32\drivers:ucdrv-x64.sys [80850]
AlternateDataStreams: C:\Windows\system32\drivers:x64 [360536]
AlternateDataStreams: C:\Windows\system32\drivers:x86 [1156450]
FirewallRules: [{2CF9D8E4-5B38-4D86-B851-3C58DA51BEC0}] => C:\Program Files (x86)\UCBrowser\Application\UCBrowser.exe
FirewallRules: [{D43ABC98-2C6C-4AF0-AC74-3280EA4769DA}] => C:\Program Files (x86)\UCBrowser\Application\Downloader\download\MiniThunderPlatform.exe
FirewallRules: [{40772B74-6C1A-4A42-9C57-8F63EB031A03}] => C:\Program Files (x86)\UCBrowser\Application\UCBrowser.exe
FirewallRules: [{8CAF806D-4E24-4C31-8AFC-22E5F4C2BEB7}] => C:\Users\Sierra\AppData\Local\Temp\inst_buychannel_06.exe
FirewallRules: [{1E15E359-E43E-4845-81CD-05BB04049E81}] => C:\Users\Sierra\AppData\Local\Temp\inst_buychannel_06.exe
FirewallRules: [{76C2FBE9-A8C4-4411-B782-A253C20DD2C9}] => C:\Program Files (x86)\LuDaShi\Utils\Down.exe
FirewallRules: [{106C14AC-ADDF-4806-BA49-755E3A614FE1}] => C:\Program Files (x86)\LuDaShi\Utils\Down.exe
FirewallRules: [{C36060D4-A798-482E-AA6C-2DA4DC4A0983}] => C:\Program Files (x86)\LuDaShi\ComputerZTray.exe
FirewallRules: [{ACFA3890-4606-4E3F-98AC-75E8929E3D36}] => C:\Program Files (x86)\LuDaShi\ComputerZTray.exe
FirewallRules: [{D810EF9E-CFFA-4ABB-B572-C0F8AD6B3C26}] => C:\Program Files (x86)\LuDaShi\Utils\mininews.exe
FirewallRules: [{D5C860E1-9E62-4BEB-A315-B931F4CC00CD}] => C:\Program Files (x86)\LuDaShi\Utils\mininews.exe
C:\TOSTACK
C:\Users\Sierra\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器.lnk
NETSVCx32: HpSvc -> C:\Program Files (x86)\LuDaShi\lpi\HpSvc.dll ==> Brak pliku
NETSVCx32: GmSvc -> C:\Program Files (x86)\LDSGameCenter\GmSvc.dll ==> Brak pliku
S3 dtldrvhelp; \??\c:\program files\safiplayer\dtldrvhelp64.sys [X]
S1 ucdrv; C:\Windows\System32\drivers:ucdrv-x64.sys [80850 ] (UC Web Inc.) <==== UWAGA
Reg: reg delete "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender" /v DisableAntiSpyware /f
Reg: reg add HKLM\SYSTEM\CurrentControlSet\Services\WdBoot /v Start /t REG_DWORD /d 0x0 /f
Reg: reg add HKLM\SYSTEM\CurrentControlSet\Services\WdFilter /v Start /t REG_DWORD /d 0x0 /f
S2 GmSvc; C:\Program Files (x86)\LDSGameCenter\GmSvc.dll [X]
S2 HpSvc; C:\Program Files (x86)\LuDaShi\lpi\HpSvc.dll [X] <==== UWAGA
S2 Ilaaugca; "C:\Users\Sierra\AppData\Roaming\JucdiJhnoz\Rawei.exe" -cms [X]
S2 Shejagechraward; C:\Program Files (x86)\Reersudom\Puserphdbg.dll [177664 2016-12-24] () [Brak podpisu cyfrowego]
HKLM\...\Policies\Explorer: [EnableShellExecuteHooks] 1
C:\Users\Sierra\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器.lnk
C:\Users\Sierra\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\UC浏览器.lnk
HOSTS:
EmptyTemp:


>>Menu Notatnika >> Plik >>
>>Zapisz jako >>
Nazwa pliku: fixlist
Zapisz jako typ: Dokumenty tekstowe
Kodowanie: UTF -8
>>Zapisz
Plik umieść w folderze D:\Pobrane
Uruchom FRST i kliknij przycisk Fix (NAPRAW).

 

2) Zrób nowe logi FRST.

.

  • Dobra wypowiedź 1
SNAJPERITTO91
komentarz
komentarz

ok,

Zrobiłem jak napisałeś, niestety pojawił się inny problem -

1. Zniknęły wszystkie ikony z pulpitu (są w folderze pulpitu na dysku C - nie ma na pulpicie)

2. W trybie zwykłym nie mogę odpalić mozilli firefox - wywala komunikat zgłaszania problemu czy koś tak / explorer się włącza normalnie ale nie chce załadować strony (internet jak najbardziej chodzi).  - w trybie awaryjnym mogę odpalić i przeglądać strony.

3. Wywala mi komunikat "nie możemy zalogować się do twojego konta - do wyboru mam odrzuć albo wyloguj"  - po wylogowaniu i zalogowaniu ponownie - dalej to samo. Restarty kompa też nie pomagają.

Mam nadzieje że omine format kompa bo mam pare ładnych gigulców danych do zgrywania - a i dużo obecnie nie zapisanych danych tak żeby zgrać (niektóre nawet nie wiem gdzie są)

Wrzucam logi które zrobiłem.

 

Addition_24-12-2016 17.08.09.txt

FRST_24-12-2016 17.08.09.txt

Shortcut_24-12-2016 17.08.09.txt

Twój_Anioł_Stróż
komentarz
komentarz

Skoro po usuwaniu pojawiły się u Ciebie różne problemy, to zrób zwykłe Przywracanie Systemu do tego punktu przywracania:

Cytuj

06-12-2016 01:07:44 Driver Booster : Intel(R) 7 Series/C216 Chipset Family PCI Express Root Port 1 - 1E10

Infekcja wprawdzie też zostanie przywrócona, ale ostatnie problemy powinny zniknąć, bo przecież powstały po tym punkcie przywracania.

Jeśli nie znikną, to będzie oznaczało, że System już nie istnieje.

Jeśli natomiast znikną, to zrobisz przynajmniej to:

Użyj RepairDNS > http://www.fixitpc.pl/topic/8-dezynfekcja-zbi%C3%B3r-narz%C4%99dzi-usuwaj%C4%85cych/#entry172749
Link zapasowy > http://www.mediafire.com/download/yedejtr7p4q36zm/RepairDNS.zip

.A infekcji nie będziemy ruszać, skoro jej usuwanie powoduje u Ciebie problemy.

.

  • Dobra wypowiedź 1
SNAJPERITTO91
komentarz
komentarz

Misiaczki, problem kolejny polega na tym że one key recovery nie chce się nawet włączyć... Dramat...

Twój_Anioł_Stróż
komentarz
komentarz
Cytuj

problem kolejny polega na tym że one key recovery nie chce się nawet włączyć

W logu Addition.txt wyraźnie widać, że System nie ma absolutnie żadnego problemu z "Przywracaniem".

Ale skoro twierdzisz, że jest problem, to znaczy, że System kłamie.

 

Cytuj

Dramat.

Tak, dramat.

Nic tu się nie da zrobić, skoro nie da się zrobić "Przywracania Systemu.

Przykro mi, choć to nie moja wina.

.

  • Dobra wypowiedź 1
SNAJPERITTO91
komentarz
komentarz

Dobra, ślicznie dziękuję wam za pomoc zaiste. <3

Udało mi się obejść wirusa trybem awaryjnym i z poziomu opcji wejszedłem do przywracania systemu.

Przycisk w lapku który odpowiada za awaryjne przywracanie systemu po prostu nie strielał - wirus nie chciał przepuścić - pojawiało się okienko i od razu znikało (z poziomu pulpitu) z kolei z włączenia nim komputera i przejścia od razu do przywracania - po prostu normalnie się włączał.

 

Dziękuję wam ślicznie jeszcze raz za pomoc.

Twój_Anioł_Stróż
komentarz
komentarz

mam nadzieję, że będzie OK.

.

  • Dobra wypowiedź 1
SNAJPERITTO91
komentarz
komentarz

No i niestety - pozostał jakiś szajs w przeglądarce którego nie wykrywają:

1. Malwarebytes

2. ADWcleaner

3. Windows Defender

 

Nazywa się ten pasztetnik:

search2.fvpimageviewer 

Nie mam pojęcia jak ten śmietnik usunąć. Patrzę po googlach, ale nie wyświetla mi żadnej strony która nie każe instalować jakiegoś kolejnego syfu z "dobrychprogramów" które nie działają a instalują jeszcze większy syf.

Twój_Anioł_Stróż
komentarz
komentarz

1)

Uruchom FRST.
W polu SEARCH (SZUKAJ) wklej:

search2.fvpimageviewer*.*


kliknij na przycisk "Search Files (Szukaj Plików)".
Raport z tego będzie tam, gdzie jest FRST.

 

2) Uruchom FRST.

W polu SEARCH (SZUKAJ) wklej:

fvpimageviewer


kliknij na przycisk "Search Registry" (Szukaj w Rejestrze).
Raport z tego będzie tam, gdzie jest FRST.

 

3) Zrób nowe logi FRST.

.

  • Dobra wypowiedź 1
Twój_Anioł_Stróż
komentarz
komentarz

Brak raportów z wyszukiwania.

 

Cytuj

C:\Users\Sierra\Downloads\fixlist.txt.txt

Ta "fixlist" ma nieprawidłową nazwę - ma dwa rozszerzenia .txt

 

Cytuj

C:\Users\Sierra\AppData\Roaming\HMYGSetting

Ten folder jest podejrzany.

Spróbuj go usunąć ręcznie.

 

Nic tu więcej podejrzanego nie ma.

.

  • Dobra wypowiedź 1
SNAJPERITTO91
komentarz
komentarz (edytowane)

Ok, tylko teraz pytanie jak wobec tego usunąć to patałaciajstwo z przeglądarki? (ten FVP) ?

A i jeszcze jest jakaś wyszukiwarka trotux której również nic nigdzie nie wykrywa xF

Twój_Anioł_Stróż
komentarz
komentarz

Uruchom FRST.
W polu SEARCH (SZUKAJ) wklej:

*fvpimageviewer*.*; trotux*.*


kliknij na przycisk "Search Files (Szukaj Plików)".
Raport z tego będzie tam, gdzie jest FRST.

 

Uruchom FRST.
W polu SEARCH (SZUKAJ) wklej:

fvpimageviewer; trotux


kliknij na przycisk "Search Registry" (Szukaj w Rejestrze).
Raport z tego będzie tam, gdzie jest FRST.

  • Dobra wypowiedź 1
SNAJPERITTO91
komentarz
komentarz

Zrobione.

Przy okazji - wywaliłem całą mozille i zreinstalowałem. Niby problem znikł ale boje się że dalej gdzieś czyha ten pasztetnik.

Search.txt

SearchReg.txt

Twój_Anioł_Stróż
komentarz
komentarz

Wyszukiwanie nic nie znalazło, więc ja nie widzę żadnej możliwości ingerencji.

.

  • Dobra wypowiedź 1
SNAJPERITTO91
komentarz
komentarz

Oczko. Dziękuję Ci ślicznie za poświęcony czas! :D 4pak browara bym Ci z chęcią postawił - daj znaka jak będziesz w Warszawie!

Wciąż szukasz rozwiązania problemu? Napisz teraz na forum!

Możesz zadać pytanie bez konieczności rejestracji - wystarczy, że wypełnisz formularz.

×
×
  • Dodaj nową pozycję...

Powiadomienie o plikach cookie

Strona wykorzystuje pliki cookies w celu prawidłowego świadczenia usług i wygody użytkowników. Warunki przechowywania i dostępu do plików cookies możesz zmienić w ustawieniach przeglądarki.