Mam wirusa, proszę o pomoc!

milewski200 · 4 Lipca 2016

Logi z programu FRST dodałem w załączniku, dziekuje z góry za pomoc ;D.

Przepraszam za inne posty na moim koncie podobne do tego, przy wstawianiu tego posta przez wirusa wstawiłem niechcący dwa inne, ale tylko ten jest prawidłowy ponieważ posiada logi.

FRST.txt

addition.txt

Jakub · 6 Lipca 2016

Pierwsze odinstaluj (jak jest to przez panel, jak nie to szukaj deinstalatora w folderze):

LuDaShi (C:\Program Files (x86)\LuDaShi)

UCBrowser (C:\Program Files (x86)\UCBrowser)

ttwifi (C:\Program Files (x86)\ttwifi)

Mehdom (C:\Program Files (x86)\Mehdom)

CleanBrowser (C:\Program Files (x86)\CleanBrowser)

Badu (C:\Program Files (x86)\badu)

LDSGameCenter (C:\Program Files (x86)\LDSGameCenter)

Jak nie znajdziesz któregoś deinstalatora to się nie przejmujesz i idziesz dalej.

Potem kopiujesz kod, który jest poniżej, wklejasz do notatnika, zapisujesz jako fixlist.txt, umieszczasz obok FRST, odpalasz i naciskasz "Napraw/Repair". Potem wrzucasz do tematu fixlog + robisz nowy skan.

Fixlist:

Closeprocesses:
HKLM-x32\...\Run: [apphide] => C:\Program Files (x86)\badu\uc.exe [499811 2016-06-21] ()
HKLM\...\Winlogon: [Userinit] wscript C:\Windows\run.vbs,
HKLM-x32\...\Winlogon: [Userinit] wscript C:\Windows\run.vbs, [X]
HKU\S-1-5-21-1052041186-1343682735-1810658788-1000\...\Run: [Pritc] => C:\Users\Arturas\AppData\Local\Temp\00002547\casrss.exe [3445760 2016-07-04] (VLOME) <===== UWAGA
HKU\S-1-5-21-1052041186-1343682735-1810658788-1000\...\Run: [osmsg] => C:\ProgramData\WindowsMsg\osmsg.exe [1943552 2016-06-30] ()
HKU\S-1-5-21-1052041186-1343682735-1810658788-1000\...\Run: [svchost0] => C:\Program Files (x86)\UCBrowser\Application\UUC0789.exe [69632 2016-07-04] ()
HKU\S-1-5-21-1052041186-1343682735-1810658788-1000\...\Run: [apphide2] => C:\Program Files (x86)\badu\uc.exe [499811 2016-06-21] ()
HKU\S-1-5-21-1052041186-1343682735-1810658788-1000\...\Run: [ComputerZ-Tray] => C:\Program Files (x86)\LuDaShi\ComputerZTray.exe [2927528 2016-06-13] ()

BHO: Shopper Pro -> {A5A51D2A-505A-4D84-AFC6-E0FA87E47B8C} -> C:\ProgramData\ShopperPro3\ShopperPro364.dll [2015-12-21] ()
BHO-x32: Shopper Pro -> {A5A51D2A-505A-4D84-AFC6-E0FA87E47B8C} -> C:\ProgramData\ShopperPro3\ShopperPro3.dll [2015-12-21] ()
Toolbar: HKU\S-1-5-21-1052041186-1343682735-1810658788-1000 -> Brak nazwy - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  Brak pliku

FF NewTab: hxxp://www.trotux.com/?z=a09b61730510cb660be0d61g3zfqfm1qczbq9ofqdm&from=ftp&uid=SAMSUNGXHD753LJ_S13UJ1KS401794&type=hp
FF DefaultSearchEngine: trotux
FF SelectedSearchEngine: trotux
FF Homepage: hxxp://www.trotux.com/?z=a09b61730510cb660be0d61g3zfqfm1qczbq9ofqdm&from=ftp&uid=SAMSUNGXHD753LJ_S13UJ1KS401794&type=hp
FF Extension: ShopperPro - C:\Users\Arturas\AppData\Roaming\Mozilla\Firefox\Profiles\3b9l24j9.default\Extensions\{746505DC-0E21-4667-97F8-72EA6BCF5EEF} [2016-04-05]
FF Extension: ShopperPro - C:\Users\Arturas\AppData\Roaming\Profiles\mvbg51nh.default\Extensions\{746505DC-0E21-4667-97F8-72EA6BCF5EEF} [2016-07-04]
FF Extension: GsearchFinder - C:\Users\Arturas\AppData\Roaming\Profiles\mvbg51nh.default\Extensions\@90B817C8-8A5C-413B-9DDD-B2C61ED6E79A.xpi [2016-07-04]
FF Extension: Brak nazwy - C:\Program Files (x86)\Mozilla Firefox\browser\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}.xpi [2016-03-25]

CHR HomePage: areraiedchegoghqituty -> hxxp://www.trotux.com/?z=a09b61730510cb660be0d61g3zfqfm1qczbq9ofqdm&from=ftp&uid=SAMSUNGXHD753LJ_S13UJ1KS401794&type=hp
CHR StartupUrls: areraiedchegoghqituty -> "hxxp://www.trotux.com/?z=a09b61730510cb660be0d61g3zfqfm1qczbq9ofqdm&from=ftp&uid=SAMSUNGXHD753LJ_S13UJ1KS401794&type=hp"
CHR DefaultSearchURL: areraiedchegoghqituty -> hxxp://www.trotux.com/search/?q={searchTerms}&z=a09b61730510cb660be0d61g3zfqfm1qczbq9ofqdm&from=ftp&uid=SAMSUNGXHD753LJ_S13UJ1KS401794&type=sp
CHR DefaultSearchKeyword: areraiedchegoghqituty -> trotux

R2 dowidoly; C:\Program Files (x86)\03000200-1467646100-0500-0006-000700080009\jnsz8C35.tmp [244224 2016-07-04] () [Brak podpisu cyfrowego]
R2 HpSvc; C:\Program Files (x86)\LuDaShi\lpi\HpSvc.dll [239528 2016-06-13] ()
R2 Kaopdeu; C:\Users\Arturas\AppData\Roaming\IhyjkaKiae\Uuymoa.exe [121344 2016-07-04] () [Brak podpisu cyfrowego]
R2 ProntSpooler; C:\Users\Arturas\AppData\Local\Apps\2.0\abril.exe [134656 2016-05-19] () [Brak podpisu cyfrowego]
R2 rijufoze; C:\Program Files (x86)\03000200-1467646100-0500-0006-000700080009\hnsnA2EB.tmp [138240 2016-07-04] () [Brak podpisu cyfrowego]
R2 Rusjezmiob; C:\Users\Arturas\AppData\Roaming\Uresmugman\Uresmugman.exe [170496 2016-07-04] () [Brak podpisu cyfrowego]
S2 shnCldchr.exe; C:\Program Files (x86)\Mehdom\shnCldchr.exe [714976 2016-07-02] ()
R2 zigipyro; C:\Users\Arturas\AppData\Local\03000200-1467653504-0500-0006-000700080009\qnsn81A9.tmp [158720 2015-12-26] () [Brak podpisu cyfrowego]
S2 NetTcpHandler; C:\Users\Arturas\AppData\Roaming\NetService\netservice.exe -start [X]
R2 qicimeqyzbt; C:\Program Files (x86)\03000200-1467646100-0500-0006-000700080009\knst7173.tmpfs [X]

R2 ComputerZLock; C:\Program Files (x86)\LuDaShi\ComputerZLock_x64.sys [44264 2016-05-19] (www.ludashi.com)
R3 ComputerZ_x64; C:\Program Files (x86)\LuDaShi\ComputerZ_x64.sys [49152 2016-06-27] (ludashi.com)
R2 SPDRIVER_1.42.1.10630; C:\Program Files (x86)\ShopperPro3\JSDriver\1.42.1.10630\jsdrv.sys [53032 2015-12-21] ()
U1 UCGuard; C:\Windows\System32\DRIVERS\ucguard.sys [80768 2016-04-25] (Huorong Borui (Beijing) Technology Co., Ltd.)
R4 bsdpf64; \??\C:\Windows\system32\Drivers\bsdpf64.sys [X]
R4 bsdpr64; \??\C:\Windows\system32\Drivers\bsdpr64.sys [X]
S3 FairplayKD; \??\C:\ProgramData\MTA San Andreas All\Common\temp\FairplayKD.sys [X]

NETSVCx32: HpSvc -> C:\Program Files (x86)\LuDaShi\lpi\HpSvc.dll ()

2016-07-04 17:39 - 2016-07-04 17:41 - 00000000 ____D C:\Users\Arturas\AppData\Roaming\Ludashi
2016-07-04 17:39 - 2016-07-04 17:41 - 00000000 ____D C:\Users\Arturas\AppData\Roaming\lockhomepage
2016-07-04 17:39 - 2016-07-04 17:39 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\???
2016-07-04 17:39 - 2016-07-04 17:39 - 00000000 ____D C:\Program Files (x86)\LDSGameCenter
2016-07-04 17:38 - 2016-07-04 17:41 - 00000000 ____D C:\Program Files (x86)\LuDaShi
2016-07-04 17:35 - 2016-07-04 17:35 - 00003438 _____ C:\Windows\System32\Tasks\UCBrowserUpdater
2016-07-04 17:35 - 2016-07-04 17:35 - 00001561 _____ C:\Users\Arturas\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC???.lnk
2016-07-04 17:35 - 2016-07-04 17:35 - 00000460 _____ C:\Windows\Tasks\UCBrowserUpdater.job
2016-07-04 17:35 - 2016-07-04 17:35 - 00000000 ____D C:\Users\Arturas\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC???
2016-07-04 17:35 - 2016-07-04 17:35 - 00000000 ____D C:\Users\Arturas\AppData\Local\UCBrowser
2016-07-04 17:35 - 2016-07-04 17:31 - 00694784 _____ C:\Users\Arturas\AppData\Roaming\Gravefind.exe
2016-07-04 17:35 - 2016-04-25 20:55 - 00080768 _____ (Huorong Borui (Beijing) Technology Co., Ltd.) C:\Windows\system32\Drivers\ucguard.sys
2016-07-04 17:34 - 2016-07-04 17:35 - 00000000 ____D C:\Program Files (x86)\UCBrowser
2016-07-04 17:34 - 2016-07-04 17:34 - 00003028 _____ C:\Windows\System32\Tasks\ttwifi
2016-07-04 17:34 - 2016-07-04 17:34 - 00002964 _____ C:\Windows\System32\Tasks\Pritc
2016-07-04 17:34 - 2016-07-04 17:34 - 00002924 _____ C:\Windows\System32\Tasks\osTip
2016-07-04 17:34 - 2016-07-04 17:34 - 00001015 _____ C:\Users\Public\Desktop\ttwifi.lnk
2016-07-04 17:34 - 2016-07-04 17:34 - 00000000 ____D C:\Users\Arturas\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk
2016-07-04 17:34 - 2016-07-04 17:34 - 00000000 ____D C:\Users\Arturas\AppData\Local\app
2016-07-04 17:34 - 2016-07-04 17:34 - 00000000 ____D C:\ProgramData\WindowsMsg
2016-07-04 17:34 - 2016-07-04 17:34 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ttwifi
2016-07-04 17:34 - 2016-07-04 17:34 - 00000000 ____D C:\Program Files (x86)\ttwifi
2016-07-04 17:33 - 2016-07-04 17:33 - 00008956 _____ C:\Windows\System32\Tasks\Shanot Cloud
2016-07-04 17:33 - 2016-07-04 17:33 - 00000000 ____D C:\Users\Arturas\AppData\Roaming\Uresmugman
2016-07-04 17:33 - 2016-07-04 17:33 - 00000000 ____D C:\Users\Arturas\AppData\Roaming\IhyjkaKiae
2016-07-04 17:33 - 2016-07-04 17:33 - 00000000 ____D C:\Users\Arturas\AppData\LocalLow0091E8E0
2016-07-04 17:33 - 2016-07-04 17:33 - 00000000 ____D C:\Users\Arturas\AppData\LocalLow000000000034E348
2016-07-04 17:33 - 2016-07-04 17:33 - 00000000 ____D C:\Users\Arturas\AppData\LocalLow\Company
2016-07-04 17:33 - 2016-07-04 17:33 - 00000000 ____D C:\Users\Arturas\AppData\LocalLow\{D2020D47-707D-4E26-B4D9-739C4F4C2E9A}
2016-07-04 17:33 - 2016-07-04 17:31 - 00694784 _____ C:\Users\Arturas\AppData\Roaming\Strongphase.exe
2016-07-04 17:32 - 2016-07-04 17:35 - 00000000 ____D C:\Program Files\Weqdobyaigigb
2016-07-04 17:32 - 2016-07-04 17:33 - 00000000 ____D C:\Users\Arturas\AppData\Local\vefershcoobasyphijaent
2016-07-04 17:32 - 2016-07-04 17:33 - 00000000 ____D C:\Users\Arturas\AppData\Local\Tempfolder
2016-07-04 17:31 - 2016-07-04 17:34 - 00000000 ____D C:\Program Files (x86)\Mehdom
2016-07-04 17:31 - 2016-07-04 17:34 - 00000000 ____D C:\Program Files (x86)\CleanBrowser
2016-07-04 17:31 - 2016-07-04 17:31 - 00000000 ____D C:\Users\Arturas\AppData\Local\03000200-1467653504-0500-0006-000700080009
2016-07-04 17:31 - 2016-07-04 17:31 - 00000000 ____D C:\Program Files (x86)\badu
2016-07-04 17:28 - 2016-07-04 17:31 - 00000000 ____D C:\Program Files (x86)\03000200-1467646100-0500-0006-000700080009

C:\Users\Arturas\AppData\Local\Temp\00002547\casrss.exe
C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat

Task: {54A2BAA6-AE15-4DC0-80AC-5936F24B5B70} - System32\Tasks\ShopperPro3 => C:\Program Files (x86)\ShopperPro3\ShopperPro3.exe [2015-12-21] (Goobzo LTD) <==== UWAGA
Task: {625F1493-25E3-4B13-B8F4-9DB1995283DF} - System32\Tasks\UCBrowserUpdater => C:\Program Files (x86)\UCBrowser\Application\update_task.exe [2016-04-25] (UCWeb Inc)
Task: {8160E540-65EA-4EC8-97B7-51BB06A6D829} - System32\Tasks\Pritc => C:\Users\Arturas\AppData\Local\Temp\00002547\casrss.exe [2016-07-04] (VLOME) <==== UWAGA
Task: {860D0CAF-BD0C-4DDD-87FF-3B6956425370} - System32\Tasks\osTip => C:\ProgramData\WindowsMsg\osmsg.exe [2016-06-30] ()
Task: {8CEF43AF-AE7D-47B9-9708-84074C48B3AC} - System32\Tasks\UNELEVATE_17376 => C:\Program Files (x86)\ShopperPro3\JSDriver\1.42.1.10630\jsdrv.exe [2015-12-21] () <==== UWAGA
Task: {ACBF80D0-EC32-4EBD-B713-58BDB8D068F7} - System32\Tasks\Shanot Cloud => C:\Program Files (x86)\Mehdom\shnCldphv.exe [2016-07-02] ()
Task: {AFEC97CE-C91C-4E5D-AF49-80FBAC7944D2} - System32\Tasks\Inst_Rep => C:\Users\Arturas\AppData\Local\Installer\Install_23128\ytdieamodc_amodc_inst.exe [2016-01-13] ()
Task: {B54545AB-DFDF-414C-8C93-5E9CB58262CB} - System32\Tasks\ttwifi => C:\Program Files (x86)\ttwifi\tiantianwifi.exe [2016-05-24] (TTWIFI)
Task: {E014714B-3808-4041-9BDA-4D5471B3B3DF} - System32\Tasks\UNELEVATE_7239 => C:\Program Files (x86)\ShopperPro3\JSDriver\1.42.1.10630\jsdrv.exe [2015-12-21] () <==== UWAGA
Task: {F3DC225A-77B1-4396-ACF9-B7E389394769} - System32\Tasks\UNELEVATE_448 => C:\Program Files (x86)\ShopperPro3\JSDriver\1.42.1.10630\jsdrv.exe [2015-12-21] () <==== UWAGA
Task: {FF822493-D753-4AD4-BD9A-DEF292710B61} - System32\Tasks\ShopperProJSUpd => C:\Program Files (x86)\ShopperPro3\updater.exe [2015-12-21] (Goobzo) <==== UWAGA
Task: C:\Windows\Tasks\UCBrowserUpdater.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe

FirewallRules: [TCP Query User{F2330F1B-7524-4E83-9B86-870B716D36FC}C:\users\arturas\appdata\local\temp\kmsnano\qemu-system-i386.exe] => (Allow) C:\users\arturas\appdata\local\temp\kmsnano\qemu-system-i386.exe
FirewallRules: [UDP Query User{DC10183A-2600-400A-882E-1BAA20B39544}C:\users\arturas\appdata\local\temp\kmsnano\qemu-system-i386.exe] => (Allow) C:\users\arturas\appdata\local\temp\kmsnano\qemu-system-i386.exe
FirewallRules: [{4227B19A-D965-4ADF-84E7-400289ED1C34}] => (Allow) C:\Program Files (x86)\LuDaShi\ComputerZTray.exe
FirewallRules: [{FAC809D7-44EE-4467-916B-5192B4551058}] => (Allow) C:\Program Files (x86)\LuDaShi\ComputerZTray.exe
FirewallRules: [{779099CD-B366-4A95-BBC8-051256EEB67E}] => (Allow) C:\Program Files (x86)\LuDaShi\Utils\mininews.exe
FirewallRules: [{6EC48046-E5EE-4665-B272-6CE61705DD4D}] => (Allow) C:\Program Files (x86)\LuDaShi\Utils\mininews.exe
FirewallRules: [{95512456-5F93-43A1-95AC-85A625E5350D}] => (Allow) C:\Program Files (x86)\UCBrowser\Application\UCBrowser.exe

CMD: dir /a "C:\Users\Arturas\appdata\Local"
CMD: dir /a "C:\Users\Arturas\appdata\Roaming"
CMD: dir /a "C:\Users\Arturas\appdata\Locallow"
CMD: dir /a "C:\Program Files (x86)"
CMD: dir /a "C:\Program Files"
CMD: dir /a "C:\ProgramData"
CMD: dir /a "C:\program files (x86)\common files"

Hosts:
EmptyTemp:

milewski200 · 7 Lipca 2016

W C:\FRST próbowałem wiele razy a podczas naprawy przenoszę frst do tego samego folderu co fixlist ale spróbuje w trybie awaryjnym.

milewski200 · 7 Lipca 2016

Wcześniej nie miałem tego problemu, ale teraz gdy umieszczam fixlist obok FRST i wciskam napraw to albo pisze, że plik fixlist nie został znaleziony albo program na samym początku naprawy się zawiesza, czekałem pół godziny i się nie ruszył. A poza tym przy próbie zapisy fixlist wyskakuje coś takiego (zdjęcie w załączniku) próbowałem formatu ANSI i UNICODE ale frst wciąż się zawiesza

milewski200 · 7 Lipca 2016

Bardzo ci dziękuje, naprawiłem komputer FRST i udało mi się usunąć wszystkie złośliwe programy oprócz - TROTUX, przez niego ciągle włączają mi się reklamy chodź trochę mniej . Nie mogę nigdzie znaleźć tego programu, a kiedy próbuje go usunąć pokazuje mi się nowy komunikat, który znajduje się na zdjęciu. Edytowałem post i zamieściłem w nim nowe logi i zdjęcie.

Jakub · 7 Lipca 2016

Nie da się z tego screena nic odczytać.

Janusz. · 7 Lipca 2016

FRST.exe i fixlist.txt ma być na pulpicie.

Janusz. · 7 Lipca 2016

Nie zamieściłeś Fixloga, bez niego wiele nie zrobimy. FRST sam z siebie nie może przeskanować wszystkich folderów, więc Wolen użył dyrektywy CMD aby zobaczyć czy w tamtych folderach czegoś nie ma, a z tego co widzę jedna z infekcji się zregenerowała.

Podeślij fixlog.

milewski200 · 7 Lipca 2016

Bardzo przepraszam,zapomniałem ;D.

Fixlog_07-07-2016_06-15-13.txt

milewski200 · 7 Lipca 2016

Może być?

Może być

Dracullus · 30 Grudnia 2016

Witam , mam problem również z tym samym ustrojstwem mógłby ktoś pomóc ? Ludashi i lockhomepage. Reszte wykasowałem acz po każdym resecie te same ,,ustrojstwa" pokazują się ponownie na komputerze mimo użycia malwarebyte i adw. Tutaj podaje logi z FRST

Do tego co jakiś czas pojawia się coś taki komunikat daje screena https://gyazo.com/cbfe5e4b16a7fc36111de786be942102

FRST

Addition

milewski200 · 7 Lipca 2016

Tryb awaryjny pomógł, reklamy prawie znikły (czasami jeszcze się jakaś włączy ), teraz jest ich dużo mniej i wreszcie pisze ze swojego komputera, wcześniej włączało się tyle niechcianych stron, że musiałem pisać z komputera siostry . Trotux cały czas jest w programy i funkcje i nie da się odinstalować, ale komputer chodzi dużo lepiej. Dziękuje

Fixlog.txt

FRST.txt

Addition.txt

Jakub · 7 Lipca 2016

Tu masz fixlist.txt, zapisałem przez Notepad++ zamiast systemowy notatnik. Spróbuj standardowo dać obok FRST.exe i odpalić. Możliwe, że problemy wynikały właśnie przez zapis w notatniku, nie mam pojęcia co dokładnie mogło powodować problem.

fixlist.txt

milewski200 · 7 Lipca 2016

,

Cały czas pisze, że plik fixlist.txt nie został znaleziony

Spróbowałem jeszcze kilka razy i po raz kolejny się zawiesiło.

milewski200 · 5 Lipca 2016

Pomoże ktoś???

Jakub · 7 Lipca 2016

Próbowałeś zapisać w C:\FRST, a FRST masz na pulpicie. Spróbuj przenieś oba plik do innego, jednego folderu. Jak dalej nie będzie działało zawsze możesz spróbować uruchomić komputer w trybie awaryjnym i wtedy spróbować.

Jakub · 7 Lipca 2016

Co do trotuxa w Mozilli -> https://www.pcrisk.pl/narzedzia-usuwania/8370-trotux-com-redirect#a5.

Od razu widać różnicę. Tutaj masz ostatniego fixlist'a, który dobija niezabite resztki. Nie musisz już potem wrzucać żadnych logów, bo nie jest to już potrzebne.

fixlist.txt

milewski200 · 7 Lipca 2016

Jeszcze raz bardzo ci dziękuje za pomoc. Ten wirus był bardzo uciążliwy, fajnie że są tacy ludzie jak ty którzy chętnie dzielą się swoją wiedzą i pomagają innym ;D

Jakub · 7 Lipca 2016

Do odinstalowania:

C:\Program Files\SpaceSoundPro

C:\Program Files\Caster

C:\Program Files (x86)\ShopperPro3

C:\Program Files (x86)\UCBrowser

C:\Program Files (x86)\Mehdom

C:\Program Files (x86)\ttwifi

C:\Program Files (x86)\LuDaShi

Jak coś nie ma deinstalatora to się tym nie przejmujesz i tak jak wyżej lecisz dalej.

Tak jak poprzednio kod do fixlista i "Napraw" w FRST.

Closeprocesses:
HKLM\...\Run: [SpaceSoundPro] => "C:\Program Files\SpaceSoundPro\SpaceSoundPro.exe"
HKLM\...\Run: [WINCOM3LD] => "C:\Program Files (x86)\sunnyday\wincom_3LD.exe"
HKLM\...\Run: [WINCOM27Y] => "C:\Program Files (x86)\sunnyday\wincom_27Y.exe"
HKLM\...\Run: [WINCOM5G2] => "C:\Program Files (x86)\sunnyday\wincom_5G2.exe"
HKLM-x32\...\Run: [apphide] => C:\Program Files (x86)\badu\uc.exe
HKLM-x32\...\Run: [sun21] => "C:\Program Files (x86)\zebi\SunnyDay.exe"
HKU\S-1-5-21-1052041186-1343682735-1810658788-1000\...\Run: [osmsg] => C:\ProgramData\WindowsMsg\osmsg.exe [1943552 2016-06-30] ()
HKU\S-1-5-21-1052041186-1343682735-1810658788-1000\...\Run: [svchost0] => C:\Program Files (x86)\UCBrowser\Application\UUC0789.exe

BHO: Shopper Pro -> {A5A51D2A-505A-4D84-AFC6-E0FA87E47B8C} -> C:\ProgramData\ShopperPro3\ShopperPro364.dll [2015-12-21] ()
BHO-x32: Shopper Pro -> {A5A51D2A-505A-4D84-AFC6-E0FA87E47B8C} -> C:\ProgramData\ShopperPro3\ShopperPro3.dll [2015-12-21] ()
Toolbar: HKU\S-1-5-21-1052041186-1343682735-1810658788-1000 -> Brak nazwy - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  Brak pliku

FF NewTab: hxxp://www.trotux.com/?z=a09b61730510cb660be0d61g3zfqfm1qczbq9ofqdm&from=ftp&uid=SAMSUNGXHD753LJ_S13UJ1KS401794&type=hp
FF DefaultSearchEngine.US: data:text/plain,browser.search.defaultenginename.US=trotux
FF Extension: ShopperPro - C:\Users\Arturas\AppData\Roaming\Mozilla\Firefox\Profiles\3b9l24j9.default\Extensions\{746505DC-0E21-4667-97F8-72EA6BCF5EEF} [2016-04-05]
FF Extension: ShopperPro - C:\Users\Arturas\AppData\Roaming\Profiles\mvbg51nh.default\Extensions\{746505DC-0E21-4667-97F8-72EA6BCF5EEF} [2016-07-04]
FF Extension: GsearchFinder - C:\Users\Arturas\AppData\Roaming\Profiles\mvbg51nh.default\Extensions\@90B817C8-8A5C-413B-9DDD-B2C61ED6E79A.xpi [2016-07-04]
FF Extension: ShopperPro - C:\Users\Arturas\AppData\Roaming\Mozilla\Firefox\..\..\Profiles\mvbg51nh.default\Extensions\{746505DC-0E21-4667-97F8-72EA6BCF5EEF} [2016-07-04]

R2 dowidoly; C:\Program Files (x86)\03000200-1467646100-0500-0006-000700080009\jnsz8C35.tmp [244224 2016-07-04] () [Brak podpisu cyfrowego]
R2 Goajnixp; C:\Users\Arturas\AppData\Roaming\Fidelahaou\Fidelahaou.exe [170496 2016-07-04] () [Brak podpisu cyfrowego]
R2 pojejunozbt; C:\Program Files (x86)\03000200-1467646100-0500-0006-000700080009\knsk7AC2.tmp [167424 2016-07-06] () [Brak podpisu cyfrowego]
R2 rijufoze; C:\Program Files (x86)\03000200-1467646100-0500-0006-000700080009\hnsnA2EB.tmp [138240 2016-07-04] () [Brak podpisu cyfrowego]
R2 Rusjezmiob; C:\Users\Arturas\AppData\Roaming\Uresmugman\Uresmugman.exe [170496 2016-07-04] () [Brak podpisu cyfrowego]
S2 Kaopdeu; "C:\Users\Arturas\AppData\Roaming\IhyjkaKiae\Uuymoa.exe" -cms [X]
S2 shnCldchr.exe; "C:\Program Files (x86)\Mehdom\shnCldchr.exe" {C25DA384-2010-45A4-A1ED-BFA540D4789B} {9DC74CD5-24EA-4ADE-9C42-608A8CE17116} [X]
S2 Vanin; "C:\Users\Arturas\AppData\Roaming\VidtigLenla\Ohudkh.exe" -cms [X]
S2 zigipyro; C:\Users\Arturas\AppData\Local\03000200-1467842944-0500-0006-000700080009\qnsp20D1.tmp [X]
S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2016-07-06] ()
R1 UCGuard; C:\Windows\System32\DRIVERS\ucguard.sys [80768 2016-04-25] (Huorong Borui (Beijing) Technology Co., Ltd.)
S3 catchme; \??\C:\ComboFix\catchme.sys [X]
S3 ComputerZ_x64; \??\C:\Program Files (x86)\LuDaShi\ComputerZ_x64.sys [X]
S3 FairplayKD; \??\C:\ProgramData\MTA San Andreas All\Common\temp\FairplayKD.sys [X]
S2 SPDRIVER_1.42.1.10630; \??\C:\Program Files (x86)\ShopperPro3\JSDriver\1.42.1.10630\jsdrv.sys [X]

NETSVCx32: HpSvc -> Brak ścieżki do pliku.

2016-07-07 06:16 - 2016-07-07 06:16 - 00000000 ____D C:\Users\Arturas\AppData\Roaming\ludashi
2016-07-06 11:19 - 2016-07-06 11:19 - 00000000 ____D C:\Users\Arturas\AppData\Local\SunnyDay21
2016-07-06 11:19 - 2016-07-06 11:19 - 00000000 ____D C:\Users\Arturas\AppData\Local\csdi_monetize_220160705
2016-07-06 11:18 - 2016-07-06 11:32 - 00000000 ____D C:\Program Files\SpaceSoundPro
2016-07-06 11:18 - 2016-07-06 11:18 - 00000000 ____D C:\Users\Arturas\AppData\Local\tuto_monetize_120160705
2016-07-06 11:18 - 2016-07-06 11:18 - 00000000 ____D C:\Program Files\Caster
2016-07-06 11:06 - 2016-07-06 11:06 - 00022704 _____ C:\Windows\system32\Drivers\EsgScanner.sys
2016-07-05 16:06 - 2016-07-05 16:06 - 00000000 ____D C:\Windows\system32\veu
2016-07-05 13:39 - 2016-07-05 13:39 - 00000000 ____D C:\Users\Arturas\AppData\Roaming\MCorp
2016-07-04 22:07 - 2016-07-04 22:07 - 00000000 ____D C:\Windows\system32\tuvy
2016-07-04 22:07 - 2016-07-04 22:07 - 00000000 ____D C:\Windows\system32\erev
2016-07-04 18:01 - 2016-07-04 18:01 - 00000000 ____D C:\Users\Arturas\AppData\Roaming\Fidelahaou
2016-07-04 18:01 - 2016-07-04 18:01 - 00000000 ____D C:\Users\Arturas\AppData\LocalLow0083E300
2016-07-04 18:01 - 2016-07-04 18:01 - 00000000 ____D C:\Users\Arturas\AppData\LocalLow00000000003433E8
2016-07-04 17:39 - 2016-07-04 17:41 - 00000000 ____D C:\Users\Arturas\AppData\Roaming\lockhomepage
2016-07-04 17:35 - 2016-07-07 06:18 - 00000460 _____ C:\Windows\Tasks\UCBrowserUpdater.job
2016-07-04 17:35 - 2016-07-05 13:31 - 00000000 ____D C:\Users\Arturas\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器
2016-07-04 17:35 - 2016-07-04 17:35 - 00003438 _____ C:\Windows\System32\Tasks\UCBrowserUpdater
2016-07-04 17:35 - 2016-07-04 17:35 - 00000000 ____D C:\Users\Arturas\AppData\Local\UCBrowser
2016-07-04 17:35 - 2016-04-25 20:55 - 00080768 _____ (Huorong Borui (Beijing) Technology Co., Ltd.) C:\Windows\system32\Drivers\ucguard.sys
2016-07-04 17:34 - 2016-07-04 18:00 - 00000000 ____D C:\Users\Arturas\AppData\Local\app
2016-07-04 17:34 - 2016-07-04 17:34 - 00003028 _____ C:\Windows\System32\Tasks\ttwifi
2016-07-04 17:34 - 2016-07-04 17:34 - 00002964 _____ C:\Windows\System32\Tasks\Pritc
2016-07-04 17:34 - 2016-07-04 17:34 - 00002924 _____ C:\Windows\System32\Tasks\osTip
2016-07-04 17:34 - 2016-07-04 17:34 - 00000000 ____D C:\Users\Arturas\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk
2016-07-04 17:34 - 2016-07-04 17:34 - 00000000 ____D C:\ProgramData\WindowsMsg
2016-07-04 17:33 - 2016-07-04 17:33 - 00008956 _____ C:\Windows\System32\Tasks\Shanot Cloud
2016-07-04 17:33 - 2016-07-04 17:33 - 00000000 ____D C:\Users\Arturas\AppData\Roaming\Uresmugman
2016-07-04 17:33 - 2016-07-04 17:33 - 00000000 ____D C:\Users\Arturas\AppData\LocalLow0091E8E0
2016-07-04 17:33 - 2016-07-04 17:33 - 00000000 ____D C:\Users\Arturas\AppData\LocalLow000000000034E348
2016-07-04 17:33 - 2016-07-04 17:33 - 00000000 ____D C:\Users\Arturas\AppData\LocalLow\Company
2016-07-04 17:33 - 2016-07-04 17:33 - 00000000 ____D C:\Users\Arturas\AppData\LocalLow\{D2020D47-707D-4E26-B4D9-739C4F4C2E9A}
2016-07-04 17:32 - 2016-07-04 17:35 - 00000000 ____D C:\Program Files\Weqdobyaigigb
2016-07-04 17:32 - 2016-07-04 17:33 - 00000000 ____D C:\Users\Arturas\AppData\Local\vefershcoobasyphijaent
2016-07-04 15:04 - 2016-07-04 18:01 - 00082240 _____ (Cherimoya Ltd) C:\Windows\system32\Drivers\cherimoya.sys
2016-06-18 13:57 - 2016-06-18 13:57 - 00003172 _____ C:\Windows\System32\Tasks\UNELEVATE_448

2016-07-04 17:27 - 2016-07-04 17:27 - 00694920 _____ C:\Users\Arturas\Downloads\Twierdza Krzyżowiec - Crack.rar
2016-07-04 17:25 - 2016-07-04 17:25 - 00692740 _____ (Taiwan Country) C:\Users\Arturas\Downloads\TwierdzaKrzyzowiecIICrack__7934_il14737.exe


C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat

Task: {54A2BAA6-AE15-4DC0-80AC-5936F24B5B70} - System32\Tasks\ShopperPro3 => C:\Program Files (x86)\ShopperPro3\ShopperPro3.exe <==== UWAGA
Task: {625F1493-25E3-4B13-B8F4-9DB1995283DF} - System32\Tasks\UCBrowserUpdater => C:\Program Files (x86)\UCBrowser\Application\update_task.exe
Task: {6C97DAA9-FE99-45DF-BD2A-22E830ADECFD} - System32\Tasks\UNELEVATE_30799 => C:\Program Files (x86)\ShopperPro3\JSDriver\1.42.1.10630\jsdrv.exe <==== UWAGA
Task: {8160E540-65EA-4EC8-97B7-51BB06A6D829} - System32\Tasks\Pritc => C:\Users\Arturas\AppData\Local\Temp\00002547\casrss.exe <==== UWAGA
Task: {860D0CAF-BD0C-4DDD-87FF-3B6956425370} - System32\Tasks\osTip => C:\ProgramData\WindowsMsg\osmsg.exe [2016-06-30] ()
Task: {8CEF43AF-AE7D-47B9-9708-84074C48B3AC} - System32\Tasks\UNELEVATE_17376 => C:\Program Files (x86)\ShopperPro3\JSDriver\1.42.1.10630\jsdrv.exe <==== UWAGA
Task: {ACBF80D0-EC32-4EBD-B713-58BDB8D068F7} - System32\Tasks\Shanot Cloud => C:\Program Files (x86)\Mehdom\shnCldphv.exe
Task: {B54545AB-DFDF-414C-8C93-5E9CB58262CB} - System32\Tasks\ttwifi => C:\Program Files (x86)\ttwifi\tiantianwifi.exe
Task: {E014714B-3808-4041-9BDA-4D5471B3B3DF} - System32\Tasks\UNELEVATE_7239 => C:\Program Files (x86)\ShopperPro3\JSDriver\1.42.1.10630\jsdrv.exe <==== UWAGA
Task: {F3DC225A-77B1-4396-ACF9-B7E389394769} - System32\Tasks\UNELEVATE_448 => C:\Program Files (x86)\ShopperPro3\JSDriver\1.42.1.10630\jsdrv.exe <==== UWAGA
Task: {FF822493-D753-4AD4-BD9A-DEF292710B61} - System32\Tasks\ShopperProJSUpd => C:\Program Files (x86)\ShopperPro3\updater.exe <==== UWAGA
Task: C:\Windows\Tasks\UCBrowserUpdater.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe

FirewallRules: [{95512456-5F93-43A1-95AC-85A625E5350D}] => (Allow) C:\Program Files (x86)\UCBrowser\Application\UCBrowser.exe
FirewallRules: [{1645D166-4632-458C-81C9-9E25F93C914D}] => (Allow) C:\Program Files (x86)\UCBrowser\Application\Downloader\download\MiniThunderPlatform.exe
FirewallRules: [{4227B19A-D965-4ADF-84E7-400289ED1C34}] => (Allow) C:\Program Files (x86)\LuDaShi\ComputerZTray.exe
FirewallRules: [{FAC809D7-44EE-4467-916B-5192B4551058}] => (Allow) C:\Program Files (x86)\LuDaShi\ComputerZTray.exe
FirewallRules: [{779099CD-B366-4A95-BBC8-051256EEB67E}] => (Allow) C:\Program Files (x86)\LuDaShi\Utils\mininews.exe
FirewallRules: [{6EC48046-E5EE-4665-B272-6CE61705DD4D}] => (Allow) C:\Program Files (x86)\LuDaShi\Utils\mininews.exe

C:\Program Files\Weqdobyaigigb
C:\Program Files (x86)\03000200-1467646100-0500-0006-000700080009
C:\Program Files (x86)\badu
C:\Program Files (x86)\sunnyday
C:\ProgramData\ShopperPro3
C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat
C:\Users\Arturas\AppData\Roaming\Fidelahaou
C:\Users\Arturas\AppData\Roaming\lockhomepage
C:\Users\Arturas\AppData\Roaming\Uresmugman
C:\Users\Arturas\AppData\Local\03000200-1467842944-0500-0006-000700080009
C:\Users\Arturas\AppData\Local\csdi_monetize_220160705
C:\Users\Arturas\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk
C:\Users\Arturas\AppData\Local\SunnyDay21
C:\Users\Arturas\AppData\Local\tuto_monetize_120160705
C:\Users\Arturas\AppData\Local\UCBrowser
C:\Users\Arturas\AppData\Local\vefershcoobasyphijaent
C:\Users\Arturas\AppData\LocalLow00000000003433E8
C:\Users\Arturas\AppData\LocalLow000000000034E348
C:\Users\Arturas\AppData\LocalLow0083E300
C:\Users\Arturas\AppData\LocalLow0091E8E0

Hosts:
EmptyTemp:

Jak skończysz to podeślij ponownie fixlog + frst.txt + additions.txt.

P.S. nie odpalaj na razie nic (a szczególnie twierdzy, bo prawdopodobnie od Twojego cracka zaczęła się infekcja), bo jak walczenie z wiatrakami.

Zaloguj się

👋 Witaj na MPCForum!

Mam wirusa, proszę o pomoc!

Pytanie

18 odpowiedzi na to pytanie

Rekomendowane odpowiedzi

Zarchiwizowany