tomjabco
(Tomjabco)
31 Sierpień 2016 20:45
#1
Witam. Przypadkowa instalacja MPC cleaner spowodowała problemy z systemem. Część syfu udało mi się usunąć ale nie do końca.
Brak pliku run.vbs efekt czarny pulpit. Zmieniłem w rejestrze sposób logowania niby pomogło ale po każdym uruchomieniu systemu nie uruchamia się explorer.
Musze go uruchamiać poprzez menadżera zadań. Po za tym komp muli.
Wklejam logi z FRST:
FRST- http://www.wklej.org/hash/4b902de4db2/
Addition- http://www.wklej.org/hash/e74a3fb73c6/
Proszę bardzo o pomoc.
Atis
(Atis)
1 Wrzesień 2016 16:16
#2
Usuń tego śmiecia, bo AdwCleaner pobiera się z strony producenta.
Otwórz folder: C:\Program Files (x86)\MPC Cleaner
Kliknij prawym na pliku Uninstall i wybierz Uruchom jako administrator.
W panelu sterowania odinstaluj:
NoVirusThanks Registry DeleteEx v1.0
SpyHunter
WinThruster
WiperSoft
Pobierz i uruchom AdwCleaner Kliknij Skanuj (Scan) i później Oczyść (Clean).
Kliknij Skanuj (Scan) i pokaż nowy raport FRST i Addition.
tomjabco
(Tomjabco)
1 Wrzesień 2016 19:50
#3
Zrobiłem wszystko co napisałeś.
AdwCleaner znalazł 206 zagrożeń niestety po kliknięciu Oczyść program zaczyna prace i się zatrzymuje (brak odpowiedzi)
potem już tylko twardy reset.
Oczyszczanie zrobiłem na raty.
Została do usunięcia usługa UCGuard ( na niej wiesza się AdwCleaner)
plik usguard.sys jest usuwany ale po restarcie kompa dalej jest
a w zakładce WMI taki wpis \root\substyction też jest usuwany ale po restarcie wraca
czyli dalej 3 zagrożenia
Wklejam logi z FRST:
FRST-http://wklej.org/id/2816326/
Addition-http://wklej.org/id/2816327/
Atis
(Atis)
1 Wrzesień 2016 22:21
#4
Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :
HKLM-x32…\Run: [] => [X] HKLM-x32…\Run: [win_en_77] => [X] HKLM…\Winlogon: [Userinit] C:\Windows\run.vbs HKU\S-1-5-21-4165737259-23623537-3203732327-1000…\Run: [svchost0] => “C:\Program Files (x86)\UCBrowser\Application\UCBrowser.exe”\UUC0789.exe ShellExecuteHooks: - {6710C780-E20E-4C49-A87D-321850ED3D7C} - Brak pliku [] ShellIconOverlayIdentifiers: [JzShlobj] -> {7B286609-DA97-47E1-AC6B-33B8B4732C95} => Brak pliku SearchScopes: HKU\S-1-5-21-4165737259-23623537-3203732327-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = S2 gupdate; “C:\Program Files (x86)\Google\Update\GoogleUpdate.exe” /svc [X] S3 gupdatem; “C:\Program Files (x86)\Google\Update\GoogleUpdate.exe” /medsvc [X] S2 moserslifoingCommunityRrw.exe; “C:\Program Files (x86)\Verleried\moserslifoingCommunityRrw.exe” {C25DA384-2010-45A4-A1ED-BFA540D4789B} {9DC74CD5-24EA-4ADE-9C42-608A8CE17116} [X] R1 UCGuard; C:\Windows\System32\DRIVERS\ucguard.sys [81792 2016-08-02] (Huorong Borui (Beijing) Technology Co., Ltd.) <==== UWAGA S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2016-08-31] () C:\Windows\System32\DRIVERS\EsgScanner.sys C:\Windows\System32\DRIVERS\ucguard.sys 2016-09-01 21:23 - 2016-09-01 22:40 - 00000000 ____D C:\AdwCleaner 2016-08-31 11:26 - 2016-09-01 21:22 - 00000000 ____D C:\Program Files\WiperSoft 2016-08-31 05:28 - 2016-08-31 05:28 - 00000000 ____D C:\ProgramData\USOShared 2016-08-31 05:28 - 2016-08-31 05:28 - 00000000 ____D C:\ProgramData\USOPrivate 2016-08-31 02:46 - 2016-09-01 13:07 - 00000000 ____D C:\WINDOWS\4FC9DA9DF608454E8191D7EFFDCC5726.TMP 2016-08-31 02:46 - 2016-08-31 02:46 - 00000000 ____D C:\Program Files (x86)\Enigma Software Group 2016-08-31 02:27 - 2016-08-31 02:27 - 00000000 _____ C:\autoexec.bat 2016-08-31 02:26 - 2016-08-31 02:26 - 03516080 _____ (Enigma Software Group USA, LLC.) C:\Users\Tom\Desktop\SpyHunter-Installer.exe 2016-08-31 02:12 - 2016-09-01 13:25 - 00014456 ____N (NoVirusThanks Company Srl) C:\WINDOWS\system32\Drivers\RegDeleteEx.sys 2016-08-31 02:12 - 2016-08-31 02:12 - 00000000 ____D C:\Program Files\NoVirusThanks 2016-08-31 00:36 - 2016-08-31 00:35 - 00001188 _____ C:\WINDOWS\system32\Drivers\etc\hp.bak 2016-08-31 00:35 - 2016-09-01 22:53 - 00000464 _____ C:\WINDOWS\Tasks\UCBrowserUpdater.job 2016-08-31 00:35 - 2016-08-31 01:37 - 00000000 ____D C:\Users\Tom\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器 2016-08-31 00:35 - 2016-08-31 00:35 - 00003478 _____ C:\WINDOWS\System32\Tasks\UCBrowserUpdater 2016-08-31 00:35 - 2016-08-31 00:35 - 00000000 ____D C:\Users\Tom\AppData\Local\UCBrowser 2016-08-31 00:35 - 2016-08-02 15:42 - 00081792 _____ (Huorong Borui (Beijing) Technology Co., Ltd.) C:\WINDOWS\system32\Drivers\ucguard.sys 2016-08-31 00:01 - 2016-02-09 20:51 - 00000000 ____D C:\Temp 2016-08-31 00:37 - 2016-08-31 00:37 - 0018336 _____ () C:\Users\Tom\AppData\Roaming\InstallationConfiguration.xml 2016-08-31 00:37 - 2016-08-31 00:37 - 0138240 _____ () C:\Users\Tom\AppData\Roaming\Installer.dat 2016-02-11 14:29 - 2016-02-11 14:29 - 0000003 _____ () C:\Users\Tom\AppData\Local\updater.log 2016-02-11 14:29 - 2016-08-11 01:25 - 0000424 _____ () C:\Users\Tom\AppData\Local\UserProducts.xml 2016-05-17 16:06 - 2016-05-17 16:08 - 0000000 _____ () C:\Users\Tom\AppData\Local{B7F7C2BC-6F22-46BA-AFCD-847B0D9130EA} 2016-05-17 16:08 - 2016-05-17 16:08 - 0000000 _____ () C:\Users\Tom\AppData\Local{C577F2ED-61A0-43FC-ACAC-41211F1248D4} Task: {056CB01E-BBCD-4356-AAC2-5E3C1A5BAC38} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku <==== UWAGA Task: {0C00AAA4-DD06-4157-8DED-5C2D2AA83CD5} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku <==== UWAGA Task: {154A937B-3EE7-4F6F-A65F-FB5EA601CE00} - \Microsoft\Windows\Setup\gwx\rundetector -> Brak pliku <==== UWAGA Task: {3B2FE0FB-E650-4BAE-A613-BB114D668B1A} - \cFos\Registration Tasks\Open Browser -> Brak pliku <==== UWAGA Task: {7C2A666E-5E19-4527-92A1-4F511A99CD9C} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku <==== UWAGA Task: {8CD517A3-5C4D-4478-8EAD-3BC1872836B2} - System32\Tasks\UCBrowserUpdater => C:\Program Files (x86)\UCBrowser\Application\update_task.exe <==== UWAGA Task: {B6CB58BF-1D6E-4828-9977-66BADC8F0F6C} - \Microsoft\Windows\Setup\EOONotify -> Brak pliku <==== UWAGA Task: {CD0243A0-43D3-4298-B176-C99798DBDB9A} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> Brak pliku <==== UWAGA Task: {DF215962-782C-4C70-8B92-9AA89B8E9BB3} - System32\Tasks\b103958fac63462bbc5251603d9e9c7b => C:\PROGRA~2\z8m7E97\tei7E97.bat <==== UWAGA C:\PROGRA~2\z8m7E97 C:\Windows\run.vbs Task: {F7221363-3F64-4659-A3EB-B8F777F02D9F} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku <==== UWAGA Task: C:\WINDOWS\Tasks\Microsoft_Hardware_Launch_vVX3000_exe.job => C:\WINDOWS\vVX3000.exe WMI_ActiveScriptEventConsumer_ASEC: <===== UWAGA ShortcutWithArgument: C:\Users\Tom\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://yeabests.cc ShortcutWithArgument: C:\Users\Tom\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Opera12.17 1863 (2).lnk -> C:\Program Files\Opera x64\opera.exe (Opera Software) -> hxxp://yeabests.cc ShortcutWithArgument: C:\Users\Tom\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Opera12.17 1863.lnk -> C:\Program Files (x86)\Opera\opera.exe (Opera Software) -> hxxp://yeabests.cc ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera 12.18 1873.lnk -> C:\Program Files\Opera x64\opera.exe (Opera Software) -> hxxp://yeabests.cc ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk -> C:\Program Files (x86)\Opera\opera.exe (Opera Software) -> hxxp://yeabests.cc Hosts: EmptyTemp:
Uruchom FRST i kliknij Napraw (Fix). Pokaż raport z usuwania Fixlog.
Kliknij Skanuj (Scan) i pokaż nowy raport z FRST bez Addition i Shortcut.
tomjabco
(Tomjabco)
2 Wrzesień 2016 09:42
#5
Atis
(Atis)
2 Wrzesień 2016 09:54
#6
Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :
Uruchom FRST i kliknij Napraw (Fix). Skasuj folder C:\FRST
Dysk przeskanuj Malwarebytes Anti-Malware
Podczas instalacji usuń zaznaczenie przy Uruchom okres testowy Malwarebytes Anti-Malware Premium: KLIK
Przeczytaj w jaki sposób należy instalować programy: KLIK - KLIK - KLIK
Włącz przywracanie systemu dla dysku systemowego C:
http://www.tenforums.com/tutorials/4533-system-protection-turn-off-drives-windows-10-a.html
tomjabco
(Tomjabco)
2 Wrzesień 2016 12:26
#7
Wszystko zrobiłem.
Malwarebytes Anti-Malware nic nie znalazło.
Przywracanie systemu włączone.
Wygląda na to, że system działa prawidłowo.
Serdecznie dziękuję za pomoc.
Niech Ci Bozia w dzieciach wynagrodzi:)))