Zamulony komputer ponad 1300 zakażeń

eloelotom · 18 Wrzesień 2015 17:03

Witam.

Po osttaniej wizycie mojego kuzyna zaczeły wyskakiwać najróżniejsze okienka reklamy etc. Po przeskanowaniu malwarebytem ukazała się liczba zakażań aż ponad 1300. Posiadam jakieś dziwne applikacje,których wcześniej nie było. Usunołem to co mi się udało. Proszę o sprawdzenie logów oraz pomoc co mogę wyrzucić a co nie.

Raporty FRST

http://www.wklej.org/id/1799185/

http://www.wklej.org/id/1799183/

Acorus · 18 Wrzesień 2015 17:43

Odinstaluj ASUS WebStorage.Otwórz notatnik systemowy i wklej:

CloseProcesses:
Task: {06DEA211-1DB1-4638-9D0B-46ADADCCDF5C} - System32\Tasks\YTDownloader => C:\Program Files (x86)\YTDownloader\YTDownloader.exe <==== UWAGA
Task: {2D355A12-7BA2-4000-A2EB-5F4EBA5E7F82} - System32\Tasks\QQBrowser Udpater Task(Core) => C:\Program Files (x86)\Tencent\QQBrowser\QQBrowser.exe [2015-09-17] (Tencent Inc.)
Task: {389A8743-009E-45B7-B796-B621CFC75E5C} - System32\Tasks\QQBrowser Udpater Task => C:\Program Files (x86)\Tencent\QQBrowser\QQBrowser.exe [2015-09-17] (Tencent Inc.)
Task: {4DA823BC-62C5-4481-B5B7-0273615271E4} - \WordWizard Auto Updater 1.10.0.24 Pending Update -> Brak pliku <==== UWAGA
Task: {8054FA4A-ACB1-4125-828D-5A3D6256A02F} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-2119910113-1271488951-3353211910-1000Core => C:\Users\tomasz\AppData\Local\Facebook\Update\FacebookUpdate.exe [2013-12-05] (Facebook Inc.)
Task: {977FB273-5E9D-4042-A0F8-F79971FA1BCC} - System32\Tasks\Gejltwwchn => Rundll32.exe "C:\WINDOWS\SysWOW64\adsmsexti.dll",RFWMNOCSLK
Task: {9EB5D1C3-6A2A-40B8-B1D4-60B0B7EB820E} - \SPBIW_UpdateTask_Time_3631303336393634332d45372a5a506c41324a345741 -> Brak pliku <==== UWAGA
Task: {B9EA9607-171F-4402-BFCF-8D9012612370} - System32\Tasks\YTDownloaderUpd => C:\Program Files (x86)\YTDownloader\updater.exe <==== UWAGA
Task: {BFE81603-EF09-46BA-A3DC-5E5B350A5B83} - \WordWizard Auto Updater 1.10.0.24 Core -> Brak pliku <==== UWAGA
Task: {C1A339AB-8720-4B4B-B3AB-E0CBEA55CC40} - System32\Tasks\AdobeoaUpdate Ver 2015917 => C:\Users\tomasz\AppData\Roaming\wenguanjia\Lazyld.exe
Task: {EFA8C3BF-5971-4ADF-BB20-8A2B711FB9B6} - \ShopperProJSUpd -> Brak pliku <==== UWAGA
Task: C:\WINDOWS\Tasks\AdobeoaUpdate Ver 2015917.job => C:\Users\tomasz\AppData\Roaming\wenguanjia\Lazyld.exe/check_update C:\Users\tomasz\AppData\Roaming\wenguanjia\
ABC\tomasz(This task detect has update.Ver
Task: C:\WINDOWS\Tasks\FacebookUpdateTaskUserS-1-5-21-2119910113-1271488951-3353211910-1000Core.job => C:\Users\tomasz\AppData\Local\Facebook\Update\FacebookUpdate.exe
Task: C:\WINDOWS\Tasks\Gejltwwchn.job => C:\WINDOWS\system32\rundll32.exe0 C:\WINDOWS\SysWOW64\adsmsexti.dll
Task: C:\WINDOWS\Tasks\QQBrowser Udpater Task(Core).job => C:\Program Files (x86)\Tencent\QQBrowser\QQBrowser.exe
Task: C:\WINDOWS\Tasks\QQBrowser Udpater Task.job => C:\Program Files (x86)\Tencent\QQBrowser\QQBrowser.exe
HKLM\...\Run: [ASUS WebStorage] => C:\Program Files (x86)\ASUS\ASUS WebStorage\SERVICE\AsusWSService.exe [1754448 2010-03-16] ()
HKLM-x32\...\Run: [wenguanjia] => C:\Users\tomasz\AppData\Roaming\wenguanjia\Lazyld.exe /autorun
HKLM-x32\...\Run: [QQPCTray] => C:\Program Files (x86)\Tencent\QQPCMgr\10.11.16575.227\QQPCTRAY.EXE [355296 2015-09-17] (Tencent)
HKU\S-1-5-21-2119910113-1271488951-3353211910-1000\...\Run: [HCDNClient] => C:\IQIYI Video\LStyle\QyKernel.exe [576104 2015-09-18] (iQIYI.COM)
ShellIconOverlayIdentifiers: [.QMDeskTopGCIcon] -> {B7667919-3765-4815-A66D-98A09BE662D6} => C:\Program Files (x86)\Tencent\QQPCMgr\10.11.16575.227\QMGCShellExt64.dll [2015-09-17] (Tencent)
Startup: C:\Users\tomasz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\爱奇艺PPS影音.lnk [2015-09-18]
ShortcutTarget: 爱奇艺PPS影音.lnk -> C:\IQIYI Video\LStyle\QyClient.exe (爱奇艺)
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.hao123.com/?tn=94493384_hao_pg
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL =
SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL =
SearchScopes: HKU\.DEFAULT -> {483830EE-A4CD-4b71-B0A3-3D82E62A6909} URL =
SearchScopes: HKU\S-1-5-21-2119910113-1271488951-3353211910-1000 -> DefaultScope {A060E7FB-91F5-4c7c-BD0F-4A11A581D878} URL = hxxps://www.baidu.com/s?wd={searchTerms}&tn=96010190_dg
SearchScopes: HKU\S-1-5-21-2119910113-1271488951-3353211910-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-21-2119910113-1271488951-3353211910-1000 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL =
SearchScopes: HKU\S-1-5-21-2119910113-1271488951-3353211910-1000 -> {A060E7FB-91F5-4c7c-BD0F-4A11A581D878} URL = hxxps://www.baidu.com/s?wd={searchTerms}&tn=96010190_dg
BHO: 电脑管家网页防火墙 -> {7C260B4B-F7A0-40B5-B403-BEFCDC6A4C3B} -> C:\Program Files (x86)\Tencent\QQPCMgr\10.11.16575.227\TSWebMon64.dat [2015-09-17] (Tencent)
BHO-x32: Ó¦ÓĂ±¦Ň»Ľü°˛×°˛ĺĽţ -> {50F4150A-48B2-417A-BE4C-C83F580FB904} -> C:\Program Files (x86)\Common Files\Tencent\QQPhoneManager\2.0.201.3198\npQQPhoneManagerExt.dll [2014-05-30] (腾讯公司)
BHO-x32: °®ĆćŇŐÖúĘÖ -> {FB4F6285-4C32-49F2-950F-A5998F9CEC6C} -> C:\IQIYI Video\LStyle\Accelerator\IEHelper.dll [2015-08-04] (爱奇艺)
StartMenuInternet: IEXPLORE.EXE - iexplore.exe
FF Plugin-x32: @iqiyi.com/npclient -> C:\IQIYI Video\LStyle\npclient.dll [2015-08-04] ()
FF Plugin-x32: @qq.com/npAndroidAssistant -> C:\Program Files (x86)\Common Files\Tencent\QQPhoneManager\2.0.201.3198\npQQPhoneManagerExt.dll [2014-05-30] (腾讯公司)
FF Plugin-x32: @qq.com/QQPCMgr -> C:\Program Files (x86)\Tencent\QQPCMgr\10.11.16575.227\npQMExtensionsMozilla.dll [2015-09-17] (Tencent Technology (Shenzhen) Company Limited)
R2 PerfTraceService; C:\Program Files (x86)\Tencent\QQBrowser\Service\PerfTraceService.exe [278880 2015-09-17] ()
R2 QQPCRTP; C:\Program Files (x86)\Tencent\QQPCMgr\10.11.16575.227\QQPCRTP.exe [301728 2015-09-17] (Tencent)
S3 TAOFrame; C:\Program Files (x86)\Tencent\QQPCMgr\10.11.16575.227\TAOFrame.exe [293856 2015-09-17] (Tencent)
R2 QQSysMonX64; C:\Program Files (x86)\Tencent\QQPCMgr\10.11.16575.227\QQSysMonX64.sys [138040 2015-09-17] (电脑管家)
R2 TAOAccelerator; C:\WINDOWS\system32\Drivers\TAOAccelerator64.sys [74040 2015-09-17] (Tencent)
R1 TAOKernelDriver; C:\Windows\System32\Drivers\TAOKernel64.sys [274232 2015-09-17] (Tencent Technology(Shenzhen) Company Limited)
R3 TFsFlt; C:\Windows\System32\Drivers\TFsFltX64.sys [87864 2015-09-17] (电脑管家)
R3 TS888x64; C:\Program Files (x86)\Tencent\QQPCMgr\10.11.16575.227\TS888x64.sys [28984 2015-09-18] (Tencent)
S1 TSDefenseBt; C:\Program Files (x86)\Tencent\QQPCMgr\10.11.16575.227\TSDefenseBT64.sys [28472 2015-09-17] (Tencent)
R4 TSSysKit; C:\Program Files (x86)\Tencent\QQPCMgr\10.11.16575.227\TSSysKit64.sys [87352 2015-09-17] (电脑管家)
U3 idsvc; Brak ImagePath
S3 VBoxNetFlt; \SystemRoot\system32\DRIVERS\VBoxNetFlt.sys [X]
S3 wfpcapture; \SystemRoot\System32\drivers\wfpcapture.sys [X]
U3 wpcsvc; Brak ImagePath
2015-09-18 17:21 - 2015-09-18 17:21 - 00001749 _____ C:\Users\tomasz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\爱奇艺PPS影音.lnk
2015-09-18 17:21 - 2015-09-18 17:21 - 00001715 _____ C:\Users\tomasz\Desktop\爱奇艺PPS 影音.lnk
2015-09-18 17:21 - 2015-09-18 17:21 - 00001234 _____ C:\Users\tomasz\Desktop\全网影视.lnk
2015-09-18 17:21 - 2015-09-18 17:21 - 00000000 ____ D C:\Users\tomasz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\爱奇艺
2015-09-18 17:16 - 2015-09-18 17:42 - 00000000 ____ D C:\Users\tomasz\AppData\Roaming\IQIYI Video
2015-09-18 17:16 - 2015-09-18 17:27 - 00000000 ____ D C:\ProgramData\IQIYI Video
2015-09-17 23:47 - 2015-09-18 17:21 - 00001026 _____ C:\Users\tomasz\Desktop\PPS游戏大厅.lnk
2015-09-17 23:44 - 2015-09-17 23:44 - 00000000 ____ D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\腾讯软件
2015-09-17 22:46 - 2015-09-17 22:46 - 00000000 ____ D C:\ProgramData\TXQMPC
2015-09-17 22:44 - 2015-09-18 17:18 - 00000302 _____ C:\WINDOWS\Tasks\QQBrowser Udpater Task.job
2015-09-17 22:44 - 2015-09-18 16:57 - 00000306 _____ C:\WINDOWS\Tasks\QQBrowser Udpater Task(Core).job
2015-09-17 22:44 - 2015-09-17 22:44 - 00003268 _____ C:\WINDOWS\System32\Tasks\QQBrowser Udpater Task
2015-09-17 22:44 - 2015-09-17 22:44 - 00002654 _____ C:\WINDOWS\System32\Tasks\QQBrowser Udpater Task(Core)
2015-09-17 22:42 - 2015-09-17 22:42 - 00000000 ____ D C:\Program Files\Common Files\Tencent
2015-09-17 22:41 - 2015-09-17 22:38 - 00074040 _____ (Tencent) C:\WINDOWS\system32\Drivers\TAOAccelerator64.sys
2015-09-17 22:40 - 2015-09-17 23:43 - 00000000 ____ D C:\Users\tomasz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\腾讯软件
2015-09-17 22:40 - 2015-09-17 22:38 - 00274232 _____ (Tencent Technology(Shenzhen) Company Limited) C:\WINDOWS\system32\Drivers\TAOKernel64.sys
2015-09-17 22:40 - 2015-09-17 22:38 - 00087864 _____ (电脑管家) C:\WINDOWS\system32\Drivers\TFsFltX64.sys
2015-09-17 22:37 - 2015-09-17 23:04 - 00000000 ____ D C:\Users\tomasz\AppData\Roaming\Tencent
2015-09-17 22:37 - 2015-09-17 22:56 - 00000000 ____ D C:\ProgramData\Tencent
2015-09-17 22:37 - 2015-09-17 22:44 - 00000000 ____ D C:\Program Files (x86)\Tencent
2015-09-17 21:42 - 2015-09-18 18:30 - 00000468 _____ C:\WINDOWS\Tasks\AdobeoaUpdate Ver 2015917.job
2015-09-17 21:42 - 2015-09-18 16:57 - 00000000 ____ D C:\Users\tomasz\AppData\Roaming\wenguanjia
2015-09-17 21:42 - 2015-09-17 21:42 - 00003594 _____ C:\WINDOWS\System32\Tasks\AdobeoaUpdate Ver 2015917
2015-09-17 21:42 - 2015-09-17 21:42 - 00000000 ____ D C:\Users\tomasz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\文管家(917)
2015-09-17 21:42 - 2015-09-17 21:42 - 00000000 ____ D C:\ProgramData\adb
2015-09-17 21:38 - 2015-09-18 17:42 - 00000000 ____ D C:\IQIYI Video
2015-09-17 21:38 - 2015-09-17 21:38 - 00000000 ____ D C:\Users\Public\QiYi
2015-09-17 21:37 - 2015-09-18 18:19 - 00000000 ____ D C:\Program Files (x86)\YTDownloader
C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.

eloelotom · 18 Wrzesień 2015 19:10

http://www.wklej.org/id/1799280/

FRST w czasie pracy wyświetlił brak odpowiedzi więc wyłączyłem go przy pomocy menagera urządzań. po ponownym starcie skączył swoją prace

Acorus · 18 Wrzesień 2015 19:18

Pokaż nowy log z FRST.

eloelotom · 19 Wrzesień 2015 08:33

http://www.wklej.org/id/1799501/

Może ktoś wie jak usunąć ten program pochodzący z Azji. Bardzo mnie irytuje.

Acorus · 19 Wrzesień 2015 08:51

Wykonaj w trybie awaryjnym.Otwórz notatnik systemowy i wklej:

CloseProcesses:
HKLM-x32\...\Run: [QQPCTray] => C:\Program Files (x86)\Tencent\QQPCMgr\10.11.16575.227\QQPCTRAY.EXE [355296 2015-09-17] (Tencent)
Startup: C:\Users\tomasz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\爱奇艺PPS影音.lnk [2015-09-18]
ShortcutTarget: 爱奇艺PPS影音.lnk -> C:\IQIYI Video\LStyle\QyClient.exe (Brak pliku)
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.hao123.com/?tn=94493384_hao_pg
BHO: 电脑管家网页防火墙 -> {7C260B4B-F7A0-40B5-B403-BEFCDC6A4C3B} -> C:\Program Files (x86)\Tencent\QQPCMgr\10.11.16575.227\TSWebMon64.dat [2015-09-17] (Tencent)
FF Plugin: @iqiyi.com/npclient -> C:\IQIYI Video\LStyle\npclient.dll [Brak pliku]
FF Plugin HKU\S-1-5-21-2119910113-1271488951-3353211910-1000: @iqiyi.com/npWebPlayer -> C:\IQIYI Video\LStyle\npWebPlayer.dll Brak pliku
R2 QQPCRTP; C:\Program Files (x86)\Tencent\QQPCMgr\10.11.16575.227\QQPCRTP.exe [301728 2015-09-17] (Tencent)
R1 QMUdisk; C:\Program Files (x86)\Tencent\QQPCMgr\10.11.16575.227\QMUdisk64.sys [62264 2015-09-17] (Tencent)
R2 QQSysMonX64; C:\Program Files (x86)\Tencent\QQPCMgr\10.11.16575.227\QQSysMonX64.sys [138040 2015-09-17] (电脑管家)
R3 TFsFlt; C:\Windows\System32\Drivers\TFsFltX64.sys [87864 2015-09-17] (电脑管家)
S1 TSDefenseBt; C:\Program Files (x86)\Tencent\QQPCMgr\10.11.16575.227\TSDefenseBT64.sys [28472 2015-09-17] (Tencent)
2015-09-19 10:16 - 2015-09-19 10:16 - 00000000 ____ D C:\ProgramData\TXQMPC
2015-09-19 10:15 - 2015-08-21 19:24 - 00087160 _____ (Tencent) C:\WINDOWS\system32\Drivers\TAOAccelerator64.sys
2015-09-18 17:22 - 2015-09-18 17:22 - 00000000 ____ D C:\Users\tomasz\AppData\Roaming\ppslog
2015-09-18 17:22 - 2015-09-18 17:22 - 00000000 ____ D C:\Users\tomasz\AppData\Local\SysassistByHotWheel
2015-09-18 17:21 - 2015-09-18 17:21 - 00001749 _____ C:\Users\tomasz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\爱奇艺PPS影音.lnk
2015-09-18 17:21 - 2015-09-18 17:21 - 00001715 _____ C:\Users\tomasz\Desktop\爱奇艺PPS 影音.lnk
2015-09-18 17:21 - 2015-09-18 17:21 - 00001234 _____ C:\Users\tomasz\Desktop\全网影视.lnk
2015-09-18 17:21 - 2015-09-18 17:21 - 00000000 ____ D C:\Users\tomasz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\爱奇艺
2015-09-18 16:57 - 2015-09-18 16:57 - 00028984 _____ (Tencent) C:\WINDOWS\SysWOW64\Drivers\TS888x64.sys
2015-09-17 23:47 - 2015-09-18 17:21 - 00001026 _____ C:\Users\tomasz\Desktop\PPS游戏大厅.lnk
2015-09-17 23:44 - 2015-09-17 23:44 - 00000000 ____ D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\腾讯软件
2015-09-17 22:42 - 2015-09-17 22:42 - 00000000 ____ D C:\Program Files\Common Files\Tencent
2015-09-17 22:40 - 2015-09-17 23:43 - 00000000 ____ D C:\Users\tomasz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\腾讯软件
2015-09-17 22:40 - 2015-09-17 22:38 - 00087864 _____ (电脑管家) C:\WINDOWS\system32\Drivers\TFsFltX64.sys
2015-09-17 22:37 - 2015-09-17 22:56 - 00000000 ____ D C:\ProgramData\Tencent
2015-09-17 22:37 - 2015-09-17 22:44 - 00000000 ____ D C:\Program Files (x86)\Tencent
2015-09-17 21:42 - 2015-09-17 21:42 - 00000000 ____ D C:\Users\tomasz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\文管家(917)
2015-09-17 21:37 - 2015-09-17 23:41 - 00000000 ____ D C:\Program Files (x86)\Object Browser
2015-09-17 21:20 - 2015-09-17 23:40 - 00000000 ____ D C:\Program Files (x86)\baidu

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.

eloelotom · 19 Wrzesień 2015 10:15

Po wciśnięciu przycisku napraw. Komputer się zresetował. Następnie w trybie normalny wyskoczyło info, że FRST przestał działać. Otworzyłem ponownie FRST wyskoczyło info, że naprawa zakończona oraz raport.

http://www.wklej.org/id/1799567/

Acorus · 19 Wrzesień 2015 11:54

Pokaż nowy log z FRST.

eloelotom · 19 Wrzesień 2015 14:58

http://www.wklej.org/id/1799778/

Acorus · 19 Wrzesień 2015 16:49

Odinstaluj Shopper-Pro.Brak loga FRST.txt

eloelotom · 19 Wrzesień 2015 19:52

addition http://www.wklej.org/id/1799954/

frst http://www.wklej.org/id/1799956/

Acorus · 20 Wrzesień 2015 08:12

Otwórz notatnik systemowy i wklej:

CloseProcesses:
Startup: C:\Users\tomasz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\爱奇艺PPS影音.lnk [2015-09-18]
ShortcutTarget: 爱奇艺PPS影音.lnk -> C:\IQIYI Video\LStyle\QyClient.exe (Brak pliku)
2015-09-18 17:21 - 2015-09-18 17:21 - 00001749 _____ C:\Users\tomasz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\爱奇艺PPS影音.lnk
2015-09-18 17:21 - 2015-09-18 17:21 - 00001715 _____ C:\Users\tomasz\Desktop\爱奇艺PPS 影音.lnk
2015-09-18 17:21 - 2015-09-18 17:21 - 00001234 _____ C:\Users\tomasz\Desktop\全网影视.lnk
2015-09-18 17:21 - 2015-09-18 17:21 - 00000000 ____ D C:\Users\tomasz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\爱奇艺
2015-09-18 17:02 - 2015-09-18 17:05 - 00000000 ____ D C:\Users\tomasz\AppData\Local\BrowserHelper
2015-09-17 23:47 - 2015-09-18 17:21 - 00001026 _____ C:\Users\tomasz\Desktop\PPS游戏大厅.lnk
2015-09-17 23:44 - 2015-09-17 23:44 - 00000000 ____ D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\腾讯软件
2015-09-17 22:40 - 2015-09-17 23:43 - 00000000 ____ D C:\Users\tomasz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\腾讯软件
2015-09-17 21:42 - 2015-09-17 21:42 - 00000000 ____ D C:\Users\tomasz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\文管家(917)
2015-09-17 21:39 - 2015-09-19 21:42 - 00000000 ____ D C:\Users\tomasz\AppData\Local\Unity

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.

eloelotom · 20 Wrzesień 2015 21:32

fixlog http://www.wklej.org/id/1800665/

addition http://www.wklej.org/id/1800675/

frst http://www.wklej.org/id/1800676/

wykryto jedno zagrożenie oczywiście dałem znętralizować a akcja przenieść

http://www.wklej.org/id/1800697/

eloelotom · 24 Wrzesień 2015 18:56

To już wszystko? Jeżeli tak to dziękuje i do zamknięcia