Wirus na komputerze przez "lewe" pobranie

Wszystko co dotyczy bezpieczeństwa systemów oraz walki z malware, w szczególności analiza logów
dennisek123

Stały bywalec
Posty: 286
Rejestracja: 12 kwie 2011, 10:39
Lokalizacja: Okolice Poznania :D

Wirus na komputerze przez "lewe" pobranie

Post28 sty 2017, 21:28

Dobry wieczór, otóż mój brat postanowił wczoraj wypróbować ściągania z "torrentów", jednakże widząc już ten temat w tym dziale... wiecie że, poniósł klęskę...
Nie bęe się za bardzo rozwijać, pobrał coś nazywanego adobe acrobat dc pro a następnie pragnął to zainstalować... Zainstalował wszystko tylko chyba nie to co chciał...
Wykonałem pełne skanowanie Malwarebytes anti-malware, wykryło ponad 600 "potencjalnie niebezpiecznych plików" wszystko zostały poddane kwarantannie i usunięte.
Prosiłbym jednak o sprawdzenie logów z FRST w celu upewnienia się, iż wirus nie skrywa się w ciemnych zakątkach mojego dysku.

FRST: Dostępne tylko dla zarejestrowanych użytkowników
Addition: Dostępne tylko dla zarejestrowanych użytkowników
Shortcut: Dostępne tylko dla zarejestrowanych użytkowników

Pozdrawiam

electrolux

Ekspert
Posty: 319
Rejestracja: 06 lut 2017, 00:26

Wirus na komputerze przez "lewe" pobranie

Post06 lut 2017, 12:39

Po tylu dniach to pewnie temat jest już nieaktualny?

Otwórz Notatnik i wklej w nim:
AlternateDataStreams: C:\Windows\system32\drivers:ucdrv-x64.sys [23652]
AlternateDataStreams: C:\Windows\system32\drivers:x64 [1479458]
AlternateDataStreams: C:\Windows\system32\drivers:x86 [1205026]
FirewallRules: [{37789852-A4F4-4977-B378-E42502150180}] => C:\Program Files (x86)\UCBrowser\Application\UCBrowser.exe
FirewallRules: [{41C6140C-A9F7-4BC2-92FE-D14FDABF3BF8}] => C:\Program Files (x86)\UCBrowser\Application\UCBrowser.exe
FirewallRules: [{8E53451E-AD2D-4F0C-BB28-178956302929}] => C:\Program Files (x86)\Tencent\QQIntl\Bin\QQ.exe
FirewallRules: [{018FB48E-41C0-4796-B357-C59958CCDABC}] => C:\Program Files (x86)\Tencent\QQIntl\Bin\QQ.exe
FirewallRules: [{06592B84-4E31-4E85-A946-9F4945064636}] => C:\Program Files (x86)\Tencent\QQIntl\Bin\auclt.exe
FirewallRules: [{EF9A7F92-2276-4903-8ADB-3FDC3469F557}] => C:\Program Files (x86)\Tencent\QQIntl\Bin\auclt.exe
FirewallRules: [{2DD7C8CD-0BC0-4A06-B29D-0E534E800CB8}] => C:\Program Files (x86)\Tencent\QQIntl\Bin\txupd.exe
FirewallRules: [{7DDC44AC-5B1F-47E9-8C6E-B9311865CC55}] => C:\Program Files (x86)\Tencent\QQIntl\Bin\txupd.exe
MSCONFIG\startupreg: puush => C:\Program Files (x86)\puush\puush.exe
RemoveDirectory: C:\Program Files (x86)\Tencent
RemoveDirectory: C:\Program Files (x86)\UCBrowser
RemoveDirectory: C:\Program Files (x86)\Common Files\Tencent
RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\UC浏览器
RemoveDirectory: C:\Users\Dennis\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Tencent Software
RemoveDirectory: C:\Program Files\¿ìѹ
RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\UC浏览器
ShortcutWithArgument: C:\Users\Dennis\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://fanli90.cn/
ShortcutWithArgument: C:\Users\Dennis\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Dennis\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://fanli90.cn/
ShortcutWithArgument: C:\Users\Dennis\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://fanli90.cn/
ShortcutWithArgument: C:\Users\Dennis\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Dennis\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://fanli90.cn/
ShortcutWithArgument: C:\Users\Dennis\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://fanli90.cn/
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Dennis\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://fanli90.cn/
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://fanli90.cn/
ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Dennis\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://fanli90.cn/
ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://fanli90.cn/
WMI_ActiveScriptEventConsumer_ASEC: <===== ATTENTION
Task: C:\Windows\Tasks\UCBrowserUpdater.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe <==== ATTENTION
Task: C:\Windows\Tasks\UCBrowserUpdaterCore.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe <==== ATTENTION
Task: {C73953E9-83B6-47B8-A1F4-0221083919F1} - System32\Tasks\UCBrowserUpdaterCore => C:\Program Files (x86)\UCBrowser\Application\update_task.exe [2017-01-18] (UCWeb Inc) <==== ATTENTION
Task: {49731CBA-7373-45A9-8B88-7D1181AC8FCA} - System32\Tasks\UCBrowserSecureUpdater => C:\Program Files (x86)\UCBrowser\Security\uclauncher.exe [2017-01-28] (UC Web Inc.) <==== ATTENTION
Task: {17FDBB13-F34A-4970-9100-9CEEE30FE25A} - System32\Tasks\UCBrowserUpdater => C:\Program Files (x86)\UCBrowser\Application\update_task.exe [2017-01-18] (UCWeb Inc) <==== ATTENTION
2017-01-28 08:05 - 2017-01-28 08:05 - 0140288 _____ () C:\Users\Dennis\AppData\Roaming\Installer.dat
2017-01-28 08:05 - 2017-01-28 08:05 - 0018432 _____ () C:\Users\Dennis\AppData\Roaming\Main.dat
2017-01-28 08:24 - 2017-01-28 08:24 - 00000000 ____D C:\Users\Dennis\AppData\Local\AdvinstAnalytics
2017-01-28 08:09 - 2017-01-28 21:05 - 00003476 _____ C:\Windows\System32\Tasks\UCBrowserSecureUpdater
2017-01-28 08:09 - 2017-01-28 21:05 - 00000294 _____ C:\Windows\Tasks\UCBrowserUpdaterCore.job
2017-01-28 08:09 - 2017-01-28 08:46 - 00000000 ____D C:\ProgramData\Microleaves
2017-01-28 08:09 - 2017-01-28 08:44 - 00002560 _____ C:\Windows\System32\Tasks\UCBrowserUpdaterCore
2017-01-28 08:09 - 2017-01-28 08:44 - 00000458 _____ C:\Windows\Tasks\UCBrowserUpdater.job
2017-01-28 08:09 - 2017-01-28 08:09 - 00003434 _____ C:\Windows\System32\Tasks\UCBrowserUpdater
2017-01-28 08:09 - 2017-01-28 08:09 - 00001482 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\UC浏览器.lnk
2017-01-28 08:09 - 2017-01-28 08:09 - 00000000 ____D C:\Users\Dennis\AppData\Local\UCBrowser
2017-01-28 08:09 - 2017-01-28 08:09 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\UC浏览器
2017-01-28 08:08 - 2017-01-28 21:05 - 00000841 _____ C:\Users\Dennis\AppData\Roaming\Microsoft\Windows\Start Menu\¿ìѹ.lnk
2017-01-28 08:08 - 2017-01-28 21:05 - 00000817 _____ C:\Users\Dennis\Desktop\¿ìѹ.lnk
2017-01-28 08:08 - 2017-01-28 08:47 - 00000000 ____D C:\Program Files (x86)\Microleaves
2017-01-28 08:08 - 2017-01-28 08:09 - 00000000 ____D C:\Program Files (x86)\UCBrowser
2017-01-28 08:08 - 2017-01-28 08:08 - 00000000 ____D C:\Users\Dennis\AppData\Roaming\Softlink
2017-01-28 08:06 - 2017-01-28 08:09 - 00000000 ____D C:\Users\Dennis\AppData\Roaming\Microleaves
2017-01-28 08:06 - 2017-01-28 08:08 - 00000000 ____D C:\Users\Default\AppData\Local\AdvinstAnalytics
2017-01-28 08:06 - 2017-01-28 08:08 - 00000000 ____D C:\Users\Default User\AppData\Local\AdvinstAnalytics
S3 btmaux; system32\DRIVERS\btmaux.sys [X]
S3 NvStreamKms; \??\C:\Program Files\NVIDIA Corporation\NvStreamSrv\NvStreamKms.sys [X]
S3 RSUSBVSTOR; System32\Drivers\RtsUVStor.sys [X]
S3 SWDUMon; system32\DRIVERS\SWDUMon.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
S3 WINIO; \??\C:\Program Files (x86)\MSI\Dragon Gaming Center\winio64.sys [X]
S3 xhunter1; \??\C:\Windows\xhunter1.sys [X]
R1 ucdrv; C:\Program Files (x86)\UCBrowser\Security:ucdrv-x64.sys [23652 ] (UC Web Inc.) <==== ATTENTION
R2 UCBrowserSvc; C:\Program Files (x86)\UCBrowser\Application\UCService.exe [930704 2017-01-18] ()
CHR HomePage: Default -> hxxps://%66%65%65%64.%68%65%6C%70%65%72 ... PDtwbhZBw,,
FF Plugin-x32: @qq.com/npqscall -> C:\Program Files (x86)\Common Files\Tencent\NPQSCALL\npqscall.dll [2016-09-22] (Tencent)
HKU\S-1-5-18\...\Run: [] => 0
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> No File
ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} => -> No File
HKU\S-1-5-21-643950756-190842184-4291106760-1000\...\Run: [GoogleChromeAutoLaunch_5560E485902A34F6B1CF63ACD9274ABA] => C:\Program Files (x86)\Google\Chrome\Application\chrome.exe [1104728 2016-12-08] (Google Inc.)
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\UC浏览器\卸载UC浏览器.lnk -> C:\Program Files (x86)\UCBrowser\Application\Uninstall.exe (UCWeb Inc.) -> --uninstall --system-level
C:\Users\Dennis\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\UC浏览器.lnk
C:\Users\Dennis\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\UC浏览器.lnk
C:\Users\Dennis\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\UC浏览器.lnk
C:\Users\Dennis\Desktop\¿ìѹ.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\UC浏览器.lnk
HOSTS:
EmptyTemp:

>>Menu Notatnika >> Plik >>
>>Zapisz jako >>
Nazwa pliku: fixlist
Zapisz jako typ: Dokumenty tekstowe
Kodowanie: UTF-8
>>Zapisz
Plik umieść w folderze C:\Users\Dennis\Downloads
Uruchom FRST i kliknij przycisk Fix (NAPRAW).
.



  • Reklama

Wróć do „Bezpieczeństwo”



Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 9 gości