Chiński wirus ''żęną''

Witam. Otóż mój problem wygląda nastepująco: 
kiedy włączam przeglądarke chrome to wyskakuje mi taki komunikat: https://zapodaj.net/c741b0b031f6b.png.htmlgdy klikam ''ok'' to przeglądarka otwiera się na stronie qtipr.com

Mimo iż mam Adblock to ciągle otwierają mi się ciagle jakieś dziwne chinskie reklamy

Dodatkowo mam jakiś chiński wirus ''żęną'' przez który włącza mi się jakaś chińska przeglądarka, mam jakieś chińskie programy których nie moge usunac etc.
Odinstalowałam programy których nie używam i które są wg. mnie podejrzane ale nic się nie zmieniło. ;__; Proszę o pomoc!

Zrób logi z FRST /Zak%C5%82adanie-tematu-og%C3%B3lne-raporty-systemowe-t55253/

Przed skanem zaznacz "Addition.txt" oraz "Shortcut.txt"

.

Co mam zrobić dalej?

Otwórz Notatnik i wklej w nim:

Task: {616E17BD-6F99-42AD-87A7-58197BB1E41D} - System32\Tasks\UCBrowserUpdater => c:\Program Files\UCBrowser\Application\update_task.exe [2017-01-16] (UCWeb Inc) <==== UWAGA
RemoveDirectory: c:\Program Files\UCBrowser
Task: {86903A27-B674-4706-B2C9-64F590D7C664} - System32\Tasks\UCBrowserSecureUpdater => c:\Program Files\UCBrowser\Security\uclauncher.exe [2017-02-10] (UC Web Inc.) <==== UWAGA
Task: {883436FE-B32B-4E5B-9FB2-015D295EE3A9} - System32\Tasks\{5A19993A-6CA1-4043-90E4-2AB9F4FBFF2D} => pcalua.exe -a C:\Users\Ada\AppData\Local\Temp\Temp1_Realtek_Ethernet_Win7_7092_05202015.zip\Install_Win7_7092_05202015\setup.exe <==== UWAGA
Task: {965924C4-7CF0-43C6-A388-5CC37595A5C3} - System32\Tasks\{EAD2E91C-54C0-4DF0-B514-7F0A1E4DF38C} => pcalua.exe -a "C:\Program Files\Lavalys\EVEREST Home Edition\everest.exe" -d C:\Users\Ada\Desktop
Task: {AFE4E1DD-7F83-4427-AE87-252AC6FE4E6C} - System32\Tasks\UCBrowserUpdaterCore => c:\Program Files\UCBrowser\Application\update_task.exe [2017-01-16] (UCWeb Inc) <==== UWAGA
Task: {D25F9842-1D13-4BA1-B09A-0BBAF0F06208} - \Traffic Exchange -> Brak pliku <==== UWAGA
Task: C:\Windows\Tasks\UCBrowserUpdater.job => c:\Program Files\UCBrowser\Application\update_task.exe <==== UWAGA
Task: C:\Windows\Tasks\UCBrowserUpdaterCore.job => c:\Program Files\UCBrowser\Application\update_task.exe <==== UWAGA
ShortcutWithArgument: C:\Users\Ada\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://qtipr.com/
ShortcutWithArgument: C:\Users\Ada\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) ->  --load-extension="C:\Users\Ada\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/
ShortcutWithArgument: C:\Users\Ada\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://qtipr.com/
ShortcutWithArgument: C:\Users\Ada\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) ->  --load-extension="C:\Users\Ada\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) ->  --load-extension="C:\Users\Ada\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/
WMI_ActiveScriptEventConsumer_ASEC: <===== UWAGA
AlternateDataStreams: C:\Windows\system32\drivers:ucdrv-x86.sys [84370]
AlternateDataStreams: C:\Windows\system32\drivers:x86 [1213218]
MSCONFIG\Services: UCBrowserSvc => 2
FirewallRules: [{4F4373A9-0F9F-4DC2-AD7C-A6C877DD94C5}] => c:\Program Files\UCBrowser\Application\UCBrowser.exe
FirewallRules: [{55E02CEE-E958-4949-B2E7-EFD53194494A}] => c:\Program Files\UCBrowser\Application\UCBrowser.exe
Reg: reg query HKLM\SYSTEM\CurrentControlSet\services\Winmgmt /s
HKLM\...\Policies\Explorer: []
HKU\S-1-5-18\...\Run: [] => 0
ShellIconOverlayIdentifiers: [ MEGA (Pending)] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} =>  -> Brak pliku
ShellIconOverlayIdentifiers: [ MEGA (Synced)] -> {05B38830-F4E9-4329-978B-1DD28605D202} =>  -> Brak pliku
ShellIconOverlayIdentifiers: [ MEGA (Syncing)] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} =>  -> Brak pliku
ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} =>  -> Brak pliku
S4 UCBrowserSvc; c:\Program Files\UCBrowser\Application\UCService.exe [930704 2017-01-16] ()
R1 ucdrv; C:\Windows\System32\drivers:ucdrv-x86.sys [84370 ] (UC Web Inc.) <==== UWAGA
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
C:\spyhunter.fix
c:\Program Files\Enigma Software Group
C:\Users\Ada\Downloads\SpyHunter-Installer.exe
CMD: attrib /d /s -r -s -h C:\FOUND.*
CMD: for /d %f in (C:\FOUND.*) do rd /s /q "%f"
C:\found.000
C:\Users\Ada\Desktop\Microleaves
C:\Users\Ada\AppData\Local\UCBrowser
C:\Users\Ada\AppData\Roaming\UCChannel
Task: {2B7F089C-822B-4D68-B459-08A807D53D9E} - \KuaiZip_Update -> Brak pliku <==== UWAGA
Task: {3C489DF7-DEA9-4BDF-BEFE-34B58F17B708} - \Traffic Exchange Guardian -> Brak pliku <==== UWAGA
Task: {424D015C-7759-4CF8-BDD3-E36B99623A05} - \Traffic Exchange Guard -> Brak pliku <==== UWAGA
C:\Users\Ada\AppData\Roaming\Microleaves
C:\Users\Ada\AppData\Roaming\Installer.dat
C:\Users\Ada\AppData\Roaming\InstallationConfiguration.xml
C:\Users\Ada\Desktop\Gry\APK\Spyware Terminator 2015.lnk
C:\Users\Ada\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\UC浏览器.lnk
HOSTS:
EmptyTemp:

Zrób nowe logi FRST - już bez Shortcut.

.

Użytkownik ordynat edytował ten post 11 02 2017 - 16:13

Już nie wyskakuje mi ten błąd w chrome i działa sprawnie. Z tego co widzę został jeszcze folder ''Żęną'' i te chińskie programy.

został jeszcze folder ''Żęną'' i te chińskie programy.

Ja tego w logach nie widzę.

1) Wejdź w Tryb Awaryjny (F8 przed startem Systemu)

2) Otwórz Notatnik i wklej w nim:

AlternateDataStreams: C:\Windows\system32\drivers:ucdrv-x86.sys [84370]
AlternateDataStreams: C:\Windows\system32\drivers:x86 [1213218]
Reg: reg query HKLM\SYSTEM\CurrentControlSet\services\Winmgmt /s
R1 ucdrv; C:\Windows\System32\drivers:ucdrv-x86.sys [84370 ] (UC Web Inc.) <==== UWAGA
EmptyTemp:

3) Zrób nowe logi FRST.

4) Napisz gdzie są (ścieżki) te "chińczyki".

.

Mam ten folder w C:/Program Files i nie mam do niego dostępu :/
Mam też jakąś dziwną, chińską przeglądarke, jej logo to wiewiórka na pomarańczowym tle, ale nie mam zainstalowanej takiej przegladarki, nie moge tego usunac

Użytkownik Psychocidoll edytował ten post 11 02 2017 - 19:19

Sprawdź usługę "winmgmt" lub napraw WMI.

Z "fixlog" wynika, że usługa "winmgmt" jest OK.

Obawiam się, że uszkodzone jest WMI, a to już problem nie na moją głowę, naprawa przekracza moje umiejętności.

Daj jeszcze log z Farbar Service Scanner >http://download.bleepingcomputer.com/farbar/FSS.exe (do skanowania zaznacz wszystko).

Otwórz Notatnik i wklej w nim:

2017-01-17 09:52 - 2017-01-17 09:57 - 00000000 ____D c:\Program Files\żěŃą
2017-01-17 09:52 - 2017-01-17 09:52 - 00000000 ____D C:\Users\Ada\AppData\Roaming\Softlink
2017-01-17 09:51 - 2017-02-10 16:11 - 00000000 ____D C:\ProgramData\Microleaves
2017-01-17 09:48 - 2017-01-17 09:48 - 00000000 __SHD C:\Windows\system32\%APPDATA%
EmptyTemp:

>>Menu Notatnika >> Plik >>
>>Zapisz jako >>
Nazwa pliku: fixlist
Zapisz jako typ: Dokumenty tekstowe
Kodowanie: UTF-8
>>Zapisz
Plik umieść w folderze C:\Users\Ada\Desktop
Uruchom FRST i kliknij przycisk Fix (NAPRAW).

Mam też jakąś dziwną, chińską przeglądarke, jej logo to wiewiórka na pomarańczowym tle, ale nie mam zainstalowanej takiej przegladarki, nie moge tego usunac

 

Zrób nowe logi FRST

Przed skanem zaznacz "Addition.txt" oraz "Shortcut.txt"

.

.

Użytkownik ordynat edytował ten post 11 02 2017 - 19:33

Folder zostal usuniety.

Log FSS nie napawa optymizmem.

Platform: Microsoft Windows Embedded Standard  Service Pack 1 (X86) Język: Polski (Polska)

Nie wiem, czy taki System może się różni od zwykłych Systemów, używanych przez Użytkowników, a nie przez przemysł, jak "embedded".

Mam też jakąś dziwną, chińską przeglądarke

w logach nie widzę tej przeglądarki.

zaraz to wszystko przejrzę  ...

Użytkownik ordynat edytował ten post 11 02 2017 - 20:05

Nie wiem zbytnio o tym, wcześniej miałam Windows 7 Ultimate, ale osoba która mi instalowała system nałożyła go na Viste i prawdopodobnie przez to wszystko mi sie w systemie pokickało. Przyjaciolka wgrala mi system ''Windows 7 Thin PC'' i powiedziala, ze jest ''lzejszy''. 

Otwórz Notatnik i wklej w nim:

StartRegedit:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SDRSVC]
"DisplayName"="@%SystemRoot%\\system32\\sdrsvc.dll,-107"
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
  74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
  00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
  6b,00,20,00,53,00,44,00,52,00,53,00,56,00,43,00,00,00
"Start"=dword:00000003
"Type"=dword:00000010
"Description"="@%SystemRoot%\\system32\\sdrsvc.dll,-102"
"DependOnService"=hex(7):52,00,50,00,43,00,53,00,53,00,00,00,00,00
"ObjectName"="localSystem"
"ServiceSidType"=dword:00000001
"RequiredPrivileges"=hex(7):53,00,65,00,42,00,61,00,63,00,6b,00,75,00,70,00,50,\
  00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,52,00,\
  65,00,73,00,74,00,6f,00,72,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,\
  00,67,00,65,00,00,00,53,00,65,00,53,00,65,00,63,00,75,00,72,00,69,00,74,00,\
  79,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,\
  00,54,00,61,00,6b,00,65,00,4f,00,77,00,6e,00,65,00,72,00,73,00,68,00,69,00,\
  70,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,\
  00,43,00,72,00,65,00,61,00,74,00,65,00,53,00,79,00,6d,00,62,00,6f,00,6c,00,\
  69,00,63,00,4c,00,69,00,6e,00,6b,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,\
  00,67,00,65,00,00,00,53,00,65,00,41,00,73,00,73,00,69,00,67,00,6e,00,50,00,\
  72,00,69,00,6d,00,61,00,72,00,79,00,54,00,6f,00,6b,00,65,00,6e,00,50,00,72,\
  00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,49,00,6e,00,\
  63,00,72,00,65,00,61,00,73,00,65,00,51,00,75,00,6f,00,74,00,61,00,50,00,72,\
  00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,54,00,63,00,\
  62,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,\
  00,53,00,79,00,73,00,74,00,65,00,6d,00,45,00,6e,00,76,00,69,00,72,00,6f,00,\
  6e,00,6d,00,65,00,6e,00,74,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,\
  00,65,00,00,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SDRSVC\Parameters]
"ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,\
  00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
  53,00,44,00,52,00,53,00,56,00,43,00,2e,00,64,00,6c,00,6c,00,00,00
EndRegedit:

EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.

Pobierz plik"sdrsvc.dll" http://www.mediafire.com/file/9f8ugeegiibc931/sdrsvc.dll

wstaw go do C:\WINDOWS\system32

zrób nowy log FSS - zobaczymy, czy to zadziała?

.

Użytkownik ordynat edytował ten post 11 02 2017 - 20:17

Dołączam tutaj jeszcze fixlog.

Użytkownik Psychocidoll edytował ten post 11 02 2017 - 20:27

Mam go naprawić?

rzeczywiście, nie napisałem Uruchom FRST i kliknij przycisk Fix (NAPRAW).

a powinienem napisać.

Nic to nie dało.

Nie ma sensu dalej naprawiać, bo chyba ten System naprawdę jest "nienaprawialny", bo różni się od zwykłych Systemów.

.

Ah.. w porządku, w sumie ciesze sie ze pomogles mi naprawic ten problem, tyle raczej wystarczy zebym mogla sobie popykac w jakies gry  dziekuje slicznie