Jak usunąć chińskiego wirusa w windows xp?

**Posty:** 352 · przez **aktywny27** 31 Sty 2016, 13:43

Witam.Zainstalował mi się chiński wirus który spowalnia pracę komputera przy włączaniu komputera .Najpierw pojawia się obraz pulpitu a po 10 minutach pojawiają się ikony na pulpicie.I użyłem dwóch programów takich jak adwcleaner i malwarybetes i dalej się pojawia ikonka na pasku zadań .A jest taki wirus w przeglądarce ja otwieram mozillę istatsurf.Link do strony:

http://zapytaj.onet.pl/Category/007,006/2,29110915,Zainstalowal_mi_sie_jakis_prawdopodobnie_chinski_wirus.html

I w dodaj usuń programy nie ma go.Proszę o pomoc

**Posty:** 4765 · przez **ordynat** 31 Sty 2016, 13:49

1) Adw-Cleaner:
najpierw kliknij na SZUKAJ (SCAN), a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ (CLEANING), to kliknij na niego.
Pokaż raport z niego "C"

2) Zrób logi z FRST > http://forum.programosy.pl/frst-otl-zoek-vt139692.html
Przed skanem zaznacz "Addition.txt" oraz "Shortcut.txt"
.

**Posty:** 352 · przez **aktywny27** 31 Sty 2016, 22:20

Skan Addition

http://www.wklej.eu/index.php?id=6650d7ed85

Skan z FRST

http://www.wklej.eu/index.php?id=62c0cdb6ca

Skan z Shortcut

http://www.wklej.eu/index.php?id=e56ff3bd66

**Posty:** 4765 · przez **ordynat** 31 Sty 2016, 22:29

Otwórz Notatnik i wklej w nim:

AV: 电脑管家系统防护 (Enabled - Up to date) {9AAC524A-BF34-49b0-91D2-71838CBB8110}
Task: C:\WINDOWS\Tasks\amisfileExdel.job => C:\WINDOWS\system32\cmd.exe0/c del C:\DOCUME~1\hiy\USTAWI~1\Temp\task.vbs <==== UWAGA
Task: C:\WINDOWS\Tasks\amiupdaterExdel.job => C:\WINDOWS\system32\cmd.exe:/c del C:\DOCUME~1\hiy\USTAWI~1\Temp\amiupdater2240.exe <==== UWAGA
ShortcutWithArgument: C:\Documents and Settings\hiy\Pulpit\Nieużywane skróty pulpitu\Start Tor Browser.lnk -> C:\Documents and Settings\hiy\Moje dokumenty\Tor Browser\Browser\firefox.exe (Mozilla Corporation) -> "hxxp://esurf.biz/?ssid=1454076611&a=1002708&src=sh&uuid=e5f98d9b-516c-45d1-b160-97cca2c39923"
ShortcutWithArgument: C:\Documents and Settings\hiy\Menu Start\Programy\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> "hxxp://esurf.biz/?ssid=1454076611&a=1002708&src=sh&uuid=e5f98d9b-516c-45d1-b160-97cca2c39923"
ShortcutWithArgument: C:\Documents and Settings\hiy\Menu Start\Programy\Google Chrome\Program uruchamiający aplikacje Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> "hxxp://esurf.biz/?ssid=1454076611&a=1002708&src=sh&uuid=e5f98d9b-516c-45d1-b160-97cca2c39923" --proxy-pac-url=hxxp://unblockservice.com/wpad.dat?4d90e27ed79ce9f16251bd43188d42f95224390
ShortcutWithArgument: C:\Documents and Settings\hiy\Menu Start\Programy\Aplikacje Chrome\Gom VPN - App to bypass blocked sites.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> "hxxp://esurf.biz/?ssid=1454076611&a=1002708&src=sh&uuid=e5f98d9b-516c-45d1-b160-97cca2c39923" --proxy-pac-url=hxxp://unblockservice.com/wpad.dat?4d90e27ed79ce9f16251bd43188d42f95224390
ShortcutWithArgument: C:\Documents and Settings\hiy\Menu Start\Programy\Aplikacje Chrome\ZenMate.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> "hxxp://esurf.biz/?ssid=1454076611&a=1002708&src=sh&uuid=e5f98d9b-516c-45d1-b160-97cca2c39923" --proxy-pac-url=hxxp://unblockservice.com/wpad.dat?4d90e27ed79ce9f16251bd43188d42f95224390
ShortcutWithArgument: C:\Documents and Settings\hiy\Menu Start\Programy\Akcesoria\Narzędzia systemowe\Internet Explorer (bez dodatków).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> "hxxp://esurf.biz/?ssid=1454076611&a=1002708&src=sh&uuid=e5f98d9b-516c-45d1-b160-97cca2c39923"
ShortcutWithArgument: C:\Documents and Settings\hiy\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> "hxxp://esurf.biz/?ssid=1454076611&a=1002708&src=sh&uuid=e5f98d9b-516c-45d1-b160-97cca2c39923" --proxy-pac-url=hxxp://unblockservice.com/wpad.dat?4d90e27ed79ce9f16251bd43188d42f95224390
ShortcutWithArgument: C:\Documents and Settings\hiy\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Program uruchamiający aplikacje Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> "hxxp://esurf.biz/?ssid=1454076611&a=1002708&src=sh&uuid=e5f98d9b-516c-45d1-b160-97cca2c39923" --proxy-pac-url=hxxp://unblockservice.com/wpad.dat?4d90e27ed79ce9f16251bd43188d42f95224390
ShortcutWithArgument: C:\Documents and Settings\hiy\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Sparta.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> "hxxp://esurf.biz/?ssid=1454076611&a=1002708&src=sh&uuid=e5f98d9b-516c-45d1-b160-97cca2c39923" --proxy-pac-url=hxxp://unblockservice.com/wpad.dat?4d90e27ed79ce9f16251bd43188d42f95224390
ShortcutWithArgument: C:\Documents and Settings\All Users\Menu Start\Programy\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> "hxxp://esurf.biz/?ssid=1454076611&a=1002708&src=sh&uuid=e5f98d9b-516c-45d1-b160-97cca2c39923"
ShortcutWithArgument: C:\Documents and Settings\All Users\Menu Start\Programy\Opera.lnk -> C:\Program Files\Opera\launcher.exe (Opera Software) -> "hxxp://esurf.biz/?ssid=1454076611&a=1002708&src=sh&uuid=e5f98d9b-516c-45d1-b160-97cca2c39923"
ShortcutWithArgument: C:\Documents and Settings\All Users\Menu Start\Programy\Google Chrome\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> "hxxp://esurf.biz/?ssid=1454076611&a=1002708&src=sh&uuid=e5f98d9b-516c-45d1-b160-97cca2c39923" --proxy-pac-url=hxxp://unblockservice.com/wpad.dat?4d90e27ed79ce9f16251bd43188d42f95224390
ShortcutWithArgument: C:\Documents and Settings\All Users\Menu Start\Programy\Google Chrome\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> "hxxp://esurf.biz/?ssid=1454076611&a=1002708&src=sh&uuid=e5f98d9b-516c-45d1-b160-97cca2c39923" --proxy-pac-url=hxxp://unblockservice.com/wpad.dat?4d90e27ed79ce9f16251bd43188d42f95224390
ShortcutWithArgument: C:\Documents and Settings\All Users\Pulpit\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> "hxxp://esurf.biz/?ssid=1454076611&a=1002708&src=sh&uuid=e5f98d9b-516c-45d1-b160-97cca2c39923"
ShortcutWithArgument: C:\Documents and Settings\All Users\Pulpit\Opera.lnk -> C:\Program Files\Opera\launcher.exe (Opera Software) -> "hxxp://esurf.biz/?ssid=1454076611&a=1002708&src=sh&uuid=e5f98d9b-516c-45d1-b160-97cca2c39923"
C:\Program Files\Tencent
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\4E6D6112.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\4E6D6112.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys => ""="Driver"
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\QQPCTray
DomainProfile\AuthorizedApplications: [C:\Program Files\Common Files\Tencent\QQDownload\130\Tencentdl.exe] => Enabled:腾讯产品下载组件
DomainProfile\AuthorizedApplications: [C:\Program Files\Common Files\Tencent\QQDownload\130\bugreport_xf.exe] => Enabled:腾讯产品下载组件Crash上报
StandardProfile\AuthorizedApplications: [C:\Program Files\Common Files\Tencent\QQDownload\130\Tencentdl.exe] => Enabled:腾讯产品下载组件
StandardProfile\AuthorizedApplications: [C:\Program Files\Common Files\Tencent\QQDownload\130\bugreport_xf.exe] => Enabled:腾讯产品下载组件Crash上报
C:\Documents and Settings\All Users\Dane aplikacji\Kingsoft
2016-01-29 00:24 - 2016-01-29 00:24 - 00000000 ____D C:\Documents and Settings\hiy\Dane aplikacji\Baidu
2016-01-29 00:24 - 2016-01-29 00:24 - 00000000 ____D C:\Documents and Settings\All Users\Dane aplikacji\Baidu
2016-01-29 00:23 - 2016-01-29 00:23 - 00000000 ____D C:\Documents and Settings\All Users\Menu Start\Programy\ĂŔÍĽäŻŔŔ
2016-01-29 00:27 - 2016-01-29 00:27 - 00150072 ____N (电脑管家) C:\WINDOWS\system32\Drivers\TFsFlt.sys
2016-01-29 00:27 - 2016-01-29 00:27 - 00067896 _____ (电脑管家) C:\WINDOWS\system32\TSSK.sys
2016-01-29 00:27 - 2016-01-29 00:27 - 00014008 ____N (Tencent) C:\WINDOWS\system32\Drivers\TSDefenseBt.sys
2016-01-29 00:27 - 2016-01-29 00:27 - 00000000 ____D C:\Program Files\Tencent
2016-01-29 00:27 - 2016-01-29 00:27 - 00000000 ____D C:\Documents and Settings\All Users\TXQMPC
2016-01-29 00:26 - 2016-01-31 15:43 - 00000000 ____D C:\Documents and Settings\All Users\Dane aplikacji\Tencent
2016-01-29 00:36 - 2016-01-29 00:27 - 00114616 _____ (Tencent) C:\WINDOWS\system32\Drivers\TAOAccelerator.sys
2016-01-29 00:36 - 2016-01-29 00:27 - 00095032 _____ (Tencent Technology(Shenzhen) Company Limited) C:\WINDOWS\system32\Drivers\TAOKernelXP.sys
2016-01-29 00:36 - 2016-01-14 10:47 - 00128280 _____ (电脑管家) C:\WINDOWS\system32\Drivers\TsFltMgr.sys
2016-01-29 00:34 - 2016-01-31 20:54 - 00000000 ____D C:\Documents and Settings\hiy\Dane aplikacji\Tencent
2016-01-29 00:34 - 2016-01-31 15:09 - 00000000 ____D C:\Program Files\Common Files\Tencent
2016-01-29 14:38 - 2016-01-29 17:01 - 00000000 ____D C:\Documents and Settings\hiy\Ustawienia lokalne\Dane aplikacji\Yandex
2016-01-29 14:37 - 2016-01-29 17:02 - 00000000 ____D C:\Documents and Settings\hiy\Dane aplikacji\Yandex
C:\WINDOWS\Minidump\Mini*.dmp
DeleteKey: HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes
DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes
DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes
S3 BT; system32\DRIVERS\btnetdrv.sys [X]
S3 BTCOM; system32\DRIVERS\btcomport.sys [X]
S3 catchme; \??\C:\DOCUME~1\hiy\USTAWI~1\Temp\catchme.sys [X]
S3 cpuz134; \??\C:\DOCUME~1\hiy\USTAWI~1\Temp\cpuz134\cpuz134_x32.sys [X]
S3 IvtComBusSrv; System32\Drivers\btcombus.sys [X]
S3 mdareDriver_62; \??\C:\DOCUME~1\hiy\USTAWI~1\Temp\FCPreScan\mdare32_62.sys [X]
S3 pflt; system32\DRIVERS\vfilter.sys [X]
S3 vnet; system32\DRIVERS\virtualnet.sys [X]
S3 vsdatant; \??\C:\WINDOWS\system32\vsdatant.sys [X]
R1 TFsFlt; C:\WINDOWS\System32\Drivers\TFsFlt.sys [150072 2016-01-29] (电脑管家)
R1 TsDefenseBt; C:\WINDOWS\System32\DRIVERS\TSDefenseBt.sys [14008 2016-01-29] (Tencent)
R0 TSFLTMGR; C:\WINDOWS\System32\DRIVERS\TSFLTMGR.SYS [128280 2016-01-14] (电脑管家)
R1 Tsksp; C:\Program Files\Tencent\QQPCMgr\11.2.17063.223\TSKsp.sys [210072 2016-01-29] (电脑管家)
R1 TSSysKit; C:\Program Files\Tencent\QQPCMgr\11.2.17063.223\TSSysKit.sys [102200 2016-01-29] (电脑管家)
C:\WINDOWS\System32\DRIVERS\TSFLTMGR.SYS
C:\WINDOWS\System32\DRIVERS\TSDefenseBt.sys
C:\WINDOWS\System32\Drivers\TFsFlt.sys
R1 softaal; C:\Program Files\Tencent\QQPCMgr\11.2.17063.223\softaal.sys [36280 2016-01-29] (Tencent)
R3 TAOAccelerator; C:\WINDOWS\system32\Drivers\TAOAccelerator.sys [114616 2016-01-29] (Tencent)
R1 TAOKernelDriver; C:\WINDOWS\system32\Drivers\TAOKernelXP.sys [95032 2016-01-29] (Tencent Technology(Shenzhen) Company Limited)
C:\WINDOWS\system32\Drivers\TAOKernelXP.sys
C:\WINDOWS\system32\Drivers\TAOAccelerator.sys
R1 QMIEProtect; C:\Program Files\Tencent\QQPCMgr\11.2.17063.223\QMIEProtect.sys [50488 2016-01-12] ()
R1 QMUdisk; C:\Program Files\Tencent\QQPCMgr\11.2.17063.223\QMUdisk.sys [78776 2016-01-29] (Tencent)
R2 QQSysMon; C:\Program Files\Tencent\QQPCMgr\11.2.17063.223\QQSysMon.sys [108984 2016-01-29] (电脑管家)
R2 QQPCRtp; C:\Program Files\Tencent\QQPCMgr\11.2.17063.223\QQPCRTP.exe [301728 2016-01-29] (Tencent)
CHR Extension: (__MSG_name__) - C:\Documents and Settings\hiy\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\nkcpopggjcjkiicpenikeogioednjeac [2016-01-29] [UpdateUrl: hxxp://download.yandex.ru/bar/chrome/updates-vb.xml] <==== UWAGA
FF Extension: Disconnect - C:\Documents and Settings\hiy\Dane aplikacji\Mozilla\Firefox\Profiles\41A66E7E5EE1\Extensions\2.0@disconnect.me.xpi [2016-01-29]
FF NewTab: yafd:tabs
FF SelectedSearchEngine: Yandex
BHO: Brak nazwy -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> Brak pliku
SearchScopes: HKU\S-1-5-21-789336058-616249376-682003330-1003 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://yandex.ru/yandsearch?win=213&clid=1950378&text={searchTerms}
SearchScopes: HKU\S-1-5-21-789336058-616249376-682003330-1003 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://yandex.ru/yandsearch?win=213&clid=1950378&text={searchTerms}
HKU\S-1-5-21-789336058-616249376-682003330-1003\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.hao123.com/?tn=29065018_243_hao_pg
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.hao123.com/?tn=29065018_243_hao_pg
Startup: C:\Documents and Settings\hiy\Menu Start\Programy\Autostart\readme.txt [2016-01-29] ()
GroupPolicyScripts: Ograniczenia <======= UWAGA
HKLM\...\Run: [ QQPCTray] => C:\Program Files\Tencent\QQPCMgr\11.2.17063.223\QQPCTray.exe [355296 2016-01-29] (Tencent)
C:\Documents and Settings\All Users\Menu Start\Programy\ĂŔÍĽäŻŔŔ\ĂŔÍĽäŻŔŔ.lnk
C:\Documents and Settings\All Users\Menu Start\Programy\ĂŔÍĽäŻŔŔ\Đ¶ÔŘ.lnk
EmptyTemp:

>>Menu Notatnika >> Plik >>
>>Zapisz jako >>
Nazwa pliku: fixlist
Zapisz jako typ: Dokumenty tekstowe
Kodowanie: UTF -8
>>Zapisz
Plik umieść w folderze C:\Documents and Settings\hiy\Moje dokumenty\Downloads\Programs
Uruchom FRST i kliknij przycisk Fix (NAPRAW).
.
Zrób nowe logi FRST - już bez Shortcut.
.

**Posty:** 352 · przez **aktywny27** 01 Lut 2016, 23:45

Zapisałem do C:\Documents and Settings\hiy\Moje dokumenty\Downloads\Programs

Fixlist i tam się znajduje ten program FRST i wyskakuje komunikat:

Plik fixlist nie został znaleziony i plik należy utworzyć w tym samym folderze w którym jest narzędzie.

I zapisałem go fixlist i UTF-8.

Proszę o pomoc

**Posty:** 4765 · przez **ordynat** 01 Lut 2016, 23:56

Uruchomiony z C:\Documents and Settings\hiy\Moje dokumenty\Downloads\Programs

powtórz jeszcze raz, może coś pominąłeś

**Posty:** 352 · przez **aktywny27** 02 Lut 2016, 23:45

Dalej taki sam komunikat.Nie wiem jak to zrobić

**Posty:** 4765 · przez **ordynat** 02 Lut 2016, 23:58

Szkoda, że u Ciebie FRST nie chce działać. Jesteś jedyną osobą świecie, u której tak się dzieje.
Nic na to nie poradzę.
.

**Posty:** 230 · przez **krystian3w** 03 Lut 2016, 16:38

Spróbuj pobrać FRST na pulpit.
Na pulpicie utworzyć z Prawego klawisza myszy nowy dokument tekstowy, nazwać go fixlist.
Otworzyć go i wkleić do niego co podaje ordynat; potem zapisać i spróbować naprawy w FRST.

**Posty:** 352 · przez **aktywny27** 03 Lut 2016, 20:18

Też się nie da .Nie wiem chyba muszę mu formata zrobić.

**Posty:** 4765 · przez **ordynat** 03 Lut 2016, 23:10

chyba muszę mu formata zrobić.

Tak, to najlepsze wyjście - bo i tak System masz niesprawny, skoro FRST nie może w nim odnaleźć "fixlist".
.

**Posty:** 352 · przez **aktywny27** 05 Lut 2016, 15:06

Jeszcze spróbuję programem ComboFix zrobić skan?

Dodano Dzisiaj, 14:23:
O ku... .Udało zrobić skan tylko zapisałem plik w notatniku przez kodowanie ANSI i się udało.Oto link do fixlog:

http://www.wklej.eu/index.php?id=eda4c9ead4

Dodano Dzisiaj, 13:06:
Nowy skan z FRST,Addition,Shortcut.Ale dalej mam tego chińskiego wirusa.

http://www.wklej.eu/index.php?id=af0f53ed24

http://www.wklej.eu/index.php?id=09d925e586

http://www.wklej.eu/index.php?id=654c21ea46

Kto jest na forum