• Ogłoszenie:

Infekcja w dnsapi.dll ?

Bezpieczeństwo systemów, usuwanie wirusów, dobieranie programów antywirusowych. Obowiązkowe logi w tym dziale: trzy z FRST + Gmer.

Infekcja w dnsapi.dll ?

Postprzez debiska 21 Lis 2016, 20:05

reklama
Witam.
Trafił mi się laptop koleżanki z masą infekcji i śmieci.
Lwią część udało się usunąć przy pomocy adwcleaner-a, malwarebytes, ccleaner-a lecz pozostał problem z zainfekowanymi dll ?

Próbowałem odbudować przez sfc /scannow. Nie wiem czy na 100% się udało. ( log w załączniku )

Ale zapewne to nie wszystko, plik hosts też dziwnie wygląda.

Kod: Zaznacz wszystko
107.178.255.88 www.statcounter.com
107.178.255.88 statcounter.com
107.178.255.88 ssl.goo.88 partner.googleadservices.com
107.178.255.88 google-analytics.com



107.178.255.88 www.statcounter.com
107.178.255.88 statcounter.com
107.178.255.88 ssl.goo.88 partner.googleadservices.com
107.178.255.88 google-analytics.com


# Copyright (c) 1993-2009 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
#      102.54.94.97     rhino.acme.com          # source server
#       38.25.63.10     x.acme.com              # x client host

# localhost name resolution is handled within DNS itself.
#   127.0.0.1       localhost
#   ::1             localhost

127.0.0.1       down.baidu2016.com

127.0.0.1       123.sogou.com

127.0.0.1       www.czzsyzgm.com

127.0.0.1       www.czzsyzxl.com

127.0.0.1       union.baidu2019.com




Na dodatek, system W8.1 x64 jest w języku francuskim co nie ułatwia zadania. ( masakra ) sciana
Załączniki
sfc.txt
(78.72 KiB) Ściągnięto 148 razy
Addition.txt
(35.11 KiB) Ściągnięto 144 razy
Shortcut.txt
(82.89 KiB) Ściągnięto 146 razy
FRST.txt
(42.63 KiB) Ściągnięto 152 razy
gmer.txt
(467.4 KiB) Ściągnięto 142 razy
Awatar użytkownika
debiska
~user
 
Posty: 50
Dołączenie: 14 Sie 2012, 14:41



Infekcja w dnsapi.dll ?

Postprzez ordynat 21 Lis 2016, 22:44

jeszcze nie przeglądałem logów, ale mogę się założyć, że to chińska infekcja.

1) Otwórz Notatnik i wklej w nim:
Task: {B42C78A1-FE81-4273-9548-C97EAC717F83} - System32\Tasks\UCBrowserUpdater => C:\Program Files (x86)\UCBrowser\Application\update_task.exe [2016-11-16] (UCWeb Inc) <==== ATTENTION
Task: C:\WINDOWS\Tasks\UCBrowserUpdater.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe <==== ATTENTION
RemoveDirectory: C:\Program Files (x86)\UCBrowser
C:\Program Files (x86)\KuaiZip
C:\Users\Gaspard\AppData\Roaming\Riperseseterty
c:\program files (x86)\anakury
Tcpip\..\Interfaces\{58F805F0-975F-4875-B45D-CA65C4DB06FB}: [NameServer] 188.120.239.115,8.8.8.8
AlternateDataStreams: C:\WINDOWS\system32\drivers:ucdrv-x64.sys [80850]
AlternateDataStreams: C:\WINDOWS\system32\drivers:x64 [360536]
AlternateDataStreams: C:\WINDOWS\system32\drivers:x86 [1156450]
FirewallRules: [{B1F74C73-8567-41D8-8858-E3824435714A}] => (Allow) C:\Program Files (x86)\UCBrowser\Application\UCBrowser.exe
FirewallRules: [{FE3774F3-F942-47C7-8D33-BB823D25697F}] => (Allow) C:\Program Files (x86)\UCBrowser\Application\UCBrowser.exe
2016-11-06 21:24 - 2016-11-21 15:48 - 00000000 ____D C:\Program Files (x86)\Anakury_
2016-11-06 21:24 - 2016-11-06 21:27 - 00000000 ____D C:\Program Files (x86)\Anakury
2016-11-06 21:24 - 2016-11-06 21:24 - 00000000 ____D C:\Users\Gaspard\AppData\Roaming\Riperseseterty
2016-11-06 21:24 - 2016-11-06 21:24 - 00000000 ____D C:\Users\Gaspard\AppData\Local\Atahitaincoutain
2016-11-06 21:23 - 2016-11-06 21:23 - 00000000 _____ C:\TOSTACK
2016-11-08 22:49 - 2016-11-08 22:49 - 00000000 ____D C:\Users\Gaspard\AppData\LocalLow0143C920
2016-11-08 11:10 - 2016-11-08 11:10 - 00000000 ____D C:\WINDOWS\system32\zedl
2016-11-08 10:40 - 2016-11-21 15:48 - 00000000 ____D C:\Users\Gaspard\AppData\LocalLow\Company
2016-11-08 10:40 - 2016-11-08 10:40 - 00000000 ____D C:\Users\Gaspard\AppData\Local\Tempfolder
2016-11-08 01:24 - 2016-11-21 15:49 - 00000000 ___HD C:\Users\Gaspard\AppData\Local\Temp1
2016-11-08 01:24 - 2016-11-21 15:49 - 00000000 ___HD C:\Program Files (x86)\Youtube AdBlock1
2016-11-08 01:24 - 2016-11-08 01:24 - 00000000 ___HD C:\WINDOWS\Temp1
2016-11-08 01:24 - 2016-11-08 01:24 - 00000000 ___HD C:\Users\Gaspard\AppData\LocalLow\Youtube AdBlock1
2016-11-06 22:03 - 2016-11-07 09:35 - 00001567 _____ C:\Users\Gaspard\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器.lnk
2016-11-06 22:03 - 2016-11-07 09:35 - 00000000 ____D C:\Users\Gaspard\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器
2016-11-06 21:59 - 2016-11-21 16:29 - 00000484 _____ C:\WINDOWS\Tasks\UCBrowserUpdater.job
2016-11-06 21:59 - 2016-11-21 16:15 - 00003440 _____ C:\WINDOWS\System32\Tasks\UCBrowserUpdater
2016-11-06 21:59 - 2016-11-21 15:28 - 00000000 ____D C:\Program Files (x86)\KuaiZip
2016-11-06 21:59 - 2016-11-17 09:42 - 00000000 ____D C:\Program Files (x86)\UCBrowser
2016-11-06 21:59 - 2016-11-06 21:59 - 00000000 ____D C:\Users\Gaspard\AppData\Local\UCBrowser
2016-11-06 21:58 - 2016-11-06 21:58 - 00000000 _____ C:\WINDOWS\SysWOW64\Number of results
R2 Drccult; C:\Program Files (x86)\Anakury\ShezergeDbg.dll [273408 2016-11-06] () [Fichier non signé]
SearchScopes: HKU\S-1-5-21-3097350620-3087235598-687270976-1001 -> DefaultScope {522C369C-1876-49CA-87F3-DDA5BE7FDC33} URL =
SearchScopes: HKU\S-1-5-21-3097350620-3087235598-687270976-1001 -> {522C369C-1876-49CA-87F3-DDA5BE7FDC33} URL =
ShortcutTarget: helper.lnk -> C:\Users\Gaspard\AppData\Roaming\WindowsServices\helper.vbs (Pas de fichier)
GroupPolicy: Restriction - Chrome <======= ATTENTION
ShellExecuteHooks: - {46094C54-9CE1-11E6-9FFD-64006A5CFC23} - C:\Users\Gaspard\AppData\Roaming\Riperseseterty\Linelystowusp.dll [146944 2016-11-06] ()
HKU\S-1-5-21-3097350620-3087235598-687270976-1001\...\Run: [BingSvc] => C:\Users\Gaspard\AppData\Local\Microsoft\BingSvc\BingSvc.exe [144008 2015-11-11] (© 2015 Microsoft Corporation)
HKLM\...\Policies\Explorer: [EnableShellExecuteHooks] 1
C:\Users\Gaspard\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器.lnk
C:\Users\Gaspard\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\UC浏览器.lnk
C:\Users\Gaspard\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\UC浏览器.lnk
ShortcutWithArgument: C:\Users\Gaspard\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器\卸载UC浏览器.lnk -> C:\Program Files (x86)\UCBrowser\Application\Uninstall.exe (UCWeb Inc.) -> --uninstall
HOSTS:
EmptyTemp:

>>Menu Notatnika >> Plik >>
>>Zapisz jako >>
Nazwa pliku: fixlist
Zapisz jako typ: Dokumenty tekstowe
Kodowanie: UTF -8
>>Zapisz
Plik umieść w folderze D:\Nouveau dossier
Uruchom FRST i kliknij przycisk Fix (NAPRAW).

2) Użyj RepairDNS > http://www.fixitpc.pl/topic/8-dezynfekcja-zbi%C3%B3r-narz%C4%99dzi-usuwaj%C4%85cych/#entry172749
Link zapasowy > http://www.mediafire.com/download/yedejtr7p4q36zm/RepairDNS.zip
Daj z tego raport.

3) Zrób nowe logi FRST.
.
ordynat
~user
 
Posty: 4765
Dołączenie: 02 Kwi 2010, 11:18
Pochwały: 866



Infekcja w dnsapi.dll ?

Postprzez debiska 21 Lis 2016, 23:27

Wykonano.
Załączniki
log_dns.txt
(978 Bajty) Ściągnięto 149 razy
FRST.txt
(39.92 KiB) Ściągnięto 141 razy
Addition.txt
(33.44 KiB) Ściągnięto 159 razy
Shortcut.txt
(82.87 KiB) Ściągnięto 152 razy
Awatar użytkownika
debiska
~user
 
Posty: 50
Dołączenie: 14 Sie 2012, 14:41



Infekcja w dnsapi.dll ?

Postprzez ordynat 21 Lis 2016, 23:29

Otwórz Notatnik i wklej w nim:
C:\Users\Gaspard\AppData\Roaming\WindowsServices\helper.vbs
C:\Users\Gaspard\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器.lnk
C:\Users\Gaspard\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器
C:\Users\Gaspard\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\UC浏览器.lnk
C:\Users\Gaspard\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\UC浏览器.lnk
EmptyTemp:

>>Menu Notatnika >> Plik >>
>>Zapisz jako >>
Nazwa pliku: fixlist
Zapisz jako typ: Dokumenty tekstowe
Kodowanie: UTF-8
>>Zapisz
Plik umieść w folderze D:\nowy folder
Uruchom FRST i kliknij przycisk Fix (NAPRAW).

Zrób nowe logi FRST, już bez Addition.
.
ordynat
~user
 
Posty: 4765
Dołączenie: 02 Kwi 2010, 11:18
Pochwały: 866



Infekcja w dnsapi.dll ?

Postprzez debiska 21 Lis 2016, 23:54

Coś te krzaczki nie usunęły się.
Może to moja wina, spróbuję jeszcze raz ?

Dodano Dzisiaj, 23:59:
Załączniki
Fixlog.txt
(1.87 KiB) Ściągnięto 152 razy
FRST.txt
(39.7 KiB) Ściągnięto 137 razy
Shortcut.txt
(82.87 KiB) Ściągnięto 146 razy
Fixlog.txt
(1.94 KiB) Ściągnięto 147 razy
Awatar użytkownika
debiska
~user
 
Posty: 50
Dołączenie: 14 Sie 2012, 14:41



Infekcja w dnsapi.dll ?

Postprzez ordynat 21 Lis 2016, 23:59

Tak, spróbuj jeszcze raz .

i spróbuj je usunąć ręcznie.
.
Ostatnio edytowany przez ordynat, 22 Lis 2016, 00:00, edytowano w sumie 1 raz
ordynat
~user
 
Posty: 4765
Dołączenie: 02 Kwi 2010, 11:18
Pochwały: 866



Infekcja w dnsapi.dll ?

Postprzez debiska 22 Lis 2016, 00:00

Teraz OK.

Kod: Zaznacz wszystko
Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 20-11-2016 01
Exécuté par Gaspard (21-11-2016 22:57:13) Run:3
Exécuté depuis D:\nowy folder
Profils chargés: Gaspard (Profils disponibles: Gaspard)
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
C:\Users\Gaspard\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器.lnk
C:\Users\Gaspard\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器
C:\Users\Gaspard\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\UC浏览器.lnk
C:\Users\Gaspard\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\UC浏览器.lnk
EmptyTemp:
*****************

C:\Users\Gaspard\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器.lnk => déplacé(es) avec succès
C:\Users\Gaspard\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器 => déplacé(es) avec succès
C:\Users\Gaspard\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\UC浏览器.lnk => déplacé(es) avec succès
C:\Users\Gaspard\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\UC浏览器.lnk => déplacé(es) avec succès

=========== EmptyTemp: ==========

BITS transfer queue => 8388608 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 9535509 B
Java, Flash, Steam htmlcache => 0 B
Windows/system/drivers => 2656 B
Edge => 0 B
Chrome => 0 B
Firefox => 0 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
systemprofile32 => 0 B
LocalService => 0 B
NetworkService => 0 B
Gaspard => 8192 B

RecycleBin => 0 B
EmptyTemp: => 17.1 MB données temporaires supprimées.

================================


Le système a dû redémarrer.

==== Fin de Fixlog 22:57:15 ====
Awatar użytkownika
debiska
~user
 
Posty: 50
Dołączenie: 14 Sie 2012, 14:41



Infekcja w dnsapi.dll ?

Postprzez ordynat 22 Lis 2016, 00:02

W takim razie powinno już być OK.

Otwórz Notatnik i wklej w nim:
DeleteQuarantine:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST. Uruchom FRST i kliknij w Fix (NAPRAW).
przez SHIFT+DEL usuń pozostały folder C:\FRST.

W Adw-Cleaner kliknij u góry po lewej na PLIK, potem na ODINSTALUJ.

RepairDNS - usuń ręcznie.
.

Autor postu otrzymał pochwałę
ordynat
~user
 
Posty: 4765
Dołączenie: 02 Kwi 2010, 11:18
Pochwały: 866



Infekcja w dnsapi.dll ?

Postprzez debiska 22 Lis 2016, 00:08

Dzięki. :papryczka:
Awatar użytkownika
debiska
~user
 
Posty: 50
Dołączenie: 14 Sie 2012, 14:41




Powróć do Bezpieczeństwo

Kto jest na forum

Użytkownicy przeglądający to forum: Brak zarejestrowanych użytkowników oraz 11 gości