Skocz do zawartości

Temat został przeniesiony do archiwum

Ten temat przebywa obecnie w archiwum. Dodawanie nowych odpowiedzi zostało zablokowane.

MILIARDER

kuaizip.rar

Rekomendowane odpowiedzi

Witam

 

Od niedawna zauważyłem, że pliki skompresowane są pod KuaiZip;

 

gdzie sprawdzałem obecność KuaiZip:

- dodaj/usun programy - nie ma;

- w wyszukiwarce systemowej - nie ma;

 

w adwcleaner rowniez nie ma:

http://www.wklej.org/id/3069395/

 

logi z frst'a:

http://www.wklej.org/id/3069398/ frst

http://www.wklej.org/id/3069399/ add

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Kuaizip zmienia Rejestr, tak, by wszystko było podporządkowane temu "chińczykowi".

 

1) CHR DefaultProfile: ChromeDefaultData

Uruchom Google Chrome

> Naciśnij klawisze: lewy Alt+F i kliknij przycisk Ustawienia >

> Sekcja: OSOBY

>zaznacz (wybierz): user0

kliknij znaczek X znajdujący się po prawej stronie

 

 

2) Uruchom FRST.

W polu SEARCH (SZUKAJ) wklej:

*kuaizip*.*

kliknij na przycisk "Search Files (Szukaj Plików)".

Raport z tego będzie tam, gdzie jest FRST.

 

3) Uruchom FRST.

W polu SEARCH (SZUKAJ) wklej:

kuaizip;

kliknij na przycisk "Search Registry" (Szukaj w Rejestrze).

Raport z tego będzie tam, gdzie jest FRST.

(Sam zobaczysz, ile tego badziewia jest w Rejestrze)

 

Zrób nowy log FRST - bez Addition.

 

 

F.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Otwórz Notatnik i wklej w nim:

CHR DefaultProfile: ChromeDefaultData

CHR HomePage: ChromeDefaultData -> hxxp://google.pl/

CHR StartupUrls: ChromeDefaultData -> "hxxps://www.google.pl/","hxxp://www.youtube.com/"

CHR Profile: C:\Users\test\AppData\Local\Google\Chrome\User Data\ChromeDefaultData [2017-03-24] <==== UWAGA

CHR Extension: (Prezentacje Google) - C:\Users\test\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\aapocclcgogkmnckokdopfmhonfmgoek [2017-03-06]

CHR Extension: (Magic Actions for YouTube™) - C:\Users\test\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\abjcfabbhafbcdfjoecdgepllmpfceif [2017-03-16]

CHR Extension: (Dokumenty Google) - C:\Users\test\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\aohghmighlieiainnegkcijnfilokake [2017-03-06]

CHR Extension: (Dysk Google) - C:\Users\test\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\apdfllckaahabafndbhieahigkjlhalf [2017-03-06]

CHR Extension: (YouTube) - C:\Users\test\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2017-03-06]

CHR Extension: (Adblock Plus) - C:\Users\test\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\cfhdojbkjhnklbpkdaibdccddilifddb [2017-03-21]

CHR Extension: (Adobe Acrobat) - C:\Users\test\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\efaidnbmnnnibpcajpcglclefindmkaj [2017-03-06]

CHR Extension: (Block site) - C:\Users\test\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\eiimnmioipafcokbfikbljfdeojpcgbh [2017-03-20]

CHR Extension: (Arkusze Google) - C:\Users\test\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\felcaaldnbdncclmgdcncolpebgiejap [2017-03-06]

CHR Extension: (Dokumenty Google offline) - C:\Users\test\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\ghbmnnjooekpmoecnnnilnnbdlolhkhi [2017-03-06]

CHR Extension: (AdBlock) - C:\Users\test\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\gighmmpiobklfepjocnamgkkbiglidom [2017-03-06]

CHR Extension: (Instant Translate: Select and Translate) - C:\Users\test\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\ihmgiclibbndffejedjimfjmfoabpcke [2017-03-06]

CHR Extension: (Ghostery) - C:\Users\test\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\mlomiejdfkolichcflejclcbmpeaniij [2017-03-06]

CHR Extension: (Płatności w sklepie Chrome Web Store) - C:\Users\test\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2017-03-10]

CHR Extension: (Gmail) - C:\Users\test\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\pjkljhegncpnkpknbcohdijeoejaedia [2017-03-06]

CHR Extension: (Chrome Media Router) - C:\Users\test\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\pkedcjkdefgpdelpbcmbmeomcjbeemfm [2017-03-06]

S3 dbx; system32\DRIVERS\dbx.sys [X]

StartRegedit:

Windows Registry Editor Version 5.00

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.7z]

""=""

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.ape]

"KLCP.bak"=""

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.bin]

""=""

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.cab]

""=""

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.gz]

""=""

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.kz]

""=""

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.rar]

@="rarfile"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.tar]

""=""

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.tgz]

""=""

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.wv]

"KLCP.bak"=""

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.z]

""=""

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.zip]

@="WINRAR"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\mplayerc64.ape]

"PreviousRegistration"=""

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\mplayerc64.wv]

"PreviousRegistration"=""

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]

"KuaiZip Shell Extension"=-

 

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_KUAIZIPDRIVE]

 

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_KUAIZIPDRIVE\0000]

 

[HKEY_USERS\S-1-5-21-491322192-1921635884-3438117560-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.ape\OpenWithProgids]

"KuaiZipMount.ape"=-

 

[HKEY_USERS\S-1-5-21-491322192-1921635884-3438117560-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.cab\OpenWithProgids]

"KuaiZip.cab"=-

 

[HKEY_USERS\S-1-5-21-491322192-1921635884-3438117560-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.flac\OpenWithProgids]

"KuaiZipMount.flac"=-

 

[HKEY_USERS\S-1-5-21-1908891989-2600099311-2743488440-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.rar\OpenWithProgids]

"PARAR"=hex(0):

"rarfile"=hex(0):

 

[HKEY_USERS\S-1-5-21-491322192-1921635884-3438117560-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.wv\OpenWithProgids]

"KuaiZipMount.wv"=-

 

[HKEY_USERS\S-1-5-21-491322192-1921635884-3438117560-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.zip\OpenWithProgids]

"KuaiZip.zip"=-

 

[HKEY_USERS\S-1-5-21-491322192-1921635884-3438117560-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.zip\OpenWithProgids]

"WINRAR.zip"=""

EndRegedit:

EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe

Uruchom FRST i kliknij przycisk Fix (NAPRAW).

 

Uruchom FRST.

W polu SEARCH (SZUKAJ) wklej:

Kuaizip;

kliknij na przycisk "Search Registry" (Szukaj w Rejestrze).

Raport z tego będzie tam, gdzie jest FRST.

 

Ja nie mam WINRAR'a, więc nie wiem, jak powinien wyglądać Rejestr w takim przypadku.

Wypróbuj otworzyć jakiś plik skompresowany - zobaczymy, czy będą problemu

 

F.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Dodatkowo:

Otwórz Notatnik i wklej w nim:

FF Extension: (GeneralProperties Class) - C:\Users\test\AppData\Roaming\Mozilla\Firefox\Profiles\6rinksi5.default\Extensions\{3403FBC1-82F7-E4DF-A85F-96B504F3C61B} [2017-01-24] [brak podpisu cyfrowego]

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe

Uruchom FRST i kliknij przycisk Fix (NAPRAW).

 

F.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Do usunięcia kluczy "LEGACY" trzeba mieć specjalne uprawnienia, więc raczej trudno je będzie usunąć.

 

Otwórz Notatnik i wklej w nim:

StartRegedit:

Windows Registry Editor Version 5.00

 

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_KUAIZIPDRIVE]

 

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_KUAIZIPDRIVE\0000]

 

[HKEY_USERS\S-1-5-21-491322192-1921635884-3438117560-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.rar\OpenWithProgids]

"KuaiZip.rar"=-

 

[HKEY_USERS\S-1-5-21-1908891989-2600099311-2743488440-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.rar\OpenWithProgids]

"PARAR"=hex(0):

"rarfile"=hex(0):

EndRegedit:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe

Uruchom FRST i kliknij przycisk Fix (NAPRAW).

 

F.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Jak podejrzewam że process hacker trzeba FRST uruchomić z prawami SYSTEM, ewentualnie regedit i ręcznie kasować.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

  • Ostatnio przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników przeglądających tę stronę.

×
×
  • Dodaj nową pozycję...