Nie mogę usunąć infekcji

[roberto12 0]

Witam, przez przypadek zainfekowałem sobie system, adwcleaner oraz malwarebytes nie dają rady. Podejrzany to CloudNet.

Addition_10-04-2018 19.26.13.txt

FRST_10-04-2018 19.26.13.txt

Shortcut_10-04-2018 19.26.13.txt

[filutka78 11]

1) Odinstaluj niepotrzebny do niczego program Akamai NetSession Interface

 

2) Spróbuj odinstalować te programy:

CloudNet (HKU\S-1-5-21-331365592-768496911-4057235362-1000\...\CloudNet) (Version: 20170301 - EpicNet Inc.) <==== UWAGA

Online Application (HKLM\...\{5266F634-7B7D-4537-BDDC-98DD6CFCBAA1}) (Version: 2.7.0 - Microleaves) Hidden <==== UWAGA

 

3) Otwórz Notatnik i wklej w nim:

Task: {387ED6E7-4EAB-43FE-AD5A-1FE9C57857CD} - System32\Tasks\Online Application V2G6 => C:\Program Files\Microleaves\Online Application\Version 2.6.0\Online-Guardian.exe <==== UWAGA
Task: {3D2A58ED-3A47-4638-A6FD-04C513A94FF7} - System32\Tasks\csrss => C:\Windows\rss\csrss.exe [2018-04-09] () <==== UWAGA
Task: {4949E0BB-82E7-4BBF-941E-9332CF62BB33} - System32\Tasks\{28A09589-525F-44D5-98F3-543E064B6429} => C:\Windows\system32\pcalua.exe -a C:\Users\pc1\AppData\Local\Temp\Temp1_LAN_7.6.820.2009.zip\setup.exe <==== UWAGA
Task: {51C8D205-6DC1-4696-A204-B51B9E829C9F} - System32\Tasks\Online Application V2G1 => C:\Program Files\Microleaves\Online Application\Version 2.6.0\Online-Guardian.exe <==== UWAGA
Task: {6BADE47A-1374-4DD9-80AC-095CF9BC67F8} - System32\Tasks\Online Application V2G4 => C:\Program Files\Microleaves\Online Application\Version 2.6.0\Online-Guardian.exe <==== UWAGA
Task: {98400BB0-6B38-4081-AC3A-C14E3961D66C} - System32\Tasks\Online Application V2G2 => C:\Program Files\Microleaves\Online Application\Version 2.6.0\Online-Guardian.exe <==== UWAGA
Task: {9B624E6F-1020-4930-8AB9-405B64A0EFCC} - System32\Tasks\Updater_Online_Application => C:\Program Files\Microleaves\Online Application\Online Application Updater.exe <==== UWAGA
Task: {BF712134-0CAC-4103-85AD-8B897670C52F} - System32\Tasks\{23E59F5E-FEEE-4380-9E68-AD7A4D9CCDB3} => C:\Windows\system32\pcalua.exe -a "C:\Users\pc1\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe" -c /uninstall
Task: {CB4B37DA-DB9B-44CB-BAA2-818B467C8965} - System32\Tasks\{3E80EDB6-6856-4CA0-9F8C-4CEB982107A9} => C:\Windows\system32\pcalua.exe -a C:\Users\pc1\AppData\Local\Temp\Temp3_WLAN_Realtek_Win7_2002.1.0106.2011.zip\SSetup.exe <==== UWAGA
Task: {CED8FD41-221E-40B3-9A51-E5B7FDB43C57} - System32\Tasks\Online Application V2G3 => C:\Program Files\Microleaves\Online Application\Version 2.6.0\Online-Guardian.exe <==== UWAGA
Task: {D20FDB0C-CC55-42AA-8AB6-E85C7F8DAD12} - System32\Tasks\Online Application V2G5 => C:\Program Files\Microleaves\Online Application\Version 2.6.0\Online-Guardian.exe <==== UWAGA
Task: {E642ECE1-24B2-4F3B-BEDA-19B8DBF99CD9} - System32\Tasks\{B18A1C6B-B7D1-4975-9382-8967FCF72711} => C:\Windows\system32\pcalua.exe -a C:\Users\pc1\AppData\Local\Temp\Temp1_QCA_WLAN_Driver_1.0.0.1.zip\setup.exe <==== UWAGA
Task: C:\Windows\Tasks\Online Application V2G1.job => C:\Program Files\Microleaves\Online Application\Version 2.6.0\Online-Guardian.exe <==== UWAGA
Task: C:\Windows\Tasks\Online Application V2G2.job => C:\Program Files\Microleaves\Online Application\Version 2.6.0\Online-Guardian.exe <==== UWAGA
Task: C:\Windows\Tasks\Online Application V2G3.job => C:\Program Files\Microleaves\Online Application\Version 2.6.0\Online-Guardian.exe <==== UWAGA
Task: C:\Windows\Tasks\Online Application V2G4.job => C:\Program Files\Microleaves\Online Application\Version 2.6.0\Online-Guardian.exe <==== UWAGA
Task: C:\Windows\Tasks\Online Application V2G5.job => C:\Program Files\Microleaves\Online Application\Version 2.6.0\Online-Guardian.exe <==== UWAGA
Task: C:\Windows\Tasks\Online Application V2G6.job => C:\Program Files\Microleaves\Online Application\Version 2.6.0\Online-Guardian.exe <==== UWAGA
Task: C:\Windows\Tasks\Updater_Online_Application.job => C:\Program Files\Microleaves\Online Application\Online Application Updater.exe <==== UWAGA
RemoveDirectory: C:\Program Files\Microleaves
C:\Windows\rss\csrss.exe
RemoveDirectory: c:\users\pc1\appdata\local\xservice
RemoveDirectory: C:\ProgramData\7099cd0926
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\2314932
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\3512644
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\5245280
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\9F6HTCHANXERPUX
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\CloudNet
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\EP7GIIL7NOSCDOZ
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ZHN5LV0D0XFMHBI
RemoveDirectory: C:\Users\pc1\AppData\Roaming\3zv5bg53vq0
RemoveDirectory: C:\Users\pc1\AppData\Roaming\jqsalmply13
RemoveDirectory: c:\Program Files\ShutdownTime
RemoveDirectory: C:\Users\pc1\AppData\Roaming\EpicNet Inc
RemoveDirectory: c:\Program Files\KEDLSMZ86W
RemoveDirectory: C:\Users\pc1\AppData\Roaming\d20uya11ht2
FirewallRules: [{C12436D5-FDDD-47BD-B268-0EFCCE088747}] => (Allow) C:\Windows\rss\csrss.exe
FirewallRules: [{B6450094-C2AC-4DEB-8A5C-EC004B61B588}] => (Allow) C:\Users\pc1\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe
FirewallRules: [{C612B96E-A2E3-4C92-956C-8438E06305B0}] => (Allow) C:\Users\pc1\AppData\Local\Akamai\netsession_win.exe
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <==== UWAGA
BHO: Brak nazwy -> {1E1B2879-88FF-11D2-8D96-D7ACAC95951F} -> Brak pliku
Toolbar: HKU\S-1-5-21-331365592-768496911-4057235362-1000 -> Brak nazwy - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  Brak pliku
R2 system_socket_controller; C:\ProgramData\7099cd0926\be1db06236.exe [2171904 2018-04-10] () [brak podpisu cyfrowego]
R3 Winmon; C:\Windows\System32\drivers\Winmon.sys [0 ] () <==== UWAGA (zerobajtowy plik/folder)
R3 WinmonFS; C:\Windows\System32\drivers\WinmonFS.sys [0 ] (Windows (R) Win 7 DDK provider) <==== UWAGA (zerobajtowy plik/folder)
R1 WinmonProcessMonitor; C:\Windows\System32\drivers\WinmonProcessMonitor.sys [28368 2018-04-09] () [brak podpisu cyfrowego]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
RemoveDirectory: c:\Program Files\cec789
2018-04-09 21:51 - 2018-04-09 21:51 - 000011568 _____ () C:\Users\pc1\AppData\Local\InstallationConfiguration.xml
2018-04-09 21:51 - 2018-04-09 21:51 - 000140800 _____ () C:\Users\pc1\AppData\Local\installer.dat
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść w folderze C:\Users\pc1\Downloads

Uruchom FRST i kliknij przycisk Fix (NAPRAW).

 

4) Zrób nowe logi FRST.

przed skanem zaznacz: Additional.txt Shortcut.txt,

 

F.

[roberto12 0]

Programu CloudNet nie da się usunąć.

 

Wklejam nowe logi.

Fixlog_10-04-2018 21.05.27.txt

Addition_10-04-2018 21.12.36.txt

FRST_10-04-2018 21.12.36.txt

Shortcut_10-04-2018 21.12.36.txt

[filutka78 11]

1) Otwórz Notatnik i wklej w nim:

DeleteKey: HU\S-1-5-21-331365592-768496911-4057235362-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\CloudNet

DeleteKey: HKU\S-1-5-21-331365592-768496911-4057235362-1000\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\CloudNet

Task: {FEF947B8-31C9-48FD-857C-FA815E957A97} - System32\Tasks\UpdateChecker => C:\Users\pc1\AppData\Roaming\Wintup.exe [2018-04-10] () <==== UWAGA

C:\Users\pc1\AppData\Roaming\Wintup.exe

Reg: reg query HKLM\SYSTEM\CurrentControlSet\services\Winmgmt /s

HKLM\...\Policies\Explorer: []

HKU\S-1-5-21-331365592-768496911-4057235362-1000\...\Run: [Akamai NetSession Interface] => "C:\Users\pc1\AppData\Local\Akamai\netsession_win.exe"

HKU\S-1-5-21-331365592-768496911-4057235362-1000\...\Run: [blackFrog] => C:\Windows\rss\csrss.exe [3077632 2018-04-10] () <==== UWAGA

HKU\S-1-5-21-331365592-768496911-4057235362-1000\...\Run: [CloudNet] => "C:\Users\pc1\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe" 2017

C:\Users\pc1\AppData\Local\Akamai\netsession_win.exe

C:\Windows\rss\csrss.exe

RemoveDirectory: C:\Users\pc1\AppData\Roaming\EpicNet Inc

S2 WinService; C:\Users\pc1\AppData\Local\XService\XService.dll [X]

R2 WinDefender; C:\Windows\windefender.exe [1377280 2018-04-09] ()

C:\Windows\windefender.exe

C:\Windows\system32\Drivers\WinmonProcessMonitor.sys

RemoveDirectory: C:\Users\pc1\AppData\Roaming\FastDataX

RemoveDirectory: C:\Users\pc1\AppData\Roaming\Microleaves

RemoveDirectory: C:\Users\pc1\AppData\Local\AdvinstAnalytics

RemoveDirectory: C:\Windows\rss

C:\Windows\system32\Drivers\WinmonProcessMonitor.sys

C:\Windows\system32\Drivers\WinmonFS.sys

C:\Windows\system32\Drivers\Winmon.sys

C:\Users\pc1\AppData\Local\Windows_8

EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść w folderze C:\Users\pc1\Downloads

Uruchom FRST i kliknij przycisk Fix (NAPRAW).

Daj z tego raport.

 

2) Zrób nowe logi FRST - już bez Shortcut.

 

F.

[roberto12 0]

Dodałem nowe logi.

Addition_11-04-2018 17.27.15.txt

FRST_11-04-2018 17.27.15.txt

[filutka78 11]

1)Otwórz Notatnik i wklej w nim:

DeleteKey: HKU\S-1-5-21-331365592-768496911-4057235362-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\CloudNet

DeleteKey: HKU\S-1-5-21-331365592-768496911-4057235362-1000\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\CloudNet

Reg: reg query HKLM\SYSTEM\CurrentControlSet\services\Winmgmt /s

EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe

Uruchom FRST i kliknij przycisk Fix (NAPRAW).

Powstanie plik fixlog.txt.

Daj ten log.

 

2) Jeszcze raz użyj Adw-Cleaner:

najpierw kliknij na SKANUJ (SCAN), a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk OCZYŚĆ (CLEANING), to kliknij na niego.

Pokaż raport z niego "C".

 

3) Uruchom FRST.

W polu SEARCH (SZUKAJ) wklej:

CloudNet*.*

kliknij na przycisk "Search Files (Szukaj Plików)".

Raport z tego będzie tam, gdzie jest FRST.

 

4) Uruchom FRST.

W polu SEARCH (SZUKAJ) wklej:

CloudNet

kliknij na przycisk "Search Registry" (Szukaj w Rejestrze).

Raport z tego będzie tam, gdzie jest FRST.

 

5) Zrób nowe logi FRST.

 

F.

[roberto12 0]

Kolejne logi.

Fixlog.txt

AdwCleanerC1.txt

Search.txt

SearchReg.txt

Addition.txt

FRST.txt

[filutka78 11]

Do Notatnika wklej:

Windows Registry Editor Version 5.00

[HKEY_USERS\S-1-5-21-331365592-768496911-4057235362-1000\Software\Microsoft\TestApp]
"CloudnetSource"=-

[HKEY_USERS\S-1-5-21-331365592-768496911-4057235362-1000\Software\Microsoft\Windows\Windows Error Reporting\Debug]
"StoreLocation"="C:\Users\pc1\AppData\Local\Microsoft\Windows\WER\ReportQueue\NonCritical_"

Z Menu Notatnika >> Plik >> Zapisz jako >> Ustaw rozszerzenie na Wszystkie pliki >> Zapisz jako> FIX.REG >>

plik uruchom (dwuklik i OK).

 

Powinno być już OK.

 

------

 

UWAGA: Przywracanie systemu jest wyłączone

Sprawdź usługę "winmgmt" lub napraw WMI.

Z "fixlog" wynika, że "winmgmt" jest OK.

Jeśli uszkodzone jest "WMI" - to System nie nadaje się do naprawy, ale nie wiem, czy dotyczy to Twego Systemu, bo w ogóle nie znam systemu "Microsoft Windows Embedded Standard".

Być może na tym Systemie "WMI" zawsze jest takie.

 

F.

[roberto12 0]

Myślę, że jest już dobrze. Jest to okrojona wersja systemu Windows 7, a konkretnie Windows Thin PC. Dziękuję serdecznie za pomoc.