jessica

ale tu akurat pliki o tych nazwach były w innej lokalizacji, więc były podejrzane

Otwórz Notatnik i wklej w nim:

Task: {2C59ECAF-3A27-4640-9F4B-519B05BDD70F} - \Microsoft\Windows\MUI\LPRemove No Task File <==== ATTENTION
Task: {2D10AC9D-AB66-413D-8719-DDBDE95DFAF0} - System32\Tasks\{3CB43A42-6514-4584-8F12-73BF2E0AD59D} => pcalua.exe -a C:\Users\Dom\AppData\Roaming\mystartsearch\UninstallManager.exe -c  -ptid=cor
Task: {5438FBF9-B2C2-44C5-B6CC-B23B4FABBCA4} - System32\Tasks\{36CC6307-B330-49DB-8BD7-7546AB8979FC} => pcalua.exe -a "D:\CABAL2 (US)\c2installer.exe" -d "D:\CABAL2 (US)"
Task: {558805D3-7A26-48F5-8676-07971F9FB216} - System32\Tasks\{7BD7EB18-C71D-4C26-88D9-1BD91786B3E0} => pcalua.exe -a "D:\Testy Bplus\Loader.exe" -d "D:\Testy Bplus"
Task: {A5B33430-8D3D-40AE-B4D1-37B9A1A4A7E9} - System32\Tasks\{20AEFDD9-8ACA-4191-A38C-DEA53635DF92} => pcalua.exe -a "D:\gry\Cryptic Studios\Neverwinter.exe" -d "D:\gry\Cryptic Studios"
Task: {C4BC4CA9-6BF2-4663-84BA-1FB5C9A6F25C} - System32\Tasks\{CA5640F5-9389-4902-90B3-84AA8B8E3DB9} => pcalua.exe -a F:\autorun.exe -d F:\
Task: {EB776D58-67E2-4E61-9C3C-7AC47C5330AC} - System32\Tasks\{06EA2033-3D4B-49B8-838D-516AFF60FD19} => pcalua.exe -a D:\gry\nfs\Virtualmt2\VirtualMT2.exe -d D:\gry\nfs\Virtualmt2
HKU\S-1-5-21-620759806-2564684941-1707045063-1001\...\Run: [GoogleChromeAutoLaunch_B45CF322C3DDAB17738CEB2CDE894577] => "C:\Program Files\Crossbrowse\Crossbrowse\Application\crossbrowse.exe" --no-startup-window
C:\Program Files\Crossbrowse\Crossbrowse\Application\crossbrowse.exe
Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
HKLM\...\Run: [] => [X]
SearchScopes: HKU\.DEFAULT -> {483830EE-A4CD-4b71-B0A3-3D82E62A6909} URL =
S3 AndNetDiag; system32\DRIVERS\lgandnetdiag.sys [X]
S3 ANDNetModem; system32\DRIVERS\lgandnetmodem.sys [X]
S3 EagleXNt; \??\C:\Windows\system32\drivers\EagleXNt.sys [X]
S3 xhunter1; \??\C:\Windows\xhunter1.sys [X]
C:\Program Files\Enigma Software Group
C:\Program Files\c706a493-9ba1-4d1d-938e-c0eafe1e2b48
C:\Windows\system32\029B560A371F4E00AB32838EBC01B9E7
C:\Windows\prleth.sys
C:\Windows\hgfs.sys
C:\Users\Dom\AppData\Local\15093
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
EmptyTemp:

jessi

@Picasso podobno ma już zacząć pomagać, ale jeśli w ciągu kilku dni nie otrzymasz Jej zaleceń, to zrobisz przynajmniej to:

1) Użyj >Adw-cleaner
najpierw kliknij na SZUKAJ (SCAN), a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ (CLEANING), to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner\AdwCleaner.txt

2) Zrób nowe logi FRST.

3)

2015-07-08 15:46 - 2015-07-08 15:46 - 00000000 _____ C:\Windows\prleth.sys
2015-07-08 15:46 - 2015-07-08 15:46 - 00000000 _____ C:\Windows\hgfs.sys
2015-07-08 15:45 - 2015-07-08 16:05 - 00000000 ____D C:\Users\Dom\AppData\Local\15093

 

Znasz te powyższe obiekty?

4)

(AMD) C:\Windows\System32\atieclxx.exe

 

To właściwy proces.

5)

C:\Windows\system32\winlogon.exe => File is digitally signed

 

Innego "winlogon.exe" w logach nie widzę.

jessi

SRV:64bit: - [2015/06/23 22:06:10 | 000,098,248 | ---- | M] () [unknown (-1) | Unknown] -- C:\Windows\SysNative\drivers\5940e4d7b3a1b797.sys -- (5940e4d7b3a1b797)

 

Rootkit NECURS

@Picasso już chyba zacznie pomagać, więc ja oczywiście tu nie pomogę.

Ale w czasie oczekiwania na @Picasso możesz uzupełnić brakujące wymagane logi z FRST https://www.fixitpc.pl/forum-38/announcement-3-wa%C5%BCne-zak%C5%82adanie-tematu-obowi%C4%85zkowe-logi/

Możesz tez zrobić log z TDSSKiller https://www.fixitpc.pl/topic/8-dezynfekcja-zbi%C3%B3r-narz%C4%99dzi-usuwaj%C4%85cych/?do=findComment&comment=33542bo to przy jego pomocy będzie usuwany ten Rootkit

Czy ten bluescreen miał jakikolwiek związek z generowaniem logu? Czy wynika a niego jakaś dodatkowa informacja o potencjalnych problemach z komputerem?

GMER bardzo często powoduje bluescreena.

jessi

Czy to się pojawia dopiero po uruchomieniu którejś przeglądarki?

Jeśli tak, to przeinstaluj przeglądarkę.

jessi

łapiąc infekcję która ogołociła jego ekwipunek i wyzerowała środki z portfela.

To prawdopodobnie odbyło się na serwerze, bez udziału Twego komputera.

Zdarzenie zgłoś na https://www.cert.pl/formularz/formularz.php?lang=pl

W logach nie widzę niczego podejrzanego.

jessi

Logi możesz dawać w jednym poście.

1) Otwórz Notatnik i wklej w nim:

H:\.qf
H:\FOUND.000
H:\qf
H:\cfsdaacdfawd
H:\*lnk
CMD: attrib /d /s -s -h H:\*
J:\cfsdaacdfawd
J:\*lnk
CMD: attrib /d /s -s -h J:\*
L:\cfsdaacdfawd
L:\*lnk
CMD: attrib /d /s -s -h L:\*
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\UserFaultCheck " /f
HKLM\...\Run: [asodakaossd] => D:\WINDOWS\system32\cmd.exe /c start D:\Documents" "and" "Settings\laptop\Dane" "aplikacji\aiasfacoiaksf.vbs exit
HKLM\...\RunOnce: [] => [X]
HKU\S-1-5-21-1993962763-573735546-839522115-1003\...\Run: [asodakaossd] => D:\WINDOWS\system32\cmd.exe /c start D:\Documents" "and" "Settings\laptop\Dane" "aplikacji\aiasfacoiaksf.vbs exit
Startup: D:\Documents and Settings\laptop\Menu Start\Programy\Autostart\asodakaossd.lnk [2015-07-01]
ShortcutWithArgument: D:\Documents and Settings\laptop\Menu Start\Programy\Autostart\asodakaossd.lnk -> D:\WINDOWS\system32\cmd.exe (Microsoft Corporation) -> /c start D:\Documents" "and" "Settings\laptop\Dane" "aplikacji\aiasfacoiaksf.vbs exit
ShortcutTarget: asodakaossd.lnk -> D:\WINDOWS\system32\cmd.exe (Microsoft Corporation)
HKU\S-1-5-21-1993962763-573735546-839522115-1003\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
FF HKLM\...\Firefox\Extensions: [avg@toolbar] - D:\Documents and Settings\All Users\Dane aplikacji\AVG Secure Search\FireFoxExt\17.3.0.49
S2 Update Mgr RollAround; "D:\Program Files\Common Files\2a617352-d396-46a3-a71b-5d89535356cf\updater.exe" [X]
S4 s24trans; system32\DRIVERS\s24trans.sys [X]
D:\Documents and Settings\laptop\Dane aplikacji\afweorgqweasf.exe
D:\Documents and Settings\laptop\Dane aplikacji\afweoopeasf.exe
D:\Documents and Settings\laptop\Dane aplikacji\aiasfacoiaksf.vbs
EmptyTemp:

2) Zrób log z USBFix z opcji LISTING.

3) Zrób nowe logi z FRST.

jessi

Tak to ciągle siedzi w miejscu opisanym powyżej  HPNotify.exe i pod spodem szary napis Search Protect, click to configure

Hmm, ciekawe, jak to możliwe: nie ma pliku, nie ma nic w Rejestrze, nie ma nawet Zaplanowanego Zadania - a mimo to jest problem. Dla mnie to niepojęte.

jessi

FRST nie znalazł tego programu, więc Adw-Cleaner musiał go wcześniej usunąć.

Czy problem z "HPNotify.exe" dalej się pojawia?

jessi

Witam, nieśmiało podbijam temat.

niestety, na forum nie ma komu pomagać - @Picasso jest chora, a @Naathim od miesiąca nikomu nie pomagał.

1) Odinstaluj te programy:

Remote Desktop Access (VuuPC) (HKLM-x32\...\VOPackage) (Version: 1.0.0.0 - CMI Limited) <==== ATTENTION

SmartWeb (HKLM-x32\...\SmartWeb) (Version: 8.0.9 - SoftBrain Technologies Ltd.) <==== ATTENTION

 

2) Użyj >Adw-cleaner

najpierw kliknij na SZUKAJ (SCAN), a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ (CLEANING), to kliknij na niego.

Pokaż raport z niego C:\AdwCleaner\AdwCleaner.txt

3) Zrób nowe logi FRST.

jessi

Skoro nie infekują, to raczej ani komputer, ani pen w tej chwili nie jest zainfekowany infekcją "skrótową".

Ale bez logów z FRST i USBFixa trudno to stwierdzić jednoznacznie.

jessi

Dziękuję. Pomogło.

 

Skąd w takim razie te reklamy i wyskakujące okienka skoro nie było Razor Weba? Pod reklamami był podpis, jakoby to on.

Ściślej: był, ale niewidoczny w  logach - dlatego zaleciłam przeinstalowanie przeglądarki.

jessi

Skanowanie Hitmanem Pro nie dało efektów.

 

Rzeczywiście, wcale nie masz tego "Razor Web".

Kosmetyka:

Otwórz Notatnik i wklej w nim:

S1 wafd_1_10_0_19; system32\drivers\wafd_1_10_0_19.sys [X]

Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes" /f

Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f

Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f

C:\Users\Grzegorz\Downloads\EASEUS-Partition-Master(12861)-dp.jse

EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe

Uruchom FRST i kliknij przycisk Fix.

Przeinstaluj Chrome.

http://www.google.com/chrome/

jessi

W logach nie widzę niczego podejrzanego.

Przeinstaluj Google Chrome.

jessi

[02/07/2015 - 15:41:52 | SH | 0 Ko] - H:\.qf

 

Znasz to?

1) Otwórz Notatnik i wklej w nim:

J:\cfsdaacdfawd

CMD: attrib /d /s -s -h H:\*

CMD: attrib /d /s -s -h J:\*

H:\*.lnk

J:\*.lnk

EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.

Uruchom FRST i kliknij przycisk Fix.

Powstanie plik fixlog.txt.

Daj ten log.

2) Użyj >Adw-cleaner

najpierw kliknij na SZUKAJ (SCAN), a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ (CLEANING), to kliknij na niego.

Pokaż raport z niego C:\AdwCleaner\AdwCleaner.txt

3) Zrób nowy log USBFix LISTING

4) Zrób nowe logi FRST.

jessi

Z tych raportów wynika, że plik "HPnotify.exe" został już usunięty przez Adw-Cleaner - jest w jego Kwarantannie.

W Adw-Cleaner kliknij na przycisk Odinstaluj (UNINSTALL).

Nie widziałam raportu z Adw-Cleanera, więc nie wiem, czy został też usunięty C\Program Files\miuitab

Na wszelki wypadek:

Otwórz Notatnik i wklej w nim:

C\Program Files\miuitab

EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe

Uruchom FRST i kliknij przycisk Fix.

Powstanie plik fixlog.txt.

Daj ten log.

jessi

W pasku po prawej stronie pod strzałką pokaż ukryte ikony po rozwinięciu dostosuj wyświetla się nazwa  HPNotify.exe chciałem dołączyć Print Screena ale pojawiła się informacja brak uprawnień do wysyłania tego typu plików

W Twoich logach tego nie ma, więc trudno mi zgadnąć, co to jest.

Dla mnie nazwa kojarzy się z drukarką HP Deskje

hp deskjet 920c series (Tylko usuń) (HKLM\...\hp deskjet 920c series) (Version:  - )

Uruchom FRST.

W polu SEARCH wklej:

HPNotify.*

kliknij na przycisk "Search Files".

Raport z tego będzie tam, gdzie jest FRST.

Uruchom FRST.

W polu SEARCH wklej:

HPNotify

kliknij na przycisk "Search Registry".

Raport z tego będzie tam, gdzie jest FRST.

jessi

YAC(Yet Another Cleaner!) (HKLM-x32\...\iSafe) (Version: 6.6.94 - ELEX DO BRASIL PARTICIPAÇÕES LTDA) <==== ATTENTION

 

Nie wiem dlaczego to dalej jest na liście Twoich programów.

Otwórz Notatnik i wklej w nim:

CustomCLSID: HKU\S-1-5-21-3654260889-3095111008-2617426574-1000_Classes\CLSID\{F6BF8414-962C-40FE-90F1-B80A7E72DB9A}\InprocServer32 -> C:\ProgramData\{9A88E103-A20A-4EA5-8636-C73B709A5BF8}\eqossnap.dll (inrrooCoti sfcoprotaM) <==== ATTENTION

C:\ProgramData\{9A88E103-A20A-4EA5-8636-C73B709A5BF8}

C:\Program Files (x86)\Elex-tech

HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION

HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.yac.mx/?utm_source=b&utm_medium=iSafe&from=iSafe&uid=st9320325as_6vd874vtxxxx6vd874vt

HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://search.yac.mx/?utm_source=b&utm_medium=iSafe&from=iSafe&uid=st9320325as_6vd874vtxxxx6vd874vt

Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes" /f

Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f

Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f

Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\iSafe" /f

Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\LanzarP2006" /f

HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://search.yac.mx/?utm_source=b&utm_medium=iSafe&from=iSafe&uid=st9320325as_6vd874vtxxxx6vd874vt

HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://search.yac.mx/?utm_source=b&utm_medium=iSafe&from=iSafe&uid=st9320325as_6vd874vtxxxx6vd874vt

HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.yac.mx/?utm_source=b&utm_medium=iSafe&from=iSafe&uid=st9320325as_6vd874vtxxxx6vd874vt

HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://search.yac.mx/?utm_source=b&utm_medium=iSafe&from=iSafe&uid=st9320325as_6vd874vtxxxx6vd874vt

HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.yac.mx/?utm_source=b&utm_medium=iSafe&from=iSafe&uid=st9320325as_6vd874vtxxxx6vd874vt

HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://search.yac.mx/?utm_source=b&utm_medium=iSafe&from=iSafe&uid=st9320325as_6vd874vtxxxx6vd874vt

HKU\S-1-5-21-3654260889-3095111008-2617426574-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.yac.mx/?utm_source=b&utm_medium=iSafe&from=iSafe&uid=st9320325as_6vd874vtxxxx6vd874vt

HKU\S-1-5-21-3654260889-3095111008-2617426574-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://search.yac.mx/?utm_source=b&utm_medium=iSafe&from=iSafe&uid=st9320325as_6vd874vtxxxx6vd874vt

SearchScopes: HKU\S-1-5-21-3654260889-3095111008-2617426574-1000 -> {D4FB9986-6549-4670-8AEC-1496A47833AF} URL = http://search.yahoo.com/search?p={searchTerms}&fr=tightropetb&type=10809

BHO-x32: Google Dictionary Compression sdch -> {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} -> C:\Program Files (x86)\Google\Google Toolbar\Component\fastsearch_B7C5AC242193BB3E.dll No File

Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} -  No File

Toolbar: HKU\S-1-5-21-3654260889-3095111008-2617426574-1000 -> No Name - {CA39F5ED-8ABA-4897-88B1-5DDE3FB75E34} -  No File

Toolbar: HKU\S-1-5-21-3654260889-3095111008-2617426574-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File

FF Homepage: hxxp://search.yac.mx/?utm_source=b&utm_medium=iSafe&from=iSafe&uid=st9320325as_6vd874vtxxxx6vd874vt

FF NewTab: hxxp://search.yac.mx/?utm_source=b&utm_medium=iSafe&from=iSafe&uid=st9320325as_6vd874vtxxxx6vd874vt

FF Plugin HKU\S-1-5-21-3654260889-3095111008-2617426574-1000: @tnt2ghost.com/Plugin -> C:\Users\Rodzina\AppData\Local\TNT2\2.0.0.1702\npTNT2ghost.dll No File

FF Plugin HKU\S-1-5-21-3654260889-3095111008-2617426574-1000: @tnt2npapi.com/Plugin -> C:\Users\Rodzina\AppData\Local\TNT2\2.0.0.1702\npTNT2.dll No File

R2 iSafeService; C:\Program Files (x86)\Elex-tech\YAC\iSafeSvc.exe [118048 2015-04-16] (Elex do Brasil Participações Ltda)

S2 Update Deal Keeper; "C:\Program Files (x86)\Deal Keeper\updateDealKeeper.exe" [X]

S2 Update Jump Flip; "C:\Program Files (x86)\Jump Flip\updateJumpFlip.exe" [X]

R1 iSafeKrnl; C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnl.sys [260856 2015-05-14] (Elex do Brasil Participações Ltda)

R1 iSafeKrnlKit; C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlKit.sys [108616 2015-04-16] (Elex do Brasil Participações Ltda)

R1 iSafeKrnlMon; C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlMon.sys [50944 2015-04-16] (Elex do Brasil Participações Ltda)

R1 iSafeKrnlR3; C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlR3.sys [103904 2015-07-01] (Elex do Brasil Participações Ltda)

R1 iSafeNetFilter; C:\Windows\System32\DRIVERS\iSafeNetFilter.sys [52392 2015-04-14] (Elex do Brasil Participações Ltda)

C:\Windows\System32\DRIVERS\iSafeNetFilter.sys

C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlR3.sys

S3 iSafeKrnlBoot; system32\DRIVERS\iSafeKrnlBoot.sys [X]

S3 Prot6Flt; system32\DRIVERS\Prot6Flt.sys [X]

C:\Users\Rodzina\AppData\Roaming\Elex-tech

EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe

Uruchom FRST i kliknij przycisk Fix.

Powstanie plik fixlog.txt.

Daj ten log.

Zrób nowe logi FRST - już bez Shortcut.

jessi

OK, resztki dawnej infekcji usunięte.

Nie odpowiedziales na pytanie: co niby zostało?

jessi

Miał być log USBFix z opcji LISTING.

1) Odinstaluj
 

FindWide.com (HKU\S-1-5-21-3654260889-3095111008-2617426574-1000\...\{2DC52815-CC42-4808-8BE2-838540194AFB}) (Version:  - FindWide.com) <==== ATTENTION

YAC(Yet Another Cleaner!) (HKLM-x32\...\iSafe) (Version: 6.6.94 - ELEX DO BRASIL PARTICIPAÇÕES LTDA) <==== ATTENTION

2)  Użyj >Adw-cleaner
najpierw kliknij na SZUKAJ (SCAN), a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ (CLEANING), to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner\AdwCleaner.txt

3) Zrób nowe logi FRST

jessi

@marcin878787

Owszem, powinien być najpierw odinstalowany, ale dla mnie najważniejsze było usunięcie tytułowego problemu, więc inne śmieci (np. Mobogenie) potraktowałam "po macoszemu".

jessi

Nic tu nie wskazuje na istnienie BRONTOK'a.

Temar zostawiam dla @Picasso, ale w międzyczasie możesz (nie musisz!) zrobić to:

1) Odinstaluj te programy:

WinZipper (HKLM\...\WinZipper) (Version: 1.5.99 - Taiwan Shui Mu Chih Ching Technology Limited.) <==== ATTENTION

YAC(Yet Another Cleaner!) (HKLM\...\iSafe) (Version:  - ELEX DO BRASIL PARTICIPAÇÕES LTDA) <==== ATTENTION

Update for PriceFountain (HKU\S-1-5-21-1377628560-2540776379-1351235919-500\...\Price Fountain) (Version:  - Update for PriceFountain) <==== ATTENTION

SupTab (HKLM\...\SupTab) (Version: 1.1.1.0 - ) <==== ATTENTION

SHoppDreop (HKLM\...\{B6D700D3-3D0D-FEEB-D675-2CE78F9EC5D6}) (Version:  - "") <==== ATTENTION

SaverExtensioN (HKLM\...\{274E3C5C-178E-EAE2-A52F-2863C0EECD46}) (Version:  - "") <==== ATTENTION
SegmentFixer (HKLM\...\{12DA0E6F-5543-440C-BAA2-28BF01070AFA}{4f838e60}) (Version:  - SegmentFixer) <==== ATTENTION
RegularDeaals (HKLM\...\{76DEE3DC-2B8B-E212-2126-D31D9E73DFE4}) (Version:  - "") <==== ATTENTION

PriceFountain (remove only) (HKU\S-1-5-21-1377628560-2540776379-1351235919-500\...\PriceFountain) (Version: 1.1.0.8 - Price Fountain) <==== ATTENTION!

Photo download for Facebook (HKLM\...\{F6C44C71-2CFE-8176-3A4D-CBD0DCE5AEFA}) (Version:  - "") <==== ATTENTION
Pandora Service (HKLM\...\4F6D5E84-5826-4394-9F40-3A9A19165651_is1) (Version:  - Pandora.TV) <==== ATTENTION

Gameo (HKU\S-1-5-21-1377628560-2540776379-1351235919-500\...\Gameo) (Version: 0.11.7 - IronSource Ltd.) <==== ATTENTION!
Fun2SAve (HKLM\...\{9D9BEFAE-9499-F52B-6CC4-94818CCC2AB5}) (Version:  - "") <==== ATTENTION

ezAutoCorrect for GMail (HKLM\...\{B138259A-351E-33FA-2726-8D71704F1DA9}) (Version:  - "") <==== ATTENTION

do-search uninstall (HKLM\...\do-search uninstall) (Version:  - do-search) <==== ATTENTION!

DealExPresos (HKLM\...\{25F259ED-12F6-429F-5783-527C3E2F8586}) (Version:  - "") <==== ATTENTION
DeleteAd (HKLM\...\{37476589-E48E-439E-A706-56189E2ED4C4}_is1) (Version:  - DeleteAd) <==== ATTENTION
Digital Trends (HKLM\...\{CE94DD89-7404-B4B9-E713-E55CC0AB6C3B}) (Version:  - ) <==== ATTENTION

 

2) Zrób log z Adw-Cleaner https://www.fixitpc.pl/topic/8-dezynfekcja-zbior-narzedzi-usuwajacych/?do=findComment&comment=118323

najpierw kliknij na SZUKAJ (SCAN), a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ (CLEANING), to kliknij na niego.

3) Zrób nowe logi FRST.

O jakie ukryte foldery chodzi?

jessi

 

BitTorrent Packages (HKU\S-1-5-21-2001989473-1170954191-3321282362-1001\...\BitTorrent Packages) (Version:  - ) <==== ATTENTION

Mobogenie (HKLM-x32\...\Mobogenie) (Version:  - Mobogenie.com) <==== ATTENTION

Odinstaluj

Nic więcej podejrzanego w logach nie widzę.

Być może @Picasso jeszcze poda kosmetyczne usuwanie, np. bezplikowych skrótów widocznych w logu Shortcut.

jessi