jessica
-
Postów
4 099 -
Dołączył
-
Ostatnia wizyta
Odpowiedzi opublikowane przez jessica
-
-
Otwórz Notatnik i wklej w nim:
Task: {2C59ECAF-3A27-4640-9F4B-519B05BDD70F} - \Microsoft\Windows\MUI\LPRemove No Task File <==== ATTENTION
Task: {2D10AC9D-AB66-413D-8719-DDBDE95DFAF0} - System32\Tasks\{3CB43A42-6514-4584-8F12-73BF2E0AD59D} => pcalua.exe -a C:\Users\Dom\AppData\Roaming\mystartsearch\UninstallManager.exe -c -ptid=cor
Task: {5438FBF9-B2C2-44C5-B6CC-B23B4FABBCA4} - System32\Tasks\{36CC6307-B330-49DB-8BD7-7546AB8979FC} => pcalua.exe -a "D:\CABAL2 (US)\c2installer.exe" -d "D:\CABAL2 (US)"
Task: {558805D3-7A26-48F5-8676-07971F9FB216} - System32\Tasks\{7BD7EB18-C71D-4C26-88D9-1BD91786B3E0} => pcalua.exe -a "D:\Testy Bplus\Loader.exe" -d "D:\Testy Bplus"
Task: {A5B33430-8D3D-40AE-B4D1-37B9A1A4A7E9} - System32\Tasks\{20AEFDD9-8ACA-4191-A38C-DEA53635DF92} => pcalua.exe -a "D:\gry\Cryptic Studios\Neverwinter.exe" -d "D:\gry\Cryptic Studios"
Task: {C4BC4CA9-6BF2-4663-84BA-1FB5C9A6F25C} - System32\Tasks\{CA5640F5-9389-4902-90B3-84AA8B8E3DB9} => pcalua.exe -a F:\autorun.exe -d F:\
Task: {EB776D58-67E2-4E61-9C3C-7AC47C5330AC} - System32\Tasks\{06EA2033-3D4B-49B8-838D-516AFF60FD19} => pcalua.exe -a D:\gry\nfs\Virtualmt2\VirtualMT2.exe -d D:\gry\nfs\Virtualmt2
HKU\S-1-5-21-620759806-2564684941-1707045063-1001\...\Run: [GoogleChromeAutoLaunch_B45CF322C3DDAB17738CEB2CDE894577] => "C:\Program Files\Crossbrowse\Crossbrowse\Application\crossbrowse.exe" --no-startup-window
C:\Program Files\Crossbrowse\Crossbrowse\Application\crossbrowse.exe
Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
HKLM\...\Run: [] => [X]
SearchScopes: HKU\.DEFAULT -> {483830EE-A4CD-4b71-B0A3-3D82E62A6909} URL =
S3 AndNetDiag; system32\DRIVERS\lgandnetdiag.sys [X]
S3 ANDNetModem; system32\DRIVERS\lgandnetmodem.sys [X]
S3 EagleXNt; \??\C:\Windows\system32\drivers\EagleXNt.sys [X]
S3 xhunter1; \??\C:\Windows\xhunter1.sys [X]
C:\Program Files\Enigma Software Group
C:\Program Files\c706a493-9ba1-4d1d-938e-c0eafe1e2b48
C:\Windows\system32\029B560A371F4E00AB32838EBC01B9E7
C:\Windows\prleth.sys
C:\Windows\hgfs.sys
C:\Users\Dom\AppData\Local\15093
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
EmptyTemp:
Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix.
Powstanie plik fixlog.txt.
Daj ten log.jessi
-
@Picasso podobno ma już zacząć pomagać, ale jeśli w ciągu kilku dni nie otrzymasz Jej zaleceń, to zrobisz przynajmniej to:
1) Użyj >Adw-cleaner
najpierw kliknij na SZUKAJ (SCAN), a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ (CLEANING), to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner\AdwCleaner.txt2) Zrób nowe logi FRST.
3)
2015-07-08 15:46 - 2015-07-08 15:46 - 00000000 _____ C:\Windows\prleth.sys
2015-07-08 15:46 - 2015-07-08 15:46 - 00000000 _____ C:\Windows\hgfs.sys
2015-07-08 15:45 - 2015-07-08 16:05 - 00000000 ____D C:\Users\Dom\AppData\Local\15093Znasz te powyższe obiekty?
4)
(AMD) C:\Windows\System32\atieclxx.exeTo właściwy proces.
5)
C:\Windows\system32\winlogon.exe => File is digitally signedInnego "winlogon.exe" w logach nie widzę.
jessi
-
SRV:64bit: - [2015/06/23 22:06:10 | 000,098,248 | ---- | M] () [unknown (-1) | Unknown] -- C:\Windows\SysNative\drivers\5940e4d7b3a1b797.sys -- (5940e4d7b3a1b797)
Rootkit NECURS
@Picasso już chyba zacznie pomagać, więc ja oczywiście tu nie pomogę.
Ale w czasie oczekiwania na @Picasso możesz uzupełnić brakujące wymagane logi z FRST https://www.fixitpc.pl/forum-38/announcement-3-wa%C5%BCne-zak%C5%82adanie-tematu-obowi%C4%85zkowe-logi/
Możesz tez zrobić log z TDSSKiller https://www.fixitpc.pl/topic/8-dezynfekcja-zbi%C3%B3r-narz%C4%99dzi-usuwaj%C4%85cych/?do=findComment&comment=33542bo to przy jego pomocy będzie usuwany ten Rootkit
-
Czy ten bluescreen miał jakikolwiek związek z generowaniem logu? Czy wynika a niego jakaś dodatkowa informacja o potencjalnych problemach z komputerem?
GMER bardzo często powoduje bluescreena.
jessi
-
Czy to się pojawia dopiero po uruchomieniu którejś przeglądarki?
Jeśli tak, to przeinstaluj przeglądarkę.
jessi
-
łapiąc infekcję która ogołociła jego ekwipunek i wyzerowała środki z portfela.
To prawdopodobnie odbyło się na serwerze, bez udziału Twego komputera.
Zdarzenie zgłoś na https://www.cert.pl/formularz/formularz.php?lang=pl
W logach nie widzę niczego podejrzanego.
jessi
-
Logi możesz dawać w jednym poście.
1) Otwórz Notatnik i wklej w nim:
H:\.qf
H:\FOUND.000
H:\qf
H:\cfsdaacdfawd
H:\*lnk
CMD: attrib /d /s -s -h H:\*
J:\cfsdaacdfawd
J:\*lnk
CMD: attrib /d /s -s -h J:\*
L:\cfsdaacdfawd
L:\*lnk
CMD: attrib /d /s -s -h L:\*
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\UserFaultCheck " /f
HKLM\...\Run: [asodakaossd] => D:\WINDOWS\system32\cmd.exe /c start D:\Documents" "and" "Settings\laptop\Dane" "aplikacji\aiasfacoiaksf.vbs exit
HKLM\...\RunOnce: [] => [X]
HKU\S-1-5-21-1993962763-573735546-839522115-1003\...\Run: [asodakaossd] => D:\WINDOWS\system32\cmd.exe /c start D:\Documents" "and" "Settings\laptop\Dane" "aplikacji\aiasfacoiaksf.vbs exit
Startup: D:\Documents and Settings\laptop\Menu Start\Programy\Autostart\asodakaossd.lnk [2015-07-01]
ShortcutWithArgument: D:\Documents and Settings\laptop\Menu Start\Programy\Autostart\asodakaossd.lnk -> D:\WINDOWS\system32\cmd.exe (Microsoft Corporation) -> /c start D:\Documents" "and" "Settings\laptop\Dane" "aplikacji\aiasfacoiaksf.vbs exit
ShortcutTarget: asodakaossd.lnk -> D:\WINDOWS\system32\cmd.exe (Microsoft Corporation)
HKU\S-1-5-21-1993962763-573735546-839522115-1003\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
FF HKLM\...\Firefox\Extensions: [avg@toolbar] - D:\Documents and Settings\All Users\Dane aplikacji\AVG Secure Search\FireFoxExt\17.3.0.49
S2 Update Mgr RollAround; "D:\Program Files\Common Files\2a617352-d396-46a3-a71b-5d89535356cf\updater.exe" [X]
S4 s24trans; system32\DRIVERS\s24trans.sys [X]
D:\Documents and Settings\laptop\Dane aplikacji\afweorgqweasf.exe
D:\Documents and Settings\laptop\Dane aplikacji\afweoopeasf.exe
D:\Documents and Settings\laptop\Dane aplikacji\aiasfacoiaksf.vbs
EmptyTemp:
Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.
Uruchom FRST i kliknij przycisk Fix.
Powstanie plik fixlog.txt.
Daj ten log.2) Zrób log z USBFix z opcji LISTING.
3) Zrób nowe logi z FRST.
jessi
-
Tak to ciągle siedzi w miejscu opisanym powyżej HPNotify.exe i pod spodem szary napis Search Protect, click to configure
Hmm, ciekawe, jak to możliwe: nie ma pliku, nie ma nic w Rejestrze, nie ma nawet Zaplanowanego Zadania - a mimo to jest problem. Dla mnie to niepojęte.
jessi
-
FRST nie znalazł tego programu, więc Adw-Cleaner musiał go wcześniej usunąć.
Czy problem z "HPNotify.exe" dalej się pojawia?
jessi
-
Witam, nieśmiało podbijam temat.
niestety, na forum nie ma komu pomagać - @Picasso jest chora, a @Naathim od miesiąca nikomu nie pomagał.
1) Odinstaluj te programy:
Remote Desktop Access (VuuPC) (HKLM-x32\...\VOPackage) (Version: 1.0.0.0 - CMI Limited) <==== ATTENTION
SmartWeb (HKLM-x32\...\SmartWeb) (Version: 8.0.9 - SoftBrain Technologies Ltd.) <==== ATTENTION
2) Użyj >Adw-cleaner
najpierw kliknij na SZUKAJ (SCAN), a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ (CLEANING), to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner\AdwCleaner.txt
3) Zrób nowe logi FRST.
jessi
-
Skoro nie infekują, to raczej ani komputer, ani pen w tej chwili nie jest zainfekowany infekcją "skrótową".
Ale bez logów z FRST i USBFixa trudno to stwierdzić jednoznacznie.
jessi
-
Dziękuję. Pomogło.
Skąd w takim razie te reklamy i wyskakujące okienka skoro nie było Razor Weba? Pod reklamami był podpis, jakoby to on.
Ściślej: był, ale niewidoczny w logach - dlatego zaleciłam przeinstalowanie przeglądarki.
jessi
-
Skanowanie Hitmanem Pro nie dało efektów.
Rzeczywiście, wcale nie masz tego "Razor Web".
Kosmetyka:
Otwórz Notatnik i wklej w nim:
S1 wafd_1_10_0_19; system32\drivers\wafd_1_10_0_19.sys [X]Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
C:\Users\Grzegorz\Downloads\EASEUS-Partition-Master(12861)-dp.jse
EmptyTemp:
Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix.
Przeinstaluj Chrome.
jessi
-
W logach nie widzę niczego podejrzanego.
Przeinstaluj Google Chrome.
jessi
-
[02/07/2015 - 15:41:52 | SH | 0 Ko] - H:\.qf
Znasz to?
1) Otwórz Notatnik i wklej w nim:
J:\cfsdaacdfawdCMD: attrib /d /s -s -h H:\*
CMD: attrib /d /s -s -h J:\*
H:\*.lnk
J:\*.lnk
EmptyTemp:
Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.
Uruchom FRST i kliknij przycisk Fix.
Powstanie plik fixlog.txt.
Daj ten log.
2) Użyj >Adw-cleaner
najpierw kliknij na SZUKAJ (SCAN), a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ (CLEANING), to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner\AdwCleaner.txt
3) Zrób nowy log USBFix LISTING
4) Zrób nowe logi FRST.
jessi
-
Z tych raportów wynika, że plik "HPnotify.exe" został już usunięty przez Adw-Cleaner - jest w jego Kwarantannie.
W Adw-Cleaner kliknij na przycisk Odinstaluj (UNINSTALL).
Nie widziałam raportu z Adw-Cleanera, więc nie wiem, czy został też usunięty C\Program Files\miuitab
Na wszelki wypadek:
Otwórz Notatnik i wklej w nim:
C\Program Files\miuitab
EmptyTemp:
Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix.
Powstanie plik fixlog.txt.
Daj ten log.
jessi
-
W pasku po prawej stronie pod strzałką pokaż ukryte ikony po rozwinięciu dostosuj wyświetla się nazwa HPNotify.exe chciałem dołączyć Print Screena ale pojawiła się informacja brak uprawnień do wysyłania tego typu plików
W Twoich logach tego nie ma, więc trudno mi zgadnąć, co to jest.
Dla mnie nazwa kojarzy się z drukarką HP Deskje
hp deskjet 920c series (Tylko usuń) (HKLM\...\hp deskjet 920c series) (Version: - )
Uruchom FRST.
W polu SEARCH wklej:
HPNotify.*
kliknij na przycisk "Search Files".
Raport z tego będzie tam, gdzie jest FRST.
Uruchom FRST.
W polu SEARCH wklej:
HPNotify
kliknij na przycisk "Search Registry".
Raport z tego będzie tam, gdzie jest FRST.
jessi
-
YAC(Yet Another Cleaner!) (HKLM-x32\...\iSafe) (Version: 6.6.94 - ELEX DO BRASIL PARTICIPAÇÕES LTDA) <==== ATTENTION
Nie wiem dlaczego to dalej jest na liście Twoich programów.
Otwórz Notatnik i wklej w nim:
CustomCLSID: HKU\S-1-5-21-3654260889-3095111008-2617426574-1000_Classes\CLSID\{F6BF8414-962C-40FE-90F1-B80A7E72DB9A}\InprocServer32 -> C:\ProgramData\{9A88E103-A20A-4EA5-8636-C73B709A5BF8}\eqossnap.dll (inrrooCoti sfcoprotaM) <==== ATTENTIONC:\ProgramData\{9A88E103-A20A-4EA5-8636-C73B709A5BF8}
C:\Program Files (x86)\Elex-tech
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.yac.mx/?utm_source=b&utm_medium=iSafe&from=iSafe&uid=st9320325as_6vd874vtxxxx6vd874vt
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://search.yac.mx/?utm_source=b&utm_medium=iSafe&from=iSafe&uid=st9320325as_6vd874vtxxxx6vd874vt
Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\iSafe" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\LanzarP2006" /f
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://search.yac.mx/?utm_source=b&utm_medium=iSafe&from=iSafe&uid=st9320325as_6vd874vtxxxx6vd874vt
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://search.yac.mx/?utm_source=b&utm_medium=iSafe&from=iSafe&uid=st9320325as_6vd874vtxxxx6vd874vt
HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.yac.mx/?utm_source=b&utm_medium=iSafe&from=iSafe&uid=st9320325as_6vd874vtxxxx6vd874vt
HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://search.yac.mx/?utm_source=b&utm_medium=iSafe&from=iSafe&uid=st9320325as_6vd874vtxxxx6vd874vt
HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.yac.mx/?utm_source=b&utm_medium=iSafe&from=iSafe&uid=st9320325as_6vd874vtxxxx6vd874vt
HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://search.yac.mx/?utm_source=b&utm_medium=iSafe&from=iSafe&uid=st9320325as_6vd874vtxxxx6vd874vt
HKU\S-1-5-21-3654260889-3095111008-2617426574-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.yac.mx/?utm_source=b&utm_medium=iSafe&from=iSafe&uid=st9320325as_6vd874vtxxxx6vd874vt
HKU\S-1-5-21-3654260889-3095111008-2617426574-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://search.yac.mx/?utm_source=b&utm_medium=iSafe&from=iSafe&uid=st9320325as_6vd874vtxxxx6vd874vt
SearchScopes: HKU\S-1-5-21-3654260889-3095111008-2617426574-1000 -> {D4FB9986-6549-4670-8AEC-1496A47833AF} URL = http://search.yahoo.com/search?p={searchTerms}&fr=tightropetb&type=10809
BHO-x32: Google Dictionary Compression sdch -> {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} -> C:\Program Files (x86)\Google\Google Toolbar\Component\fastsearch_B7C5AC242193BB3E.dll No File
Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - No File
Toolbar: HKU\S-1-5-21-3654260889-3095111008-2617426574-1000 -> No Name - {CA39F5ED-8ABA-4897-88B1-5DDE3FB75E34} - No File
Toolbar: HKU\S-1-5-21-3654260889-3095111008-2617426574-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File
FF Homepage: hxxp://search.yac.mx/?utm_source=b&utm_medium=iSafe&from=iSafe&uid=st9320325as_6vd874vtxxxx6vd874vt
FF NewTab: hxxp://search.yac.mx/?utm_source=b&utm_medium=iSafe&from=iSafe&uid=st9320325as_6vd874vtxxxx6vd874vt
FF Plugin HKU\S-1-5-21-3654260889-3095111008-2617426574-1000: @tnt2ghost.com/Plugin -> C:\Users\Rodzina\AppData\Local\TNT2\2.0.0.1702\npTNT2ghost.dll No File
FF Plugin HKU\S-1-5-21-3654260889-3095111008-2617426574-1000: @tnt2npapi.com/Plugin -> C:\Users\Rodzina\AppData\Local\TNT2\2.0.0.1702\npTNT2.dll No File
R2 iSafeService; C:\Program Files (x86)\Elex-tech\YAC\iSafeSvc.exe [118048 2015-04-16] (Elex do Brasil Participações Ltda)
S2 Update Deal Keeper; "C:\Program Files (x86)\Deal Keeper\updateDealKeeper.exe" [X]
S2 Update Jump Flip; "C:\Program Files (x86)\Jump Flip\updateJumpFlip.exe" [X]
R1 iSafeKrnl; C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnl.sys [260856 2015-05-14] (Elex do Brasil Participações Ltda)
R1 iSafeKrnlKit; C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlKit.sys [108616 2015-04-16] (Elex do Brasil Participações Ltda)
R1 iSafeKrnlMon; C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlMon.sys [50944 2015-04-16] (Elex do Brasil Participações Ltda)
R1 iSafeKrnlR3; C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlR3.sys [103904 2015-07-01] (Elex do Brasil Participações Ltda)
R1 iSafeNetFilter; C:\Windows\System32\DRIVERS\iSafeNetFilter.sys [52392 2015-04-14] (Elex do Brasil Participações Ltda)
C:\Windows\System32\DRIVERS\iSafeNetFilter.sys
C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlR3.sys
S3 iSafeKrnlBoot; system32\DRIVERS\iSafeKrnlBoot.sys [X]
S3 Prot6Flt; system32\DRIVERS\Prot6Flt.sys [X]
C:\Users\Rodzina\AppData\Roaming\Elex-tech
EmptyTemp:
Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix.
Powstanie plik fixlog.txt.
Daj ten log.
Zrób nowe logi FRST - już bez Shortcut.
jessi
-
OK, resztki dawnej infekcji usunięte.
Nie odpowiedziales na pytanie: co niby zostało?
jessi
-
Miał być log USBFix z opcji LISTING.
-
1) Odinstaluj
FindWide.com (HKU\S-1-5-21-3654260889-3095111008-2617426574-1000\...\{2DC52815-CC42-4808-8BE2-838540194AFB}) (Version: - FindWide.com) <==== ATTENTION
YAC(Yet Another Cleaner!) (HKLM-x32\...\iSafe) (Version: 6.6.94 - ELEX DO BRASIL PARTICIPAÇÕES LTDA) <==== ATTENTION
2) Użyj >Adw-cleaner
najpierw kliknij na SZUKAJ (SCAN), a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ (CLEANING), to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner\AdwCleaner.txt3) Zrób nowe logi FRST
jessi
-
Owszem, powinien być najpierw odinstalowany, ale dla mnie najważniejsze było usunięcie tytułowego problemu, więc inne śmieci (np. Mobogenie) potraktowałam "po macoszemu".
jessi
-
Nic tu nie wskazuje na istnienie BRONTOK'a.
Temar zostawiam dla @Picasso, ale w międzyczasie możesz (nie musisz!) zrobić to:
1) Odinstaluj te programy:
WinZipper (HKLM\...\WinZipper) (Version: 1.5.99 - Taiwan Shui Mu Chih Ching Technology Limited.) <==== ATTENTION
YAC(Yet Another Cleaner!) (HKLM\...\iSafe) (Version: - ELEX DO BRASIL PARTICIPAÇÕES LTDA) <==== ATTENTION
Update for PriceFountain (HKU\S-1-5-21-1377628560-2540776379-1351235919-500\...\Price Fountain) (Version: - Update for PriceFountain) <==== ATTENTION
SupTab (HKLM\...\SupTab) (Version: 1.1.1.0 - ) <==== ATTENTION
SHoppDreop (HKLM\...\{B6D700D3-3D0D-FEEB-D675-2CE78F9EC5D6}) (Version: - "") <==== ATTENTION
SaverExtensioN (HKLM\...\{274E3C5C-178E-EAE2-A52F-2863C0EECD46}) (Version: - "") <==== ATTENTION
SegmentFixer (HKLM\...\{12DA0E6F-5543-440C-BAA2-28BF01070AFA}{4f838e60}) (Version: - SegmentFixer) <==== ATTENTION
RegularDeaals (HKLM\...\{76DEE3DC-2B8B-E212-2126-D31D9E73DFE4}) (Version: - "") <==== ATTENTIONPriceFountain (remove only) (HKU\S-1-5-21-1377628560-2540776379-1351235919-500\...\PriceFountain) (Version: 1.1.0.8 - Price Fountain) <==== ATTENTION!
Photo download for Facebook (HKLM\...\{F6C44C71-2CFE-8176-3A4D-CBD0DCE5AEFA}) (Version: - "") <==== ATTENTION
Pandora Service (HKLM\...\4F6D5E84-5826-4394-9F40-3A9A19165651_is1) (Version: - Pandora.TV) <==== ATTENTIONGameo (HKU\S-1-5-21-1377628560-2540776379-1351235919-500\...\Gameo) (Version: 0.11.7 - IronSource Ltd.) <==== ATTENTION!
Fun2SAve (HKLM\...\{9D9BEFAE-9499-F52B-6CC4-94818CCC2AB5}) (Version: - "") <==== ATTENTIONezAutoCorrect for GMail (HKLM\...\{B138259A-351E-33FA-2726-8D71704F1DA9}) (Version: - "") <==== ATTENTION
do-search uninstall (HKLM\...\do-search uninstall) (Version: - do-search) <==== ATTENTION!
DealExPresos (HKLM\...\{25F259ED-12F6-429F-5783-527C3E2F8586}) (Version: - "") <==== ATTENTION
DeleteAd (HKLM\...\{37476589-E48E-439E-A706-56189E2ED4C4}_is1) (Version: - DeleteAd) <==== ATTENTION
Digital Trends (HKLM\...\{CE94DD89-7404-B4B9-E713-E55CC0AB6C3B}) (Version: - ) <==== ATTENTION2) Zrób log z Adw-Cleaner https://www.fixitpc.pl/topic/8-dezynfekcja-zbior-narzedzi-usuwajacych/?do=findComment&comment=118323
najpierw kliknij na SZUKAJ (SCAN),
a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ (CLEANING), to kliknij na niego.3) Zrób nowe logi FRST.
O jakie ukryte foldery chodzi?
jessi
-
BitTorrent Packages (HKU\S-1-5-21-2001989473-1170954191-3321282362-1001\...\BitTorrent Packages) (Version: - ) <==== ATTENTION
Mobogenie (HKLM-x32\...\Mobogenie) (Version: - Mobogenie.com) <==== ATTENTION
Odinstaluj
Nic więcej podejrzanego w logach nie widzę.
Być może @Picasso jeszcze poda kosmetyczne usuwanie, np. bezplikowych skrótów widocznych w logu Shortcut.
jessi
winlogon.exe oraz atieclxx.exe, pomocy
w Dział pomocy doraźnej
Opublikowano
ale tu akurat pliki o tych nazwach były w innej lokalizacji, więc były podejrzane