Skocz do zawartości

Safe Finder, yahoosearch result


Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Uwaga

Moje zalecenia wykonaj tylko w przypadku, gdy nie zacznie pomagać @Picasso (napisała, że dziś od rana będzie pomagać, ale w tej chwili nie widzę tej pomocy).

 

1) Otwórz Notatnik i wklej w nim:

 

ShortcutWithArgument: C:\Users\Bolec\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> E:\Programy\Mozilla Firefox () -> %SNF%
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> E:\Programy\Mozilla Firefox () -> %SNF%
ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> E:\Programy\Mozilla Firefox () -> %SNF%
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> E:\Programy\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> %SNF%
ShortcutWithArgument: C:\Users\Bolec\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP%
ShortcutWithArgument: C:\Users\Bolec\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP%
ShortcutWithArgument: C:\Users\Bolec\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> E:\Programy\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> %SNF%
ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> E:\Programy\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> %SNF%
ShortcutWithArgument: C:\Users\Bolec\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器\卸载UC浏览器.lnk -> C:\Users\Bolec\AppData\Local\Temp\UCBrowserUninstall4392_28553\Uninstall.exe (UCWeb Inc.) -> --uninstall
C:\Users\Bolec\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器
RemoveDirectory: C:\Program Files (x86)\xtex
RemoveDirectory: C:\ProgramData\CloudPrinter
RemoveDirectory: C:\ProgramData\Logic Handler
RemoveDirectory: C:\Program Files (x86)\badu
RemoveDirectory: C:\ProgramData\Airtostrong
RemoveDirectory: C:\ProgramData\Airtostrongs
RemoveDirectory: C:\Program Files\Common Files\bxgzr5gn
RemoveDirectory: C:\Program Files (x86)\UCBrowser
RemoveDirectory: C:\Users\Bolec\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器
RemoveDirectory: C:\Users\Bolec\AppData\Local\UCBrowser
2016-07-06 12:33 - 2016-07-06 13:34 - 00002393 _____ C:\Windows\SysWOW64\findit.xml
2016-07-06 12:33 - 2016-07-06 12:33 - 06870016 _____ C:\Users\Bolec\AppData\Roaming\agent.dat
2016-07-06 12:33 - 2016-07-06 12:33 - 02279413 _____ C:\Users\Bolec\AppData\Roaming\Bigtop.bin
2016-07-06 12:33 - 2016-07-06 12:33 - 01761214 _____ C:\Users\Bolec\AppData\Roaming\Stimflex.tst
2016-07-06 12:33 - 2016-07-06 12:33 - 00848437 _____ C:\Users\Bolec\AppData\Roaming\Jayfresh.bin
2016-07-06 12:33 - 2016-07-06 12:33 - 00694784 _____ C:\Users\Bolec\AppData\Roaming\Unolax.exe
2016-07-06 12:33 - 2016-07-06 12:33 - 00694784 _____ C:\Users\Bolec\AppData\Roaming\Stimflex.exe
2016-07-06 12:33 - 2016-07-06 12:33 - 00189644 _____ () C:\Users\Bolec\AppData\Roaming\TrustZennix.bin
2016-07-06 12:33 - 2016-07-06 12:33 - 00128512 _____ C:\Users\Bolec\AppData\Roaming\Installer.dat
2016-07-06 12:33 - 2016-07-06 12:33 - 00126464 _____ C:\Users\Bolec\AppData\Roaming\noah.dat
2016-07-06 12:33 - 2016-07-06 12:33 - 00126464 _____ C:\Users\Bolec\AppData\Roaming\lobby.dat
2016-07-06 12:33 - 2016-07-06 12:33 - 00072704 _____ C:\Users\Bolec\AppData\Roaming\Unolax.tst
2016-07-06 12:33 - 2016-07-06 12:33 - 00069024 _____ C:\Users\Bolec\AppData\Roaming\Config.xml
2016-07-06 12:33 - 2016-07-06 12:33 - 00054272 _____ C:\Users\Bolec\AppData\Roaming\ApplicationHosting.dat
2016-07-06 12:33 - 2016-07-06 12:33 - 00019584 _____ C:\Users\Bolec\AppData\Roaming\InstallationConfiguration.xml
2016-07-06 12:33 - 2016-07-06 12:33 - 00018432 _____ C:\Users\Bolec\AppData\Roaming\Main.dat
2016-07-06 12:33 - 2016-07-06 12:33 - 00005568 _____ C:\Users\Bolec\AppData\Roaming\md.xml
2015-06-03 04:06 - 2015-06-03 04:06 - 0000206 _____ () C:\Users\Bolec\AppData\Roaming\3BSYBS1_DCSA_Errlog.txt
2011-09-26 21:45 - 2011-09-26 21:45 - 0001305 _____ () C:\Users\Bolec\AppData\Roaming\401-5.htm
2011-09-26 21:45 - 2011-09-26 21:45 - 0001120 _____ () C:\Users\Bolec\AppData\Roaming\404-12.htm
2011-09-26 21:45 - 2011-09-26 21:45 - 0001433 _____ () C:\Users\Bolec\AppData\Roaming\501.htm
C:\Users\Bolec\AppData\Local\Streetice.dat
C:\Users\Bolec\AppData\Local\Streetice.exe
C:\Users\Bolec\AppData\Local\Streetice.exe.config
HKLM-x32\...\Run: [gupdate] => C:\Program Files (x86)\xtex\gupdate\gupdate.exe [149349 2016-07-06] ()
HKLM-x32\...\Run: [apphide] => C:\Program Files (x86)\badu\uc.exe [331848 2016-07-05] ()
HKU\S-1-5-21-865181693-1974036264-3221311095-1000\...\Run: [svchost0] => C:\Program Files (x86)\UCBrowser\Application\UUC0789.exe
HKU\S-1-5-21-865181693-1974036264-3221311095-1000\...\Run: [apphide2] => C:\Program Files (x86)\badu\uc.exe [331848 2016-07-05] ()
AppInit_DLLs: C:\ProgramData\Airtostrong\Doubleis.dll => C:\ProgramData\Airtostrong\Doubleis.dll [363008 2016-07-06] ()
AppInit_DLLs-x32: C:\ProgramData\Airtostrong\Daltsiltone.dll => C:\ProgramData\Airtostrong\Daltsiltone.dll [257536 2016-07-06] ()
GroupPolicyScripts: Ograniczenia <======= UWAGA
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA
HKU\S-1-5-21-865181693-1974036264-3221311095-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBUTxkij9_B3vZOxc6r0vkIwdphlp_DmxsEJkmf0w-NeggUSUNL6LiWsNL61cHTMIvxWEbD__nV2o83lPwdsgB4zyvnPrtxLFbknFEFntjIokaYRGoOqtssawD3gsOJNLSTUyPvLlrWQGa-s059nLKiv49w_bQeGxu-DzRdqXMaBAEEWChrmBA,&q={searchTerms}
HKU\S-1-5-21-865181693-1974036264-3221311095-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBUTxkij9_B3vZOxc6r0vkIwdphlp_DmxsEJkmf0w-NeggUSUNL6LiWsNL61cHTMIvxWEbD__nV2o83lPwdsgB4zyd5JkRTSw6JaZsd60w2ruib_p-L8U6hVFs-dS3_fyQ_koFOCmyJ2Z0w6660HLwHOt2NYUIuKUpEmtc55-0oaBxdi73RdTs,
HKU\S-1-5-21-865181693-1974036264-3221311095-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBUTxkij9_B3vZOxc6r0vkIwdphlp_DmxsEJkmf0w-NeggUSUNL6LiWsNL61cHTMIvxWEbD__nV2o83lPwdsgB4zyvnPrtxLFbknFEFntjIokaYRGoOqtssawD3gsOJNLSTUyPvLlrWQGa-s059nLKiv49w_bQeGxu-DzRdqXMaBAEEWChrmBA,&q={searchTerms}
HKU\S-1-5-21-865181693-1974036264-3221311095-1000\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBUTxkij9_B3vZOxc6r0vkIwdphlp_DmxsEJkmf0w-NeggUSUNL6LiWsNL61cHTMIvxWEbD__nV2o83lPwdsgB4zyvnPrtxLFbknFEFntjIokaYRGoOqtssawD3gsOJNLSTUyPvLlrWQGa-s059nLKiv49w_bQeGxu-DzRdqXMaBAEEWChrmBA,&q={searchTerms}
SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL =
SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBUTxkij9_B3vZOxc6r0vkIwdphlp_DmxsEJkmf0w-NeggUSUNL6LiWsNL61cHTMIvxWEbD__nV2o83lPwdsgB4zyvnPrtxLFbknFEFntjIokaYRGoOqtssawD3gsOJNLSTUyPvLlrWQGa-s059nLKiv49w_bQeGxu-DzRdqXMaBAEEWChrmBA,&q={searchTerms}
SearchScopes: HKU\S-1-5-21-865181693-1974036264-3221311095-1000 -> DefaultScope {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBUTxkij9_B3vZOxc6r0vkIwdphlp_DmxsEJkmf0w-NeggUSUNL6LiWsNL61cHTMIvxWEbD__nV2o83lPwdsgB4zyvnPrtxLFbknFEFntjIokaYRGoOqtssawD3gsOJNLSTUyPvLlrWQGa-s059nLKiv49w_bQeGxu-DzRdqXMaBAEEWChrmBA,&q={searchTerms}
SearchScopes: HKU\S-1-5-21-865181693-1974036264-3221311095-1000 -> {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBUTxkij9_B3vZOxc6r0vkIwdphlp_DmxsEJkmf0w-NeggUSUNL6LiWsNL61cHTMIvxWEbD__nV2o83lPwdsgB4zyvnPrtxLFbknFEFntjIokaYRGoOqtssawD3gsOJNLSTUyPvLlrWQGa-s059nLKiv49w_bQeGxu-DzRdqXMaBAEEWChrmBA,&q={searchTerms}
R2 Airtostrong; C:\ProgramData\\Airtostrong\\Airtostrong.exe [400896 2016-06-29] () [brak podpisu cyfrowego]
R2 backlh; C:\ProgramData\Logic Handler\set.exe [2089472 2016-05-15] () [brak podpisu cyfrowego]
R2 CloudPrinter; C:\ProgramData\\CloudPrinter\\CloudPrinter.exe [694784 2016-07-06] () [brak podpisu cyfrowego]
R2 dtynloadilueoatj; C:\Users\Bolec\AppData\Local\Streetice.exe [28160 2016-07-06] () [brak podpisu cyfrowego]
S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X]
S3 tsusbhub; system32\drivers\tsusbhub.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
2016-07-06 12:33 - 2016-07-06 12:33 - 0694784 _____ () C:\Users\Bolec\AppData\Roaming\Stimflex.exe
2016-07-06 12:33 - 2016-07-06 12:33 - 1761214 _____ () C:\Users\Bolec\AppData\Roaming\Stimflex.tst
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Acclaim Entertainment\Turok 2 Seeds of Evil\Cool Stuff\Get on the Internet with MindSpring.lnk
C:\Users\Bolec\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\UC浏览器.lnk
EmptyTemp:

>>Menu Notatnika >> Plik >>
>>Zapisz jako >>
Nazwa pliku: fixlist
Zapisz jako typ: Dokumenty tekstowe
Kodowanie: Unicode
>>Zapisz
Plik umieść w folderze C:\Users\Bolec\Downloads
Uruchom FRST i kliknij przycisk Fix (NAPRAW).

 

2) Zrób nowe logi FRST.

Przed skanem zaznacz "Addition.txt" oraz "Shortcut.txt"

 

3)Napisz, jak oceniasz sytuację po tym usuwaniu.

 

jessi

Odnośnik do komentarza

Witam,

znów to samo, safe finder......, gdy chcę coś otworzyć w nowej karcie, wyskakuje safe finder yahoo search results, zapomniałem dodać że przed safe finder zanim się pojawił dosłownie parę minut wcześniej pojawiło się coś o nazwie UC i jakieś azjatyckie znaczki

usunąłem folder z całą zawartością ale coś chyba zostało gdzieś

chodzi mi o sytuacje kiedy pisałem pierwszego posta czyli przed pomocą Jess, teraz znów to samo safe finder,

oglądałem tylko youtube i pograłem chwile to wszystko, dodaje pliki

 

zrobiłem screena zanim przeglądarka włączy stronę startową safe findera w pasku adresu jest dziwny link widać na screenie i to coś UC z azjatyckimi znaczkami też zrobiłem screena

Addition.txt

FRST.txt

Shortcut.txt

post-17533-0-55310000-1467895752_thumb.jpg

post-17533-0-36430000-1467895753_thumb.jpg

Edytowane przez Rucek
Scalam posty, poprawiam przejrzystość
Odnośnik do komentarza

Otwórz Notatnik i wklej w nim:

 

ShortcutWithArgument: C:\Users\Bolec\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> E:\Programy\Mozilla Firefox () -> %SNF%
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> E:\Programy\Mozilla Firefox () -> %SNF%
ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> E:\Programy\Mozilla Firefox () -> %SNF%
 C:\ProgramData\xifs\xifs.exe
AppInit_DLLs: C:\ProgramData\xifs\Treehome.dll => C:\ProgramData\xifs\Treehome.dll [363008 2016-07-06] ()
AppInit_DLLs-x32: C:\ProgramData\xifs\K-dax.dll => C:\ProgramData\xifs\K-dax.dll [257536 2016-07-06] ()
HKU\S-1-5-21-865181693-1974036264-3221311095-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeoIGShepo8uLJ7xv4O2s041dKJO6l2gCDI2UeQLByM6bClPTbjr0fPUZqiOWpJwfimBtAiEUkFQTLBe71LhpGFVBS9pA_nb2dqW2nZr-w5LMlMEQzzPPEeneAkB6cBaB-yD4W24L0KkGhB0-zg3Qq5F_2QhYM8ydDirqj3KhG8Q,&q={searchTerms}
HKU\S-1-5-21-865181693-1974036264-3221311095-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeoIGShepo8uLJ7xv4O2s041dKJO6l2gCDI2UeQLByM6bClPTbjr0fPUZqiOWpJwfimBtAiEUkFQTLBtydo4tvZOMtZG43EE93YYZtxu-7jtqamZxknhtrsTBlVtt3U3aw8eiQWBM5rhPrAyaBGgoqiW-7gzjLATNmuE4LAxkf9Q,
HKU\S-1-5-21-865181693-1974036264-3221311095-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeoIGShepo8uLJ7xv4O2s041dKJO6l2gCDI2UeQLByM6bClPTbjr0fPUZqiOWpJwfimBtAiEUkFQTLBe71LhpGFVBS9pA_nb2dqW2nZr-w5LMlMEQzzPPEeneAkB6cBaB-yD4W24L0KkGhB0-zg3Qq5F_2QhYM8ydDirqj3KhG8Q,&q={searchTerms}
HKU\S-1-5-21-865181693-1974036264-3221311095-1000\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeoIGShepo8uLJ7xv4O2s041dKJO6l2gCDI2UeQLByM6bClPTbjr0fPUZqiOWpJwfimBtAiEUkFQTLBe71LhpGFVBS9pA_nb2dqW2nZr-w5LMlMEQzzPPEeneAkB6cBaB-yD4W24L0KkGhB0-zg3Qq5F_2QhYM8ydDirqj3KhG8Q,&q={searchTerms}
SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL =
SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeoIGShepo8uLJ7xv4O2s041dKJO6l2gCDI2UeQLByM6bClPTbjr0fPUZqiOWpJwfimBtAiEUkFQTLBe71LhpGFVBS9pA_nb2dqW2nZr-w5LMlMEQzzPPEeneAkB6cBaB-yD4W24L0KkGhB0-zg3Qq5F_2QhYM8ydDirqj3KhG8Q,&q={searchTerms}
SearchScopes: HKU\S-1-5-21-865181693-1974036264-3221311095-1000 -> DefaultScope {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeoIGShepo8uLJ7xv4O2s041dKJO6l2gCDI2UeQLByM6bClPTbjr0fPUZqiOWpJwfimBtAiEUkFQTLBe71LhpGFVBS9pA_nb2dqW2nZr-w5LMlMEQzzPPEeneAkB6cBaB-yD4W24L0KkGhB0-zg3Qq5F_2QhYM8ydDirqj3KhG8Q,&q={searchTerms}
SearchScopes: HKU\S-1-5-21-865181693-1974036264-3221311095-1000 -> {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeoIGShepo8uLJ7xv4O2s041dKJO6l2gCDI2UeQLByM6bClPTbjr0fPUZqiOWpJwfimBtAiEUkFQTLBe71LhpGFVBS9pA_nb2dqW2nZr-w5LMlMEQzzPPEeneAkB6cBaB-yD4W24L0KkGhB0-zg3Qq5F_2QhYM8ydDirqj3KhG8Q,&q={searchTerms}
R2 xifs; C:\ProgramData\\xifs\\xifs.exe [400896 2016-07-06] () [brak podpisu cyfrowego]
C:\ProgramData\xifss
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> E:\Programy\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> %SNF%
ShortcutWithArgument: C:\Users\Bolec\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP%
ShortcutWithArgument: C:\Users\Bolec\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP%
ShortcutWithArgument: C:\Users\Bolec\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> E:\Programy\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> %SNF%
ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> E:\Programy\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> %SNF%
RemoveDirectory:  C:\ProgramData\xifs
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix (NAPRAW).

 

jessi

Odnośnik do komentarza

Kolejne podejście:

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
AppInit_DLLs: C:\ProgramData\xifs\Groovelam.dll => C:\ProgramData\xifs\Groovelam.dll [363008 2016-07-08] ()
AppInit_DLLs-x32: C:\ProgramData\xifs\Scottech.dll => C:\ProgramData\xifs\Scottech.dll [257536 2016-07-08] ()
S2 xifs; C:\ProgramData\\xifs\\xifs.exe [400896 2016-07-08] () [brak podpisu cyfrowego]
Task: {E0641DFE-A70B-43A4-861F-FC85C068AA40} - System32\Tasks\Driver Booster SkipUAC (Bolec) => C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe
ShortcutWithArgument: C:\Users\Bolec\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> E:\Programy\Mozilla Firefox () -> %SNF%
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> E:\Programy\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> %SNF%
ShortcutWithArgument: C:\Users\Bolec\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP%
ShortcutWithArgument: C:\Users\Bolec\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP%
ShortcutWithArgument: C:\Users\Bolec\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> E:\Programy\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> %SNF%
ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> E:\Programy\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> %SNF%
HKU\S-1-5-21-865181693-1974036264-3221311095-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeoIGShepo8uLJ7xv4O2s041dKJO6l2gCDI2UeQLByM6bClPTbjr0fPUZqiOWpJwfimBtAiEUkFQTLBe71LhpGFVBS9pA_nb2dqW4ffuJPh129LABq6bQgdvLvekQ34YW9UbpA34Hb5AteAdFN3ncj_F8dGdJYX6aOTBPE-k2KAE,&q={searchTerms}
HKU\S-1-5-21-865181693-1974036264-3221311095-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeoIGShepo8uLJ7xv4O2s041dKJO6l2gCDI2UeQLByM6bClPTbjr0fPUZqiOWpJwfimBtAiEUkFQTLBtydo4tvZOMtZG43EE93YYX2PCO0QP0vNPzGCB-1ZjjwS5KmrjpCbiodksEu1bCkYh2nCk7odGwWj2liHuI5vj2ZK-mBFo,
HKU\S-1-5-21-865181693-1974036264-3221311095-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeoIGShepo8uLJ7xv4O2s041dKJO6l2gCDI2UeQLByM6bClPTbjr0fPUZqiOWpJwfimBtAiEUkFQTLBe71LhpGFVBS9pA_nb2dqW4ffuJPh129LABq6bQgdvLvekQ34YW9UbpA34Hb5AteAdFN3ncj_F8dGdJYX6aOTBPE-k2KAE,&q={searchTerms}
HKU\S-1-5-21-865181693-1974036264-3221311095-1000\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeoIGShepo8uLJ7xv4O2s041dKJO6l2gCDI2UeQLByM6bClPTbjr0fPUZqiOWpJwfimBtAiEUkFQTLBe71LhpGFVBS9pA_nb2dqW4ffuJPh129LABq6bQgdvLvekQ34YW9UbpA34Hb5AteAdFN3ncj_F8dGdJYX6aOTBPE-k2KAE,&q={searchTerms}
SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL =
SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeoIGShepo8uLJ7xv4O2s041dKJO6l2gCDI2UeQLByM6bClPTbjr0fPUZqiOWpJwfimBtAiEUkFQTLBe71LhpGFVBS9pA_nb2dqW4ffuJPh129LABq6bQgdvLvekQ34YW9UbpA34Hb5AteAdFN3ncj_F8dGdJYX6aOTBPE-k2KAE,&q={searchTerms}
SearchScopes: HKU\S-1-5-21-865181693-1974036264-3221311095-1000 -> DefaultScope {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeoIGShepo8uLJ7xv4O2s041dKJO6l2gCDI2UeQLByM6bClPTbjr0fPUZqiOWpJwfimBtAiEUkFQTLBe71LhpGFVBS9pA_nb2dqW4ffuJPh129LABq6bQgdvLvekQ34YW9UbpA34Hb5AteAdFN3ncj_F8dGdJYX6aOTBPE-k2KAE,&q={searchTerms}
SearchScopes: HKU\S-1-5-21-865181693-1974036264-3221311095-1000 -> {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeoIGShepo8uLJ7xv4O2s041dKJO6l2gCDI2UeQLByM6bClPTbjr0fPUZqiOWpJwfimBtAiEUkFQTLBe71LhpGFVBS9pA_nb2dqW4ffuJPh129LABq6bQgdvLvekQ34YW9UbpA34Hb5AteAdFN3ncj_F8dGdJYX6aOTBPE-k2KAE,&q={searchTerms}
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains
DeleteKey: HKCU\Software\Microsoft\Internet Explorer\Search
DeleteKey: HKCU\Software\Microsoft\Internet Explorer\SearchUrl
DeleteKey: HKLM\SOFTWARE\Microsoft\Internet Explorer\Search
DeleteKey: HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchUrl
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Search
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchUrl
Reg: reg delete HKCU\Environment /v SNF /f
Reg: reg delete HKCU\Environment /v SNP /f
C:\Program Files\Common Files\uwqb4avd.exe
C:\ProgramData\xifs
C:\ProgramData\xifss
C:\Users\Bolec\AppData\Roaming\ProxySettings.dll
C:\Users\Bolec\AppData\Roaming\uninstall_temp.ico
C:\Windows\SysWOW64\findit.xml
C:\Windows\SysWOW64\temp.*
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Wyczyść Firefox z adware:

  • Odłącz synchronizację (o ile włączona): KLIK.
  • Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia zostaną usunięte. Nie polecam blokera AdBlocker Ultimate, jest to niejasny produkt, tu mój opis po angielsku dlaczego są wątpliwości: KLIK. A zamiast Adblock Plus proponuję uBlock Origin.
  • Menu Historia > Wyczyść całą historię przeglądania.
3. Prócz problemu zasadniczego, jest w tle uruchomiony też moduł reklamodawczy uTorrent, niejaki "utorrentie.exe": KLIK. Sugeruję rezygnację z tego klienta torrent, który od dawna jest siedliskiem adware i dziwnych zagrywek. W zamian np. qBittorrent.

 

4. Zrób nowy log FRST z opcji Skanuj (Scan), z Addition, bez Shortcut. Dołącz też plik fixlog.txt.

Odnośnik do komentarza

Tym razem Fixlist nie miał być w Unicode, w przeciwnym wypadku bym to zaznaczyła - to kodowanie jest wymagane tylko gdy są linie z obcymi znakami (chińskie krzaki, cyrylica, etc).

 

Jest tu dziwny przypadek, niby wszystko się usuwa, ale się odtwarza. Jeszcze jedno podejście, tym razem w nieco innym układzie procesów i inna metoda modyfikacji AppInit_DLLs. Jeśli to nie zadziała, trzeba będzie się zastanowić czy przypadkiem nie jest to jakaś nowa wersja mająca ukryty inny loader w miejscu którego nie skanuje FRST. Na razie:

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
R2 xifs; C:\ProgramData\\xifs\\xifs.exe [400896 2016-07-12] () [brak podpisu cyfrowego]
Reg: reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows" /v AppInit_DLLs /t REG_SZ /d "" /f
Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows" /v AppInit_DLLs /t REG_SZ /d "" /f
ShortcutWithArgument: C:\Users\Bolec\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> E:\Programy\Mozilla Firefox () -> %SNF%
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> E:\Programy\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> %SNF%
ShortcutWithArgument: C:\Users\Bolec\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP%
ShortcutWithArgument: C:\Users\Bolec\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP%
ShortcutWithArgument: C:\Users\Bolec\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> E:\Programy\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> %SNF%
ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> E:\Programy\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> %SNF%
HKU\S-1-5-21-865181693-1974036264-3221311095-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeoIGShepo8uLJ7xv4O2s041dKJO6l2gCDI2UeQLByM6bClPTbjr0fPUZqiOWpJwfimBtAiEUkFQTLBe71LhpGFVBS9pA_nb2dqTc-RFuUEyenfhBPbj9Tpkca3JEYRD4S6pD7rhIL-7TxdFvf3tc8AmHLYCGAT7zg1wh0yoLExc,&q={searchTerms}
HKU\S-1-5-21-865181693-1974036264-3221311095-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeoIGShepo8uLJ7xv4O2s041dKJO6l2gCDI2UeQLByM6bClPTbjr0fPUZqiOWpJwfimBtAiEUkFQTLBtydo4tvZOMtZG43EE93YffAUcnuWgbrIySzScRd4UBvlgR0sAeWt5i4skNfU4HYj0xIAo8n49u-2SmqxKV6slsAMZdpAQ,
HKU\S-1-5-21-865181693-1974036264-3221311095-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeoIGShepo8uLJ7xv4O2s041dKJO6l2gCDI2UeQLByM6bClPTbjr0fPUZqiOWpJwfimBtAiEUkFQTLBe71LhpGFVBS9pA_nb2dqTc-RFuUEyenfhBPbj9Tpkca3JEYRD4S6pD7rhIL-7TxdFvf3tc8AmHLYCGAT7zg1wh0yoLExc,&q={searchTerms}
HKU\S-1-5-21-865181693-1974036264-3221311095-1000\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeoIGShepo8uLJ7xv4O2s041dKJO6l2gCDI2UeQLByM6bClPTbjr0fPUZqiOWpJwfimBtAiEUkFQTLBe71LhpGFVBS9pA_nb2dqTc-RFuUEyenfhBPbj9Tpkca3JEYRD4S6pD7rhIL-7TxdFvf3tc8AmHLYCGAT7zg1wh0yoLExc,&q={searchTerms}
SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL =
SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeoIGShepo8uLJ7xv4O2s041dKJO6l2gCDI2UeQLByM6bClPTbjr0fPUZqiOWpJwfimBtAiEUkFQTLBe71LhpGFVBS9pA_nb2dqTc-RFuUEyenfhBPbj9Tpkca3JEYRD4S6pD7rhIL-7TxdFvf3tc8AmHLYCGAT7zg1wh0yoLExc,&q={searchTerms}
SearchScopes: HKU\S-1-5-21-865181693-1974036264-3221311095-1000 -> DefaultScope {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeoIGShepo8uLJ7xv4O2s041dKJO6l2gCDI2UeQLByM6bClPTbjr0fPUZqiOWpJwfimBtAiEUkFQTLBe71LhpGFVBS9pA_nb2dqTc-RFuUEyenfhBPbj9Tpkca3JEYRD4S6pD7rhIL-7TxdFvf3tc8AmHLYCGAT7zg1wh0yoLExc,&q={searchTerms}
SearchScopes: HKU\S-1-5-21-865181693-1974036264-3221311095-1000 -> {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeoIGShepo8uLJ7xv4O2s041dKJO6l2gCDI2UeQLByM6bClPTbjr0fPUZqiOWpJwfimBtAiEUkFQTLBe71LhpGFVBS9pA_nb2dqTc-RFuUEyenfhBPbj9Tpkca3JEYRD4S6pD7rhIL-7TxdFvf3tc8AmHLYCGAT7zg1wh0yoLExc,&q={searchTerms}
DeleteKey: HKCU\Software\Microsoft\Internet Explorer\Search
DeleteKey: HKCU\Software\Microsoft\Internet Explorer\SearchUrl
DeleteKey: HKLM\SOFTWARE\Microsoft\Internet Explorer\Search
DeleteKey: HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchUrl
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Search
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchUrl
Reg: reg delete HKCU\Environment /v SNF /f
Reg: reg delete HKCU\Environment /v SNP /f
C:\ProgramData\xifs
C:\ProgramData\xifss
C:\Windows\SysWOW64\findit.xml
EmptyTemp:

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Przejdź w Tryb awaryjny Windows. Uruchom FRST i kliknij w Napraw (Fix). Gdy Fix ukończy pracę, nastąpi restart systemu, opuść Tryb awaryjny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Punkty 2 do 4 z mojego poprzedniego posta nadal aktualne.

Odnośnik do komentarza

UnsignedFile.Multi.Generic to jest ogólna detekcja plików bez podpisu cyfrowego, taka detekcja nie świadczy o infekcji, jest wiele poprawnych instalacji które będą wykryte w TDSSKiller. Ta usługa jest widoczna w skanie FRST:

 

R2 BitTorrent; C:\Program Files\BitTorrent\BitTorrent.exe [383488 2016-07-06] () [brak podpisu cyfrowego]

 

Niemniej ona już mnie wcześniej zastanawiała, bo jakoś obiekt powstał w czasokresie inwazji adware + brak powiązanego wejścia na liście zainstalowanych, ale nie miałam czasu sprawdzić Bittorrent z oficjalnej strony czy taką usługę tworzy. Teraz się zmotywowałam, by zainstalować oficjalny Bittorent w wirtualnej maszynie - nie utworzył takiej usługi, czyli prawdopodobnie jest to jednak składnik adware.

 

Pokaż mi co jest w tym folderze. Zrób plik fixlist.txt do FRST o zawartości:

 

Folder: C:\Program Files\BitTorrent

 

Klik w Fix (Napraw) i dostarcz wynikowy fixlog.txt.

Odnośnik do komentarza

Co masz na myśli z tym obrazkiem z GMER? A jeśli chodzi o zawartość folderu "BitTorrent" pobraną via skrypt FRST, to definitywnie wygląda na część adware. Czyli powtórka, ale z uwzględnieniem tego falsyfikatu "BitTorrent":

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
R2 BitTorrent; C:\Program Files\BitTorrent\BitTorrent.exe [383488 2016-07-06] () [brak podpisu cyfrowego]
R2 xifs; C:\ProgramData\\xifs\\xifs.exe [400896 2016-07-12] () [brak podpisu cyfrowego]
Reg: reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows" /v AppInit_DLLs /t REG_SZ /d "" /f
Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows" /v AppInit_DLLs /t REG_SZ /d "" /f
ShortcutWithArgument: C:\Users\Bolec\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> E:\Programy\Mozilla Firefox () -> %SNF%
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> E:\Programy\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> %SNF%
ShortcutWithArgument: C:\Users\Bolec\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP%
ShortcutWithArgument: C:\Users\Bolec\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP%
ShortcutWithArgument: C:\Users\Bolec\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> E:\Programy\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> %SNF%
ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> E:\Programy\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> %SNF%
HKU\S-1-5-21-865181693-1974036264-3221311095-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeoIGShepo8uLJ7xv4O2s041dKJO6l2gCDI2UeQLByM6bClPTbjr0fPUZqiOWpJwfimBtAiEUkFQTLBe71LhpGFVBS9pA_nb2dqTc-RFuUEyenfhBPbj9Tpkca3JEYRD4S6pD7rhIL-7TxdFvf3tc8AmHLYCGAT7zg1wh0yoLExc,&q={searchTerms}
HKU\S-1-5-21-865181693-1974036264-3221311095-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeoIGShepo8uLJ7xv4O2s041dKJO6l2gCDI2UeQLByM6bClPTbjr0fPUZqiOWpJwfimBtAiEUkFQTLBtydo4tvZOMtZG43EE93YffAUcnuWgbrIySzScRd4UBvlgR0sAeWt5i4skNfU4HYj0xIAo8n49u-2SmqxKV6slsAMZdpAQ,
HKU\S-1-5-21-865181693-1974036264-3221311095-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeoIGShepo8uLJ7xv4O2s041dKJO6l2gCDI2UeQLByM6bClPTbjr0fPUZqiOWpJwfimBtAiEUkFQTLBe71LhpGFVBS9pA_nb2dqTc-RFuUEyenfhBPbj9Tpkca3JEYRD4S6pD7rhIL-7TxdFvf3tc8AmHLYCGAT7zg1wh0yoLExc,&q={searchTerms}
HKU\S-1-5-21-865181693-1974036264-3221311095-1000\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeoIGShepo8uLJ7xv4O2s041dKJO6l2gCDI2UeQLByM6bClPTbjr0fPUZqiOWpJwfimBtAiEUkFQTLBe71LhpGFVBS9pA_nb2dqTc-RFuUEyenfhBPbj9Tpkca3JEYRD4S6pD7rhIL-7TxdFvf3tc8AmHLYCGAT7zg1wh0yoLExc,&q={searchTerms}
SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL =
SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeoIGShepo8uLJ7xv4O2s041dKJO6l2gCDI2UeQLByM6bClPTbjr0fPUZqiOWpJwfimBtAiEUkFQTLBe71LhpGFVBS9pA_nb2dqTc-RFuUEyenfhBPbj9Tpkca3JEYRD4S6pD7rhIL-7TxdFvf3tc8AmHLYCGAT7zg1wh0yoLExc,&q={searchTerms}
SearchScopes: HKU\S-1-5-21-865181693-1974036264-3221311095-1000 -> DefaultScope {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeoIGShepo8uLJ7xv4O2s041dKJO6l2gCDI2UeQLByM6bClPTbjr0fPUZqiOWpJwfimBtAiEUkFQTLBe71LhpGFVBS9pA_nb2dqTc-RFuUEyenfhBPbj9Tpkca3JEYRD4S6pD7rhIL-7TxdFvf3tc8AmHLYCGAT7zg1wh0yoLExc,&q={searchTerms}
SearchScopes: HKU\S-1-5-21-865181693-1974036264-3221311095-1000 -> {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeoIGShepo8uLJ7xv4O2s041dKJO6l2gCDI2UeQLByM6bClPTbjr0fPUZqiOWpJwfimBtAiEUkFQTLBe71LhpGFVBS9pA_nb2dqTc-RFuUEyenfhBPbj9Tpkca3JEYRD4S6pD7rhIL-7TxdFvf3tc8AmHLYCGAT7zg1wh0yoLExc,&q={searchTerms}
DeleteKey: HKCU\Software\Microsoft\Internet Explorer\Search
DeleteKey: HKCU\Software\Microsoft\Internet Explorer\SearchUrl
DeleteKey: HKLM\SOFTWARE\Microsoft\Internet Explorer\Search
DeleteKey: HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchUrl
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Search
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchUrl
Reg: reg delete HKCU\Environment /v SNF /f
Reg: reg delete HKCU\Environment /v SNP /f
C:\Program Files\BitTorrent
C:\ProgramData\xifs
C:\ProgramData\xifss
C:\Windows\SysWOW64\findit.xml
EmptyTemp:

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restarti powstanie kolejny plik fixlog.txt.

 

2. Punkty 2 do 4 z mojego pierwszego posta z instrukcjami.

Odnośnik do komentarza

Wszystko wygląda bardzo dobrze. Drobne poprawki:

 

1. Zapuść fixlist.txt o następującej postaci:

 

S2 LiveUpdateSvc; C:\Program Files (x86)\IObit\LiveUpdate\LiveUpdate.exe [2945312 2016-01-14] (IObit)
S3 BEDaisy; \??\C:\Program Files (x86)\Common Files\BattlEye\BEDaisy.sys [X]
FirewallRules: [{6B74FE10-B8AB-4CFB-B3D5-4BD76562B1D0}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe
FirewallRules: [{840FD6D3-9F86-4A2D-8488-8957520E2A87}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe
FirewallRules: [{B4DB720B-1CD5-43F2-B990-3717602F4E8A}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\DBDownloader.exe
FirewallRules: [{E26FE15A-2626-448C-B7E9-06DC0E7E89B0}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\DBDownloader.exe
FirewallRules: [{488BA956-F3BB-43B7-80A1-2E45717E8AA7}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\AutoUpdate.exe
FirewallRules: [{CAF9B8F3-6AEF-4453-B426-C8A482DA8BD1}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\AutoUpdate.exe
RemoveDirectory: C:\FRST\Quarantine
RemoveDirectory: C:\Program Files (x86)\IObit
RemoveDirectory: C:\Users\Bolec\AppData\Roaming\uTorrent
RemoveDirectory: C:\Users\Bolec\Desktop\Stare dane programu Firefox
RemoveDirectory: C:\Users\Bolec\Downloads\gmer
CMD: del /q C:\TDSSKiller.3.1.0.9_13.07.2016_02.44.45_log.txt
CMD: del /q C:\Users\Bolec\Downloads\gmer.zip

 

Przedstaw wynikowy fixlog.txt. Nowe skany FRST nie są już potrzebne.

 

2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...