x-kom hosting

Złośliwe oprogramowanie żěŃą, UC浏览器

blondynkajaksiepatrzy
utworzono
utworzono

Witam.

Jak widać po nicku, będzie zapewne ciężko mi pomóc, gdyż moja znajomość oprogramowania jest na poziomie "dno i kilometr mułu". Problem w tym, iż pobrałam torrent, który miał być grą, jednakże okazało się inaczej. Chwilę po pobraniu mój komputer zaczął szaleć, instalując programy nie z tego świata, co znacznie go spowolniło. Przeskanowałam komputer 3-ktornie programem Malwarebytes Anti-Malware, jednakże zostały mi dwa oprogramowania, takie jak w temacie, których już ten program nie może wykryć, a tym bardziej usunąć. 

Bardzo proszę o pomoc, gdyż skończyły mi się pomysły, jak się do tego dobrać.

blondynkajaksiepatrzy
komentarz
komentarz
Twój_Anioł_Stróż
komentarz
komentarz (edytowane)

to trochę potrwa, bo jest dużo do usuwania ...

blondynkajaksiepatrzy
komentarz
komentarz

Domyślam się, ale już teraz dziękuję za pomoc :)

Twój_Anioł_Stróż
komentarz
komentarz

Otwórz Notatnik i wklej w nim:

Task: {5E2604EF-6069-4CE3-A7AA-F9723E0F57DB} - System32\Tasks\UCBrowserUpdater => C:\Program Files\UCBrowser\Application\update_task.exe [2016-08-29] (UCWeb Inc) <==== UWAGA


Task: {6DE546DE-B614-4D6E-B678-D13910EFE1E2} - System32\Tasks\UCBrowserUpdaterCore => C:\Program Files\UCBrowser\Application\update_task.exe [2016-08-29] (UCWeb Inc) <==== UWAGA
Task: {D1491579-1347-4F85-87F8-A91FD50C6CF7} - System32\Tasks\{4CB97BE0-1CB1-4A7D-94A9-D99029E77754} => pcalua.exe -a "C:\Program Files\SpaceSoundPro\uninstaller.exe"
Task: {41A0F104-7F3A-4BD6-B3F3-00D1891CB5DB} - System32\Tasks\{D1B5C3C1-F084-420E-90C4-F10738B3AAAF} => pcalua.exe -a C:\Users\Anka\Desktop\C250\setup.exe -d C:\Users\Anka\Desktop\C250
Task: C:\Windows\Tasks\UCBrowserUpdater.job => C:\Program Files\UCBrowser\Application\update_task.exe <==== UWAGA
Task: C:\Windows\Tasks\UCBrowserUpdaterCore.job => C:\Program Files\UCBrowser\Application\update_task.exe <==== UWAGA
RemoveDirectory: C:\Program Files\UCBrowser
RemoveDirectory: C:\Program Files\SpaceSoundPro
RemoveDirectory: c:\program files\ludashi
RemoveDirectory: c:\program files\tjaiedrevak
RemoveDirectory: C:\Program Files\GreatMaker
RemoveDirectory: C:\Users\Anka\AppData\Roaming\AzigcWig
RemoveDirectory: C:\Program Files\mpck
RemoveDirectory: C:\Windows\system32\hey
RemoveDirectory: C:\Users\Anka\AppData\Roaming\Ludashi
RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\鲁大师
RemoveDirectory: C:\Users\Anka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器
C:\Users\Anka\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\UC浏览器.lnk
RemoveDirectory: C:\Users\Anka\AppData\Roaming\Kuaizip
RemoveDirectory: C:\Users\Anka\AppData\Roaming\Softlink
RemoveDirectory: C:\Users\Anka\AppData\Local\UCBrowser
RemoveDirectory: C:\Users\Anka\AppData\Roaming\Hemkajdoa
RemoveDirectory: C:\Users\Anka\AppData\Local\svchost
RemoveDirectory: C:\Users\Anka\AppData\Roaming\Ghasetion
RemoveDirectory: C:\Users\Anka\AppData\Local\Tempfolder
RemoveDirectory: C:\Users\Public\Thunder
RemoveDirectory: C:\ProgramData\Thunder NetworkNetwork
RemoveDirectory: C:\Program Files\sbqh
RemoveDirectory: C:\Users\Anka\AppData\Local\Aticolyvqage
FirewallRules: [{911A9D24-C6EB-4A2A-B0B6-7A4B2FB2DC2F}] => (Allow) C:\Users\Anka\AppData\Local\Temp\is-OKH8Q.tmp\download\MiniThunderPlatform.exe
FirewallRules: [{4DB2BA13-FC21-47D7-B153-931DC2070489}] => (Allow) C:\Program Files\LuDaShi\ComputerZTray.exe
FirewallRules: [{E03A8E97-B971-45B3-BC9C-7C285B535CB8}] => (Allow) C:\Program Files\LuDaShi\ComputerZTray.exe
FirewallRules: [{1FDCB82C-E81D-4AA3-9BFB-38D131FAC5A8}] => (Allow) C:\Program Files\UCBrowser\Application\UCBrowser.exe
FirewallRules: [{FF260FEA-3F34-4B2E-9FF0-D887D8B1A14A}] => (Allow) C:\Program Files\UCBrowser\Application\UCBrowser.exe
FirewallRules: [{406FD499-DDDC-4E6B-827B-E6A2AAC777D8}] => (Allow) C:\Program Files\UCBrowser\Application\Downloader\download\MiniThunderPlatform.exe
FirewallRules: [{4CE15DF9-7D56-42F4-9667-F943A81AD0B8}] => (Allow) C:\Program Files\GreatMaker\MaohaWiFi\MaohaWifiSvr.exe
Shortcut: C:\Users\Anka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Ехрlоrеr.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) <===== Cyrillic
Shortcut: C:\Users\Anka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnеt Ехрlоrеr (Nо Аdd-оns).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) <===== Cyrillic
Shortcut: C:\Users\Anka\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Gооglе Сhrоmе.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) <===== Cyrillic
Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gооglе Сhrоmе.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) <===== Cyrillic
Shortcut: C:\Users\Public\Desktop\Gооglе Сhrоmе.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) <===== Cyrillic
HKU\S-1-5-21-2306809316-419273989-3403259579-1000\...\Run: [BingSvc] => C:\Users\Anka\AppData\Local\Microsoft\BingSvc\BingSvc.exe [144008 2015-11-13] (© 2015 Microsoft Corporation)
HKU\S-1-5-21-2306809316-419273989-3403259579-1000\...\Run: [ComputerZ-Tray] => C:\Program Files\LuDaShi\ComputerZTray.exe [2977192 2016-09-18] ()
Reg: reg delete HKU\S-1-5-21-2306809316-419273989-3403259579-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} =>  Brak pliku
ShellIconOverlayIdentifiers: [KzShlobj2] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F3} =>  Brak pliku
CHR Profile: C:\Users\Anka\AppData\Local\Google\Chrome\User Data\ChromeDefaultData [2016-10-03] <==== UWAGA
CHR Profile: C:\Users\Anka\AppData\Local\Google\Chrome\User Data\ChromeDefaultData2 [2016-10-03] <==== UWAGA
R2 Coerlasy; C:\Program Files\Tjaiedrevak\procaentvlotCollector.dll [276992 2016-10-03] () [Brak podpisu cyfrowego]
R2 HpSvc; C:\Program Files\LuDaShi\lpi\HpSvc.dll [239016 2016-07-21] () <==== UWAGA
S2 Citdhwa; "C:\Users\Anka\AppData\Roaming\AzigcWig\Geeswu.exe" -cms [X]
S3 ComputerZ; C:\Program Files\LuDaShi\ComputerZ.sys [47616 2016-06-27] (ludashi.com) <==== UWAGA
R2 ComputerZLock; C:\Program Files\LuDaShi\ComputerZLock.sys [40384 2016-09-13] (www.ludashi.com) <==== UWAGA
R1 UCGuard; C:\Windows\System32\DRIVERS\ucguard.sys [72064 2016-08-29] (Huorong Borui (Beijing) Technology Co., Ltd.) <==== UWAGA
C:\Windows\System32\DRIVERS\ucguard.sys
S3 ALSysIO; \??\C:\Users\Anka\AppData\Local\Temp\ALSysIO.sys [X]
C:\Users\Anka\AppData\Roaming\Microsoft\Windows\Start Menu\żěŃą.lnk
ShortcutWithArgument: C:\Users\Anka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器\卸载UC浏览器.lnk -> C:\Program Files\UCBrowser\Application\Uninstall.exe (UCWeb Inc.) -> --uninstall
C:\Users\Anka\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\MaohaWiFi.lnk
C:\Users\Anka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器.lnk
C:\Users\Anka\AppData\Roaming\Microsoft\Windows\Start Menu\żěŃą.ln
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\鲁大师
HOSTS:
EmptyTemp:

>>Menu Notatnika >> Plik >>
>>Zapisz jako >>
Nazwa pliku: fixlist
Zapisz jako typ: Dokumenty tekstowe
Kodowanie: UTF -8
>>Zapisz
Plik umieść w folderze C:\Users\Anka\Downloads
Uruchom FRST i kliknij przycisk Fix (NAPRAW).

 

2) Zrób nowe logi FRST.

przed skanem zaznacz: Additional.txt Shortcut.txt,

.

blondynkajaksiepatrzy
komentarz
komentarz

Zrobiłam wszystko tak, jak napisałeś. Przy naprawianiu przeglądarka google chrome została usunięta, a program FRST przestał działać, nie odpowiadał. Zaczynam się załamywać.

Twój_Anioł_Stróż
komentarz
komentarz

Nic takiego nie powinno się wydarzyć - nigdy do tej pory nikomu się tak nie zdarzyło.

Tak więc nie rozumiem, dlaczego tylko u Ciebie coś poszło "nie tal".

Ściągnij od nowa FRST, i zrób nowe logi.

 

.

blondynkajaksiepatrzy
komentarz
komentarz

dodaję screena z nieodpowiadającego programu.

Addition.txt

FRST.txt

Shortcut.txt

x.jpg

Twój_Anioł_Stróż
komentarz
komentarz (edytowane)

NAPRAWA W TOKU - a więc po prostu FRST się zaciął.

Na to nie ma lekarstwa.

 

1)

Cytuj

CHR Profile: C:\Users\Anka\AppData\Local\Google\Chrome\User Data\ChromeDefaultData [2016-10-03] <==== UWAGA

W Google Chrome jest ustawiony jako domyślny profil adware (nazwa na dysku ChromeDefaultData, ale w opcjach prawdopodobnie user0). Wymagana całkowita zmiana profilu.
Menu Ustawienia > karta Ustawienia > Osoby > Dodaj nową osobę i uruchom Chrome z poziomu tego profilu, a okno poprzedniego zamknij.
Następnie w ustawieniach skasuj poprzedni profil.

 

2)

zaraz przejrzę logi ...

blondynkajaksiepatrzy
komentarz
komentarz

Zaciął i przez 15 minut trwał sobie w zacięciu i nic nie ruszyło.

<mówiłam że w sprawach komputerowych jestem do niczego>

Dzięki, że jeszcze nie straciłeś cierpliwości.

Twój_Anioł_Stróż
komentarz
komentarz

1) wróć do mojego poprzedniego postu.

 

2) zmień nazwę tego FRST, który jest ostatnio ściągnięty, z FRST.exe na FRST.com

 

3)  Otwórz Notatnik i wklej w nim:

R1 UCGuard; C:\Windows\System32\DRIVERS\ucguard.sys [72064 2016-08-29] (Huorong Borui (Beijing) Technology Co., Ltd.) <==== UWAGA


C:\Windows\System32\DRIVERS\ucguard.sys
S3 ALSysIO; \??\C:\Users\Anka\AppData\Local\Temp\ALSysIO.sys [X]
C:\Users\Anka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器.lnk
C:\Users\Anka\AppData\Roaming\Microsoft\Windows\Start Menu\żěŃą.lnk
C:\Users\Public\Thunder Network
C:\ProgramData\Thunder Network
C:\Program Files\żěŃą
C:\Program Files\UCBrowser
HOSTS:
EmptyTemp:

>>Menu Notatnika >> Plik >>
>>Zapisz jako >>
Nazwa pliku: fixlist
Zapisz jako typ: Dokumenty tekstowe
Kodowanie: UTF -8
>>Zapisz
Plik umieść w folderze C:\Users\Anka\Downloads
Uruchom FRST i kliknij przycisk Fix (NAPRAW).

 

4) Zrób nowe logi FRST.

.

blondynkajaksiepatrzy
komentarz
komentarz (edytowane)

Postęp jest taki, że chroma mi nie usunęło. Ale program znowu nie działa. Poczekam jeszcze, może coś ruszy.

 

 

EDIT> Program nadal nie odpowiada.

Twój_Anioł_Stróż
komentarz
komentarz

Jeśli w ciągu godziny sytuacja się nie poprawi, to wyłączysz "na siłę" komputer.

.a jutro zrobisz nowe logi - zobaczymy, czy jest sens dalej próbować usuwać, czy może od razu sformatować dysk, i wgrać System od nowa.

zobaczymy ...

blondynkajaksiepatrzy
komentarz
komentarz

Ok, dzięki za poświęcony czas :)

  • 5 miesięcy później...
webrunner
komentarz
komentarz (edytowane)

Chce się podpiąć do tematu i proszę o pomoc w miarę szybko. Chcę wiedzieć, co mam usunąć. Nie mogę skasować  KZipShell.dll i przez to folderu żěŃą z ProgramFiles. Windows 10 64 bit.

Addition.txt

FRST.txt

Shortcut.txt

 

Edytowane: Poradziłem sobie sam. Zrozumiałem, że oznaczenia uwaga wystarczyło wkleić do notatnika i zapisać jako fixlist.txt kodowany utf8, zapisać go tam, gdzie jest plik frst.exe, a potem odpalić jeszcze raz FRST i kliknąć napraw.

Załączam logi po naprawieniu. 

P.S. Malwarebytes (wersja próbna) też przy okazji śmieci znalazł i posprzątał wszystko do końca. Także polecam jeszcze na koniec zrobić skan tym programem, restart i znów skan Malwarebytes w celu upewnienia się, czy nie znalazł żadnych zagrożeń.

Addition.txt

FRST.txt

Shortcut.txt

Twój_Anioł_Stróż
komentarz
komentarz (edytowane)

Jeszcze trochę zostało do usuwania:

Otwórz Notatnik i wklej w nim:

Cytuj

HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-03052017205854242\...\Run: [] => [X]

HKU\S-1-5-18\...\Run: [] => [X]
ShellIconOverlayIdentifiers: [ MEGA (Pending)] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} =>  -> Brak pliku
ShellIconOverlayIdentifiers: [ MEGA (Synced)] -> {05B38830-F4E9-4329-978B-1DD28605D202} =>  -> Brak pliku
ShellIconOverlayIdentifiers: [ MEGA (Syncing)] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} =>  -> Brak pliku
ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} =>  -> Brak pliku
ShellIconOverlayIdentifiers-x32: [ MEGA (Pending)] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} =>  -> Brak pliku
ShellIconOverlayIdentifiers-x32: [ MEGA (Synced)] -> {05B38830-F4E9-4329-978B-1DD28605D202} =>  -> Brak pliku
ShellIconOverlayIdentifiers-x32: [ MEGA (Syncing)] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} =>  -> Brak pliku
GroupPolicyScripts: Ograniczenia <======= UWAGA
GroupPolicyScripts-x32: Ograniczenia <======= UWAGA
S3 cpuz136; \??\C:\WINDOWS\TEMP\cpuz136\cpuz136_x64.sys [X]
S3 dbx; system32\DRIVERS\dbx.sys [X]
S3 GPUZ; \??\C:\WINDOWS\TEMP\GPUZ.sys [X]
RemoveDirectory: C:\ProgramData\Microleaves
RemoveDirectory: C:\Users\Adrian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器
RemoveDirectory: C:\Users\Adrian\AppData\Local\svchost
RemoveDirectory: C:\Users\Adrian\AppData\Roaming\UCChannel
RemoveDirectory: C:\Users\Adrian\AppData\Roaming\Softlink
RemoveDirectory: C:\Users\Default\AppData\Local\AdvinstAnalytics
RemoveDirectory: C:\Users\Default User\AppData\Local\AdvinstAnalytics
RemoveDirectory: C:\Users\Adrian\AppData\Roaming\Microleaves
HOSTS:
EmptyTemp:


>>Menu Notatnika >> Plik >>
>>Zapisz jako >>
Nazwa pliku: fixlist
Zapisz jako typ: Dokumenty tekstowe
Kodowanie: UTF -8
>>Zapisz
Plik umieść w folderze C:\Users\Adrian\Downloads
Uruchom FRST i kliknij przycisk Fix (NAPRAW).

  • 3 tygodnie później...
atener
komentarz
komentarz

Witam,

 

czy mogę prosić o pomoc?

poniżej załączam logi, z góry dziękuje za pomoc

Addition.txt

FRST.txt

Shortcut.txt

Twój_Anioł_Stróż
komentarz
komentarz

@atener

 

Otwórz Notatnik i wklej w nim:


RemoveDirectory: C:\Program Files\żěŃą
RemoveDirectory: C:\Program Files\ZipTool
RemoveDirectory: C:\Program Files (x86)\MoshouInput
RemoveDirectory: C:\Program Files (x86)\ShowMyPCService
RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\USB宝盒精简版
Task: {3D7D677B-C7DE-4F83-9B15-7E36168C1A91} - System32\Tasks\{8AA1ACF0-040E-4EF9-A650-7745BEA0113E} => pcalua.exe -a C:\Users\Wiktoria\Downloads\R171789.exe -d C:\Users\Wiktoria\Downloads
Task: {754C710D-8BEC-4A39-A315-B0A579660F95} - System32\Tasks\{35D31DEA-4F70-42AE-96BA-49E603B46C53} => pcalua.exe -a C:\Users\Wiktoria\AppData\Local\Temp\Temp2_Audio_Realtek_6.0.1.7027_W81x64_A.zip\Audio_Realtek_6.0.1.7027_W81x64\Setup.exe <==== UWAGA
Task: {7B8C568E-7F7C-4093-A881-CF880406B985} - System32\Tasks\{B336FFD6-D9CE-4174-BB96-EED604B1D02C} => pcalua.exe -a C:\Users\Wiktoria\AppData\Local\Temp\Temp1_Audio_Realtek_6.0.1.7027_W81x64_A.zip\Audio_Realtek_6.0.1.7027_W81x64\Setup.exe <==== UWAGA
Task: {A852D5BF-A70D-4C92-86EE-25BFFB743DC6} - System32\Tasks\{697CF914-3356-4066-BDF3-7C291DDF6241} => pcalua.exe -a C:\Users\Wiktoria\AppData\Local\Temp\Temp3_Audio_Realtek_6.0.1.7027_W81x64_A.zip\Audio_Realtek_6.0.1.7027_W81x64\Setup.exe <==== UWAGA
ShortcutWithArgument: C:\Users\Wiktoria\Documents\Szkoła\WOS spr 2\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> %SNF%
ShortcutWithArgument: C:\Users\Wiktoria\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\69639df789022856\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory="Profile 1"
AlternateDataStreams: C:\WINDOWS\hao123https:.ico [2302]
AlternateDataStreams: C:\ProgramData\Temp:890CC2F3 [127]
HKLM-x32\...\Winlogon: [Userinit] ,
HKU\S-1-5-18\...\Run: [] => C:\Program Files (x86)\MoshouInput\mohpimyin.exe
ShellIconOverlayIdentifiers: [.QMDeskTopGCIcon] -> {B7667919-3765-4815-A66D-98A09BE662D6} =>  -> Brak pliku
ShellIconOverlayIdentifiers: [JzShlobj] -> {7B286609-DA97-47E1-AC6B-33B8B4732C95} => C:\Program Files\ZipTool\JZipExt.dll [2015-11-30] ()
ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} => C:\Program Files\żěŃą\X64\KZipShell.dll [2016-05-21] ()
GroupPolicy: Ograniczenia - Chrome <======= UWAGA
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://istartpageing.com/web?type=ds&ts=1456873247&z=aadacb682bc0e0173b53f88g0zbw8qfb1mbceo6z5g&from=age&uid=ST500LT012-1DG142_S3P1YEMKXXXXS3P1YEMK&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://istartpageing.com/web?type=ds&ts=1456873247&z=aadacb682bc0e0173b53f88g0zbw8qfb1mbceo6z5g&from=age&uid=ST500LT012-1DG142_S3P1YEMKXXXXS3P1YEMK&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://istartpageing.com/web?type=ds&ts=1456873247&z=aadacb682bc0e0173b53f88g0zbw8qfb1mbceo6z5g&from=age&uid=ST500LT012-1DG142_S3P1YEMKXXXXS3P1YEMK&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://istartpageing.com/web?type=ds&ts=1456873247&z=aadacb682bc0e0173b53f88g0zbw8qfb1mbceo6z5g&from=age&uid=ST500LT012-1DG142_S3P1YEMKXXXXS3P1YEMK&q={searchTerms}
SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1
SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1
SearchScopes: HKU\S-1-5-21-26295846-4025935232-1292444333-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://istartpageing.com/web?type=ds&ts=1456873247&z=aadacb682bc0e0173b53f88g0zbw8qfb1mbceo6z5g&from=age&uid=ST500LT012-1DG142_S3P1YEMKXXXXS3P1YEMK&q={searchTerms}
SearchScopes: HKU\S-1-5-21-26295846-4025935232-1292444333-1001 -> {A36BB185-1774-48C4-A1AF-3242DA7EEB8E} URL =
BHO: Brak nazwy -> {083AF1DD-30A8-4F0D-89FF-EFBFBD19BC81} -> Brak pliku
BHO: Brak nazwy -> {25A1EDDD-CAD0-40EE-B868-905EA69DC803} -> Brak pliku
BHO: Brak nazwy -> {7C260B4B-F7A0-40B5-B403-BEFCDC6A4C3B} -> Brak pliku
BHO-x32: Brak nazwy -> {B69F34DD-F0F9-42DC-9EDD-957187DA688D} -> Brak pliku
FF user.js: detected! => C:\Users\Wiktoria\AppData\Roaming\Mozilla\Firefox\Profiles\ybv40kll.default\user.js [2017-02-21]
FF SearchPlugin: C:\Users\Wiktoria\AppData\Roaming\Mozilla\Firefox\Profiles\ybv40kll.default\searchplugins\dsrlte1.xml [2015-09-05]
FF Plugin HKU\.DEFAULT: twocaocom.com/TuCao -> C:\Users\Wiktoria\AppData\Local\tucao\1.1.1.1\TCPlugin.dll [Brak pliku]
CHR NewTab: Profile 1 ->  Not-active:"chrome-extension://ljgpiikiibdligadiaifmdemkbkahfnf/index.html"
CHR DefaultSearchURL: Profile 1 -> hxxp://movixhub.searchalgo.com/search/?category=web&s=shds&q={searchTerms}
CHR DefaultSearchKeyword: Profile 1 -> MovixHub
CHR DefaultSuggestURL: Profile 1 -> hxxp://sug.searchalgo.com/search/index_sg.php?q={searchTerms}
CHR HKU\.DEFAULT\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [kkfofcohnebcjonegcgomihjjoaajiak] - C:\Users\Wiktoria\AppData\Local\txweather\TxExtensions\tianxinweather.crx <nie znaleziono>
OPR Extension: (口水党) - C:\Users\Wiktoria\AppData\Roaming\Opera Software\Opera Stable\Extensions\djghkggdampkogmkmnmpfhfpbgedpmfm [2016-05-21]
S1 {16a92140-918d-4afb-9edb-46f22437bb10}Gw64; system32\drivers\{16a92140-918d-4afb-9edb-46f22437bb10}Gw64.sys [X]
S1 {3bcf4f2c-0bbb-4d4c-bf1f-11bbe6d501ea}Gw64; system32\drivers\{3bcf4f2c-0bbb-4d4c-bf1f-11bbe6d501ea}Gw64.sys [X]
S1 {3bcf4f2c-0bbb-4d4c-bf1f-11bbe6d501ea}w64; system32\drivers\{3bcf4f2c-0bbb-4d4c-bf1f-11bbe6d501ea}w64.sys [X]
S1 {641e52b1-3179-43ed-8bcb-f688871e52b0}Gw64; system32\drivers\{641e52b1-3179-43ed-8bcb-f688871e52b0}Gw64.sys [X]
S1 {ecd6aae4-019c-44b2-a0e5-570904275d66}Gw64; system32\drivers\{ecd6aae4-019c-44b2-a0e5-570904275d66}Gw64.sys [X]
C:\Users\Wiktoria\Downloads\Crystal-Security-35715-dp.exe
C:\Users\Wiktoria\AppData\Roaming\GiftBag.db
C:\ProgramData\moshou_gl_010.exe
InternetURL: C:\Users\Wiktoria\Favorites\[hao123].url -> BASEURL: hxxps://www.hao123.com/?tn=99679574_hao_pg URL: hxxps://www.hao123.com/?tn=99679574_hao_pg
C:\Users\Wiktoria\Favorites\[hao123].url
HOSTS:
EmptyTemp:


>>Menu Notatnika >> Plik >>
>>Zapisz jako >>
Nazwa pliku: fixlist
Zapisz jako typ: Dokumenty tekstowe
Kodowanie: UTF -8
>>Zapisz
Plik umieść w folderze C:\Users\Wiktoria\Downloads
Uruchom FRST i kliknij przycisk Fix (NAPRAW).

 

atener
komentarz
komentarz (edytowane)

dziękuje ślicznie za poświęcony czas

wszystko działa super

 

 

 

 

 

atener
komentarz
komentarz

okazało się że dwa dni później, czyli w sobotę chińskie znaczki znowu się pojawiły :(

czy mogę jeszcze raz prosić o analizę?

 

z góry dziękuje za pomoc

Addition.txt

FRST.txt

Shortcut.txt

Twój_Anioł_Stróż
komentarz
komentarz

@atener

 

1) Spróbuj odinstalować te programy:

Update for PriceFountain (HKU\S-1-5-21-26295846-4025935232-1292444333-1001\...\PriceFountainUpdateVer) (Version:  - Update for PriceFountain) <==== UWAGA

口水党 (HKU\.DEFAULT\...\口水党) (Version: 1.1.1.1 - koushuidang.cn) <==== UWAGA

 

2)  W logach wcale nie widzę tytułowego "żeNą".

Otwórz Notatnik i wklej w nim:

HKLM-x32\...\Run: [SystemClose] => D:\Documents\systemfile.exe


FF Keyword.URL: Mozilla\Firefox\Profiles\ybv40kll.default -> hxxp://searchsimple-a.akamaihd.net/?q=
S2 kbasesrv; C:\Program Files (x86)\kbasesrv\kbasesrv.exe [X]
C:\Users\Wiktoria\Desktop\Continue Any Video Converter installation.lnk
C:\Users\Wiktoria\Desktop\Continue Crystal Security installation.lnk
C:\Users\Wiktoria\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Acer Games.lnk
EmptyTemp:


Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix (NAPRAW).

.

 

Wciąż szukasz rozwiązania problemu? Napisz teraz na forum!

Możesz zadać pytanie bez konieczności rejestracji - wystarczy, że wypełnisz formularz.

×
×
  • Dodaj nową pozycję...

Powiadomienie o plikach cookie

Strona wykorzystuje pliki cookies w celu prawidłowego świadczenia usług i wygody użytkowników. Warunki przechowywania i dostępu do plików cookies możesz zmienić w ustawieniach przeglądarki.