Arvelus utworzono 27 grudnia 2016 utworzono 27 grudnia 2016 ...co pochłania 30-60% mocy procesora i nie daje się wyłączyć. Ostatnio ten syf mi się pojawił i nie potrafię się go pozbyć. Znalazłem w internecie inny temat [klik]. Więc zgaduję, że logi się przydadzą, ale nie chcę robić tego maszynowo jak tam, bo nie wiem czy to pomoże czy zaszkodzi D= Kilkukrotnie już skanowałem komputer adwcleanerem, potem ruszyłem FRST i zapisałem wszystkie pliki. Pomoże ktoś? Bo ja nie mam pomysłu co robić D= Addition.txt AdwCleaner[C2].txt FRST.txt Shortcut.txt
Twój_Anioł_Stróż komentarz 27 grudnia 2016 komentarz 27 grudnia 2016 (edytowane) 1) Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\Program Files (x86)\Gharoch RemoveDirectory: C:\Program Files (x86)\UCBrowser RemoveDirectory: C:\ProgramData\Ronzap RemoveDirectory: C:\Program Files (x86)\Woliied Reports RemoveDirectory: C:\Users\SZymon\AppData\Roaming\Xeeedxi RemoveDirectory: c:\program files (x86)\ldsgamecenter RemoveDirectory: c:\program files (x86)\gubed RemoveDirectory: c:\program files (x86)\jiqerentegi RemoveDirectory: C:\Windows\SysWOW64\config\systemprofile\AppData\Roaming\360bizhi RemoveDirectory: C:\Program Files\1VSHYUJXYR RemoveDirectory: C:\Program Files (x86)\Jiqerentegi RemoveDirectory: C:\Users\SZymon\AppData\Roaming\JucdiJhnoz RemoveDirectory: C:\Users\SZymon\AppData\Roaming\Ludashi RemoveDirectory: C:\Users\SZymon\AppData\Roaming\lockhomepage RemoveDirectory: C:\Program Files\nd0m40m4 RemoveDirectory: C:\Program Files (x86)\1ebe6sav RemoveDirectory: C:\Users\SZymon\AppData\Roaming\Arurisrerhich RemoveDirectory: C:\Users\SZymon\AppData\Local\UCBrowser RemoveDirectory: C:\Windows\system32\kec RemoveDirectory: C:\Users\SZymon\AppData\LocalLow\Company RemoveDirectory: C:\Users\SZymon\AppData\Local\Tempfolder RemoveDirectory: C:\Program Files (x86)\360 RemoveDirectory: C:\Users\SZymon\AppData\Local\Ezgvtion RemoveDirectory: C:\Users\SZymon\AppData\Local\YcdPack C:\Users\SZymon\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\UC浏览器.lnk Task: {039BD066-6219-4667-A5C8-7A9C5C587948} - System32\Tasks\Corthercahitain Module => C:\Program Files (x86)\Gharoch\phduch.exe [2016-12-26] (Glarysoft Ltd) Task: {A88E9022-0C77-41B5-A9EB-616A81912764} - System32\Tasks\UCBrowserUpdater => C:\Program Files (x86)\UCBrowser\Application\update_task.exe <==== UWAGA Task: {DC3B0550-0BB6-40A5-A849-70FFEE66A8D1} - System32\Tasks\psv_Tranit => /c regedit.exe /s "C:\ProgramData\Ronzap\Stockla.reg" & del "C:\ProgramData\Ronzap\Stockla.reg" & SCHTASKS /Delete /TN "psv_Tranit" /F <==== UWAGA Task: {FEA93190-4155-4AD5-A8C2-307F62B35781} - System32\Tasks\SessionAgent => C:\windows\gdp32.exe C:\windows\gdp32.exe Task: C:\Windows\Tasks\UCBrowserUpdater.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe <==== UWAGA AlternateDataStreams: C:\Windows\system32\drivers:ucdrv-x64.sys [80850] AlternateDataStreams: C:\Windows\system32\drivers:x64 [364744] AlternateDataStreams: C:\Windows\system32\drivers:x86 [1176354] HKU\.DEFAULT\Software\Classes\f6802b9f: "C:\Windows\system32\mshta.exe" "javascript:f76ROTU="sJE";T89a=new ActiveXObject("WScript.Shell");qsdMqr30="mNFBiRuc";UufS7=T89a.RegRead("HKCU\\software\\sheqofpcsh\\imliilkkim");e8LLsp="No";eval(UufS7);ykgSLQ2="BuKGzJ";" <===== UWAGA FirewallRules: [{61C07D68-C0F2-4D5E-898A-7BFC76DB0AD1}] => C:\Program Files (x86)\UCBrowser\Application\UCBrowser.exe FirewallRules: [{EBDD54AD-8965-4F79-B14B-F73AFBDAB655}] => C:\Program Files (x86)\UCBrowser\Application\UCBrowser.exe FirewallRules: [{A46AD48C-3D92-4DDE-85C4-A4E8A8350095}] => C:\Windows\Temp\inst_buychannel_06.exe FirewallRules: [{E1818040-135E-4F1B-AE1E-4FA59716D6D9}] => C:\Windows\Temp\inst_buychannel_06.exe FirewallRules: [{DF5A8713-A691-4864-A85C-65AA8D2323DF}] => C:\Program Files (x86)\LuDaShi\Utils\Down.exe FirewallRules: [{C44F0DF1-1460-4C51-9F88-E1654CEA3164}] => C:\Program Files (x86)\LuDaShi\Utils\Down.exe HKLM-x32\...\Run: [] => [X] HKU\S-1-5-18\...\Run: [QC0YUQD1W8] => C:\Windows\Temp\6BYPE8SJN3\caster.exe [369152 2016-12-26] () <===== UWAGA HKU\S-1-5-18\...\Run: [HR9T71V9L7] => C:\Windows\Temp\6GZQWCQEWT.exe [369152 2016-12-26] () <===== UWAGA HKU\S-1-5-18\...\Run: [TO7JHPFWHM] => C:\Program Files\1VSHYUJXYR\1VSHYUJXY.exe [369152 2016-12-26] () HKU\S-1-5-18\...\Run: [360wp-srv] => C:\Windows\SysWoW64\config\systemprofile\AppData\Roaming\360bizhi\360wpsrv.exe [1636264 2016-12-09] (360.cn) HKLM\...\Providers\nd0m40m4: C:\Program Files (x86)\Woliied Reports\local64spl.dll [292352 2016-12-26] () GroupPolicy: Ograniczenia <======= UWAGA R2 Cegoe; C:\Users\SZymon\AppData\Roaming\Xeeedxi\Xeeedxi.exe [170496 2016-12-04] () [Brak podpisu cyfrowego] R2 GmSvc; C:\Program Files (x86)\LDSGameCenter\GmSvc.dll [463272 2016-11-04] () R2 GubedZL; C:\Program Files (x86)\Gubed\GubedZL.dll [119808 2016-12-27] () [Brak podpisu cyfrowego] R2 Houkstadush; C:\Program Files (x86)\Jiqerentegi\TmaplerfiwardCore.dll [177664 2016-12-26] () [Brak podpisu cyfrowego] R2 WpSvc; C:\Windows\SysWOW64\config\systemprofile\AppData\Roaming\360bizhi\lpi\WpSvc.dll [253352 2016-11-17] () S2 Ilaaugca; "C:\Users\SZymon\AppData\Roaming\JucdiJhnoz\Rawei.exe" -cms [X] S1 maxqbviu; \??\C:\Windows\system32\drivers\maxqbviu.sys [X] NETSVCx32: HpSvc -> Brak ścieżki do pliku. NETSVCx32: GmSvc -> C:\Program Files (x86)\LDSGameCenter\GmSvc.dll () NETSVCx32: WpSvc -> C:\Windows\SysWOW64\config\systemprofile\AppData\Roaming\360bizhi\lpi\WpSvc.dll () C:\Users\SZymon\AppData\Roaming\4E9225DA0A29463E8AD95A233536E924.dat C:\TOSTACK C:\Windows\Minidump\*.dmp C:\ProgramData\mntemp HOSTS: EmptyTemp: >>Menu Notatnika >> Plik >> >>Zapisz jako >> Nazwa pliku: fixlist Zapisz jako typ: Dokumenty tekstowe Kodowanie: UTF -8 >>Zapisz Plik umieść w folderze C:\Users\SZymon\Downloads Uruchom FRST i kliknij przycisk Fix (NAPRAW). 2) Zrób nowe logi FRST. . 1
Arvelus komentarz 28 grudnia 2016 Autor komentarz 28 grudnia 2016 Zrobiłem jak kazałeś. Procesu już nie ma :-) Dziękuję =D Fixlog_po_naprawie.txt FRST.txt Shortcut.txt Addition.txt
Twój_Anioł_Stróż komentarz 28 grudnia 2016 komentarz 28 grudnia 2016 1) Otwórz Notatnik i wklej w nim: HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.amisites.com/?type=hp&ts=1482918375&z=5f136d2d95701f609de86f3gezfb7odtbgbbfc5mdc&from=che0812&uid=TOSHIBAXMQ02ABD100H_Y5QEW6UFTXXY5QEW6UFT HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.amisites.com/?type=hp&ts=1482918375&z=5f136d2d95701f609de86f3gezfb7odtbgbbfc5mdc&from=che0812&uid=TOSHIBAXMQ02ABD100H_Y5QEW6UFTXXY5QEW6UFT HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.amisites.com/search/?type=ds&ts=1482918375&z=5f136d2d95701f609de86f3gezfb7odtbgbbfc5mdc&from=che0812&uid=TOSHIBAXMQ02ABD100H_Y5QEW6UFTXXY5QEW6UFT&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.amisites.com/?type=hp&ts=1482918375&z=5f136d2d95701f609de86f3gezfb7odtbgbbfc5mdc&from=che0812&uid=TOSHIBAXMQ02ABD100H_Y5QEW6UFTXXY5QEW6UFT HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.amisites.com/?type=hp&ts=1482918375&z=5f136d2d95701f609de86f3gezfb7odtbgbbfc5mdc&from=che0812&uid=TOSHIBAXMQ02ABD100H_Y5QEW6UFTXXY5QEW6UFT HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.amisites.com/search/?type=ds&ts=1482918375&z=5f136d2d95701f609de86f3gezfb7odtbgbbfc5mdc&from=che0812&uid=TOSHIBAXMQ02ABD100H_Y5QEW6UFTXXY5QEW6UFT&q={searchTerms} HKU\S-1-5-21-335976994-3446716818-2001690890-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.amisites.com/search/?type=ds&ts=1482918375&z=5f136d2d95701f609de86f3gezfb7odtbgbbfc5mdc&from=che0812&uid=TOSHIBAXMQ02ABD100H_Y5QEW6UFTXXY5QEW6UFT&q={searchTerms} HKU\S-1-5-21-335976994-3446716818-2001690890-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.amisites.com/?type=hp&ts=1482918375&z=5f136d2d95701f609de86f3gezfb7odtbgbbfc5mdc&from=che0812&uid=TOSHIBAXMQ02ABD100H_Y5QEW6UFTXXY5QEW6UFT HKU\S-1-5-21-335976994-3446716818-2001690890-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.amisites.com/?type=hp&ts=1482918375&z=5f136d2d95701f609de86f3gezfb7odtbgbbfc5mdc&from=che0812&uid=TOSHIBAXMQ02ABD100H_Y5QEW6UFTXXY5QEW6UFT HKU\S-1-5-21-335976994-3446716818-2001690890-1001\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.amisites.com/search/?type=ds&ts=1482918375&z=5f136d2d95701f609de86f3gezfb7odtbgbbfc5mdc&from=che0812&uid=TOSHIBAXMQ02ABD100H_Y5QEW6UFTXXY5QEW6UFT&q={searchTerms} Edge HomeButtonPage: HKU\S-1-5-21-335976994-3446716818-2001690890-1001 -> hxxp://www.amisites.com/?type=hp&ts=1482918375&z=5f136d2d95701f609de86f3gezfb7odtbgbbfc5mdc&from=che0812&uid=TOSHIBAXMQ02ABD100H_Y5QEW6UFTXXY5QEW6UFT CHR HomePage: Default -> hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGIjVkxlyIP4NYe17aVLWuxkYK9BNIFBtjHIt8uPjQpzBcjC89Zdh90wE1gh0JBckCTZahtL7NLcgRETmZShA1OvCwp2Er9KSlIaFjuZyJU8zcHl650U0QLNuPJCpyH0fH7L94nLmDsxigD2SEHnaUdkGRwbCQjOctwwGobHCg-tTlSPWNOBmG92dMFEN CHR StartupUrls: Default -> "hxxp://google.pl/","hxxp://www.amisites.com/?type=hp&ts=1482918375&z=5f136d2d95701f609de86f3gezfb7odtbgbbfc5mdc&from=che0812&uid=TOSHIBAXMQ02ABD100H_Y5QEW6UFTXXY5QEW6UFT" CHR DefaultSearchURL: Default -> hxxp://www.amisites.com/search/?type=ds&ts=1482918375&z=5f136d2d95701f609de86f3gezfb7odtbgbbfc5mdc&from=che0812&uid=TOSHIBAXMQ02ABD100H_Y5QEW6UFTXXY5QEW6UFT&q={searchTerms} CHR DefaultSearchKeyword: Default -> amisites R2 Archer; C:\Program Files (x86)\WinArcher\Archer.dll [788480 2016-12-27] () [Brak podpisu cyfrowego] R2 Convxxxx; C:\Users\SZymon\AppData\Roaming\cfjcf\UvConverter.exe [393216 2016-12-27] (Copyright (C) 2016) [Brak podpisu cyfrowego] R2 ed2kidle; C:\Program Files (x86)\amuleC1\ed2k.exe [237568 2016-12-19] (hxxp://www.amule.org/) [Brak podpisu cyfrowego] R3 iThemes5; C:\Program Files (x86)\Common Files\Services\iThemes.dll [877056 2016-12-28] () [Brak podpisu cyfrowego] <==== UWAGA C:\Program Files (x86)\Common Files\Services\iThemes.dll Reg: reg delete HKLM\SYSTEM\CurrentControlSet\Services\Themes /v DependOnService /f RemoveDirectory: C:\Users\SZymon\AppData\Roaming\cfjcf RemoveDirectory: C:\Program Files (x86)\WinArcher C:\Program Files (x86)\amuleC1 R2 WinSAPSvc; C:\ProgramData\WinSAPSvc\WinSAP.dll [219136 2016-12-28] () [Brak podpisu cyfrowego] C:\ProgramData\WinSAPSvc 2016-12-28 10:49 - 2016-12-28 10:49 - 00000000 ____D C:\Users\SZymon\AppData\Roaming\Ludashi 2016-12-28 10:46 - 2016-12-28 10:46 - 00000000 ____D C:\Users\SZymon\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\amuleC 2016-12-28 10:46 - 2016-12-28 10:46 - 00000000 ____D C:\Users\SZymon\AppData\Roaming\cfjcf 2016-12-28 10:46 - 2016-12-28 10:46 - 00000000 ____D C:\Users\SZymon\AppData\Roaming\aMule 2016-12-28 10:46 - 2016-12-28 10:46 - 00000000 ____D C:\Program Files (x86)\UvConverter 2016-12-28 10:46 - 2016-12-28 10:46 - 00000000 ____D C:\Program Files (x86)\amuleC1 2016-12-27 21:18 - 2016-12-28 10:51 - 00000000 ____D C:\ProgramData\WinSAPSvc 2016-12-27 21:18 - 2016-12-27 21:18 - 00000000 ____D C:\Program Files (x86)\WinArcher 2016-11-30 11:57 - 2016-11-30 11:57 - 00000000 ____D C:\Users\SZymon\AppData\LocalLow\DefaultCompany 2016-11-30 11:57 - 2016-11-30 11:57 - 00000000 ____D C:\Users\SZymon\AppData\Local\UWKProcess 2016-11-30 11:57 - 2016-11-30 11:57 - 00000000 ____D C:\ProgramData\boost_interprocess DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{418DDAC3-E16C-47C2-B5FE-4FBCAB0E10D0} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{418DDAC3-E16C-47C2-B5FE-4FBCAB0E10D0} 2016-12-27 13:25 - 2016-12-28 10:46 - 00877056 _____ () C:\Program Files (x86)\Common Files\Services\iThemes.dll 2016-12-27 21:18 - 2016-12-27 21:18 - 00788480 _____ () c:\program files (x86)\winarcher\archer.dll 2016-12-27 21:18 - 2016-12-28 11:31 - 00219136 _____ () c:\programdata\winsapsvc\winsap.dll HOSTS: EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe Uruchom FRST i kliknij przycisk Fix (NAPRAW). 2) Zrób nowe logi FRST. . 1
Arvelus komentarz 28 grudnia 2016 Autor komentarz 28 grudnia 2016 Oto one. Addition.txt Fixlog.txt FRST.txt Shortcut.txt
Twój_Anioł_Stróż komentarz 29 grudnia 2016 komentarz 29 grudnia 2016 Otwórz Notatnik i wklej w nim: C:\Windows\Minidump\*.dmp Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe Uruchom FRST i kliknij przycisk Fix (NAPRAW). Potem chyba możemy kończyć: Otwórz Notatnik i wklej w nim: DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok FRST. Uruchom FRST i kliknij w Fix (NAPRAW). przez SHIFT+DEL usuń pozostały folder C:\FRST. W Adw-Cleaner kliknij na PLIK, potem na ODINSTALUJ. 1
Wciąż szukasz rozwiązania problemu? Napisz teraz na forum!
Możesz zadać pytanie bez konieczności rejestracji - wystarczy, że wypełnisz formularz.