Tavano utworzono 28 grudnia 2016 utworzono 28 grudnia 2016 Cześć, Mam problem związany z upartymi wirusami. Od momentu sformatowania systemu i instalacji sterowników oraz dodatkowego oprogramowania co dwa dni instaluje się na nowo program/wirus - Amulec. Dodatkowo przy każdej tej okazji w każdej z przeglądarek zmienia się wyszukiwarka na amisites, a dodatkowo czasem Google Chrome zmienia swoją ścieżkę do aplikacji, która tylko ten Chrome udaje. Adw Cleaner oraz Dr.Web CureIt! nie pomagają, o moim antywirusie (Baidu) nie wspominając. Czytając poprzednie tematy widzę, że potrzebne są logi z FRST i takie też o to załączam. Bardzo proszę o pomoc, co jeszcze mogę wykonać, bo wyczyszczenie adw, reinstalacja chrome pomaga na 2/3, potem w tle znów się to instaluje i zmienia. Logi z FRST.txt: http://wklej.to/Q7vnG logi z Shourtcut.txt:http://wklej.to/F25GY logi z Addition.txt:http://wklej.to/PE88u Raport po wykonanej pracy AdwCleaner:http://wklej.to/DmWvc Pozdrawiam
Gość komentarz 28 grudnia 2016 komentarz 28 grudnia 2016 Mnie to wygląda na zainfekowany któryś z instalatorów sterownika, Pendrive, sam instalator systemu, bądź zainfekowany router. Nie patrzyłem na logi, bo szukam przyczyny, nie objawów. Chwilowo mam młyn w pracy, ale będę mieć wgląd na ten temat.
Tavano komentarz 28 grudnia 2016 Autor komentarz 28 grudnia 2016 @Waher Myślę, że to myślenie w dobrym kierunku, bo naprawdę przetrzepałem już chyba cały komputer. Dałeś mi do myślenia tym postem i myślę, że problem może leżeć w sterownikach, które instalowałem. Pogubiłem płyty z sterownikami do mojej płyty/usb itd. i nie ukrywam, że pobierałem je z dość niepewnych źródeł i to jest jedyna rzecz, która jeszcze zostaje. Pendrive żaden nie wkładany pomiędzy problemami żaden, na stałe również nie siedzi. Instalator Windows i router również wykluczam. Co ciekawe, powyłączałem usługi programem autoruns tak, że w tle działa na prawde mało co, a podczas przeglądania chrome potrafi się wyłączyć, komputer łapie zwieche i po tym już wszystko zainstalowane. Jakieś porady?
Twój_Anioł_Stróż komentarz 28 grudnia 2016 komentarz 28 grudnia 2016 C:\Program Files (x86)\Ineat\Application\chrome.exe zamiast Google Chrome działa u Ciebie Trojan INEAT, który wygląda dokładnie tak samo, jak Google Chrome zaraz ...
Tavano komentarz 28 grudnia 2016 Autor komentarz 28 grudnia 2016 @Twój_Anioł_Stróż tak tak, wspominałem o tym w 1 poście, wiem, że on się instaluje, ale używam Chrome, a nie Chromopodobnej aplikacji:
Twój_Anioł_Stróż komentarz 28 grudnia 2016 komentarz 28 grudnia 2016 1) Cytuj CHR Profile: C:\Users\Luwr\AppData\Local\Google\Chrome\User Data\ChromeDefaultData [2016-12-14] <==== UWAGA Uruchom Google Chrome > Naciśnij klawisze: lewy Alt+F i kliknij przycisk Ustawienia > > Sekcja: OSOBY >zaznacz (wybierz): user0 kliknij znaczek X znajdujący się po prawej stronie. 2) zaraz ...
Tavano komentarz 28 grudnia 2016 Autor komentarz 28 grudnia 2016 Nie było tam user0, był tylko mój bieżący profil, wykonywałem to już razem z reinstalacją chrome, nie mniej zrobiłem to jeszcze raz.
Twój_Anioł_Stróż komentarz 28 grudnia 2016 komentarz 28 grudnia 2016 No to ktoś tu kłamie, bo w logach jest na pewno ten profil. Otwórz Notatnik i wklej w nim: FirewallRules: [{F4E905EE-0AAB-44E8-BCA2-E808619B8AFD}] => C:\Program Files (x86)\Ineat\Application\chrome.exe RemoveDirectory: C:\Users\Luwr\AppData\Roaming\dgjdg RemoveDirectory: C:\Program Files (x86)\Ineat RemoveDirectory: c:\program files (x86)\gubed RemoveDirectory: c:\program files (x86)\greraycutch RemoveDirectory: C:\Program Files (x86)\Gubed_WMI 2016-11-30 14:02 - 2016-11-30 14:02 - 00000000 ____D C:\Program Files (x86)\f09er35s 2016-11-30 10:02 - 2016-12-27 14:34 - 00000000 ____D C:\Program Files (x86)\uc242tlm 2016-12-09 17:36 - 2016-12-28 10:14 - 00000000 _____ C:\Users\Public\Documents\temp.dat 2016-12-09 17:36 - 2016-12-14 17:45 - 00000000 _____ C:\Users\Public\Documents\report.dat 2016-12-09 17:46 - 2016-12-28 10:11 - 00000000 ____D C:\Users\Luwr\AppData\Local\CrashDumps 2016-12-09 17:46 - 2016-12-09 17:46 - 00000000 ____D C:\Users\Luwr\AppData\Local\Bangkiss 2016-12-14 17:55 - 2016-12-14 17:55 - 00000000 ____D C:\Users\Luwr\AppData\Local\Ineat 2016-12-12 18:28 - 2016-12-12 18:28 - 00000000 ____D C:\Users\Luwr\AppData\Local\Bemike 2016-12-22 08:46 - 2016-12-22 08:46 - 00000000 ____D C:\Program Files (x86)\Gubed_WMI 2016-12-27 14:36 - 2016-12-27 14:36 - 00000000 ____D C:\Program Files (x86)\Gubed R2 GubedZL; C:\Program Files (x86)\Gubed\GubedZL.dll [119808 2016-12-27] () [Brak podpisu cyfrowego] S4 Gubed_WMI; C:\Program Files (x86)\Gubed_WMI\Gubed_WMI.exe [108544 2016-12-22] () [Brak podpisu cyfrowego] R2 Chehiied; C:\Program Files (x86)\Greraycutch\stwEngine.dll [274944 2016-11-21] () [Brak podpisu cyfrowego] HKLM\...\Providers\3uigi3pe: C:\1\local64spl.dll [143360 2016-11-22] () HKLM\...\Providers\5edt4pfb: C:\Program Files (x86)\TP-LINK\\local64spl.dll [143360 2016-11-22] () HKLM\...\Providers\78any21t: C:\Program Files (x86)\Google\\local64spl.dll [143360 2016-11-22] () HKLM\...\Providers\92tjxtky: C:\Program Files (x86)\Intel\\local64spl.dll [143360 2016-11-22] () HKLM\...\Providers\jncemfe3: C:\Program Files (x86)\Intel1\local64spl.dll [143360 2016-11-22] () HKLM\...\Providers\nmwvm642: C:\Program Files (x86)\TP-LINK1\local64spl.dll [143360 2016-11-22] () HKLM\...\Providers\o42ogl2e: C:\Program Files (x86)\Reference Assemblies\\local64spl.dll [143360 2016-11-22] () HKLM\...\Providers\s59lmdsg: C:\Program Files (x86)\Reference Assemblies1\local64spl.dll [143360 2016-11-22] () HKLM\...\Providers\tnkxxzbs: C:\Program Files (x86)\Google1\local64spl.dll [143360 2016-11-22] () HKLM\...\Providers\xb81dv2p: C:\\local64spl.dll IFEO\MRT.exe: [Debugger] C:\Program Files (x86)\Greraycutch\_ALLOWDEL_2784a\Gubed.exe -Yrrehs DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\Services\Convxxxx DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\Services\cphs DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\Services\Gubed_WMI DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\Services\ed2kidle 2016-11-22 23:55 - 2016-11-22 23:55 - 00143360 ____H () C:\1\local64spl.dll 2016-11-22 23:55 - 2016-11-22 23:55 - 00143360 ____H () C:\Program Files (x86)\Google\local64spl.dll 2016-11-22 23:55 - 2016-11-22 23:55 - 00143360 ____H () C:\Program Files (x86)\Google1\local64spl.dll 2016-11-22 23:55 - 2016-11-22 23:55 - 00143360 ____H () C:\Program Files (x86)\Intel\local64spl.dll 2016-11-22 23:55 - 2016-11-22 23:55 - 00143360 ____H () C:\Program Files (x86)\Intel1\local64spl.dll 2016-11-22 23:55 - 2016-11-22 23:55 - 00143360 ____H () C:\Program Files (x86)\Reference Assemblies\local64spl.dll 2016-11-22 23:55 - 2016-11-22 23:55 - 00143360 ____H () C:\Program Files (x86)\Reference Assemblies1\local64spl.dll 2016-11-22 23:56 - 2016-11-22 23:56 - 00143360 ____H () C:\Program Files (x86)\TP-LINK\local64spl.dll 2016-11-22 23:56 - 2016-11-22 23:56 - 00143360 ____H () C:\Program Files (x86)\TP-LINK1\local64spl.dll ShortcutWithArgument: C:\Users\Luwr\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\69639df789022856\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory="Profile 1" Task: {43DDEFD5-219C-4FD1-8C75-F66AAE2AE71C} - System32\Tasks\Chuqewardmosety Host => C:\Program Files (x86)\Greraycutch\analaty.exe Task: {24E1A4E8-A65B-48AE-BB02-7B39B3168EB1} - System32\Tasks\5fe4a6d2ad1d5de3c67aa222f0d65384 => Rundll32.exe "C:\Program Files (x86)\Internet Explorer\b81dv2.dll",e62dc6c6547f46bda862da2d05af6862 <==== UWAGA C:\Program Files (x86)\Internet Explorer\b81dv2.dll HKU\S-1-5-21-185384023-2149654356-4218349331-1000\...\ChromeHTML: -> "C:\Program Files (x86)\Ineat\Application\chrome.exe" "%1" <==== UWAGA S3 gdrv; \??\C:\Windows\gdrv.sys [X] S1 p1481570232am; \??\C:\Users\Luwr\AppData\Local\Temp\bkC850.tmp\p1481570232am.sys [X] S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X] S3 tsusbhub; system32\drivers\tsusbhub.sys [X] S3 VGPU; System32\drivers\rdvgkmd.sys [X] S4 Convxxxx; "C:\Users\Luwr\AppData\Roaming\dgjdg\UvConverter.exe" {2C8E8C85-942B-451C-8243-97A089265577} [X] CHR StartupUrls: Profile 1 -> "hxxps://www.google.pl/","hxxp://www.youndoo.com/?z=fa9ba42a0e8f2ff0a7e7ff5gczam7t9m7qdb4t6o2w&from=dam&uid=GOODRAM_EB98076706F001200589&type=hp","hxxp://www.amisites.com/?type=hp&ts=1481134098&z=a536d2f2eadec29b74dd54fgfz6bag7g1c5zbg8e3g&from=che0812&uid=GOODRAM_EB98076706F001200589","hxxp://www.amisites.com/?type=hp&ts=1481301420&z=9e0328dab963778cd6665adg8zfb6g6c1e3gbz8o2z&from=archer1028&uid=GOODRAM_EB98076706F001200589","hxxp://www.amisites.com/?type=hp&ts=1481570260&z=1430360aebe506c14bd7ca8gfzab6gcwameeaodq5g&from=che0812&uid=GOODRAM_EB98076706F001200589","hxxp://www.amisites.com/?type=hp&ts=1481737508&z=1ecf549f98bb59247c3a3d4gdz6b5gdmbcam2w4g8g&from=archer1028&uid=GOODRAM_EB98076706F001200589","hxxp://www.amisites.com/?type=hp&ts=1482392784&z=3345840c837abb7ac004cf2g6z2b6o3cdt1o2mcbcm&from=che0812&uid=GOODRAM_EB98076706F001200589","hxxp://www.amisites.com/?type=hp&ts=1482916166&z=8cb84dcae4bcf26288ef81dg5z8bfo0tdg4q3gaq6t&from=che0812&uid=GOODRAM_EB98076706F001200589" CHR Profile: C:\Users\Luwr\AppData\Local\Google\Chrome\User Data\ChromeDefaultData [2016-12-14] <==== UWAGA CHR Extension: (Prezentacje Google) - C:\Users\Luwr\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\aapocclcgogkmnckokdopfmhonfmgoek [2016-11-21] CHR Extension: (Dokumenty Google) - C:\Users\Luwr\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\aohghmighlieiainnegkcijnfilokake [2016-11-21] CHR Extension: (Dysk Google) - C:\Users\Luwr\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\apdfllckaahabafndbhieahigkjlhalf [2016-11-21] CHR Extension: (YouTube) - C:\Users\Luwr\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2016-11-21] CHR Extension: (Arkusze Google) - C:\Users\Luwr\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\felcaaldnbdncclmgdcncolpebgiejap [2016-11-21] CHR Extension: (Dokumenty Google offline) - C:\Users\Luwr\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\ghbmnnjooekpmoecnnnilnnbdlolhkhi [2016-11-22] CHR Extension: (AdBlock) - C:\Users\Luwr\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\gighmmpiobklfepjocnamgkkbiglidom [2016-12-10] CHR Extension: (Arcane Legends) - C:\Users\Luwr\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\ibmlkgieigeddcedpbijnpojheoddido [2016-11-22] CHR Extension: (YouTube) - C:\Users\Luwr\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\ijoffpmfcdnncgblkdnobhomnjnkofdm [2016-12-14] CHR Extension: (Szukaj w Google) - C:\Users\Luwr\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\mfpjmkngecpnnajkmdhplmeoelenkpgk [2016-12-14] CHR Extension: (Płatności w sklepie Chrome Web Store) - C:\Users\Luwr\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2016-11-21] CHR Extension: (Gmail) - C:\Users\Luwr\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\pjkljhegncpnkpknbcohdijeoejaedia [2016-11-21] CHR Extension: (Chrome Media Router) - C:\Users\Luwr\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\pkedcjkdefgpdelpbcmbmeomcjbeemfm [2016-11-21] C:\Users\Luwr\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\360c22b137d62ce9\Google Chrome.lnk C:\Users\Luwr\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk HOSTS: EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe Uruchom FRST i kliknij przycisk Fix (NAPRAW). Zrób nowe logi FRST. . 1
Gość komentarz 28 grudnia 2016 komentarz 28 grudnia 2016 Po logach widzę że wlazł Ci syf wraz ze sterownikami, swoją drogą @Twój_Anioł_Stróż - próbuję ogarnąć FRST, oraz jak piszesz w nim "Fix". Używamy odmiennych programów. Ja znam HijackThis i Silent Runner. Samo wskazanie ścieżki pliku wraz z plikiem, usuwa plik?
Twój_Anioł_Stróż komentarz 28 grudnia 2016 komentarz 28 grudnia 2016 Cytuj Samo wskazanie ścieżki pliku wraz z plikiem, usuwa plik? Tak, o ile plik nie jest połączony z usługą.
Tavano komentarz 28 grudnia 2016 Autor komentarz 28 grudnia 2016 (edytowane) @Twój_Anioł_Stróż @Waher Po co miałbym kłamać a propo tego profilu, staram się dostarczyć maksymalną możliwą ilość rzetelnych informacji, bo już nie mam na to pomysłu. Fixlist wykonany, o to logi zrobione po nim: Shortcut:http://wklej.to/gVCVC Addition:http://wklej.to/WNRz3 FRST:http://wklej.to/jiyTZ Dodatkowo wrzucam listę działających sterowników z programu Autoruns, nie wiem czy to cokolwiek pomoże, ale widać tu kilka wyróżnionych pozycji, choć nie wiem na jakiej podstawie są one traktowane jako te złe:https://zapodaj.net/60785e7f5c171.jpg.htmlhttps://zapodaj.net/6ccb9c851a5ed.jpg.htmlhttps://zapodaj.net/05aec0483f608.jpg.htmlhttps://zapodaj.net/9d09337703351.jpg.html Pozdrawiam
Twój_Anioł_Stróż komentarz 28 grudnia 2016 komentarz 28 grudnia 2016 1) Cytuj CHR StartupUrls: Profile 2 -> "hxxps://www.google.pl/","hxxp://www.youndoo.com/?z=fa9ba42a0e8f2ff0a7e7ff5gczam7t9m7qdb4t6o2w&from=dam&uid=GOODRAM_EB98076706F001200589&type=hp","hxxp://www.amisites.com/?type=hp&ts=1481134098&z=a536d2f2eadec29b74dd54fgfz6bag7g1c5zbg8e3g&from=che0812&uid=GOODRAM_EB98076706F001200589","hxxp://www.amisites.com/?type=hp&ts=1481301420&z=9e0328dab963778cd6665adg8zfb6g6c1e3gbz8o2z&from=archer1028&uid=GOODRAM_EB98076706F001200589","hxxp://www.amisites.com/?type=hp&ts=1481570260&z=1430360aebe506c14bd7ca8gfzab6gcwameeaodq5g&from=che0812&uid=GOODRAM_EB98076706F001200589","hxxp://www.amisites.com/?type=hp&ts=1481737508&z=1ecf549f98bb59247c3a3d4gdz6b5gdmbcam2w4g8g&from=archer1028&uid=GOODRAM_EB98076706F001200589","hxxp://www.amisites.com/?type=hp&ts=1482392784&z=3345840c837abb7ac004cf2g6z2b6o3cdt1o2mcbcm&from=che0812&uid=GOODRAM_EB98076706F001200589","hxxp://www.amisites.com/?type=hp&ts=1482916166&z=8cb84dcae4bcf26288ef81dg5z8bfo0tdg4q3gaq6t&from=che0812&uid=GOODRAM_EB98076706F001200589" Uruchom Google Chrome > Naciśnij klawisze: lewy Alt+F i kliknij przycisk Ustawienia > > Sekcja: Po uruchomieniu > wybierz: Otwórz konkretną stronę lub zestaw stron > > Kliknij: Wybierz strony > > Usuń te wszystkie powyższe strony, wpisz nowy adres strony głównej i kliknij przycisk OK. 2) Otwórz Notatnik i wklej w nim: 2016-12-28 11:58 - 2016-12-28 11:58 - 00000000 _____ C:\Users\Public\Documents\temp.dat Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe Uruchom FRST i kliknij przycisk Fix (NAPRAW). ---------------------- Jeśli będzie OK, to będziemy kończyć: Otwórz Notatnik i wklej w nim: DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok FRST. Uruchom FRST i kliknij w Fix (NAPRAW). przez SHIFT+DEL usuń pozostały folder C:\FRST. . 1
Tavano komentarz 28 grudnia 2016 Autor komentarz 28 grudnia 2016 @Twój_Anioł_Stróż Dziękuje bardzo za sprawne i profesjonalne podejście do sprawy, oba punkty poszły gładko, w logach wszystko skończono pomyślnie. Czy potrzebne obecnie Ci będzie coś jeszcze, co mógłbym tu wrzucić? Coś jeszcze więcej zrobić/na co zwrócić uwagę, gdyby to w przyszłości powróciło?
Gość komentarz 28 grudnia 2016 komentarz 28 grudnia 2016 (edytowane) Tak, na źródła sterowników. Pobieraj TYLKO ze strony producenta, bądź z dołączonej płyty do urządzenia. @Twój_Anioł_Stróż dla pewności przeorałbym to jeszcze combofixem - no ale Ty prowadzisz sprawę, to Ty rządzisz
Tavano komentarz 28 grudnia 2016 Autor komentarz 28 grudnia 2016 @Waher Tobie również dziękuje, a combofixem przeorałem, nie zaszkodzi mu
Kurosama komentarz 2 marca 2017 komentarz 2 marca 2017 Mam podobny problem, przy czym próbowałem go rozwiązać przywracaniem systemu i odinstalowywaniem ostatnich programów z panelu sterowania. Wirus wrócił 3 razy, za każdym razem zmieniając stronę startową na coś innego (pierwszy był Trotux, potem Amisistes, jakiś search123). Usuwanie stron startowych z ustawień przeglądarki nie pomogło. Czy mogę tak samo zastosować radę@Twój_Anioł_Stróż metodą kopiuj-wklej, czy muszę znaleźć sam błędne wpisy? Nigdy czegoś podobnego nie robiłem, dlatego wolę najpierw zapytać o radę. Dnia 28.12.2016 o 11:37, Twój_Anioł_Stróż napisał: No to ktoś tu kłamie, bo w logach jest na pewno ten profil. Otwórz Notatnik i wklej w nim: Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe Uruchom FRST i kliknij przycisk Fix (NAPRAW). Zrób nowe logi FRST. . Załączam wyniki skanu FRST. FRST.txt Addition.txt
Twój_Anioł_Stróż komentarz 2 marca 2017 komentarz 2 marca 2017 (edytowane) Na przyszłość zakładaj własny temat, bo podpinanie się pod cudzy temat w tym dziale może doprowadzić do fatalnych pomyłek. Masz przeglądarkę C:\Program Files\Tooltony\Application\chrome.exe , która wygłada tak samo, jak Google Chrome, ale w rzeczywistości jest Trojanem. 1) Spróbuj odinstalować BikaQ Rss Reader (HKLM\...\{56B2B28A-E663-4D28-84A3-3846068A7D63}) (Version: 1.0.0 - BikaQ) <==== UWAGA 2) Cytuj C:\Users\Dom\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk C:\Users\Dom\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk Te skróty dam do usuwania, bo przekierowują do fałszywej przeglądarki - potem zrobisz sobie nowe skróty w tych samych lokalizacjach. 3) Cytuj CHR Profile: C:\Users\Dom\AppData\Local\Google\Chrome\User Data\ChromeDefaultData [2017-03-02] <==== UWAGA Uruchom Google Chrome > Naciśnij klawisze: lewy Alt+F i kliknij przycisk Ustawienia > > Sekcja: OSOBY >zaznacz (wybierz): user0 kliknij znaczek X znajdujący się po prawej stronie 4) Otwórz Notatnik i wklej w nim: Cytuj HKU\S-1-5-21-1690777638-3595978788-2949027765-1000\...\ChromeHTML: -> C:\Program Files\Tooltony\Application\chrome.exe (Google Inc.) <==== UWAGA RemoveDirectory: C:\Program Files\Tooltony RemoveDirectory: C:\Program Files\BikaQRssReader RemoveDirectory: C:\Program Files\MIO RemoveDirectory: C:\Program Files\Rajuvokos RemoveDirectory: c:\program files\gubed RemoveDirectory: C:\Users\Dom\AppData\Roaming\Kyubey RemoveDirectory: C:\ProgramData\WinSAPSvc RemoveDirectory: C:\Program Files\h49mkssl RemoveDirectory: C:\Program Files\WinArcher RemoveDirectory: :\Program Files\WinSnare(4.0.9) RemoveDirectory: C:\Program Files\Gub RemoveDirectory: C:\Users\Dom\AppData\Local\Tooltony RemoveDirectory: C:\Users\Dom\AppData\Roaming\WinSAPSvc RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\BikaQ RemoveDirectory: C:\Program Files\WinSnare(4.1.0) RemoveDirectory: C:\Program Files\amuleCexx RemoveDirectory: C:\Users\Dom\AppData\Roaming\WinSnare RemoveDirectory: C:\Windows\system32\{0EE1366C-E687-4B01-8A4E-25FEF7763686} RemoveDirectory: C:\Program Files\WinSnare(4.2.0) RemoveDirectory: C:\Program Files\Explorer RemoveDirectory: C:\Program Files\Firefox RemoveDirectory: C:\Program Files\Elex-tech RemoveDirectory: C:\Users\Dom\AppData\Roaming\Elex-tech RemoveDirectory: C:\Program Files\reports RemoveDirectory: C:\Program Files\WinSnare(4.2.1) RemoveDirectory: C:\Windows\system32\{B91174EE-E535-49ED-BC8D-AC54ECCE8998} RemoveDirectory: C:\Program Files\amuleCe RemoveDirectory: C:\Program Files\Ckerbulemahitain Provider Task: {3F0327F8-4FFE-43A4-8E38-1279774D914E} - System32\Tasks\BikaQ_FetchAndUpgrade_CanBeDel => C:\Program Files\BikaQRssReader\BikaQ.exe [2016-12-06] (IEC) <==== UWAGA Task: {6DCAF91B-102D-4F5C-9200-186C32861744} - System32\Tasks\Wuhspthoda => msiexec /i hxxp://d2buh1bf1g584w.cloudfront.net/msi/rel.php?u=WDCXWD10EZRX-00L4HB0_WD-WCC4JJNVX6LRVX6LR&v=2017125 /q <==== UWAGA Task: {8329201E-8531-4E4D-9001-3A20CECFD7DD} - System32\Tasks\CIS_{15198508-521A-4D69-8E5B-B94A6CCFF805} => C:\ProgramData\cis99FD.exe <==== UWAGA C:\ProgramData\cis99FD.exe 2017-03-02 12:09 - 2017-03-02 12:33 - 0003054 _____ () C:\Program Files\metadata 2017-03-02 12:09 - 2017-03-02 12:32 - 0000040 _____ () C:\Program Files\settings.dat Task: {B439A213-DA9A-4DF9-9006-BB5043A37D7D} - System32\Tasks\{0DE14C4E-046D-490B-9C53-7AD5B6328F5F} => pcalua.exe -a F:\Sims3EP01Setup.exe -d F:\ Task: {C32A8452-C560-4EB8-BD67-E16A67250781} - System32\Tasks\Ckerbulemahitain Provider => C:\Program Files\Rajuvokos\atuhesy.exe [2017-01-25] (Glarysoft Ltd) Task: {FCF2836C-AD12-40AA-88B9-016FBD377943} - System32\Tasks\{98FF1112-C7C4-4020-985F-5713125A7E03} => pcalua.exe -a E:\Gry\croc\Setup.exe -d E:\Gry\croc Task: {FD35E92D-392B-4FEB-A754-C815637A04C8} - System32\Tasks\Milimili => C:\Program Files\MIO\MIO.exe [2017-03-02] () ShortcutWithArgument: C:\Users\Dom\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.amisites.com/?type=sc&ts=1486376409&z=6bfe0291d4fc3561468c424g7z9b5q4c3m2qcz4e7b&from=che0812&uid=WDCXWD10EZRX-00L4HB0_WD-WCC4JJNVX6LRVX6LR ShortcutWithArgument: C:\Users\Dom\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.amisites.com/?type=sc&ts=1486376409&z=6bfe0291d4fc3561468c424g7z9b5q4c3m2qcz4e7b&from=che0812&uid=WDCXWD10EZRX-00L4HB0_WD-WCC4JJNVX6LRVX6LR ShortcutWithArgument: C:\Users\Dom\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files\Tooltony\Application\chrome.exe (Google Inc.) -> hxxp://www.startpageing123.com/?type=sc&ts=1488454146&z=181b4cc3d4cd0f07c526791g8zdb3b1zcwdz7gazfb&from=pr0302&uid=WDCXWD10EZRX-00L4HB0_WD-WCC4JJNVX6LRVX6LR ShortcutWithArgument: C:\Users\Dom\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.amisites.com/?type=sc&ts=1486376409&z=6bfe0291d4fc3561468c424g7z9b5q4c3m2qcz4e7b&from=che0812&uid=WDCXWD10EZRX-00L4HB0_WD-WCC4JJNVX6LRVX6LR ShortcutWithArgument: C:\Users\Dom\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files\Tooltony\Application\chrome.exe (Google Inc.) -> hxxp://www.amisites.com/?type=sc&ts=1486376409&z=6bfe0291d4fc3561468c424g7z9b5q4c3m2qcz4e7b&from=che0812&uid=WDCXWD10EZRX-00L4HB0_WD-WCC4JJNVX6LRVX6LR ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Avast SafeZone Browser.lnk -> D:\Program Files\AVAST Software\SZBrowser\launcher.exe (Avast Software) -> hxxp://www.amisites.com/?type=sc&ts=1486376409&z=6bfe0291d4fc3561468c424g7z9b5q4c3m2qcz4e7b&from=che0812&uid=WDCXWD10EZRX-00L4HB0_WD-WCC4JJNVX6LRVX6LR ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files\Tooltony\Application\chrome.exe (Google Inc.) -> hxxp://www.amisites.com/?type=sc&ts=1486376409&z=6bfe0291d4fc3561468c424g7z9b5q4c3m2qcz4e7b&from=che0812&uid=WDCXWD10EZRX-00L4HB0_WD-WCC4JJNVX6LRVX6LR ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> D:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.amisites.com/?type=sc&ts=1486376409&z=6bfe0291d4fc3561468c424g7z9b5q4c3m2qcz4e7b&from=che0812&uid=WDCXWD10EZRX-00L4HB0_WD-WCC4JJNVX6LRVX6LR 2017-02-08 11:01 - 2017-02-08 11:01 - 00455168 _____ () C:\Program Files\Common Files\Services\iThemes.dll FirewallRules: [{367637BF-E8E5-4B8F-A095-A4678A33B984}] => (Allow) C:\Program Files\Tooltony\Application\chrome.exe 2017-02-10 12:36 - 2017-03-01 14:05 - 00000000 _____ C:\Users\Public\Documents\temp.dat 2017-03-01 14:05 - 2017-03-01 14:39 - 00000000 _____ C:\Users\Public\Documents\report.dat 2017-03-02 12:29 - 2017-03-02 12:29 - 00000000 _____ C:\Windows\system32\4 2017-03-02 12:29 - 2017-03-02 12:29 - 00000000 _____ C:\Windows\system32\3 S3 gdrv; \??\C:\Windows\gdrv.sys [X] R2 WinSAPSvc; C:\Users\Dom\AppData\Roaming\WinSAPSvc\WinSAP.dll [184832 2017-03-02] (TODO: <Company name>) [Brak podpisu cyfrowego] R2 WinSnare; C:\Users\Dom\AppData\Roaming\WinSnare\WinSnare.dll [648704 2017-03-02] (InterSect Alliance Pty Ltd) [Brak podpisu cyfrowego] S2 ed2kidle; "C:\Program Files\amuleCe\ed2k.exe" -downloadwhenidle [X] R2 Themes; C:\Windows\system32\themeservice.dll [37376 2009-07-14] (Microsoft Corporation) [DependOnService: iThemes5]<==== UWAGA R3 iThemes5; C:\Program Files\Common Files\Services\iThemes.dll [455168 2017-02-08] () [Brak podpisu cyfrowego] <==== UWAGA R2 Kyubey; C:\Users\Dom\AppData\Roaming\Kyubey\Kyubey.exe [113664 2017-03-01] () [Brak podpisu cyfrowego] R2 GubedZL; C:\Program Files\Gubed\GubedZL.dll [118272 2017-02-06] () [Brak podpisu cyfrowego] R2 Bisawardtusocult; C:\Program Files\Rajuvokos\Jwocultmonitor.dll [150016 2017-01-25] () [Brak podpisu cyfrowego] CHR HKLM\...\Chrome\Extension: [lifbcibllhkdhoafpjfnlhfpfgnpldfl] - C:\Program Files\Skype\Toolbars\ChromeExtension\skype_chrome_extension.crx <nie znaleziono> StartMenuInternet: Google Chrome - C:\Program Files\Google\Chrome\Application\chrome.exe hxxp://www.startpageing123.com/?type=sc&ts=1488454146&z=181b4cc3d4cd0f07c526791g8zdb3b1zcwdz7gazfb&from=pr0302&uid=WDCXWD10EZRX-00L4HB0_WD-WCC4JJNVX6LRVX6LR CHR HomePage: Profile 2 -> hxxp://www.startpageing123.com/?type=hp&ts=1488452958&z=a2b95d286731b1fb981b49ag5zebfb9zfw0oateq1g&from=pr0302&uid=WDCXWD10EZRX-00L4HB0_WD-WCC4JJNVX6LRVX6LR CHR StartupUrls: Profile 2 -> "hxxp://www.startpageing123.com/?type=hp&ts=1488452958&z=a2b95d286731b1fb981b49ag5zebfb9zfw0oateq1g&from=pr0302&uid=WDCXWD10EZRX-00L4HB0_WD-WCC4JJNVX6LRVX6LR" CHR DefaultSearchURL: Profile 2 -> hxxp://www.startpageing123.com/search/?type=ds&ts=1488452958&z=a2b95d286731b1fb981b49ag5zebfb9zfw0oateq1g&from=pr0302&uid=WDCXWD10EZRX-00L4HB0_WD-WCC4JJNVX6LRVX6LR&q={searchTerms} CHR DefaultSearchKeyword: Profile 2 -> startpageing123 CHR Profile: C:\Users\Dom\AppData\Local\Google\Chrome\User Data\ChromeDefaultData [2017-03-02] <==== UWAGA CHR Extension: (Brak nazwy) - C:\Users\Dom\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\aapocclcgogkmnckokdopfmhonfmgoek [2015-04-13] CHR Extension: (hxxps://www.youtube.com/) - C:\Users\Dom\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\adnlfjpnmidfimlkaohpidplnoimahfh [2015-04-13] CHR Extension: (9GAG - Just For Fun) - C:\Users\Dom\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\ahfnhokjhiaeckfponahdmaojcgailab [2015-04-13] CHR Extension: (Przelewy24) - C:\Users\Dom\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\aiicmmpkicnndkhlnnloilpgncbpkbjj [2017-01-22] CHR Extension: (Brak nazwy) - C:\Users\Dom\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\aohghmighlieiainnegkcijnfilokake [2015-04-13] CHR Extension: (Brak nazwy) - C:\Users\Dom\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\apdfllckaahabafndbhieahigkjlhalf [2016-03-01] CHR Extension: (Brak nazwy) - C:\Users\Dom\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2015-09-29] CHR Extension: (Adblock Plus) - C:\Users\Dom\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\cfhdojbkjhnklbpkdaibdccddilifddb [2017-01-22] CHR Extension: (Brak nazwy) - C:\Users\Dom\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\coobgpohoikkiipiblmjeljniedjpjpf [2016-03-01] CHR Extension: (Joe Monster.org - Probably The Best Page In The Universe) - C:\Users\Dom\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\dmjfjideajeaeolbjpmdamplhacpbepm [2015-04-13] CHR Extension: (Mistrzowie.org – Najlepsze komentarze i cięte riposty z polskich forów oraz zaskakujące skriny z innych stron) - C:\Users\Dom\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\enlfabhpdnmgcchgdphkbglepkjimhad [2015-04-13] CHR Extension: (Avast SafePrice) - C:\Users\Dom\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\eofcbnmajmjmplflapaojjnihcjkigck [2017-01-22] CHR Extension: (Brak nazwy) - C:\Users\Dom\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\felcaaldnbdncclmgdcncolpebgiejap [2015-04-13] CHR Extension: (Brak nazwy) - C:\Users\Dom\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\ghbmnnjooekpmoecnnnilnnbdlolhkhi [2016-04-02] CHR Extension: (Avast Online Security) - C:\Users\Dom\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\gomekmidlodglbbmalcneegieacbdmki [2017-01-22] CHR Extension: (Alior Bank - Wyższa Kultura Bankowości) - C:\Users\Dom\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\hcgnpefjicgdfhophnpnblndbfpbfkgm [2015-04-13] CHR Extension: (Download Facebook Album!) - C:\Users\Dom\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\jcheapnmfbmcccnbjhhkmleoiljgpmkl [2016-03-01] CHR Extension: (8 Ball Pool Multiplayer - A free Sports Game) - C:\Users\Dom\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\lglcoahlfmjeoalpbjcpeajgbffcaeff [2015-09-12] CHR Extension: (Brak nazwy) - C:\Users\Dom\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\lifbcibllhkdhoafpjfnlhfpfgnpldfl [2017-01-08] CHR Extension: (Ghostery) - C:\Users\Dom\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\mlomiejdfkolichcflejclcbmpeaniij [2017-01-22] CHR Extension: (EXIF Viewer) - C:\Users\Dom\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\nafpfdcmppffipmhcpkbplhkoiekndck [2016-03-01] CHR Extension: (Chrome Web Store Payments) - C:\Users\Dom\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2017-01-22] CHR Extension: (Mapy Google) - C:\Users\Dom\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\ofdifjehmmdhgdcdpjimlphlmllejehn [2015-04-13] CHR Extension: (Brak nazwy) - C:\Users\Dom\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\pjkljhegncpnkpknbcohdijeoejaedia [2015-04-13] CHR Extension: (Chrome Media Router) - C:\Users\Dom\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\pkedcjkdefgpdelpbcmbmeomcjbeemfm [2017-01-22] FF NewTab: Mozilla\Firefox\Profiles\tbiipahc.default-1452773528900 -> hxxp://www.trotux.com/?z=bd231d1bd1b79a2f80dcfdbg5zbb5w0cfwco6t8cbg&from=icb&uid=WDCXWD10EZRX-00L4HB0_WD-WCC4JJNVX6LRVX6LR&type=hp FF DefaultSearchEngine: Mozilla\Firefox\Profiles\tbiipahc.default-1452773528900 -> trotux FF SelectedSearchEngine: Mozilla\Firefox\Profiles\tbiipahc.default-1452773528900 -> trotux FF Homepage: Mozilla\Firefox\Profiles\tbiipahc.default-1452773528900 -> hxxp://www.trotux.com/?z=bd231d1bd1b79a2f80dcfdbg5zbb5w0cfwco6t8cbg&from=icb&uid=WDCXWD10EZRX-00L4HB0_WD-WCC4JJNVX6LRVX6LR&type=hp FF SearchPlugin: C:\Users\Dom\AppData\Roaming\Mozilla\Firefox\Profiles\tbiipahc.default-1452773528900\searchplugins\startpageing123.xml [2017-03-02] StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.startpageing123.com/?type=sc&ts=1488454146&z=181b4cc3d4cd0f07c526791g8zdb3b1zcwdz7gazfb&from=pr0302&uid=WDCXWD10EZRX-00L4HB0_WD-WCC4JJNVX6LRVX6LR HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.amisites.com/?type=hp&ts=1486376409&z=6bfe0291d4fc3561468c424g7z9b5q4c3m2qcz4e7b&from=che0812&uid=WDCXWD10EZRX-00L4HB0_WD-WCC4JJNVX6LRVX6LR HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.amisites.com/search/?type=ds&ts=1486376409&z=6bfe0291d4fc3561468c424g7z9b5q4c3m2qcz4e7b&from=che0812&uid=WDCXWD10EZRX-00L4HB0_WD-WCC4JJNVX6LRVX6LR&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.amisites.com/?type=hp&ts=1486376409&z=6bfe0291d4fc3561468c424g7z9b5q4c3m2qcz4e7b&from=che0812&uid=WDCXWD10EZRX-00L4HB0_WD-WCC4JJNVX6LRVX6LR HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.amisites.com/search/?type=ds&ts=1486376409&z=6bfe0291d4fc3561468c424g7z9b5q4c3m2qcz4e7b&from=che0812&uid=WDCXWD10EZRX-00L4HB0_WD-WCC4JJNVX6LRVX6LR&q={searchTerms} HKU\S-1-5-21-1690777638-3595978788-2949027765-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.amisites.com/?type=hp&ts=1486376409&z=6bfe0291d4fc3561468c424g7z9b5q4c3m2qcz4e7b&from=che0812&uid=WDCXWD10EZRX-00L4HB0_WD-WCC4JJNVX6LRVX6LR HKU\S-1-5-21-1690777638-3595978788-2949027765-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.amisites.com/?type=hp&ts=1486376409&z=6bfe0291d4fc3561468c424g7z9b5q4c3m2qcz4e7b&from=che0812&uid=WDCXWD10EZRX-00L4HB0_WD-WCC4JJNVX6LRVX6LR SearchScopes: HKU\S-1-5-21-1690777638-3595978788-2949027765-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.amisites.com/search/?type=ds&ts=1486376409&z=6bfe0291d4fc3561468c424g7z9b5q4c3m2qcz4e7b&from=che0812&uid=WDCXWD10EZRX-00L4HB0_WD-WCC4JJNVX6LRVX6LR&q={searchTerms} SearchScopes: HKU\S-1-5-21-1690777638-3595978788-2949027765-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.amisites.com/search/?type=ds&ts=1486376409&z=6bfe0291d4fc3561468c424g7z9b5q4c3m2qcz4e7b&from=che0812&uid=WDCXWD10EZRX-00L4HB0_WD-WCC4JJNVX6LRVX6LR&q={searchTerms} GroupPolicy: Ograniczenia - Chrome <======= UWAGA CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA HKLM\...\Providers\h49mkssl: C:\Program Files\Ckerbulemahitain Provider\local32spl.dll ShellExecuteHooks: Brak nazwy - {D1CD7500-DE3D-11E6-8016-64006A5CFC23} - -> Brak pliku HKLM\...\Run: [] => [X] HOSTS: EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe Uruchom FRST i kliknij przycisk Fix (NAPRAW). 5) Użyj >Adw-cleaner najpierw kliknij na SKANUJ (SCAN), a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ (CLEANING), to kliknij na niego. Pokaż raport z niego "C" 6) Zrób nowe logi FRST. przed skanem zaznacz: Additional.txt Shortcut.txt, . 1
Kurosama komentarz 2 marca 2017 komentarz 2 marca 2017 1) Odinstalowana i przeskanowane z pozostałości RevoUninstaller. 2) Skróty Chrome, Firefoxa i Explorera usunąłem już cześniej, szczególnie kiedy pojawiły się jednocześnie na pulpicie, w starcie i na pasku zadań. 3) user0 był pierwszym przejawem tego wirusa, usunąłem jako pierwsze 5) nie wiem które C z AdwCleanera więc wrzucam oba (po zakończeniu czyszczenia pokazał się C2) Wszystko wygląda całkiem dobrze, ogromne dzięki za pomoc! Męczyłem się z tym prawie dwa tygodnie. Addition.txt Fixlog.txt FRST.txt Shortcut.txt AdwCleaner[C0].txt AdwCleaner[C2].txt
Twój_Anioł_Stróż komentarz 2 marca 2017 komentarz 2 marca 2017 W nowych logach nie widzę już niczego do usuwania, więc chyba możemy kończyć: Otwórz Notatnik i wklej w nim: DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok FRST. Uruchom FRST i kliknij w Fix (NAPRAW). przez SHIFT+DEL usuń pozostały folder C:\FRST. W Adw-Cleaner kliknij u góry po lewej na PLIK, potem na ODINSTALUJ.
Wciąż szukasz rozwiązania problemu? Napisz teraz na forum!
Możesz zadać pytanie bez konieczności rejestracji - wystarczy, że wypełnisz formularz.