x-kom hosting

Amisites & Amulec

Tavano
utworzono
utworzono

Cześć,

 

Mam problem związany z upartymi wirusami. Od momentu sformatowania systemu i instalacji sterowników oraz dodatkowego oprogramowania co dwa dni instaluje się na nowo program/wirus - Amulec. Dodatkowo przy każdej tej okazji w każdej z przeglądarek zmienia się wyszukiwarka na amisites, a dodatkowo czasem Google Chrome zmienia swoją ścieżkę do aplikacji, która tylko ten Chrome udaje.

Adw Cleaner oraz Dr.Web CureIt! nie pomagają, o moim antywirusie (Baidu) nie wspominając.

Czytając poprzednie tematy widzę, że potrzebne są logi z FRST i takie też o to załączam.

 

Bardzo proszę o pomoc, co jeszcze mogę wykonać, bo wyczyszczenie adw, reinstalacja chrome pomaga na 2/3, potem w tle znów się to instaluje i zmienia.

 

Logi z FRST.txt:

http://wklej.to/Q7vnG

 

logi z Shourtcut.txt:
http://wklej.to/F25GY

 

logi z Addition.txt:
http://wklej.to/PE88u

Raport po wykonanej pracy AdwCleaner:
http://wklej.to/DmWvc

 

Pozdrawiam

Gość
komentarz
komentarz

Mnie to wygląda na zainfekowany któryś z instalatorów sterownika, Pendrive, sam instalator systemu, bądź zainfekowany router. 
Nie patrzyłem na logi, bo szukam przyczyny, nie objawów. 

Chwilowo mam młyn w pracy, ale będę mieć wgląd na ten temat.

Tavano
komentarz
komentarz

@Waher

 

Myślę, że to myślenie w dobrym kierunku, bo naprawdę przetrzepałem już chyba cały komputer. 
Dałeś mi do myślenia tym postem i myślę, że problem może leżeć w sterownikach, które instalowałem. Pogubiłem płyty z sterownikami do mojej płyty/usb itd. i nie ukrywam, że pobierałem je z dość niepewnych źródeł i to jest jedyna rzecz, która jeszcze zostaje.

 

Pendrive żaden nie wkładany pomiędzy problemami żaden, na stałe również nie siedzi. Instalator Windows i router również wykluczam.

 

Co ciekawe, powyłączałem usługi programem autoruns tak, że w tle działa na prawde mało co, a podczas przeglądania chrome potrafi się wyłączyć, komputer łapie zwieche i po tym już wszystko zainstalowane. 

Jakieś porady?

Twój_Anioł_Stróż
komentarz
komentarz

C:\Program Files (x86)\Ineat\Application\chrome.exe

zamiast Google Chrome działa u Ciebie Trojan INEAT, który wygląda dokładnie tak samo, jak Google Chrome

 

zaraz ...

Tavano
komentarz
komentarz

@Twój_Anioł_Stróż

tak tak, wspominałem o tym w 1 poście, wiem, że on się instaluje, ale używam Chrome, a nie Chromopodobnej aplikacji:

 

Screenshot_1.jpg

Twój_Anioł_Stróż
komentarz
komentarz

1)

Cytuj

CHR Profile: C:\Users\Luwr\AppData\Local\Google\Chrome\User Data\ChromeDefaultData [2016-12-14] <==== UWAGA

Uruchom Google Chrome
> Naciśnij klawisze: lewy Alt+F i kliknij przycisk Ustawienia >
> Sekcja: OSOBY
>zaznacz (wybierz): user0
kliknij znaczek X znajdujący się po prawej stronie.

 

2) zaraz ...

Tavano
komentarz
komentarz

Nie było tam user0, był tylko mój bieżący profil, wykonywałem to już razem z reinstalacją chrome, nie mniej zrobiłem to jeszcze raz.

Screenshot_2.jpg

Twój_Anioł_Stróż
komentarz
komentarz

No to ktoś tu kłamie, bo w logach jest na pewno ten profil.

 

Otwórz Notatnik i wklej w nim:

FirewallRules: [{F4E905EE-0AAB-44E8-BCA2-E808619B8AFD}] => C:\Program Files (x86)\Ineat\Application\chrome.exe


RemoveDirectory: C:\Users\Luwr\AppData\Roaming\dgjdg
RemoveDirectory: C:\Program Files (x86)\Ineat
RemoveDirectory: c:\program files (x86)\gubed
RemoveDirectory: c:\program files (x86)\greraycutch
RemoveDirectory: C:\Program Files (x86)\Gubed_WMI
2016-11-30 14:02 - 2016-11-30 14:02 - 00000000 ____D C:\Program Files (x86)\f09er35s
2016-11-30 10:02 - 2016-12-27 14:34 - 00000000 ____D C:\Program Files (x86)\uc242tlm
2016-12-09 17:36 - 2016-12-28 10:14 - 00000000 _____ C:\Users\Public\Documents\temp.dat
2016-12-09 17:36 - 2016-12-14 17:45 - 00000000 _____ C:\Users\Public\Documents\report.dat
2016-12-09 17:46 - 2016-12-28 10:11 - 00000000 ____D C:\Users\Luwr\AppData\Local\CrashDumps
2016-12-09 17:46 - 2016-12-09 17:46 - 00000000 ____D C:\Users\Luwr\AppData\Local\Bangkiss
2016-12-14 17:55 - 2016-12-14 17:55 - 00000000 ____D C:\Users\Luwr\AppData\Local\Ineat
2016-12-12 18:28 - 2016-12-12 18:28 - 00000000 ____D C:\Users\Luwr\AppData\Local\Bemike
2016-12-22 08:46 - 2016-12-22 08:46 - 00000000 ____D C:\Program Files (x86)\Gubed_WMI
2016-12-27 14:36 - 2016-12-27 14:36 - 00000000 ____D C:\Program Files (x86)\Gubed
R2 GubedZL; C:\Program Files (x86)\Gubed\GubedZL.dll [119808 2016-12-27] () [Brak podpisu cyfrowego]
S4 Gubed_WMI; C:\Program Files (x86)\Gubed_WMI\Gubed_WMI.exe [108544 2016-12-22] () [Brak podpisu cyfrowego]
R2 Chehiied; C:\Program Files (x86)\Greraycutch\stwEngine.dll [274944 2016-11-21] () [Brak podpisu cyfrowego]
HKLM\...\Providers\3uigi3pe: C:\1\local64spl.dll [143360 2016-11-22] ()
HKLM\...\Providers\5edt4pfb: C:\Program Files (x86)\TP-LINK\\local64spl.dll [143360 2016-11-22] ()
HKLM\...\Providers\78any21t: C:\Program Files (x86)\Google\\local64spl.dll [143360 2016-11-22] ()
HKLM\...\Providers\92tjxtky: C:\Program Files (x86)\Intel\\local64spl.dll [143360 2016-11-22] ()
HKLM\...\Providers\jncemfe3: C:\Program Files (x86)\Intel1\local64spl.dll [143360 2016-11-22] ()
HKLM\...\Providers\nmwvm642: C:\Program Files (x86)\TP-LINK1\local64spl.dll [143360 2016-11-22] ()
HKLM\...\Providers\o42ogl2e: C:\Program Files (x86)\Reference Assemblies\\local64spl.dll [143360 2016-11-22] ()
HKLM\...\Providers\s59lmdsg: C:\Program Files (x86)\Reference Assemblies1\local64spl.dll [143360 2016-11-22] ()
HKLM\...\Providers\tnkxxzbs: C:\Program Files (x86)\Google1\local64spl.dll [143360 2016-11-22] ()
HKLM\...\Providers\xb81dv2p: C:\\local64spl.dll
IFEO\MRT.exe: [Debugger] C:\Program Files (x86)\Greraycutch\_ALLOWDEL_2784a\Gubed.exe -Yrrehs
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\Services\Convxxxx
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\Services\cphs
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\Services\Gubed_WMI
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\Services\ed2kidle
2016-11-22 23:55 - 2016-11-22 23:55 - 00143360 ____H () C:\1\local64spl.dll
2016-11-22 23:55 - 2016-11-22 23:55 - 00143360 ____H () C:\Program Files (x86)\Google\local64spl.dll
2016-11-22 23:55 - 2016-11-22 23:55 - 00143360 ____H () C:\Program Files (x86)\Google1\local64spl.dll
2016-11-22 23:55 - 2016-11-22 23:55 - 00143360 ____H () C:\Program Files (x86)\Intel\local64spl.dll
2016-11-22 23:55 - 2016-11-22 23:55 - 00143360 ____H () C:\Program Files (x86)\Intel1\local64spl.dll
2016-11-22 23:55 - 2016-11-22 23:55 - 00143360 ____H () C:\Program Files (x86)\Reference Assemblies\local64spl.dll
2016-11-22 23:55 - 2016-11-22 23:55 - 00143360 ____H () C:\Program Files (x86)\Reference Assemblies1\local64spl.dll
2016-11-22 23:56 - 2016-11-22 23:56 - 00143360 ____H () C:\Program Files (x86)\TP-LINK\local64spl.dll
2016-11-22 23:56 - 2016-11-22 23:56 - 00143360 ____H () C:\Program Files (x86)\TP-LINK1\local64spl.dll
ShortcutWithArgument: C:\Users\Luwr\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\69639df789022856\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory="Profile 1"
Task: {43DDEFD5-219C-4FD1-8C75-F66AAE2AE71C} - System32\Tasks\Chuqewardmosety Host => C:\Program Files (x86)\Greraycutch\analaty.exe
Task: {24E1A4E8-A65B-48AE-BB02-7B39B3168EB1} - System32\Tasks\5fe4a6d2ad1d5de3c67aa222f0d65384 => Rundll32.exe "C:\Program Files (x86)\Internet Explorer\b81dv2.dll",e62dc6c6547f46bda862da2d05af6862 <==== UWAGA
C:\Program Files (x86)\Internet Explorer\b81dv2.dll
HKU\S-1-5-21-185384023-2149654356-4218349331-1000\...\ChromeHTML: -> "C:\Program Files (x86)\Ineat\Application\chrome.exe" "%1" <==== UWAGA
S3 gdrv; \??\C:\Windows\gdrv.sys [X]
S1 p1481570232am; \??\C:\Users\Luwr\AppData\Local\Temp\bkC850.tmp\p1481570232am.sys [X]
S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X]
S3 tsusbhub; system32\drivers\tsusbhub.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
S4 Convxxxx; "C:\Users\Luwr\AppData\Roaming\dgjdg\UvConverter.exe" {2C8E8C85-942B-451C-8243-97A089265577} [X]
CHR StartupUrls: Profile 1 -> "hxxps://www.google.pl/","hxxp://www.youndoo.com/?z=fa9ba42a0e8f2ff0a7e7ff5gczam7t9m7qdb4t6o2w&from=dam&uid=GOODRAM_EB98076706F001200589&type=hp","hxxp://www.amisites.com/?type=hp&ts=1481134098&z=a536d2f2eadec29b74dd54fgfz6bag7g1c5zbg8e3g&from=che0812&uid=GOODRAM_EB98076706F001200589","hxxp://www.amisites.com/?type=hp&ts=1481301420&z=9e0328dab963778cd6665adg8zfb6g6c1e3gbz8o2z&from=archer1028&uid=GOODRAM_EB98076706F001200589","hxxp://www.amisites.com/?type=hp&ts=1481570260&z=1430360aebe506c14bd7ca8gfzab6gcwameeaodq5g&from=che0812&uid=GOODRAM_EB98076706F001200589","hxxp://www.amisites.com/?type=hp&ts=1481737508&z=1ecf549f98bb59247c3a3d4gdz6b5gdmbcam2w4g8g&from=archer1028&uid=GOODRAM_EB98076706F001200589","hxxp://www.amisites.com/?type=hp&ts=1482392784&z=3345840c837abb7ac004cf2g6z2b6o3cdt1o2mcbcm&from=che0812&uid=GOODRAM_EB98076706F001200589","hxxp://www.amisites.com/?type=hp&ts=1482916166&z=8cb84dcae4bcf26288ef81dg5z8bfo0tdg4q3gaq6t&from=che0812&uid=GOODRAM_EB98076706F001200589"
CHR Profile: C:\Users\Luwr\AppData\Local\Google\Chrome\User Data\ChromeDefaultData [2016-12-14] <==== UWAGA
CHR Extension: (Prezentacje Google) - C:\Users\Luwr\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\aapocclcgogkmnckokdopfmhonfmgoek [2016-11-21]
CHR Extension: (Dokumenty Google) - C:\Users\Luwr\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\aohghmighlieiainnegkcijnfilokake [2016-11-21]
CHR Extension: (Dysk Google) - C:\Users\Luwr\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\apdfllckaahabafndbhieahigkjlhalf [2016-11-21]
CHR Extension: (YouTube) - C:\Users\Luwr\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2016-11-21]
CHR Extension: (Arkusze Google) - C:\Users\Luwr\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\felcaaldnbdncclmgdcncolpebgiejap [2016-11-21]
CHR Extension: (Dokumenty Google offline) - C:\Users\Luwr\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\ghbmnnjooekpmoecnnnilnnbdlolhkhi [2016-11-22]
CHR Extension: (AdBlock) - C:\Users\Luwr\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\gighmmpiobklfepjocnamgkkbiglidom [2016-12-10]
CHR Extension: (Arcane Legends) - C:\Users\Luwr\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\ibmlkgieigeddcedpbijnpojheoddido [2016-11-22]
CHR Extension: (YouTube) - C:\Users\Luwr\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\ijoffpmfcdnncgblkdnobhomnjnkofdm [2016-12-14]
CHR Extension: (Szukaj w Google) - C:\Users\Luwr\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\mfpjmkngecpnnajkmdhplmeoelenkpgk [2016-12-14]
CHR Extension: (Płatności w sklepie Chrome Web Store) - C:\Users\Luwr\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2016-11-21]
CHR Extension: (Gmail) - C:\Users\Luwr\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\pjkljhegncpnkpknbcohdijeoejaedia [2016-11-21]
CHR Extension: (Chrome Media Router) - C:\Users\Luwr\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\pkedcjkdefgpdelpbcmbmeomcjbeemfm [2016-11-21]
C:\Users\Luwr\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\360c22b137d62ce9\Google Chrome.lnk
C:\Users\Luwr\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk
HOSTS:
EmptyTemp:


Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix (NAPRAW).

 

Zrób nowe logi FRST.

.

  • Dobra wypowiedź 1
Gość
komentarz
komentarz

Po logach widzę że wlazł Ci syf wraz ze sterownikami, swoją drogą @Twój_Anioł_Stróż - próbuję ogarnąć FRST, oraz jak piszesz w nim "Fix". Używamy odmiennych programów. Ja znam HijackThis i Silent Runner.
Samo wskazanie ścieżki pliku wraz z plikiem, usuwa plik?
 

Twój_Anioł_Stróż
komentarz
komentarz
Cytuj

Samo wskazanie ścieżki pliku wraz z plikiem, usuwa plik?

Tak, o ile plik nie jest połączony z usługą.

Tavano
komentarz
komentarz (edytowane)

@Twój_Anioł_Stróż @Waher

Po co miałbym kłamać a propo tego profilu, staram się dostarczyć maksymalną możliwą ilość rzetelnych informacji, bo już nie mam na to pomysłu.
Fixlist wykonany, o to logi zrobione po nim:

Shortcut:
http://wklej.to/gVCVC

Addition:
http://wklej.to/WNRz3

FRST:
http://wklej.to/jiyTZ


Dodatkowo wrzucam listę działających sterowników z programu Autoruns, nie wiem czy to cokolwiek pomoże, ale widać tu kilka wyróżnionych pozycji, choć nie wiem na jakiej podstawie są one traktowane jako te złe:

https://zapodaj.net/60785e7f5c171.jpg.html
https://zapodaj.net/6ccb9c851a5ed.jpg.html
https://zapodaj.net/05aec0483f608.jpg.html
https://zapodaj.net/9d09337703351.jpg.html

Pozdrawiam

Twój_Anioł_Stróż
komentarz
komentarz

1)

Cytuj

CHR StartupUrls: Profile 2 -> "hxxps://www.google.pl/","hxxp://www.youndoo.com/?z=fa9ba42a0e8f2ff0a7e7ff5gczam7t9m7qdb4t6o2w&from=dam&uid=GOODRAM_EB98076706F001200589&type=hp","hxxp://www.amisites.com/?type=hp&ts=1481134098&z=a536d2f2eadec29b74dd54fgfz6bag7g1c5zbg8e3g&from=che0812&uid=GOODRAM_EB98076706F001200589","hxxp://www.amisites.com/?type=hp&ts=1481301420&z=9e0328dab963778cd6665adg8zfb6g6c1e3gbz8o2z&from=archer1028&uid=GOODRAM_EB98076706F001200589","hxxp://www.amisites.com/?type=hp&ts=1481570260&z=1430360aebe506c14bd7ca8gfzab6gcwameeaodq5g&from=che0812&uid=GOODRAM_EB98076706F001200589","hxxp://www.amisites.com/?type=hp&ts=1481737508&z=1ecf549f98bb59247c3a3d4gdz6b5gdmbcam2w4g8g&from=archer1028&uid=GOODRAM_EB98076706F001200589","hxxp://www.amisites.com/?type=hp&ts=1482392784&z=3345840c837abb7ac004cf2g6z2b6o3cdt1o2mcbcm&from=che0812&uid=GOODRAM_EB98076706F001200589","hxxp://www.amisites.com/?type=hp&ts=1482916166&z=8cb84dcae4bcf26288ef81dg5z8bfo0tdg4q3gaq6t&from=che0812&uid=GOODRAM_EB98076706F001200589"

Uruchom Google Chrome
> Naciśnij klawisze: lewy Alt+F i kliknij przycisk Ustawienia >
> Sekcja: Po uruchomieniu > wybierz: Otwórz konkretną stronę lub zestaw stron >
> Kliknij: Wybierz strony >
> Usuń te wszystkie powyższe strony, wpisz nowy adres strony głównej i kliknij przycisk OK.

 

2) Otwórz Notatnik i wklej w nim:

2016-12-28 11:58 - 2016-12-28 11:58 - 00000000 _____ C:\Users\Public\Documents\temp.dat



Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix (NAPRAW).

 

----------------------
Jeśli będzie OK, to będziemy kończyć:
Otwórz Notatnik i wklej w nim:

DeleteQuarantine:


Plik zapisz pod nazwą fixlist.txt i umieść obok FRST. Uruchom FRST i kliknij w Fix (NAPRAW).
przez SHIFT+DEL usuń pozostały folder C:\FRST.

.

  • Dobra wypowiedź 1
Tavano
komentarz
komentarz

@Twój_Anioł_Stróż

Dziękuje bardzo za sprawne i profesjonalne podejście do sprawy, oba punkty poszły gładko, w logach wszystko skończono pomyślnie.

Czy potrzebne obecnie Ci będzie coś jeszcze, co mógłbym tu wrzucić?

Coś jeszcze więcej zrobić/na co zwrócić uwagę, gdyby to w przyszłości powróciło?

Gość
komentarz
komentarz (edytowane)

Tak, na źródła sterowników. Pobieraj TYLKO ze strony producenta, bądź z dołączonej płyty do urządzenia. 

 

@Twój_Anioł_Stróż dla pewności przeorałbym to jeszcze combofixem - no ale Ty prowadzisz sprawę, to Ty rządzisz :D 

Tavano
komentarz
komentarz

@Waher

Tobie również dziękuje, a combofixem przeorałem, nie zaszkodzi mu :D
 

  • 2 miesiące później...
Kurosama
komentarz
komentarz

Mam podobny problem, przy czym próbowałem go rozwiązać przywracaniem systemu i odinstalowywaniem ostatnich programów z panelu sterowania.

Wirus wrócił 3 razy, za każdym razem zmieniając stronę startową na coś innego (pierwszy był Trotux, potem Amisistes, jakiś search123). Usuwanie stron startowych z ustawień przeglądarki nie pomogło. Czy mogę tak samo zastosować radę@Twój_Anioł_Stróż metodą kopiuj-wklej, czy muszę znaleźć sam błędne wpisy? Nigdy czegoś podobnego nie robiłem, dlatego wolę najpierw zapytać o radę.

Dnia 28.12.2016 o 11:37, Twój_Anioł_Stróż napisał:

No to ktoś tu kłamie, bo w logach jest na pewno ten profil.

 

Otwórz Notatnik i wklej w nim:


Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix (NAPRAW).

 

Zrób nowe logi FRST.

.

Załączam wyniki skanu FRST.

FRST.txt

Addition.txt

Twój_Anioł_Stróż
komentarz
komentarz (edytowane)

Na przyszłość zakładaj własny temat, bo podpinanie się pod cudzy temat w tym dziale może doprowadzić do fatalnych pomyłek.

 

Masz przeglądarkę C:\Program Files\Tooltony\Application\chrome.exe , która wygłada tak samo, jak Google Chrome, ale w rzeczywistości jest Trojanem.

 

1) Spróbuj odinstalować

BikaQ Rss Reader (HKLM\...\{56B2B28A-E663-4D28-84A3-3846068A7D63}) (Version: 1.0.0 - BikaQ) <==== UWAGA


2) 

Cytuj

 

C:\Users\Dom\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk

C:\Users\Dom\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk

 

Te skróty dam do usuwania, bo przekierowują do fałszywej przeglądarki - potem zrobisz sobie nowe skróty w tych samych lokalizacjach.

 

3)

Cytuj

CHR Profile: C:\Users\Dom\AppData\Local\Google\Chrome\User Data\ChromeDefaultData [2017-03-02] <==== UWAGA

Uruchom Google Chrome
> Naciśnij klawisze: lewy Alt+F i kliknij przycisk Ustawienia >
> Sekcja: OSOBY
>zaznacz (wybierz): user0
kliknij znaczek X znajdujący się po prawej stronie

 

4)  Otwórz Notatnik i wklej w nim:

Cytuj

HKU\S-1-5-21-1690777638-3595978788-2949027765-1000\...\ChromeHTML: -> C:\Program Files\Tooltony\Application\chrome.exe (Google Inc.) <==== UWAGA

RemoveDirectory: C:\Program Files\Tooltony
RemoveDirectory: C:\Program Files\BikaQRssReader
RemoveDirectory: C:\Program Files\MIO
RemoveDirectory: C:\Program Files\Rajuvokos
RemoveDirectory: c:\program files\gubed
RemoveDirectory: C:\Users\Dom\AppData\Roaming\Kyubey
RemoveDirectory: C:\ProgramData\WinSAPSvc
RemoveDirectory: C:\Program Files\h49mkssl
RemoveDirectory: C:\Program Files\WinArcher
RemoveDirectory: :\Program Files\WinSnare(4.0.9)
RemoveDirectory: C:\Program Files\Gub
RemoveDirectory: C:\Users\Dom\AppData\Local\Tooltony
RemoveDirectory: C:\Users\Dom\AppData\Roaming\WinSAPSvc
RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\BikaQ
RemoveDirectory: C:\Program Files\WinSnare(4.1.0)
RemoveDirectory: C:\Program Files\amuleCexx
RemoveDirectory: C:\Users\Dom\AppData\Roaming\WinSnare
RemoveDirectory: C:\Windows\system32\{0EE1366C-E687-4B01-8A4E-25FEF7763686}
RemoveDirectory: C:\Program Files\WinSnare(4.2.0)
RemoveDirectory: C:\Program Files\Explorer
RemoveDirectory: C:\Program Files\Firefox
RemoveDirectory: C:\Program Files\Elex-tech
RemoveDirectory: C:\Users\Dom\AppData\Roaming\Elex-tech
RemoveDirectory: C:\Program Files\reports
RemoveDirectory: C:\Program Files\WinSnare(4.2.1)
RemoveDirectory: C:\Windows\system32\{B91174EE-E535-49ED-BC8D-AC54ECCE8998}
RemoveDirectory: C:\Program Files\amuleCe
RemoveDirectory: C:\Program Files\Ckerbulemahitain Provider
Task: {3F0327F8-4FFE-43A4-8E38-1279774D914E} - System32\Tasks\BikaQ_FetchAndUpgrade_CanBeDel => C:\Program Files\BikaQRssReader\BikaQ.exe [2016-12-06] (IEC) <==== UWAGA
Task: {6DCAF91B-102D-4F5C-9200-186C32861744} - System32\Tasks\Wuhspthoda => msiexec /i hxxp://d2buh1bf1g584w.cloudfront.net/msi/rel.php?u=WDCXWD10EZRX-00L4HB0_WD-WCC4JJNVX6LRVX6LR&amp;v=2017125 /q <==== UWAGA
Task: {8329201E-8531-4E4D-9001-3A20CECFD7DD} - System32\Tasks\CIS_{15198508-521A-4D69-8E5B-B94A6CCFF805} => C:\ProgramData\cis99FD.exe  <==== UWAGA
C:\ProgramData\cis99FD.exe
2017-03-02 12:09 - 2017-03-02 12:33 - 0003054 _____ () C:\Program Files\metadata
2017-03-02 12:09 - 2017-03-02 12:32 - 0000040 _____ () C:\Program Files\settings.dat
Task: {B439A213-DA9A-4DF9-9006-BB5043A37D7D} - System32\Tasks\{0DE14C4E-046D-490B-9C53-7AD5B6328F5F} => pcalua.exe -a F:\Sims3EP01Setup.exe -d F:\
Task: {C32A8452-C560-4EB8-BD67-E16A67250781} - System32\Tasks\Ckerbulemahitain Provider => C:\Program Files\Rajuvokos\atuhesy.exe [2017-01-25] (Glarysoft Ltd)
Task: {FCF2836C-AD12-40AA-88B9-016FBD377943} - System32\Tasks\{98FF1112-C7C4-4020-985F-5713125A7E03} => pcalua.exe -a E:\Gry\croc\Setup.exe -d E:\Gry\croc
Task: {FD35E92D-392B-4FEB-A754-C815637A04C8} - System32\Tasks\Milimili => C:\Program Files\MIO\MIO.exe [2017-03-02] ()
ShortcutWithArgument: C:\Users\Dom\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.amisites.com/?type=sc&ts=1486376409&z=6bfe0291d4fc3561468c424g7z9b5q4c3m2qcz4e7b&from=che0812&uid=WDCXWD10EZRX-00L4HB0_WD-WCC4JJNVX6LRVX6LR
ShortcutWithArgument: C:\Users\Dom\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.amisites.com/?type=sc&ts=1486376409&z=6bfe0291d4fc3561468c424g7z9b5q4c3m2qcz4e7b&from=che0812&uid=WDCXWD10EZRX-00L4HB0_WD-WCC4JJNVX6LRVX6LR
ShortcutWithArgument: C:\Users\Dom\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files\Tooltony\Application\chrome.exe (Google Inc.) -> hxxp://www.startpageing123.com/?type=sc&ts=1488454146&z=181b4cc3d4cd0f07c526791g8zdb3b1zcwdz7gazfb&from=pr0302&uid=WDCXWD10EZRX-00L4HB0_WD-WCC4JJNVX6LRVX6LR
ShortcutWithArgument: C:\Users\Dom\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.amisites.com/?type=sc&ts=1486376409&z=6bfe0291d4fc3561468c424g7z9b5q4c3m2qcz4e7b&from=che0812&uid=WDCXWD10EZRX-00L4HB0_WD-WCC4JJNVX6LRVX6LR
ShortcutWithArgument: C:\Users\Dom\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files\Tooltony\Application\chrome.exe (Google Inc.) -> hxxp://www.amisites.com/?type=sc&ts=1486376409&z=6bfe0291d4fc3561468c424g7z9b5q4c3m2qcz4e7b&from=che0812&uid=WDCXWD10EZRX-00L4HB0_WD-WCC4JJNVX6LRVX6LR
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Avast SafeZone Browser.lnk -> D:\Program Files\AVAST Software\SZBrowser\launcher.exe (Avast Software) -> hxxp://www.amisites.com/?type=sc&ts=1486376409&z=6bfe0291d4fc3561468c424g7z9b5q4c3m2qcz4e7b&from=che0812&uid=WDCXWD10EZRX-00L4HB0_WD-WCC4JJNVX6LRVX6LR
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files\Tooltony\Application\chrome.exe (Google Inc.) -> hxxp://www.amisites.com/?type=sc&ts=1486376409&z=6bfe0291d4fc3561468c424g7z9b5q4c3m2qcz4e7b&from=che0812&uid=WDCXWD10EZRX-00L4HB0_WD-WCC4JJNVX6LRVX6LR
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> D:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.amisites.com/?type=sc&ts=1486376409&z=6bfe0291d4fc3561468c424g7z9b5q4c3m2qcz4e7b&from=che0812&uid=WDCXWD10EZRX-00L4HB0_WD-WCC4JJNVX6LRVX6LR
2017-02-08 11:01 - 2017-02-08 11:01 - 00455168 _____ () C:\Program Files\Common Files\Services\iThemes.dll
FirewallRules: [{367637BF-E8E5-4B8F-A095-A4678A33B984}] => (Allow) C:\Program Files\Tooltony\Application\chrome.exe
2017-02-10 12:36 - 2017-03-01 14:05 - 00000000 _____ C:\Users\Public\Documents\temp.dat
2017-03-01 14:05 - 2017-03-01 14:39 - 00000000 _____ C:\Users\Public\Documents\report.dat
2017-03-02 12:29 - 2017-03-02 12:29 - 00000000 _____ C:\Windows\system32\4
2017-03-02 12:29 - 2017-03-02 12:29 - 00000000 _____ C:\Windows\system32\3
S3 gdrv; \??\C:\Windows\gdrv.sys [X]
R2 WinSAPSvc; C:\Users\Dom\AppData\Roaming\WinSAPSvc\WinSAP.dll [184832 2017-03-02] (TODO: <Company name>) [Brak podpisu cyfrowego]
R2 WinSnare; C:\Users\Dom\AppData\Roaming\WinSnare\WinSnare.dll [648704 2017-03-02] (InterSect Alliance Pty Ltd) [Brak podpisu cyfrowego]
S2 ed2kidle; "C:\Program Files\amuleCe\ed2k.exe" -downloadwhenidle [X]
R2 Themes; C:\Windows\system32\themeservice.dll [37376 2009-07-14] (Microsoft Corporation) [DependOnService: iThemes5]<==== UWAGA
R3 iThemes5; C:\Program Files\Common Files\Services\iThemes.dll [455168 2017-02-08] () [Brak podpisu cyfrowego] <==== UWAGA
R2 Kyubey; C:\Users\Dom\AppData\Roaming\Kyubey\Kyubey.exe [113664 2017-03-01] () [Brak podpisu cyfrowego]
R2 GubedZL; C:\Program Files\Gubed\GubedZL.dll [118272 2017-02-06] () [Brak podpisu cyfrowego]
R2 Bisawardtusocult; C:\Program Files\Rajuvokos\Jwocultmonitor.dll [150016 2017-01-25] () [Brak podpisu cyfrowego]
CHR HKLM\...\Chrome\Extension: [lifbcibllhkdhoafpjfnlhfpfgnpldfl] - C:\Program Files\Skype\Toolbars\ChromeExtension\skype_chrome_extension.crx <nie znaleziono>
StartMenuInternet: Google Chrome - C:\Program Files\Google\Chrome\Application\chrome.exe hxxp://www.startpageing123.com/?type=sc&ts=1488454146&z=181b4cc3d4cd0f07c526791g8zdb3b1zcwdz7gazfb&from=pr0302&uid=WDCXWD10EZRX-00L4HB0_WD-WCC4JJNVX6LRVX6LR
CHR HomePage: Profile 2 -> hxxp://www.startpageing123.com/?type=hp&ts=1488452958&z=a2b95d286731b1fb981b49ag5zebfb9zfw0oateq1g&from=pr0302&uid=WDCXWD10EZRX-00L4HB0_WD-WCC4JJNVX6LRVX6LR
CHR StartupUrls: Profile 2 -> "hxxp://www.startpageing123.com/?type=hp&ts=1488452958&z=a2b95d286731b1fb981b49ag5zebfb9zfw0oateq1g&from=pr0302&uid=WDCXWD10EZRX-00L4HB0_WD-WCC4JJNVX6LRVX6LR"
CHR DefaultSearchURL: Profile 2 -> hxxp://www.startpageing123.com/search/?type=ds&ts=1488452958&z=a2b95d286731b1fb981b49ag5zebfb9zfw0oateq1g&from=pr0302&uid=WDCXWD10EZRX-00L4HB0_WD-WCC4JJNVX6LRVX6LR&q={searchTerms}
CHR DefaultSearchKeyword: Profile 2 -> startpageing123
CHR Profile: C:\Users\Dom\AppData\Local\Google\Chrome\User Data\ChromeDefaultData [2017-03-02] <==== UWAGA
CHR Extension: (Brak nazwy) - C:\Users\Dom\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\aapocclcgogkmnckokdopfmhonfmgoek [2015-04-13]
CHR Extension: (hxxps://www.youtube.com/) - C:\Users\Dom\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\adnlfjpnmidfimlkaohpidplnoimahfh [2015-04-13]
CHR Extension: (9GAG - Just For Fun) - C:\Users\Dom\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\ahfnhokjhiaeckfponahdmaojcgailab [2015-04-13]
CHR Extension: (Przelewy24) - C:\Users\Dom\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\aiicmmpkicnndkhlnnloilpgncbpkbjj [2017-01-22]
CHR Extension: (Brak nazwy) - C:\Users\Dom\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\aohghmighlieiainnegkcijnfilokake [2015-04-13]
CHR Extension: (Brak nazwy) - C:\Users\Dom\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\apdfllckaahabafndbhieahigkjlhalf [2016-03-01]
CHR Extension: (Brak nazwy) - C:\Users\Dom\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2015-09-29]
CHR Extension: (Adblock Plus) - C:\Users\Dom\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\cfhdojbkjhnklbpkdaibdccddilifddb [2017-01-22]
CHR Extension: (Brak nazwy) - C:\Users\Dom\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\coobgpohoikkiipiblmjeljniedjpjpf [2016-03-01]
CHR Extension: (Joe Monster.org - Probably The Best Page In The Universe) - C:\Users\Dom\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\dmjfjideajeaeolbjpmdamplhacpbepm [2015-04-13]
CHR Extension: (Mistrzowie.org – Najlepsze komentarze i cięte riposty z polskich forów oraz zaskakujące skriny z innych stron) - C:\Users\Dom\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\enlfabhpdnmgcchgdphkbglepkjimhad [2015-04-13]
CHR Extension: (Avast SafePrice) - C:\Users\Dom\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\eofcbnmajmjmplflapaojjnihcjkigck [2017-01-22]
CHR Extension: (Brak nazwy) - C:\Users\Dom\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\felcaaldnbdncclmgdcncolpebgiejap [2015-04-13]
CHR Extension: (Brak nazwy) - C:\Users\Dom\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\ghbmnnjooekpmoecnnnilnnbdlolhkhi [2016-04-02]
CHR Extension: (Avast Online Security) - C:\Users\Dom\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\gomekmidlodglbbmalcneegieacbdmki [2017-01-22]
CHR Extension: (Alior Bank - Wyższa Kultura Bankowości) - C:\Users\Dom\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\hcgnpefjicgdfhophnpnblndbfpbfkgm [2015-04-13]
CHR Extension: (Download Facebook Album!) - C:\Users\Dom\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\jcheapnmfbmcccnbjhhkmleoiljgpmkl [2016-03-01]
CHR Extension: (8 Ball Pool Multiplayer - A free Sports Game) - C:\Users\Dom\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\lglcoahlfmjeoalpbjcpeajgbffcaeff [2015-09-12]
CHR Extension: (Brak nazwy) - C:\Users\Dom\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\lifbcibllhkdhoafpjfnlhfpfgnpldfl [2017-01-08]
CHR Extension: (Ghostery) - C:\Users\Dom\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\mlomiejdfkolichcflejclcbmpeaniij [2017-01-22]
CHR Extension: (EXIF Viewer) - C:\Users\Dom\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\nafpfdcmppffipmhcpkbplhkoiekndck [2016-03-01]
CHR Extension: (Chrome Web Store Payments) - C:\Users\Dom\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2017-01-22]
CHR Extension: (Mapy Google) - C:\Users\Dom\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\ofdifjehmmdhgdcdpjimlphlmllejehn [2015-04-13]
CHR Extension: (Brak nazwy) - C:\Users\Dom\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\pjkljhegncpnkpknbcohdijeoejaedia [2015-04-13]
CHR Extension: (Chrome Media Router) - C:\Users\Dom\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\pkedcjkdefgpdelpbcmbmeomcjbeemfm [2017-01-22]
FF NewTab: Mozilla\Firefox\Profiles\tbiipahc.default-1452773528900 -> hxxp://www.trotux.com/?z=bd231d1bd1b79a2f80dcfdbg5zbb5w0cfwco6t8cbg&from=icb&uid=WDCXWD10EZRX-00L4HB0_WD-WCC4JJNVX6LRVX6LR&type=hp
FF DefaultSearchEngine: Mozilla\Firefox\Profiles\tbiipahc.default-1452773528900 -> trotux
FF SelectedSearchEngine: Mozilla\Firefox\Profiles\tbiipahc.default-1452773528900 -> trotux
FF Homepage: Mozilla\Firefox\Profiles\tbiipahc.default-1452773528900 -> hxxp://www.trotux.com/?z=bd231d1bd1b79a2f80dcfdbg5zbb5w0cfwco6t8cbg&from=icb&uid=WDCXWD10EZRX-00L4HB0_WD-WCC4JJNVX6LRVX6LR&type=hp
FF SearchPlugin: C:\Users\Dom\AppData\Roaming\Mozilla\Firefox\Profiles\tbiipahc.default-1452773528900\searchplugins\startpageing123.xml [2017-03-02]
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.startpageing123.com/?type=sc&ts=1488454146&z=181b4cc3d4cd0f07c526791g8zdb3b1zcwdz7gazfb&from=pr0302&uid=WDCXWD10EZRX-00L4HB0_WD-WCC4JJNVX6LRVX6LR
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.amisites.com/?type=hp&ts=1486376409&z=6bfe0291d4fc3561468c424g7z9b5q4c3m2qcz4e7b&from=che0812&uid=WDCXWD10EZRX-00L4HB0_WD-WCC4JJNVX6LRVX6LR
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.amisites.com/search/?type=ds&ts=1486376409&z=6bfe0291d4fc3561468c424g7z9b5q4c3m2qcz4e7b&from=che0812&uid=WDCXWD10EZRX-00L4HB0_WD-WCC4JJNVX6LRVX6LR&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.amisites.com/?type=hp&ts=1486376409&z=6bfe0291d4fc3561468c424g7z9b5q4c3m2qcz4e7b&from=che0812&uid=WDCXWD10EZRX-00L4HB0_WD-WCC4JJNVX6LRVX6LR
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.amisites.com/search/?type=ds&ts=1486376409&z=6bfe0291d4fc3561468c424g7z9b5q4c3m2qcz4e7b&from=che0812&uid=WDCXWD10EZRX-00L4HB0_WD-WCC4JJNVX6LRVX6LR&q={searchTerms}
HKU\S-1-5-21-1690777638-3595978788-2949027765-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.amisites.com/?type=hp&ts=1486376409&z=6bfe0291d4fc3561468c424g7z9b5q4c3m2qcz4e7b&from=che0812&uid=WDCXWD10EZRX-00L4HB0_WD-WCC4JJNVX6LRVX6LR
HKU\S-1-5-21-1690777638-3595978788-2949027765-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.amisites.com/?type=hp&ts=1486376409&z=6bfe0291d4fc3561468c424g7z9b5q4c3m2qcz4e7b&from=che0812&uid=WDCXWD10EZRX-00L4HB0_WD-WCC4JJNVX6LRVX6LR
SearchScopes: HKU\S-1-5-21-1690777638-3595978788-2949027765-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.amisites.com/search/?type=ds&ts=1486376409&z=6bfe0291d4fc3561468c424g7z9b5q4c3m2qcz4e7b&from=che0812&uid=WDCXWD10EZRX-00L4HB0_WD-WCC4JJNVX6LRVX6LR&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1690777638-3595978788-2949027765-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.amisites.com/search/?type=ds&ts=1486376409&z=6bfe0291d4fc3561468c424g7z9b5q4c3m2qcz4e7b&from=che0812&uid=WDCXWD10EZRX-00L4HB0_WD-WCC4JJNVX6LRVX6LR&q={searchTerms}
GroupPolicy: Ograniczenia - Chrome <======= UWAGA
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA
HKLM\...\Providers\h49mkssl: C:\Program Files\Ckerbulemahitain Provider\local32spl.dll
ShellExecuteHooks: Brak nazwy - {D1CD7500-DE3D-11E6-8016-64006A5CFC23} -  -> Brak pliku
HKLM\...\Run: [] => [X]
HOSTS:
EmptyTemp:


Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix (NAPRAW).

 

5) Użyj >Adw-cleaner
najpierw kliknij na SKANUJ (SCAN), a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ (CLEANING), to kliknij na niego.
Pokaż raport z niego "C"
                          

6) Zrób nowe logi FRST.

przed skanem zaznacz: Additional.txt Shortcut.txt,

.

 

  • Dobra wypowiedź 1
Kurosama
komentarz
komentarz

1) Odinstalowana i przeskanowane z pozostałości RevoUninstaller.

2) Skróty Chrome, Firefoxa i Explorera usunąłem już cześniej, szczególnie kiedy pojawiły się jednocześnie na pulpicie, w starcie i na pasku zadań.

3) user0 był pierwszym przejawem tego wirusa, usunąłem jako pierwsze

5) nie wiem które C z AdwCleanera więc wrzucam oba (po zakończeniu czyszczenia pokazał się C2)

 

Wszystko wygląda całkiem dobrze, ogromne dzięki za pomoc! Męczyłem się z tym prawie dwa tygodnie.

Addition.txt

Fixlog.txt

FRST.txt

Shortcut.txt

AdwCleaner[C0].txt

AdwCleaner[C2].txt

Twój_Anioł_Stróż
komentarz
komentarz

W nowych logach nie widzę już niczego do usuwania, więc chyba możemy kończyć:

Otwórz Notatnik i wklej w nim:

DeleteQuarantine:


Plik zapisz pod nazwą fixlist.txt i umieść obok FRST. Uruchom FRST i kliknij w Fix (NAPRAW).
przez SHIFT+DEL usuń pozostały folder C:\FRST.

 

W Adw-Cleaner kliknij u góry po lewej na PLIK, potem na ODINSTALUJ.

Kurosama
komentarz
komentarz

Jeszcze raz dzięki za pomoc!

Wciąż szukasz rozwiązania problemu? Napisz teraz na forum!

Możesz zadać pytanie bez konieczności rejestracji - wystarczy, że wypełnisz formularz.

×
×
  • Dodaj nową pozycję...

Powiadomienie o plikach cookie

Strona wykorzystuje pliki cookies w celu prawidłowego świadczenia usług i wygody użytkowników. Warunki przechowywania i dostępu do plików cookies możesz zmienić w ustawieniach przeglądarki.