win32 zaccess [trojan] - jak usunąć?

[xkornikx]

Witam

Windows 7 64-bit
O swoim problemie dowiedziałem się w momencie gdy provider odłączył mi internet z powodu wirusów, które mam na swoim komputerze. (aktualnie mieszkam w Norwegii i chyba tylko tutaj provider odłącza dostęp do internetu bo w Polsce mi się to nigdy nie wydarzyło - ale nieważne).

Po tym incydencie zainstalowałem program Avast, przeskanowałem dyski i okazało się, że znalazło się trochę wirusów. Niektóre z nich udało się wyleczyć inne usunąć lecz z jednym nic się nie udało zrobić - win32 zaccess [trojan].

Dopóki nie zainstalowałem i nie uruchomiłem Avasta poza tym że trochę komputer był wolny wydawało mi się, że wszystko było w porządku. Teraz zaczął mi spowalniać internet i co jakiś czas nawet rozłączać (w wifi jest napisane - "brak dostępu do internetu"). Dodam, że rozłącza mnie tylko z internetem, z ruterem jestem połączony cały czas. Aha, dodam, że przed zainstalowaniem Avast w momencie logowania na stronę banku wyskakiwał mi komunikat w przeglądarce abym włączył cookies które są wymagane do zalogowania się, a były one cały czas włączone. Po przeskanowaniu Avastem nie mam już tego problemu lecz pojawił się ten co opisałem wyżej.

Liczę, że da się coś z tym zrobić.

Dołączam logi z OTL oraz GMER.
http://wklej.org/id/962166/
http://wklej.org/id/962164/
http://www.wklej.org/id/962189/

Pozdrawiam

[picasso]

Niektóre z nich udało się wyleczyć inne usunąć lecz z jednym nic się nie udało zrobić - win32 zaccess [trojan].

 

Infekcja w mocy, problemy sieci pewnie z jej powodu, a szkód co niemiara (trojan kasuje mnóstwo usług z rejestru: Zapora systemu, Pomoc IP, Centrum zabezpieczeń, Windows Update i Windows Defender). Wg raportu OTL nie widać by był to wariant CLSID ZeroAccess. Nasuwa się więc wariant atakujący krytyczny systemowy plik services.exe. Potrzebne dodatkowe skany:

 

1. Uruchom SystemLook x64 i w oknie wklej:

 

:filefind
services.exe
 
:reg
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects /s

 

Klik w Look.

 

2. Zrób raport z Farbar Service Scanner.

 

 

.

[xkornikx]

Zrobione.

 

Oto logi.

 

Co dalej

FSS.txt

SystemLook.txt

[picasso]

Plik services.exe definitywnie zainfekowany, a w usługach pomór (skasowane przez ZeroAccess). Przechodzimy do usuwania infekcji:

 

1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę:

 

sfc /scanfile=C:\Windows\system32\services.exe

 

Zresetuj system, by ukończyć naprawę pliku. Jeśli jednak pojawi się tu jakiś błąd, STOP, nie przechodź do wykonania dalszych czynności, tylko od razu zgłoś się na forum.

 

2. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę:

 

netsh winsock reset

 

Zresetuj system w celu ukończenia naprawy łańcucha sieciowego.

 

3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Windows\Installer\{d6cf4bc8-7de7-20ce-39aa-f345f85fc596}
C:\Users\abuser\AppData\Roaming\OpenCandy
C:\Users\abuser\AppData\Roaming\_MDLogs
C:\Users\abuser\AppData\Local\Avg2013
C:\Users\abuser\AppData\Local\MFAData
C:\ProgramData\MFAData
C:\Users\abuser\Doctor Web
C:\Program Files (x86)\mozilla firefox
 
:OTL
IE - HKU\S-1-5-21-3516774838-738087347-2439648856-1000\..\SearchScopes\{3BD44F0E-0596-4008-AEE0-45D47E3A8F0E}: "URL" = "http://startsear.ch/?src=sp&aff=67&cf=03d08d85-6b1b-11e2-90a0-082e5f827514&q={searchTerms}"
IE - HKU\S-1-5-21-3516774838-738087347-2439648856-1000\..\SearchScopes\{D7AED9FA-7D45-4CE4-89B3-F38A1A4A478D}: "URL" = "http://www.findamo.com/search.html?ch=2&cid=&q={searchTerms}"
O2 - BHO: (I Want This) - {11111111-1111-1111-1111-110011221158} - C:\Program Files (x86)\I Want This\I Want This.dll File not found
O2 - BHO: (SweetPacks Browser Helper) - {EEE6C35C-6118-11DC-9C72-001320C79847} - C:\Program Files (x86)\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll File not found
O3 - HKLM\..\Toolbar: (SweetPacks Toolbar for Internet Explorer) - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Program Files (x86)\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll File not found
O3 - HKU\S-1-5-21-3516774838-738087347-2439648856-1000\..\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found.
O4 - HKLM..\Run: []  File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: EnableShellExecuteHooks = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: HideFastUserSwitching = 0
O7 - HKU\S-1-5-21-3516774838-738087347-2439648856-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableLockWorkstation = 0
O7 - HKU\S-1-5-21-3516774838-738087347-2439648856-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableChangePassword = 0
 
:Reg
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\${SEARCH_URL}{searchTerms}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\Main]
"bProtector Start Page"=-
[-HKEY_CURRENT_USER\Software\Mozilla]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Mozilla]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\mozilla.org]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\MozillaPlugins]
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

 

4. Odbuduj usunięte przez trojana usługi za pomocą ServicesRepair.

 

5. Napraw martwą ikonę Centrum Akcji uszkodzoną przez trojana. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00

 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects\{F56F6FDD-AA9D-4618-A949-C1B91AF43B1A}]
"AutoStart"=""

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.

 

6. Przez Panel sterowania odinstaluj adware Internet Explorer Toolbar 4.6 by SweetPacks, vSharetv, Update Manager for SweetPacks 1.0.

 

7. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

 

8. Zrób nowy log OTL z opcji Skanuj (już bez Extras) + Farbar Service Scanner + SystemLook na warunki:

 

:filefind

services.exe
 
:reg
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects /s

 

Dołącz log utworzony przez AdwCleaner.

 

 

 

.

[xkornikx]

Nie wiem czy dobrze zrobiłem ale wykonałem wszystkie czynności mimo iż w punkcie 6 przy próbie odinstalowania Internet Explorer Toolbar 4.6 by SweetPacks oraz Update Manager for SweetPacks 1.0. miałem następujące komunikaty:

 

The feature you are trying to use is on a network resource that is unavailable.

Click OK to try again, or enter a alternate path to a folder containing the installation package 'UpdateManagerSetup.msi' in the box below.

 

Do wyboru opcja "Ok" lub "Cancel"

 

Po wybraniu "Ok" komunikat:

 

The path

'C:\Users\abuser\AppData\Local\Temp\{EF5EFED1-33BC-473D-BA13-7CAE0553049C}\UpdateManagerSetup.msi' cannot be found. Verify that you have access to this location and try again, or try to find the installation package 'UpdateManagerSetup.msi' in a folder from which you can install the product Update Manager for SweetPacks 1.0.

 

Po wybraniu "Cancel" komunikat:

 

Źródło instalacji tego produktu nie jest dostępne. Sprawdź, czy źródło istnieje i czy masz do niego dostępu.

 

Z resztą nie było problemu.

Dołączam logi.

 

http://www.wklej.org/id/962606/ - OTL

http://www.wklej.org/id/962607/ - AdwCleaner

 

Reszta poniżej

SystemLook.txt

FSS.txt

[picasso]

Usuwanie infekcji pomyślnie wykonane, plik services.exe wyleczony, Winsock w stanie domyślnym, szkody w pełni odbudowane. Dalsze korekty:

 

1. Google Chrome: w Rozszerzeniach odmontuj vShare (siedlisko adware), w zarządzaniu wyszukiwarkami ustaw Google jako domyślną (aktualnie brak domyślnej wyszukiwarki).

 

2. Załaduj jeszcze drobną poprawkę rejestru. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins]

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.

 

3. W Dzienniku masz błędy:

 

Error - 2013-02-20 17:13:46 | Computer Name = Robert | Source = Application Popup | ID = 875
Description = Sterownik atksgt.sys został zablokowany dla ładowania.

 

vs.

 

DRV:64bit: - [2012-06-06 19:27:24 | 000,310,728 | ---- | M] () [Kernel | Auto | Stopped] -- C:\Windows\SysNative\drivers\atksgt.sys -- (atksgt)
DRV:64bit: - [2012-06-06 19:27:22 | 000,042,696 | ---- | M] () [Kernel | Auto | Running] -- C:\Windows\SysNative\drivers\lirsgt.sys -- (lirsgt)

 

Od sterowników zabezpieczenia Tages. Odinstaluj je posługując się odpowiednią paczką instalacyjną ze strony Tages: KLIK.

 

Error - 2013-02-17 09:20:33 | Computer Name = Robert | Source = WinMgmt | ID = 10
Description = 

 

Błąd WMI numer 10 skoryguje narzędzie Fix-it: KLIK.

 

 

The path

'C:\Users\abuser\AppData\Local\Temp\{EF5EFED1-33BC-473D-BA13-7CAE0553049C}\UpdateManagerSetup.msi' cannot be found. Verify that you have access to this location and try again, or try to find the installation package 'UpdateManagerSetup.msi' in a folder from which you can install the product Update Manager for SweetPacks 1.0.

 

AdwCleaner usunął wpis Update Manager for SweetPacks z listy zainstalowanych. Czy nadal widzisz na liście któryś z wpisów Sweet?

 

 

 

 

.

[xkornikx]

W rozszeżeniach Google Chrome było Avast! WebRep i Website Logon, które odmonowałem. Wyszukiwarka ustawiona na google.

Reszta punktów również przebiegła pomyślnie.

Nadal w zainstalowanych programach widzę: Internet Explorer Toolbar 4.6 by SweetPacks i przy próbie odinstalowania pojawia się ten sam komunikat.

Jak się tego pozbyć?

[picasso]

W rozszeżeniach Google Chrome było Avast! WebRep i Website Logon, które odmonowałem. Wyszukiwarka ustawiona na google.

 

Chodziło mi o vShare, tylko ... Wg raportu rozszerzenie conajmiej na dysku:

 

========== Chrome  ==========
 
CHR - Extension: No name found = C:\Users\abuser\AppData\Local\Google\Chrome\User Data\Default\Extensions\kpionmjnkbpcdpcflammlgllecmejgjj\1.3_0

 

 

Nadal w zainstalowanych programach widzę: Internet Explorer Toolbar 4.6 by SweetPacks i przy próbie odinstalowania pojawia się ten sam komunikat.

Jak się tego pozbyć?

 

Uruchom to narzędzie: KLIK. Wybierz tryb nieautomatyczny i sprawdź czy na liście do usunięcia te wpisy będą pokazane.

 

 

.

[xkornikx]

SweetPacks usunięty z listy.

Co mam zrobić dalej ?

 

P.S. Zegarek na forum jest o godzinę do tyłu

 

Czym jest spowodowane to, że po restarcie komputera i po pojawieniu się pulpitu mija dużo więcej czasu (trwa to ok 2min) zanim otworzy się skype, który jest w autostart, widgety windowsa takie jak pogoda i kalendarz które mam na swoim pulpicie, oraz widget Avast!. Wcześniej pojawiało się to od razu. Ma na to wpływ Avast? W ogóle zanim to wszystko się pootwiera to mam spowolnioną reakcje komputera.

Edytowane 22 Lutego 2013 przez xkornikx

[picasso]

Zostały poprawki.

 

1. Nic się nie wypowiadasz o vShare w Google Chrome, więc należy wykończyć te resztki. Przy zamkniętym Google Chrome uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Users\abuser\AppData\Local\Google\Chrome\User Data\Default\Extensions\kpionmjnkbpcdpcflammlgllecmejgjj
 
:Reg
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\kpionmjnkbpcdpcflammlgllecmejgjj]

 

Klik w Wykonaj skrypt.

 

2. Porządki po narzędziach. W AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie, resztę usuń ręcznie. Narzędzie Fix-it używane do usunięcia szczątków SweetIM też utworzyło określone obiekty. Przez SHIFT+DEL skasuj z dysku folder C:\MATS. Następnie Start > w polu szukania wpisz regedit > z prawokliku Uruchom jako Administrator > skasuj klucz:

 

HKEY_LOCAL_MACHINE\SOFTWARE\MATS

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Na wszelki wypadek zrób pełne skanowanie w Malwarebytes Anti-Malware . Jeżeli coś zostanie wykryte, przedstaw raport. Przy instalacji padnie pytanie o typ edycji, wybierz darmową bez rezydenta, by uniknąć ew. kolizji z Avast.

 

 

P.S. Zegarek na forum jest o godzinę do tyłu

 

A tak, dziś były problemy u dostawcy i serwer był resetowany. Zapomniałam skorygować czas.

 

 

.

[xkornikx]

Po wywołaniu funkcji regedit nie znalazłem kłucza MATS w HKEY_LOCAL_MACHINE\SOFTWARE

Jeżeli chodzi punkt 3 wykonałem zadanie "Usuń wszystkie punkty przywracania ..." na trzech partycjach które posiadam. Po usunięciu na wszystkich partycjach mam: Ochrona - Włączona lecz przed usunięciem funkcja ochrony była włączona tylko na partycji C: Mam ustawić tak jak było, czyli wyłączyć ochronę na dwóch pozostałych partycjach?

 

Już przeskanowane. Coś jednak wykryło.

 

http://www.wklej.org/id/963259/ - Log

[picasso]

Po wywołaniu funkcji regedit nie znalazłem kłucza MATS w HKEY_LOCAL_MACHINE\SOFTWARE

 

Sprawdź jeszcze klucz:

 

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node

 

 

Ochrona - Włączona lecz przed usunięciem funkcja ochrony była włączona tylko na partycji C: Mam ustawić tak jak było, czyli wyłączyć ochronę na dwóch pozostałych partycjach?

 

Skoro Ochrona nie była czynna dla innych dysków niż C, to żadne punkty nie były nagrane dla innych dysków (usuwanie niczego). Ustaw tak jak było: Ochrona dla C, reszta off.

 

 

Już przeskanowane. Coś jednak wykryło.

 

Usuń wyniki Adware.GamePlayLab. Reszta wiadomo od czego...

 

 

 

.

[xkornikx]

W kluczu: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node również nie ma MATS

 

Wiadomo co również usunąłem

 

Co dalej ?

[picasso]

Kończymy:

 

1. Odinstaluj stare Java, Adobe Shockwave Player i Silverlight, sprawdź wersje Foxit i Google Chrome, zaktualizuj Office 2010: KLIK. Wg raportu obecnie masz zainstalowane wersje:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F86416024FF}" = Java™ 6 Update 24 (64-bit)
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java™ 6 Update 39
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight Silverlight 4.1.10329.0
"{AC76BA86-7AD7-FFFF-7B44-AA0000000001}" = Adobe Reader X (10.1.5) MUI
"Adobe Shockwave Player" = Adobe Shockwave Player 11.5
"Foxit Reader_is1" = Foxit Reader
"Google Chrome" = Google Chrome
"Office14.PROPLUS" = Microsoft Office Professional Plus 2010

 

(PS. Jest tu też Adobe Reader X MUI, pewnie to szczątek niewidzialny na liście deinstalacji i tu możesz zastosować narzędzie, które podsuwałam przy problemie SweetIM)

 

2. Prewencyjnie zmień hasła logowania w serwisach.

 

 

Czym jest spowodowane to, że po restarcie komputera i po pojawieniu się pulpitu mija dużo więcej czasu (trwa to ok 2min) zanim otworzy się skype, który jest w autostart, widgety windowsa takie jak pogoda i kalendarz które mam na swoim pulpicie, oraz widget Avast!. Wcześniej pojawiało się to od razu. Ma na to wpływ Avast? W ogóle zanim to wszystko się pootwiera to mam spowolnioną reakcje komputera.

 

Nie zauważyłam tej edycji. I owszem, Avast podejrzany.

 

 

 

 

.

[xkornikx]

Zrobiłem wszstko co napisałaś z tym że po aktualizacji Chrome mam problem takiego typu że po otworzeniu w pasku adresu wyświetla się:

 

chrome://signin/?source=0&next_page=chrome%3A%2F%2Fnewtab%2F

 

tło jest niebieskie i nie ma żadnej reakcji w momencie gdy chcę otworzyć jakąkolwiek stronę, nawet ustwień w ustawienia nie mogę wejść (otwiera mi nową pustą zakładkę.

 

A jak jest z aktualizacją Office w momencie gdy moja kopia jest 'lewa' z netu ?

[picasso]

1. Wyeksportuj zakładki. Przeinstaluj Google Chrome na czysto.

 

2. A tego to nie wiem. Ale chyba da się zainstalować SP.

 

 

 

.

[xkornikx]

Przeinstalowałem Chrome. Przy pierwszym uruchomieniu działał poprawnie lecz po zamknięciu i ponownym uruchomieniu wyskakuje mi komunikat:

 

Nie można poprawnie otworzyć profilu. Niektóre funkcje mogą być niedostępne. Sprawdź, czy profil istnieje oraz czy masz uprawnienia do odczytu i zapisu jego zawartości.

 

Oprócz tego komunikatu te same objawy co pisałem wyżej.

 

Co poradzisz ?

A oprócz tego Chrome to coś jeszcze mam do zrobienia ?

[picasso]

Jak "czysta" reinstalacja Google to była? Czy masz włączoną synchronizację z serwerem? Wypróbuj tego:

 

1. Odinstaluj Google Chrome. Nie twórz żadnych kopii zapasowych profilu, tylko eksport zakładek i nic więcej.

 

2. Przez SHIFT+DEL skasuj foldery:

 

C:\Users\abuser\AppData\Local\Google

C:\Program Files (x86)\Google

 

3. Start > w polu szukania wpisz regedit > skasuj klucze:

 

HKEY_CURRENT_USER\Software\Google

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Google

 

4. Zainstaluj Google Chrome.

 

 

A oprócz tego Chrome to coś jeszcze mam do zrobienia ?

 

Nic więcej poza tym co już padło w temacie (aktualizacje + wymiana haseł).

 

 

.

[xkornikx]

Zrobiłem tak jak wyżej jest napisane lecz to nic nie pomogło. A teraz jeszcze doszedł problem z IE który również nie chce mi stron ładować.

 

W google wyskakuje mi ten sam komunikat co wcześniej oraz po pierwszym uruchomieniu jeszcze taki komunikat:

 

C:\Program Files (x86)\Google\Chrome\Application\25.0.1364.97\Installer\setup.exe

Atrybuty rozszerzone są niezgodne

 

O co chodzi ?

[picasso]

Hmmm, to może zrób nowe logi OTL z opcji Skanuj (włącznie z Extras).

 

 

.

[xkornikx]

Oto logi

 

nie wiem dlaczego ale wentylatory zaczęły mi głośniej pracować. Tak jak w przypadku dużego obciążenia

Extras.Txt

OTL.Txt

[picasso]

Cóż, właściwie sprawa jasna dlaczego przeglądarka Google staje okoniem. Doinstalowałeś nowe śmieci adware. Musiałeś uruchomić jakiś trefny instalator programu, który miał te skunksy doczepione. Przy okazji: ja nadal widzę na liście zainstalowanych wpis Internet Explorer Toolbar 4.6 by SweetPacks (będę go usuwać). Robota od początku:

 

1. Przez Panel sterowania odinstaluj adware Yontoo 2.04. W Menu Start sprawdź czy jest deinstalator Chica Password Manager, być może i Smartbar.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O4 - HKU\S-1-5-21-3516774838-738087347-2439648856-1000..\Run: [browser Infrastructure Helper] C:\Users\abuser\AppData\Local\Smartbar\Application\QuickShare.exe (Smartbar)
 
:Files
C:\Users\abuser\AppData\Local\Smartbar
C:\ProgramData\Tarma Installer
 
:Commands
[emptytemp]

 

Klik w Wykonaj skrypt. Zatwierdź restart.

 

3. Uruchom AdwCleaner i zastosuj Usuń.

 

4. Poprawki po akcjach AdwCleaner. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00

 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{774C0434-9948-4DEE-A14E-69CDD316E36C}]

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.

 

5. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner.

 

 

 

.

[xkornikx]

Wszystko wykonane

 

Logi poniżej

AdwCleanerS1.txt

OTL.Txt

[picasso]

Nadal widzę w starcie Chica Password Manager. Czy to celowa instalacja (wg raportu to jedna ze świeżych instalacji w tym samym czasie co Yontoo)? Czy jest gdzieś deinstalor tej aplikacji?

[xkornikx]

Nie była to celowa instalacja tylko przypadkowa (wczoraj), ale odinstalowałem to od razu po zainstalowaniu. Teraz nie widzę nigdzie na dysku deinstalatora. 30 min temu włączyłem komputer i pojawił się znowu problem z internetem. wifi połączony jest z routerem lecz na przemian mam internet i go nie mam, pokazuje mi się "brak dostępu do internetu". Gdy dostęp do internetu wraca to zaledwie na kilkanaście sekund. Z rana gdy wykonałem twoje instrukcje i napisałem poprzedniego posta było wszystko w porządku. IE oraz Chrome zaczął działać normalnie, a teraz ten problem.

Na pewno nie jest to wina routera ponieważ inne urządzenia nie mają problemów z internetem

Co robić?