pwo7 - jak usunąć?

[Cortez]

Witam,

dziś w msconfig zauważyłem, że uruchamia się jakieś dziwne polecenie o nazwie pwo7. Załączam wymagane logi. Byłbym wdzięczny o pomoc z usunięciem tego i najlepiej z instrukcją jak nastęnym razem moge sobie z tego typu rzeczami poradzić sam. Z góry dziękuję

 

Pozdrawiam

Michał

MGER.txt

Addition.txt

FRST.txt

Shortcut.txt

[picasso]

Byłbym wdzięczny o pomoc z usunięciem tego i najlepiej z instrukcją jak nastęnym razem moge sobie z tego typu rzeczami poradzić sam.

Trudno tu podać ogólną instrukcją, jeśli skaner antywirusowy tego samodzielnie nie wykrywa. Usuwanie ręczne jest oparte na skryptach FRST kombinujących usuwanie z rejestru i dysku, a te są zawsze budowane w oparciu o konkretny niepowtarzalny log z systemu z danego punktu czasowego.

 

 

Przeprowadź następujące działania:

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
(Microsoft Corporation) C:\Windows\explorer.exe
CreateRestorePoint:
HKU\S-1-5-21-2797469910-1678933392-3196651384-1000\...\Run: [pwo7] => C:\Users\CORTEZ\AppData\Roaming\pwo7\svchost.exe [8164139 2014-10-11] ()
C:\ProgramData\TEMP
C:\Users\CORTEZ\AppData\Roaming\pwo7
S3 VGPU; No ImagePath
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. W Google Chrome: Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń wielokrotne adresy dosearches.com i mysearch.avg.com, przestaw na "Otwórz stronę nowej karty".

 

3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

[Cortez]

Dziękuję bardzo za pomoc. Zrobiłem wszystko zgodnie z instrukcją, załączam wymagane pliki. Zauważyłem, że gmer znalazł więcej wyników poza pwo7 czy jest to coś czym powinienem sie martwić?

 

Pozdrawiam

Fixlog.txt

FRST.txt

[picasso]

Szkodnik pomyślnie usunięty. Kolejna porcja działań:

 

1. Otwórz Notatnik i wklej w nim:

 

RemoveDirectory: C:\AdwCleaner
RemoveDirectory: C:\FRST\Quarantine

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

 

2. Dopiero po wykonaniu powyższego zrób pełny skan za pomocą Malwarebytes Anti-Malware (przy instalacji odznacz trial). Dostarcz raport, jeśli coś zostanie wykryte.

[Cortez]

Niestety się pomyliłem, nie odznaczyłem trial a potem już nie dało się tego zmienić po reinstalacji. Załączam logi

Fixlog.txt

malware.txt

[picasso]

Z tym trialem nie szkodzi, po upływie czasu próbnego program przełączy się na wersję darmową i będziesz mógł go nadal używać do skanów na żądanie. Jeśli chodzi o wyniki, to nic szczególnego: jakiś śmieć w Koszu oraz kilka obiektów adware w Temp. O tyle to dziwne, że egzekwowałam komendę EmptyTemp: w pierwszym skrypcie FRST, komenda adresuje te lokalizacje. Wyniki sugerują więc, że to jakieś nowe nabytki już po prowadzonym czyszczeniu. Czy usunąłeś te wyniki za pomocą programu?

[Cortez]

Nie usuwałem, wolałem poczekać na odpowiedź. Czyli usunąć je za pomocą tego programu?

[picasso]

Tak, wszystkie wyniki do usunięcia. Usuń też pobrany FRST i GMER. Następnie zastosuj DelFix, wyczyść foldery Przywracania systemu oraz zastąp starą wersję Adobe Flash Player 15 ActiveX najnowszą: KLIK.

[Cortez]

Wszystko zrobione, dziękuję bardzo za pomoc