jnmpt5ig Opublikowano 5 Maja 2015 Zgłoś Udostępnij Opublikowano 5 Maja 2015 Witam! Prosze o pomoc w rozpoznaniu i zlikwidowaniu . Mniejwiecej wiem co to za zlosliwe oprogramowania ,ale zaloze sie ,ze jest ich conajmniej kilka na tym komputerze. Problemy nie wystepuja od dzis. komputer potrafil zacinac co 10/15 min ,albo calkowicie sie zawieszac. Dzis zainstalowal sie jakis chinski software ,ktory pobral dzisiaj od kilku do kilkunastu nawet podejrzanych programow. z latwoscia sie je usuwa ,procz tego glownego. Ciezko mi powiedziec jak nazywa sie ten glowny program (chinskie znaki) ,ale programy jakie on sciagnal to miedzy innymi ; baidu ,global update ,tencent ,ytdownloader (to tylko te ktore bylem w stanie wyszukac. bog wie ile ich tak naprawde jest. czesc z nich usunalem). prosze o szybka pomoc. Z kazda chwila komputer chodzi coraz gorzej i wolniej. Z gory dziekuje! Addition.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 6 Maja 2015 Zgłoś Udostępnij Opublikowano 6 Maja 2015 Zasady działu i instrukcje tworzenia raportów nie do końca przeczytane. Brak plików FRST Shortcut oraz GMER. Brak pliku Shortcut = nie ma pełnych informacji o zainstalowanych programach, ani o hijackerach skrótów. W tej sytuacji prawdopodobnie będzie więcej etapów. Adware nabyłeś uruchamiając ten lewy plik, to "downloader" ze śmieciami a nie zasadniczy plik instalacyjny: 2015-05-05 10:47 - 2015-05-05 10:47 - 00912912 _____ () C:\Users\sylwester\Downloads\The Witcher 3 Wild Hunt Key Ge Downloader__3687_i1509675887_il225070.exe 1. Deinstalacje: ----> Przez Panel sterowania odinstaluj: - Adware/PUP: GamesDesktop 008.109, Support PL 1.1, 百度卫士4.0, 百度杀毒3.0. Te dwa chińskie krzaki to Baidu Antivirus i jego Guard. - Stare wersje: Java 6 Update 22, Java 8 Update 31, OpenOffice.org 3.3. ----> Ze względu na brak pliku Shortcut nie wiadomo czy jest deinstalator Tencent, a musi być on użyty w pierwszej kolejności, by w naturalny sposób odładować inwazyjne sterowniki. Wejdź do katalogu C:\Program Files (x86)\Tencent i sprawdź czy jest plik deinstalacyjny. Jeśli tak, z prawokliku "Uruchom jako Administrator". Nie próbuj usuwać folderu ręcznie, to nie jest poprawna deinstalacja i zostawi śmietnisko w rejestrze. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 BrsHelper; C:\Program Files (x86)\YTDownloader\BrowserHelperSrv.exe [112560 2015-05-04] () S3 SPBIUpdd; C:\Program Files\Common Files\ShopperPro\spbiw.sys [41624 2015-05-03] () R2 wimuhube; C:\Users\sylwester\AppData\Roaming\1F97B14F-1430815727-E411-B2A0-F0761C0D1586\jnsvE064.tmp [282624 2015-05-05] () [File not signed] S1 BDEnhanceBoost; system32\drivers\BDEnhanceBoost.sys [X] S1 BDFileDefend; system32\DRIVERS\BDFileDefend.sys [X] S1 BdSandBox; system32\DRIVERS\BdSandBox.sys [X] S2 be0fb33b; "C:\Windows\system32\rundll32.exe" "c:\Program Files (x86)\Supporter\Supporter.dll",serv S2 IHProtect Service; C:\Program Files (x86)\XTab\ProtectService.exe [X] S2 SPBIUpd; C:\Program Files\Common Files\ShopperPro\spbiu.exe /service [X] S2 Update Solution Real; "C:\Program Files (x86)\Solution Real\updateSolutionReal.exe" [X] S2 Util Solution Real; "C:\Program Files (x86)\Solution Real\bin\utilSolutionReal.exe" [X] S2 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe -service [X] R2 zozubuly; C:\Users\sylwester\AppData\Roaming\1F97B14F-1430815727-E411-B2A0-F0761C0D1586\nsv96F0.tmpfs [X] Task: {2FCAFB02-9473-4DD3-8A06-04321DE29513} - System32\Tasks\ba6afebe-441e-49b1-b747-d99be83e7b16-7 => C:\Program Files (x86)\iWebar\ba6afebe-441e-49b1-b747-d99be83e7b16-7.exe Task: {30619AD9-B1B8-4ECF-A6FE-C3835FFF5822} - System32\Tasks\ba6afebe-441e-49b1-b747-d99be83e7b16-6 => C:\Program Files (x86)\iWebar\ba6afebe-441e-49b1-b747-d99be83e7b16-6.exe Task: {6AC99ECF-8C64-4DFF-BC7C-42DA8B59FAFA} - System32\Tasks\YTDownloaderUpd => C:\Program Files (x86)\YTDownloader\updater.exe Task: {75A384B9-BB10-4A37-9D4F-3F95281DF1DB} - System32\Tasks\89d90637-1f52-4aec-bef1-c9717c432fe7-11 => C:\Program Files (x86)\Object Browser\89d90637-1f52-4aec-bef1-c9717c432fe7-11.exe Task: {C2888F08-D8ED-4D63-852A-80FDCBFEF8A0} - System32\Tasks\ShopperProJSUpd => C:\Program Files (x86)\ShopperPro\updater.exe Task: {C7A1E98C-C370-414A-9409-F5D394DD6882} - System32\Tasks\ba6afebe-441e-49b1-b747-d99be83e7b16-11 => C:\Program Files (x86)\iWebar\ba6afebe-441e-49b1-b747-d99be83e7b16-11.exe Task: {CBEF023B-9039-48F9-BFAF-8A93C5C8030C} - System32\Tasks\{763A0328-264A-486E-8B59-A950A9949513} => pcalua.exe -a C:\Users\sylwester\Downloads\LeagueofLegends_EUW_Installer_9_15_2014.exe -d C:\Windows\SysWOW64 -c /groupsextract:100;101;102; /out:"C:\Users\sylwester\AppData\Roaming\Riot Games\League of Legends\prerequisites" /callbackid:2532 Task: C:\Windows\Tasks\temp_ba6afebe-441e-49b1-b747-d99be83e7b16-6.job => C:\Program Files (x86)\iWebar\ba6afebe-441e-49b1-b747-d99be83e7b16-6.exe HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\QQPCRTP => ""="service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\QQPCRTP => ""="service" HKLM-x32\...\Run: [mbot_pl_194] => [X] HKLM-x32\...\Run: [gmsd_pl_109] => "C:\Program Files (x86)\gmsd_pl_109\gmsd_pl_109.exe" GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga-plus.com/?type=hppp&ts=1421788717&from=cor&uid=WDCXWD10S21X-24R1BT0-SSHD-8GB_WD-WX91AB3H5653H5653 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.hao123.com/?tn=91932766_hao_pg HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1421788658&from=cor&uid=WDCXWD10S21X-24R1BT0-SSHD-8GB_WD-WX91AB3H5653H5653&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1421788658&from=cor&uid=WDCXWD10S21X-24R1BT0-SSHD-8GB_WD-WX91AB3H5653H5653&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hppp&ts=1421788717&from=cor&uid=WDCXWD10S21X-24R1BT0-SSHD-8GB_WD-WX91AB3H5653H5653 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hppp&ts=1421788717&from=cor&uid=WDCXWD10S21X-24R1BT0-SSHD-8GB_WD-WX91AB3H5653H5653 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1421788658&from=cor&uid=WDCXWD10S21X-24R1BT0-SSHD-8GB_WD-WX91AB3H5653H5653&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1421788658&from=cor&uid=WDCXWD10S21X-24R1BT0-SSHD-8GB_WD-WX91AB3H5653H5653&q={searchTerms} HKU\S-1-5-21-2770005542-1391010283-3734432884-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=dspp&ts=1421788717&from=cor&uid=WDCXWD10S21X-24R1BT0-SSHD-8GB_WD-WX91AB3H5653H5653&q={searchTerms} HKU\S-1-5-21-2770005542-1391010283-3734432884-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hao123.com/?tn=91932766_hao_pg HKU\S-1-5-21-2770005542-1391010283-3734432884-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hppp&ts=1421788717&from=cor&uid=WDCXWD10S21X-24R1BT0-SSHD-8GB_WD-WX91AB3H5653H5653 HKU\S-1-5-21-2770005542-1391010283-3734432884-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=dspp&ts=1421788717&from=cor&uid=WDCXWD10S21X-24R1BT0-SSHD-8GB_WD-WX91AB3H5653H5653&q={searchTerms} SearchScopes: HKU\S-1-5-21-2770005542-1391010283-3734432884-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=dspp&ts=1421788717&from=cor&uid=WDCXWD10S21X-24R1BT0-SSHD-8GB_WD-WX91AB3H5653H5653&q={searchTerms} SearchScopes: HKU\S-1-5-21-2770005542-1391010283-3734432884-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=WDCXWD10S21X-24R1BT0-SSHD-8GB_WD-WX91AB3H5653H5653&ts=1421788733&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2770005542-1391010283-3734432884-1000 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=WDCXWD10S21X-24R1BT0-SSHD-8GB_WD-WX91AB3H5653H5653&ts=1421788733&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2770005542-1391010283-3734432884-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=dspp&ts=1421788717&from=cor&uid=WDCXWD10S21X-24R1BT0-SSHD-8GB_WD-WX91AB3H5653H5653&q={searchTerms} SearchScopes: HKU\S-1-5-21-2770005542-1391010283-3734432884-1000 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=WDCXWD10S21X-24R1BT0-SSHD-8GB_WD-WX91AB3H5653H5653&ts=1421788733&type=default&q={searchTerms} BHO-x32: Solution Real 1.0.0.7 -> {1bb456da-878f-44a5-b013-4bfe0ae02fce} -> C:\Program Files (x86)\Solution Real\SolutionRealBHO.dll No File BHO-x32: No Name -> {b608cc98-54de-4775-96c9-097de398500c} -> No File FF Plugin-x32: @baidu.com/BaidusdDetectNPPlugin -> C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\explugin\npBaiduSDDetectPlug.dll [2014-11-06] (百度在线网络技术(北京)有限公司) FF Plugin-x32: @qq.com/QQPCMgr -> C:\Program Files (x86)\Tencent\QQPCMgr\10.8.16208.227\npQMExtensionsMozilla.dll [2015-05-05] (Tencent Technology (Shenzhen) Company Limited) FF Plugin-x32: @staging.google.com/globalUpdate Update;version=10 -> C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npglobalupdateUpdate4.dll No File FF Plugin-x32: @staging.google.com/globalUpdate Update;version=4 -> C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npglobalupdateUpdate4.dll No File FF SearchPlugin: C:\Users\sylwester\AppData\Roaming\Mozilla\Firefox\Profiles\401j7pod.default\searchplugins\omiga-plus.xml [2015-01-31] FF HKLM-x32\...\Firefox\Extensions: [fftoolbar2014@etech.com] - C:\Users\sylwester\AppData\Roaming\Mozilla\Firefox\Profiles\401j7pod.default\extensions\fftoolbar2014@etech.com C:\Program Files (x86)\globalUpdate C:\Program Files (x86)\gmsd_pl_109 C:\Program Files (x86)\iWebar C:\Program Files (x86)\Object Browser C:\Program Files (x86)\predm C:\Program Files (x86)\ShopperPro C:\Program Files (x86)\Supporter C:\Program Files (x86)\YTDownloader C:\Program Files\Common Files\ShopperPro C:\ProgramData\{4c69cab7-2cf1-b47e-4c69-9cab72cf2adc} C:\ProgramData\15987269045763179288 C:\ProgramData\KingSoft C:\ProgramData\ShopperPro C:\Users\sylwester\AppData\Local\Temp-log.txt C:\Users\sylwester\AppData\Local\BrowserHelper C:\Users\sylwester\AppData\Local\globalUpdate C:\Users\sylwester\AppData\Local\gmsd_pl_109 C:\Users\sylwester\AppData\Roaming\1F97B14F-1430815727-E411-B2A0-F0761C0D1586 C:\Users\Public\Documents\ShopperPro C:\Users\sylwester\Downloads\The Witcher 3 Wild Hunt Key Ge Downloader__3687_i1509675887_il225070.exe Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f CMD: netsh advfirewall reset CMD: netsh winsock reset CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files" CMD: dir /a "C:\Program Files (x86)\Common Files" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\sylwester\AppData\Local CMD: dir /a C:\Users\sylwester\AppData\LocalLow CMD: dir /a C:\Users\sylwester\AppData\Roaming Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. menu Historia > Wyczyść historię przeglądania 4. Wyczyść Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj Solution Real Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 5. Wyczyść Operę: CTRL+SHIFT+E i z listy rozszerzeń usuń przy udziale iksa adware iWebar. 6. Zrób nowy log FRST z opcji Scan, zaznacz pola Addition i Shortcut, by powstały trzy raporty. Dołącz też plik fixlog.txt. Odnośnik do komentarza
jnmpt5ig Opublikowano 6 Maja 2015 Autor Zgłoś Udostępnij Opublikowano 6 Maja 2015 zalaczam pliki i przepraszam za poprzednie niedociagniecia Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 7 Maja 2015 Zgłoś Udostępnij Opublikowano 7 Maja 2015 Brakuje głównego skanu FRST.txt. Dołącz ten plik. Odnośnik do komentarza
jnmpt5ig Opublikowano 7 Maja 2015 Autor Zgłoś Udostępnij Opublikowano 7 Maja 2015 doszedlem do wniosku ze wysle wszystkie pliki jeszcze raz po ponownym skanowaniu. zaszly chyba jakies zmiany ,bo komputer jeszcze wczoraj chodzil calkiem sprawnie ,a dzisiaj znowu zaczal mulic Addition.txt Shortcut.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 7 Maja 2015 Zgłoś Udostępnij Opublikowano 7 Maja 2015 Zredukowałam liczbę logów, by były tylko najświeższe dane. Fix był uruchamiany dwa razy - jaki powód? Fix jest jednorazowy i nie przetworzy ponownie tego samego. System muli, bo nadal są śmieci aktywne: - W tle działa resztówka od Baidu oraz agresywny Tencent - multum sterowników. W Addition i Shortcut brak powiązanego deinstalatora. Rozumiem, że nie znalazłeś żadnego deinstalatora w jego folderze? Jeśli nie, trzeba będzie usuwać brutalnie. - Nowa niekorzystna zmiana to pojawienie się Smart File Advisor - część instalacji Alcohol 52%. Ten "Advisor" jest trwale zintegrowany w instalatorze Alcohola i ma zszarzone pole wyboru, więc teoretycznie nie da się tego uniknąć. Jest to jednak możliwe: należy podczas instalacji Alcohola odciąć połączenie sieciowe, co uniemożliwi instalację "Advisora". - Przy okazji, Alcohol był pobierany z kilku źródeł, a pobrane pliki w większości to nie instalatory Alcohola tylko downloadery ładujące śmietnisko. Pobierałeś m.in. z (nie)dobrychprogramów.pl, a obecnie portal ten jest dystrybutorem malware w Asystencie pobierania: KLIK. Kolejna porcja działań: 1. Deinstalacje: ----> Przez Panel sterowania odinstaluj: - Wspominany Smart File Advisor 1.1.8. On jest sprzężony z Alcoholem i deinstalacja usunie też Alcohol 52%, ale potem sobie go zainstalujesz ponownie z odciętym połączeniem sieciowym. - Nadal widzę stare wersje, które miałeś odinstalować: Java 6 Update 22, Java 8 Update 31, OpenOffice.org 3.3. Proszę wykonaj to, stare wersje Java są niebezpieczne, a ten stary OpenOffice nie umie korzystać z innej Java niż 6... ----> Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście odpadkowy wpis Google Update Helper > Dalej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: (Microsoft Corporation) C:\Windows\explorer.exe S3 SWDUMon; C:\Windows\System32\DRIVERS\SWDUMon.sys [16152 2015-01-24] () R1 QMUdisk; C:\Program Files (x86)\Tencent\QQPCMgr\10.8.16208.227\QMUdisk64.sys [62264 2015-04-17] (Tencent) R2 QQPCRTP; C:\Program Files (x86)\Tencent\QQPCMgr\10.8.16208.227\QQPCRtp.exe [297608 2015-05-05] (Tencent) R2 QQSysMonX64; C:\Program Files (x86)\Tencent\QQPCMgr\10.8.16208.227\QQSysMonX64.sys [127800 2015-05-05] (电脑管家) R2 TAOAccelerator; C:\Windows\system32\Drivers\TAOAccelerator64.sys [99640 2015-05-05] (Tencent) S3 TAOFrame; C:\Program Files (x86)\Tencent\QQPCMgr\10.8.16208.227\TAOFrame.exe [293728 2015-05-05] (Tencent) R1 TAOKernelDriver; C:\Windows\System32\Drivers\TAOKernel64.sys [174392 2015-05-05] (Tencent Technology(Shenzhen) Company Limited) R3 TFsFlt; C:\Windows\System32\Drivers\TFsFltX64.sys [87864 2015-05-05] (电脑管家) R3 TS888x64; C:\Program Files (x86)\Tencent\QQPCMgr\10.8.16208.227\TS888x64.sys [28984 2015-05-06] (Tencent) R1 TSCPM; C:\Program Files (x86)\Tencent\QQPCMgr\10.8.16208.227\tscpm64.sys [42296 2015-05-05] (电脑管家) R1 TSDefenseBt; C:\Program Files (x86)\Tencent\QQPCMgr\10.8.16208.227\TsDefenseBT64.sys [28472 2015-05-05] (Tencent) R3 TSSKX64; C:\Windows\System32\drivers\tsskx64.sys [38200 2015-05-05] (电脑管家) R1 TSSysKit; C:\Program Files (x86)\Tencent\QQPCMgr\10.8.16208.227\TSSysKit64.sys [87352 2015-05-05] (电脑管家) S2 lydeteku; C:\Users\sylwester\AppData\Roaming\1F97B14F-1430815727-E411-B2A0-F0761C0D1586\nsfEC0E.tmp [X] HKU\S-1-5-21-2770005542-1391010283-3734432884-1000\...\Run: [apphide] => C:\Program Files (x86)\baidu\baidu.exe [65536 2015-04-06] () ShellIconOverlayIdentifiers: [.QMDeskTopGCIcon] -> {B7667919-3765-4815-A66D-98A09BE662D6} => C:\Program Files (x86)\Tencent\QQPCMgr\10.8.16208.227\QMGCShellExt64.dll [2015-04-07] (Tencent) HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga-plus.com/?type=hppp&ts=1421788717&from=cor&uid=WDCXWD10S21X-24R1BT0-SSHD-8GB_WD-WX91AB3H5653H5653 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.hao123.com/?tn=91932766_hao_pg HKU\S-1-5-21-2770005542-1391010283-3734432884-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hao123.com/?tn=91932766_hao_pg BHO: 电脑管家网页防火墙 -> {7C260B4B-F7A0-40B5-B403-BEFCDC6A4C3B} -> C:\Program Files (x86)\Tencent\QQPCMgr\10.8.16208.227\TSWebMon64.dat [2015-05-05] (Tencent) BHO-x32: No Name -> {1bb456da-878f-44a5-b013-4bfe0ae02fce} -> No File BHO-x32: No Name -> {b608cc98-54de-4775-96c9-097de398500c} -> No File Task: {756652E3-BAE3-4AE0-9C93-D72337257920} - System32\Tasks\GoogleUpdateTaskMachineUA1d04057e810189 => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe AV: 电脑管家系统防护 (Enabled - Up to date) {6F9C3F92-B625-0E47-F0B1-447602EC65F5} AS: 电脑管家系统防护 (Enabled - Up to date) {D4FDDE76-901F-01C9-CA01-7F04796B2F48} C:\Program Files (x86)\baidu C:\Program Files (x86)\Google C:\Program Files (x86)\SlimDrivers C:\Program Files (x86)\Smart File Advisor C:\Program Files (x86)\Tencent C:\Program Files\Common Files\Tencent C:\Program Files (x86)\Common Files\Baidu C:\Program Files (x86)\Common Files\Tencent C:\ProgramData\APN C:\ProgramData\Baidu C:\ProgramData\KingSoft C:\ProgramData\IHProtectUpDate C:\ProgramData\McAfee C:\ProgramData\Orbit C:\ProgramData\Roaming C:\ProgramData\Tencent C:\ProgramData\TXQMPC C:\ProgramData\WindowsMangerProtect C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GAMESDESKTOP C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Smart File Advisor C:\Users\sylwester\AppData\Local\1F97B14F-1430823141-E411-B2A0-F0761C0D1586 C:\Users\sylwester\AppData\Local\CrashRpt C:\Users\sylwester\AppData\Local\ESET C:\Users\sylwester\AppData\Local\Gameo C:\Users\sylwester\AppData\Local\Google C:\Users\sylwester\AppData\Local\Installer C:\Users\sylwester\AppData\Local\SlimWare Utilities Inc C:\Users\sylwester\AppData\Roaming\Baidu C:\Users\sylwester\AppData\Roaming\Dropbox C:\Users\sylwester\AppData\Roaming\Gameo C:\Users\sylwester\AppData\Roaming\KC Softwares C:\Users\sylwester\AppData\Roaming\omiga-plus C:\Users\sylwester\AppData\Roaming\PriceFountain C:\Users\sylwester\AppData\Roaming\systweak C:\Users\sylwester\AppData\Roaming\Tencent C:\Users\sylwester\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Play Games Online.url C:\Users\sylwester\Downloads\*(*)-dp*.exe C:\Users\sylwester\Downloads\*Alcohol*.exe C:\Windows\d3dx.dat C:\Windows\system32\roboot64.exe C:\Windows\system32\Drivers\bd0001.sys C:\Windows\System32\Drivers\SWDUMon.sys C:\Windows\system32\Drivers\TAOAccelerator64.sys C:\Windows\System32\Drivers\TAOKernel64.sys C:\Windows\System32\Drivers\TFsFltX64.sys C:\Windows\system32\Drivers\TSSKX64.sys C:\Windows\SysWOW64\Drivers\TS888x64.sys Folder: C:\Users\sylwester\AppData\Roaming\InstallShield Reg: reg add HKCR\Unknown\shell\openas\command /ve /t REG_EXPAND_SZ /d "%SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1" /f Reg: reg add HKCR\Unknown\shell\opendlg\command /ve /t REG_EXPAND_SZ /d "%SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1" /f Reg: reg delete HKCR\Unknown\shell\openas\command /v sfa_backup /f Reg: reg delete HKCR\Unknown\shell\opendlg\command /v sfa_backup /f Reg: reg delete HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I /f Reg: reg delete HKCU\Software\dobreprogramy /f Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{12DA0E6F-5543-440C-BAA2-28BF01070AFA}{be0fb33b} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\gmsd_pl_109_is1 /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\Smart File Advisor_is1" /f Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść obok narzędzia FRST. Wejdź w Tryb awaryjny Windows. Uruchom FRST i kliknij w Fix. Nastąpi restart, opuść Tryb awaryjny. Powstanie kolejny fixlog.txt. 3. Zrób nowy log FRST z opcji Scan, zaznacz Addition (Shortcut nie jest mi już potrzebny). Dołącz też plik fixlog.txt. Odnośnik do komentarza
jnmpt5ig Opublikowano 7 Maja 2015 Autor Zgłoś Udostępnij Opublikowano 7 Maja 2015 oto one Fixlog.txt FRST.txt Addition.txt Odnośnik do komentarza
picasso Opublikowano 7 Maja 2015 Zgłoś Udostępnij Opublikowano 7 Maja 2015 Czy obecnie notujesz już poprawę w działaniu systemu? Jak po maśle, wszystkie inwazyjne obiekty poszły do piachu, ostał się tylko jeden pusty wpis Tencent i zajmę się nim. Na razie podaj mi jednak dodatkowe szukanie w rejestrze: Uruchom FRST, w polu Search wklej: baidu;hao123;tencent;QQPCMgr Klik w Search Registry i dostarcz wynikowy log Search.txt. Odnośnik do komentarza
jnmpt5ig Opublikowano 7 Maja 2015 Autor Zgłoś Udostępnij Opublikowano 7 Maja 2015 poprawa jest ogromna ,bo nie wyskakuja mi te komunikaty ,kotre zaklucaly prace aplikacji ,lub przerywaly je w trakcie. komputer chodzi tosc szybko i sprawnie. zastanawiam sie czy nie usunac antywirusa. jednak duzo plikow mam w kwarantannie i teraz pytanie czy po wprowadzeniu tych logow te pliki juz sa wyleczone ,czy jak wywale antywirusa to one zaczna mi rozwalac komputer Search.txt Odnośnik do komentarza
picasso Opublikowano 7 Maja 2015 Zgłoś Udostępnij Opublikowano 7 Maja 2015 zastanawiam sie czy nie usunac antywirusa. jednak duzo plikow mam w kwarantannie i teraz pytanie czy po wprowadzeniu tych logow te pliki juz sa wyleczone ,czy jak wywale antywirusa to one zaczna mi rozwalac komputer A dlaczego chcesz likwidować antywirusa? Nie widzę takiej potrzeby w sytuacji, gdy sprawność systemu została odzyskana. Jeśli chodzi o kwarantannę, to jest to obiekt odizolowany i szkodniki nie mogą się z niej samoistnie uruchomić (o ile nie zostanie wywołana opcja przywracania z kwarantanny w miejsce pierwotne), zresztą deinstalacja Avast powinna kwarantannę usunąć. Jeśli Avast nie zostanie odinstalowany, po prostu ją opróżnij z poziomu opcji programu... Jeszcze nie skończyliśmy. Czyszczenie w toku. Kolejna porcja zadań: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM-x32\...\Run: [ QQPCTray] => "C:\Program Files (x86)\Tencent\QQPCMgr\10.8.16208.227\QQPCTray.exe" /regrun DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{63332668-8CE1-445D-A5EE-25929176714E} DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{754DF2CE-51E8-4895-B53C-6381418B84AE} DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{85E0B1AA-04FA-11D1-B7DA-00A0C90348D6} DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{CBDECEF7-7A29-4cbf-A009-2673D82C7BF9} DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{E52EB753-1F56-4DF7-BE53-2C314AC5F8A1} DeleteKey: HKLM\SOFTWARE\Classes\TypeLib\{35627C7C-DB28-4772-9A6F-7607FFCBF9FF} DeleteKey: HKLM\SOFTWARE\Classes\TypeLib\{573F9869-D92C-4B7E-A9C3-F042278D5078} DeleteKey: HKLM\SOFTWARE\Classes\TypeLib\{593BE60A-1C6A-44F9-946D-A5EAB2D53511} DeleteKey: HKLM\SOFTWARE\Classes\TypeLib\{C049F583-D724-4BAB-8F47-F13BCA41B808} DeleteKey: HKLM\SOFTWARE\Classes\PCMgrRepairIEExtensions DeleteKey: HKLM\SOFTWARE\Classes\qmbfile DeleteKey: HKLM\SOFTWARE\Classes\qmgcfiles DeleteKey: HKLM\SOFTWARE\Classes\qpakfile DeleteKey: HKLM\SOFTWARE\Classes\QQPCMgr.qbox DeleteKey: HKLM\SOFTWARE\Classes\Wow6432Node\CLSID\{29B6CFD5-0064-411A-8C42-9890C83F9921} DeleteKey: HKLM\SOFTWARE\Classes\Wow6432Node\CLSID\{4C097DF1-0716-4FA1-84A9-025BC1E7B03F} DeleteKey: HKLM\SOFTWARE\Classes\Wow6432Node\CLSID\{63332668-8CE1-445D-A5EE-25929176714E} DeleteKey: HKLM\SOFTWARE\Classes\Wow6432Node\CLSID\{7044CE4B-FE34-4DD1-A0FA-157E1E179ECA} DeleteKey: HKLM\SOFTWARE\Classes\Wow6432Node\CLSID\{70DE12EA-79F4-46bc-9812-86DB50A2FD64} DeleteKey: HKLM\SOFTWARE\Classes\Wow6432Node\CLSID\{754DF2CE-51E8-4895-B53C-6381418B84AE} DeleteKey: HKLM\SOFTWARE\Classes\Wow6432Node\CLSID\{88260EA6-BC91-42DF-ABEF-4A683E8A3C23} DeleteKey: HKLM\SOFTWARE\Classes\Wow6432Node\CLSID\{91B5E4DE-4C97-41CD-9F94-84BFAABB7371} DeleteKey: HKLM\SOFTWARE\Classes\Wow6432Node\CLSID\{E52EB753-1F56-4DF7-BE53-2C314AC5F8A1} DeleteKey: HKLM\SOFTWARE\Classes\Wow6432Node\TypeLib\{35627C7C-DB28-4772-9A6F-7607FFCBF9FF} DeleteKey: HKLM\SOFTWARE\Classes\Wow6432Node\TypeLib\{573F9869-D92C-4B7E-A9C3-F042278D5078} DeleteKey: HKLM\SOFTWARE\Classes\Wow6432Node\TypeLib\{593BE60A-1C6A-44F9-946D-A5EAB2D53511} DeleteKey: HKLM\SOFTWARE\Classes\Wow6432Node\TypeLib\{C049F583-D724-4BAB-8F47-F13BCA41B808} DeleteKey: HKLM\SOFTWARE\Microsoft\Internet Explorer\Extension Compatibility\{77FEF28E-EB96-44FF-B511-3185DEA48697} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Baidu DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Extension Compatibility\{B580CF65-E151-49C3-B73F-70B13FCA8E86} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{16EE6530-8649-4F42-A9E4-F6A3295AF975} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\baiduanTray_RASAPI32 DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\BaiduHipsUpdate_RASAPI32 DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\BaiduHips_RASAPI32 DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\BaiduSdSvc_RASAPI32 DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\BaiduSdTray_RASAPI32 DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\QQPCMgrUpdate_RASAPI32 DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\tencentdl_RASAPI32 DeleteKey: HKLM\SOFTWARE\Wow6432Node\Tencent DeleteKey: HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_TAOACCELERATOR DeleteKey: HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_QMUDISK DeleteKey: HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TAOKERNELDRIVER DeleteKey: HKLM\SYSTEM\WifiSafeCfg DeleteKey: HKU\S-1-5-21-2770005542-1391010283-3734432884-1000\Software\Classes\VirtualStore\MACHINE\SOFTWARE\Wow6432Node\Tencent DeleteKey: HKU\S-1-5-21-2770005542-1391010283-3734432884-1000\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{29B6CFD5-0064-411A-8C42-9890C83F9921}\iexplore\AllowedDomains\baidu.com DeleteKey: HKU\S-1-5-21-2770005542-1391010283-3734432884-1000\Software\Tencent Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Fonts" /v "Baiduan Number(TrueType)" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\AVAST Software\Avast\PUB-Removed" /v 1d08721fc1601d3 /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Fonts" /v "Baiduan Number(TrueType)" /f Reg: reg delete "HKU\S-1-5-21-2770005542-1391010283-3734432884-1000\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Persisted" /v "C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\uninst.exe" /f Reg: reg delete "HKU\S-1-5-21-2770005542-1391010283-3734432884-1000\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Persisted" /v "C:\Program Files (x86)\Tencent\QQPCMgr\10.8.16208.227\QQPCFileOpen.exe" /f Reg: reg delete "HKU\S-1-5-21-2770005542-1391010283-3734432884-1000\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers" /v "C:\Program Files (x86)\Tencent\QQPCMgr\10.8.16208.227\QQPCFileOpen.exe" /f C:\Windows\Fonts\baiduan_number_new.ttf EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart i powstanie kolejny fixlog.txt. Pokaż go, nowy skan nie jest mi potrzebny. 2. Uruchom AdwCleaner. Na razie wybierz tylko opcję Szukaj (nie stosuj jeszcze Usuń) i dostarcz wynikowy log z folderu C:\AdwCleaner. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się