panmarcin Opublikowano 23 Maja 2015 Zgłoś Udostępnij Opublikowano 23 Maja 2015 Plik instalacyjny został ściągnięty z jednego z linków w opisie filmu na yt. Włączyłem komputer w trybie awaryjnym i wyłączyłem w menadżerze zadań QQPCTray. Użyłem Malwarebytes Anti-Malware - pojawił się komunikat o usunięciu wszystkiego. Po restarcie okazało się, że jednak program wciąż jest. Po ponownym trybie awaryjnym użyłem Combofix - kolejny raport o usunięciu wszystkiego. Restart, program wciąż uruchamia się z systemem. Proszę o szybką pomoc. Pozdrawiam Marcin PS. Mam nadzieję, że wszystkie skany wykonałem w odpowiedni sposób, mój system to Windows 7 64-bit Addition.txt FRST.txt GMER.txt Shortcut.txt Odnośnik do komentarza
Damian747 Opublikowano 25 Maja 2015 Zgłoś Udostępnij Opublikowano 25 Maja 2015 Możesz spróbować do odinstalowania programu GeekUninstaller. Wiele razy mi pomógł Odnośnik do komentarza
Zappa Opublikowano 25 Maja 2015 Zgłoś Udostępnij Opublikowano 25 Maja 2015 Zacznij od odinstalowania z panelu programów nastepujących śmieci: Double-sided Launch, DOwnSavEa, General Runtime Files for Allplan 2012, EnujoyCoupon, Web Amplified. Potem wykonaj nowy skan FRST - opcji Addition i Schortcut nie zaznaczaj. Odnośnik do komentarza
panmarcin Opublikowano 25 Maja 2015 Autor Zgłoś Udostępnij Opublikowano 25 Maja 2015 Wielkie dzięki za odpowiedź, więc tak: niestety nie mogę wyłączyć : General Runtime Files for Allplan 2012 - ponieważ używam tego programu na co dzień. Resztę programów odinstalowałem, jeszcze kilka zbędnych oprócz tego. A z chińską aplikacją zwaną Tencent poradziłem sobie w taki sposób, że dałem odinstaluj - nie spanikowałem, jak zawsze, po pojawieniu się "krzaków" tylko kliknąłem w lewą opcję (zgadując, że w chińskim ok i anuluj jest na odwrót) wyskoczyło okno z czerwoną obramówką i wybrałem czerwoną opcję ( zgadując, że tam znajduje się odinstaluj) i udało się. Aplikacja zniknęła. Pozostało po niej w folderze C:\Program Files (x86)\Tencent trzy pliki - które po restarcie systemu udało się usunąć. może komuś przyda się metoda odinstalowywania na czuja (ogólnie nie polecam) Pozdrawiam Marcin FRST.txt Odnośnik do komentarza
picasso Opublikowano 27 Maja 2015 Zgłoś Udostępnij Opublikowano 27 Maja 2015 może komuś przyda się metoda odinstalowywania na czuja (ogólnie nie polecam) Ale to najlepsza metoda. W takich przypadkach należy użyć natywny deinstalator danej aplikacji. Usuwanie za pomocą programów trzecich może skutkować pozostawieniem większej ilości śmieci. niestety nie mogę wyłączyć : General Runtime Files for Allplan 2012 - ponieważ używam tego programu na co dzień. To była pomyłka. Komponenty CAD-owskiego programu. Post powyżej usuwam - zamiennie instrukcje z większą ilością elementów do usunięcia: 1. Do deinstalacji było więcej obiektów adware: Commercial Extension Cable, CurrencyShow, DiscountSmasher, Distributed Computing Experiment, FindBaeosttDeal, Happy2SaviE, KeepersEixt, TSearch. Jeśli tego samodzielnie już nie odinstalowałeś, wykonaj to. Następnie: 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM-x32\...\Run: [WinCheck] => C:\Users\GG Projekt 13\AppData\Local\03000200-1432201896-0500-0006-000700080009\bnsy3A47.exe [273408 2015-05-21] () S2 2df638ba; "C:\Windows\system32\rundll32.exe" "c:\Program Files (x86)\LibraryApps\LibraryApps.dll",serv U5 AppMgmt; C:\Windows\system32\svchost.exe [27136 2009-07-14] (Microsoft Corporation) S3 TSSKX64; C:\Windows\System32\drivers\tsskx64.sys [38200 2015-05-21] (电脑管家) S3 catchme; \??\C:\ComboFix\catchme.sys [X] U2 DCE; No ImagePath S1 QMUdisk; \??\C:\Program Files (x86)\Tencent\QQPCMgr\10.9.16349.225\QMUdisk64.sys [X] S3 TS888x64; \??\C:\Program Files (x86)\Tencent\QQPCMgr\10.9.16349.225\TS888x64.sys [X] S1 TsDefenseBt; \??\C:\Program Files (x86)\Tencent\QQPCMgr\10.9.16349.225\TsDefenseBT64.sys [X] S2 QQPCRTP; "C:\Program Files (x86)\Tencent\QQPCMgr\10.9.16349.225\QQPCRtp.exe" -r [X] S2 Update Web Amplified; "C:\Program Files (x86)\Web Amplified\updateWebAmplified.exe" [X] S2 Util Web Amplified; "C:\Program Files (x86)\Web Amplified\bin\utilWebAmplified.exe" [X] Task: {01316ED0-5C1E-46BA-A2BC-1074C643ED66} - System32\Tasks\{CA3536A6-5897-4EFD-9C74-9174E5B192FE} => pcalua.exe -a C:\PROGRA~2\COMMON~1\INSTAL~1\Driver\11\INTEL3~1\IDriver.exe -c /M{457D7505-D665-4F95-91C3-ECB8C56E9ACA} Task: {0FCCAA24-92D8-4191-9396-2FA11AB11486} - System32\Tasks\UNELEVATE_54 => C:\Program Files (x86)\ShopperPro\JSDriver\1.37.0.193\jsdrv.exe Task: {159BD493-2DB1-4B21-A8BE-F33062ECA4EE} - System32\Tasks\Update Service for Torrent Search => C:\Program Files (x86)\Torrent Search\P9qQBHj.exe [2015-05-20] () Task: {6A076CFF-1D9A-4039-AC26-542D7416BBCC} - System32\Tasks\UNELEVATE_9616 => C:\Program Files (x86)\ShopperPro\JSDriver\1.37.0.193\jsdrv.exe Task: {8C1877E9-A271-442A-A6BF-E7B4202018A1} - System32\Tasks\UNELEVATE_7262 => C:\Program Files (x86)\ShopperPro\JSDriver\1.37.0.193\jsdrv.exe Task: {AE944D4F-5897-4B36-8F10-1FA19DCB41EC} - System32\Tasks\UNELEVATE_14614 => C:\Program Files (x86)\ShopperPro\JSDriver\1.37.0.193\jsdrv.exe Task: {C0117BF4-FD36-4346-ADB0-F40062056404} - System32\Tasks\Update Service for Torrent Search2 => C:\Program Files (x86)\Torrent Search\P9qQBHj.exe [2015-05-20] () Task: C:\Windows\Tasks\Update Service for Torrent Search.job => C:\Program Files (x86)\Torrent Search\P9qQBHj.exe Task: C:\Windows\Tasks\Update Service for Torrent Search2.job => C:\Program Files (x86)\Torrent Search\P9qQBHj.exe GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-1967409539-1089874523-638691166-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.hao123.com/?tn=98016256_hao_pg HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKU\S-1-5-21-1967409539-1089874523-638691166-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-21-1967409539-1089874523-638691166-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hao123.com/?tn=98016256_hao_pg HKU\S-1-5-21-1967409539-1089874523-638691166-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=6a7fa1215d6ed801e3c2090a735f9705&text={searchTerms} SearchScopes: HKU\S-1-5-21-1967409539-1089874523-638691166-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=6a7fa1215d6ed801e3c2090a735f9705&text={searchTerms} SearchScopes: HKU\S-1-5-21-1967409539-1089874523-638691166-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-1967409539-1089874523-638691166-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=6a7fa1215d6ed801e3c2090a735f9705&text={searchTerms} SearchScopes: HKU\S-1-5-21-1967409539-1089874523-638691166-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3D} URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=6a7fa1215d6ed801e3c2090a735f9705&text= BHO-x32: Ó¦Óñ¦Ň»Ľü°˛×°˛ĺĽţ -> {50F4150A-48B2-417A-BE4C-C83F580FB904} -> C:\Program Files (x86)\Common Files\Tencent\QQPhoneManager\2.0.201.3198\npQQPhoneManagerExt.dll [2014-05-30] (腾讯公司) DefaultPrefix-x32: => http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=6a7fa1215d6ed801e3c2090a735f9705&text= HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\QQPCRTP => ""="service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\QQPCRTP => ""="service" C:\Program Files (x86)\ChEApMMee C:\Program Files (x86)\Crossbrowse C:\Program Files (x86)\DiogiSaver C:\Program Files (x86)\Elex-tech C:\Program Files (x86)\Happy2SaviE C:\Program Files (x86)\RobooSaveir C:\Program Files (x86)\Silver Bird Plus Twitter Client C:\Program Files (x86)\Tencent C:\Program Files (x86)\TremendousSAlea C:\Program Files\Common Files\Tencent C:\ProgramData\{81b8c1b6-08fc-ac46-81b8-8c1b608f06d8} C:\ProgramData\eSafe C:\ProgramData\Tencent C:\ProgramData\TXQMPC C:\Users\GG Projekt 13\AppData\Local\03000200-1432201896-0500-0006-000700080009 C:\Users\GG Projekt 13\AppData\Local\genienext C:\Users\GG Projekt 13\AppData\Roaming\Elex-tech C:\Users\GG Projekt 13\AppData\Roaming\Tencent C:\Users\GG Projekt 13\AppData\Roaming\TSearch C:\Windows\system32\Drivers\TFsFltX64.sys C:\Windows\system32\Drivers\TSSKX64.sys C:\Windows\system32\log C:\Windows\SysWOW64\Drivers\TS888x64.sys CMD: netsh advfirewall reset Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa raporty. Dołącz też plik fixlog.txt. Odnośnik do komentarza
Strzelczanin Opublikowano 31 Maja 2015 Zgłoś Udostępnij Opublikowano 31 Maja 2015 @picasso czy tego wpisy nalezy usuwać? HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com Odnośnik do komentarza
picasso Opublikowano 1 Czerwca 2015 Zgłoś Udostępnij Opublikowano 1 Czerwca 2015 (edytowane) Strzelczanin, wpis w HKLM (globalny) już zmodyfikowany przez jakieś narzędzie czyszczące - przypuszczalnie AdwCleaner - bez poprawnego prefiksu http://, dlatego zadany do przetworzenia via FRST (przywróci domyślną wartość systemową). Narzędzia czyszczące nie zachowują się spójnie i zastępują przejęte przez adware wartości na różną modłę, staram się wszędzie przywracać domyślne wartości Windows, nawet jeśli ma to nikłe bądź zerowe znaczenie. Edytowane 2 Czerwca 2016 przez picasso Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi