Pojawienie się reklam i przekierowanie na strony z grami

[jerry1959]

Jak w temacie po kliknięciu w odnośniki na stronach nastepuje przekierowanie na strony z grami. Załączam logi z frst natomiast system zamyka gmera i nie mogę wykonac logów.

FRST.txt

Addition.txt

Shortcut.txt

[picasso]

W tle aktywnie działają usługi adware. Ponadto, są zainfekowane wszystkie przeglądarki. W Firefox są aż dwie infekcje. Podróbka rozszerzenia delicioustechragacom oraz hijack matrycy preferencji:

 

FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\browser\defaults\preferences\prefs.js [2015-11-03]

FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\cfg [2015-11-03]

 

W Google Chrome również są podróbki rozszerzeń. Prócz tego są różne odpadki, w tym po wykonaniu aktualizacji Windows 7 > Windows 10. Wszystkim się zajmę.

 

Akcje do wdrożenia:

 

1. Deinstalacje:

- Klawisz z flagą Windows + X > Programy i funkcje > Odinstaluj stare wersje Acrobat.com, Adobe AIR, Kaspersky Endpoint Security 10 for Windows, Podstawowe programy Windows Live, vShare.tv plugin 1.3 (adware), Win7x64 Components v1.2.4, Windows Live Sync, Windows Media Player Firefox Plugin. Sugeruję także pozbyć się firmowych programów MyWinLocker Suite (o ile nie robiono w nim szyfrowania danych) oraz wszystkie pozycje NTI (jeśli z nich nie korzystasz).

- Przejdź w Tryb awaryjny i zastosuj Kaspersky Remover. Po jego użyciu opuść Tryb awaryjny.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
R1 swsedrvr_vw_1_10_0_25; C:\Windows\System32\drivers\swsedrvr_vw_1_10_0_25.sys [57720 2015-09-22] (SS)
R2 NetTcpHandler; C:\Users\user\AppData\Roaming\NetService\netservice.exe [173088 2015-07-09] ()
U3 idsvc; Brak ImagePath
U3 wpcsvc; Brak ImagePath
HKLM-x32\...\Run: [] => [X]
HKLM-x32\...\Run: [mbot_pl_014010126] => [X]
HKLM-x32\...\Run: [YTDownloader] => "C:\Program Files (x86)\YTDownloader\YTDownloader.exe" /boot
HKLM-x32\...\Run: [gmsd_pl_005010126] => [X]
HKU\S-1-5-21-173458695-754960654-3623925198-1000\...\Run: [YTDownloader] => "C:\Program Files (x86)\YTDownloader\YTDownloader.exe" /boot
GroupPolicy: Ograniczenia - Chrome 
CHR HKLM-x32\...\Chrome\Extension: [kpionmjnkbpcdpcflammlgllecmejgjj] - C:\Program Files (x86)\vShare.tv plugin\vshareplg.crx [2011-08-31]
FF HKLM-x32\...\Firefox\Extensions: [ff-bmboc@bytemobile.com] - C:\Program Files\T-Mobile\InternetManager_H\OCx64\addon => nie znaleziono
SearchScopes: HKLM-x32 -> {98859D5F-9BC6-4047-98EB-D5A6F5A4D139} URL = hxxp://startsear.ch/?aff=1&src=sp&cf=7fb07d16-f63a-11e0-8ba7-206a8a25f6f8&q={searchTerms}
Toolbar: HKU\S-1-5-21-173458695-754960654-3623925198-1000 -> Brak nazwy - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - Brak pliku
Task: {1066539A-9455-44EA-9AC7-14D731AB1366} - System32\Tasks\Microsoft\Windows\Media Center\InstallPlayReady => C:\Windows\ehome\ehPrivJob.exe
Task: {12B9E2DD-387A-4B2A-B8E3-81D4B6F8AA7D} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate_scheduled => C:\Windows\ehome\mcupdate.exe
Task: {187835C1-1EEC-4807-BA07-6D31DA71BB6F} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku 
Task: {1A400B94-20D6-444A-89B1-616FA6004155} - System32\Tasks\{9153F979-F196-4783-988A-4D82C4D2B495} => Iexplore.exe hxxp://ui.skype.com/ui/0/6.1.0.129.272/pl/abandoninstall?page=tsProgressBar
Task: {1B0F704C-9EB4-464E-B417-9A3DC87E343A} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku 
Task: {32BA5F48-E203-4FA0-ADA8-0D89448E065F} - System32\Tasks\Microsoft\Windows\Media Center\OCURActivate => C:\Windows\ehome\ehPrivJob.exe
Task: {3AFCADAE-326B-44FB-95B3-8E92A6EE60D6} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku 
Task: {3DDAF2DB-6E24-498E-989C-C0F43A7E8B3F} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate => C:\Windows\ehome\mcupdate.exe
Task: {3EC7EA53-94A3-4CA1-9EA1-52C8F4901579} - System32\Tasks\SmartWeb Upgrade Trigger Task => C:\Users\user\AppData\Local\SmartWeb\SmartWebHelper.exe 
Task: {461A57BE-05A7-48F0-9898-68EC567C114E} - System32\Tasks\Microsoft\Windows\Media Center\PvrScheduleTask => C:\Windows\ehome\mcupdate.exe
Task: {4D59C131-64C6-459A-A033-FC162808F5F7} - System32\Tasks\Microsoft\Windows\Media Center\PvrRecoveryTask => C:\Windows\ehome\mcupdate.exe
Task: {53662B75-1CBC-4D4C-90D7-3C47673CEB26} - System32\Tasks\Microsoft\Windows\Media Center\UpdateRecordPath => C:\Windows\ehome\ehPrivJob.exe
Task: {62BFD991-3309-4DD5-B24A-B9E4B8193DA4} - System32\Tasks\{E662730B-36F9-4981-92D6-E6F19F64E78C} => pcalua.exe -a "C:\Program Files (x86)\YTDownloader\YTDUninstall.exe"
Task: {64D3BA78-CFA0-4CA8-A0B4-E64CF4866931} - System32\Tasks\Microsoft\Windows\Media Center\RecordingRestart => C:\Windows\ehome\ehrec.exe
Task: {6569E1E0-E920-4470-84F2-B904A1B289AA} - System32\Tasks\Microsoft\Windows\Media Center\RegisterSearch => C:\Windows\ehome\ehPrivJob.exe
Task: {69A5800A-3F83-4D91-B5BC-535E6AD15B5C} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku 
Task: {71294760-8641-49DE-B9F4-760896B2BC00} - System32\Tasks\SPBIW_UpdateTask_Time_313034343633363334382d234a784132345b2a346c2d5a => Wscript.exe //B "C:\ProgramData\ShopperPro\spbihe.js" spbiu.exe /invoke /f:check_services /l:0 
Task: {7713ECAA-4965-43EE-BB40-75A7F7C8BB71} - System32\Tasks\Microsoft\Windows\Media Center\ActivateWindowsSearch => C:\Windows\ehome\ehPrivJob.exe
Task: {78679368-AB73-4CCD-ADA3-768E7E33FF33} - System32\Tasks\Microsoft\Windows\Media Center\OCURDiscovery => C:\Windows\ehome\ehPrivJob.exe
Task: {7AD7772F-5ED7-4996-87A2-28D0101B9A5C} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW1 => C:\Windows\ehome\ehPrivJob.exe
Task: {81249C5C-F403-445A-937C-69BAFEBA5ADA} - System32\Tasks\{E08CC4C0-D705-465A-8FE0-6AFE0BB4E297} => pcalua.exe -a "C:\Program Files (x86)\Common Files\Nero\Nero ProductInstaller 4\SetupX.exe" -c REMOVESERIALNUMBER="XM02-508X-MHAT-19WU-9Z3Z-0CH0-3U6E-85W5-MMHH-6647-1Z5L-7M8C-0U45-758P-0000"
Task: {89E47A8D-0935-4EE8-BAD9-F8D227890D9B} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW2 => C:\Windows\ehome\ehPrivJob.exe
Task: {8E4C2FBE-4BCC-4FD0-90B1-DC3250FEE6F3} - System32\Tasks\ShopperProJSUpd => C:\Program Files (x86)\ShopperPro\updater.exe 
Task: {97B43E29-F0DE-4997-BB5E-520F36F66EAF} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku 
Task: {97E8958D-6E50-45A4-A6DB-70F2B1023E7B} - System32\Tasks\Microsoft\Windows\Media Center\MediaCenterRecoveryTask => C:\Windows\ehome\mcupdate.exe
Task: {9B8B7F0D-619F-4CAA-9806-21285EC6C0E7} - System32\Tasks\Microsoft\Windows\Media Center\ConfigureInternetTimeService => C:\Windows\ehome\ehPrivJob.exe
Task: {9E712D4D-8132-42F7-9C17-3DAA1E5E653C} - System32\Tasks\Microsoft\Windows\Media Center\SqlLiteRecoveryTask => C:\Windows\ehome\mcupdate.exe
Task: {A3DE8C14-77AC-4709-A582-E4FD325AF28D} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku 
Task: {A5242098-0C99-4DD2-B54E-08F5DBB7B725} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku 
Task: {B39A73A5-0A18-4A30-98DE-EFFB67C6DDC1} - System32\Tasks\Microsoft\Windows\Media Center\ehDRMInit => C:\Windows\ehome\ehPrivJob.exe
Task: {B70D1669-6065-438A-B174-98DDD0324ACD} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku 
Task: {C55623AE-E542-4599-807C-F8A2B1712B94} - System32\Tasks\Microsoft\Windows\Media Center\ReindexSearchRoot => C:\Windows\ehome\ehPrivJob.exe
Task: {CFAA5632-3BD7-487F-B2C3-D2A6BC135756} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku 
Task: {D12AB06D-CCB8-4B53-8E53-600FF6C2B5CE} - System32\Tasks\Microsoft\Windows\Media Center\DispatchRecoveryTasks => C:\Windows\ehome\ehPrivJob.exe
Task: {DE6A4A96-9CFB-4B2A-BD2B-3FAAB2319019} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku 
Task: {DF3AB43A-D42D-4AA9-B8B5-5D365945B8D7} - System32\Tasks\Microsoft\Windows\Media Center\PeriodicScanRetry => C:\Windows\ehome\MCUpdate.exe
Task: {F62839C1-0ADE-41FC-A997-3B2A7FFBC6A9} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscovery => C:\Windows\ehome\ehPrivJob.exe
Task: {F795F17D-CF62-420D-B4E0-3B40C12F8070} - System32\Tasks\Microsoft\Windows\Media Center\ObjectStoreRecoveryTask => C:\Windows\ehome\mcupdate.exe
Task: {FFF2D0CE-AC12-41BA-8C47-0445E0E148E4} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku 
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Media Center
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{7ADF667E-E14D-4D2C-827C-B0108F0D93BC}
C:\END
C:\Program Files\Common Files\ShopperPro
C:\Program Files (x86)\A0131610-1445882937-DF11-9ABD-F4FD025DC913
C:\Program Files (x86)\globalUpdate
C:\Program Files (x86)\Mozilla Firefox\cfg
C:\Program Files (x86)\Mozilla Firefox\browser\defaults
C:\Program Files (x86)\Mozilla Firefox\extensions
C:\Program Files (x86)\Mozilla Firefox\plugins
C:\Program Files (x86)\Opera
C:\ProgramData\ShopperPro
C:\ProgramData\Temp
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Kaspersky Endpoint Security 10 for Windows
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Win7codecs
C:\Users\user\AppData\Local\{A9711B20-C0C7-4534-847F-5A633520D6C8}
C:\Users\user\AppData\Local\Bron.tok.A12.em.bin
C:\Users\user\AppData\Local\Kosong.Bron.Tok.txt
C:\Users\user\AppData\Local\A0131610-1445886623-DF11-9ABD-F4FD025DC913
C:\Users\user\AppData\Local\BrowserHelper
C:\Users\user\AppData\Local\CrashRpt
C:\Users\user\AppData\Local\Crsoft
C:\Users\user\AppData\Local\globalUpdate
C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Preferences
C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Web Data
C:\Users\user\AppData\Local\Microsoft\Windows\GameExplorer\{0D90C1DB-8BF4-4A41-AFDC-0F762AA78CB4}
C:\Users\user\AppData\Local\Opera software
C:\Users\user\AppData\Local\SmartWeb
C:\Users\user\AppData\Roaming\NetService
C:\Users\user\AppData\Roaming\Opera software
C:\Users\user\AppData\Roaming\RunDir
C:\Users\user\Desktop\Continue Live Installation.lnk
C:\Users\user\Downloads\Ninite Inkscape Installer.exe
C:\Users\Public\Documents\ShopperPro
C:\Windows\ehome
C:\Windows\System32\drivers\swsedrvr_vw_1_10_0_25.sys
C:\WINDOWS\System32\Drivers\etc\hp.bak
C:\WINDOWS\SysWOW64\029B560A371F4E00AB32838EBC01B9E7
Folder: C:\WINDOWS\system32\GroupPolicy
Folder: C:\WINDOWS\SysWOW64\GroupPolicy
CMD: type C:\ProgramData\ntuser.pol
CMD: netsh advfirewall reset
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Wyczyść przeglądarki z adware:

 

Firefox:

• Odłącz synchronizację (o ile włączona): KLIK.
• Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.
• Menu Historia > Wyczyść historię przeglądania

Google Chrome:

• Zresetuj synchronizację (o ile włączona): KLIK.
• Ustawienia > karta Rozszerzenia > odinstaluj wszystkie widoczne rozszerzenia.
• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
• Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

Ale widzę, że Firefox jest ustawiony jako domyślna. Jeśli to główna przeglądarka, to lepiej Google Chrome w całości odinstalować niż czyścić. Jeśli wybierzesz tę drogę, to przy deinstalacji zaznacz opcję usuwania profilu Usuń także dane przeglądarki.

 

4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z zaznaczonym polem Addition, ale bez Shortcut. Dołącz też plik fixlog.txt.

[jerry1959]

Dziekuję za pomoc, reklamy nie pojawiają się, dołączam wymagane logi

Fixlog.txt

FRST.txt

Addition.txt

[picasso]

Wszystko gładko poszło. Teraz już tylko poprawki:

 

1. Otwórz Notatnik i wklej w nim:

 

HKLM\...\Run: [mwlDaemon] => C:\Program Files (x86)\EgisTec MyWinLocker\x86\mwlDaemon.exe
HKU\S-1-5-21-173458695-754960654-3623925198-1000\...\Run: [msnmsgr] => "C:\Program Files (x86)\Windows Live\Messenger\msnmsgr.exe" /background
FF Plugin-x32: @microsoft.com/WLPG,version=15.4.3502.0922 -> C:\Program Files (x86)\Windows Live\Photo Gallery\NPWLPG.dll [brak pliku]
S2 Crashhd; C:\Users\user\AppData\Local\Crsoft\crsvc.exe -st [X]
RemoveDirectory: C:\FRST\Quarantine
RemoveDirectory: C:\Program Files (x86)\Kaspersky Lab
RemoveDirectory: C:\Program Files (x86)\Windows Live
RemoveDirectory: C:\ProgramData\Kaspersky Lab
RemoveDirectory: C:\Users\user\AppData\Local\{0D4D30AF-3AB6-4669-828D-F5B8D991DFAD}
RemoveDirectory: C:\Users\user\Desktop\Stare dane programu Firefox
CMD: del /q C:\Users\user\Downloads\067prvpu.exe
CMD: del /q C:\Users\user\Downloads\kavremvr 2015-11-09 18-49-55 (pid 1208).log
CMD: del /q C:\Users\user\Downloads\fixlist.txt
CMD: del /q C:\Users\user\Documents\fixlist.txt
CMD: type C:\WINDOWS\Tasks\CreateExplorerShellUnelevatedTask.job
CMD: del /q C:\WINDOWS\Tasks\CreateExplorerShellUnelevatedTask.job
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v msnmsgr /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v mwlDaemon /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v EgisTecPMMUpdate /f

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.

 

2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

[jerry1959]

Witam!

Załączam wymagane logi. Mam jeszcze pytanie co zainstalować aby ten syf nie pchał się do komputera.

Fixlog.txt

AdwCleanerS1.txt

[picasso]

Kolejna porcja. Wklej do Notatnika:

 

DeleteKey: HKCU\Software\ArenaHD
DeleteKey: HKCU\Software\DAILYPCCLEAN
DeleteKey: HKCU\Software\GlobalUpdate
DeleteKey: HKCU\Software\HighDefAction
DeleteKey: HKCU\Software\InstallCore
DeleteKey: HKCU\Software\MyBestOffersToday
DeleteKey: HKCU\Software\StartSearch
DeleteKey: HKCU\Software\TutoTag
DeleteKey: HKCU\Software\vShare.tv
DeleteKey: HKCU\Software\YorkNewCin
DeleteKey: HKCU\Software\AppDataLow\Software\Crossrider
DeleteKey: HKCU\Software\AppDataLow\Software\_CrossriderRegNamePlaceHolder_
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD}
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5}
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{A1B48071-416D-474E-A13B-BE5456E7FC31}
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD}
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5}
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD}
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5}
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{8F97BFF8-488B-4107-BCEE-B161AB4E4183}
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\amiupdaterExd
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\amiupdaterExi
DeleteKey: HKLM\SOFTWARE\ArenaHD
DeleteKey: HKLM\SOFTWARE\HighDefAction
DeleteKey: HKLM\SOFTWARE\im-dosearch
DeleteKey: HKLM\SOFTWARE\SAKURA
DeleteKey: HKLM\SOFTWARE\seekmx
DeleteKey: HKLM\SOFTWARE\ShopperPro
DeleteKey: HKLM\SOFTWARE\YorkNewCin
DeleteKey: HKLM\SOFTWARE\Wow6432Node\AppDataLow\SOFTWARE\Crossrider
DeleteKey: HKLM\SOFTWARE\Wow6432Node\AppDataLow\SOFTWARE\_CrossriderRegNamePlaceHolder_
DeleteKey: HKLM\SOFTWARE\Wow6432Node\eSafeSecControl
DeleteKey: HKLM\SOFTWARE\Wow6432Node\GlobalUpdate
DeleteKey: HKLM\SOFTWARE\Wow6432Node\SP Global
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Tutorials
DeleteKey: HKLM\SOFTWARE\Wow6432Node\YorkNewCin
DeleteKey: HKLM\SOFTWARE\Wow6432Node\HighDefAction
DeleteKey: HKLM\SOFTWARE\Wow6432Node\oursurfingSoftware
DeleteKey: HKLM\SOFTWARE\Wow6432Node\ArenaHD
DeleteKey: HKLM\SOFTWARE\Wow6432Node\im-dosearch
DeleteKey: HKLM\SOFTWARE\Wow6432Node\seekmx
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Crashhd
DeleteKey: HKLM\SOFTWARE\Wow6432Node\SAKURA
DeleteKey: HKLM\SOFTWARE\Wow6432Node\NetTcpHandler
DeleteKey: HKLM\SOFTWARE\Wow6432Node\NtSvcHandler
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{61AB12E1-A5FF-11D1-B2E9-444553540000}
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{82351441-9094-11D1-A24B-00A0C932C7DF}
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{3CCC052E-BDEE-408A-BEA7-90914EF2964B}
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{61F47056-E400-43D3-AF1E-AB7DFFD4C4AD}
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{E2B98EEA-EE55-4E9B-A8C1-6E5288DF785A}
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{D879A501-50A7-BEFC-A4C5-32DC6E0CB208}
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\TypeLib\{82351433-9094-11D1-A24B-00A0C932C7DF}
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\App Paths\ShopperPro.exe
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD}
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5}
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{8F97BFF8-488B-4107-BCEE-B161AB4E4183}
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{A1B48071-416D-474E-A13B-BE5456E7FC31}
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{EE171732-BEB4-4576-887D-CB62727F01CA}
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\SU
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\VOPackage
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\GLOBALUPDATE.EXE
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Control\Class\{0014298C-A9BA-440D-AAA8-AD12C7010EE5}
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Control\Class\{181A06EA-B82C-47DE-B851-E20FD0E1CC7D}
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\NetTcpHandler
DeleteKey: HKU\S-1-5-18\Software\AppDataLow\Software\_CrossriderRegNamePlaceHolder_
DeleteKey: HKU\S-1-5-18\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\windows_ie_ac_001\Software\Installer
DeleteKey: HKU\S-1-5-18\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\windows_ie_ac_001\Software\_CrossriderRegNamePlaceHolder_
RemoveDirectory: C:\ProgramData\BurrowsEE2siave
RemoveDirectory: C:\users\user\AppData\LocalLow\BurrowsEE2siave
RemoveDirectory: C:\users\user\AppData\Roaming\NCdownloader
CMD: del /q "C:\Users\user\Downloads\kavremvr 2015-11-09 18-49-55 (pid 1208).log"

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

 

 

 

Mam jeszcze pytanie co zainstalować aby ten syf nie pchał się do komputera.

Na początek poczytaj ogólnie skąd ten typ instalacji wchodzi: KLIK. Jeśli chodzi o zabezpieczenie ograniczające takie instalacje (blokujące je), to tam na końcu jest linkowany darmowy program Unchecky. Ponadto, komercyjna wersja MBAM ma strażnika, który także może zatrzymać pewne instalacje.

[jerry1959]

Witam! Załączam log frst

Fixlog.txt

[picasso]

Wszystko zrobione. Kończymy:

 

Skasuj folder C:\Users\user\Downloads\frst. Następnie popraw jeszcze za pomocą DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

[jerry1959]

Dziękuję za pomoc w usunięciu syfu, Picasso jesteś SUPER!!!