Samoczynnie instalujące się programy

[SainT]

Mam taki sam problem z instalującymi się programami. Oto moje logi proszę o pomoc

FRST.txt

Addition.txt

Shortcut.txt

[picasso]

1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj adware Licence Device, Remote Desktop Access oraz odpadek po odinstalowanym McAfee Shared C Run-time for x64. Jeśli coś nie będzie widoczne lub zwróci błąd deinstalacji, kontynuuj.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
R2 dokiduke; C:\Program Files (x86)\4A293868-1448785017-E311-A968-201A063026A5\knsnAF9E.tmp [645632 2015-11-29] () [brak podpisu cyfrowego]
R2 ginoquci; C:\Users\User\AppData\Local\Temp\nsx189F.tmp [222208 2015-11-29] () [brak podpisu cyfrowego]
S2 hidekoqe; C:\Users\User\AppData\Local\4A293868-1448825004-E311-A968-201A063026A5\qnsu1AE6.tmp [142336 2015-10-13] () [brak podpisu cyfrowego]
R2 NetTcpHandler; C:\Users\User\AppData\Roaming\NetService\netservice.exe [173088 2015-07-09] ()
R2 ryrojiry; C:\Program Files (x86)\4A293868-1448785017-E311-A968-201A063026A5\hnsp2D60.tmp [617984 2015-11-29] () [brak podpisu cyfrowego]
R2 SSFK; C:\Program Files (x86)\SFK\SSFK.exe [170144 2015-11-29] (TODO: )
R2 WdsManPro; C:\ProgramData\WWMiniProW\WMiniPro.exe [309384 2015-11-29] (DTools LIMITED)
R2 xenyduje; C:\Users\User\AppData\Local\4A293868-1448788659-E311-A968-201A063026A5\snsf9477.tmp [325632 2015-11-29] () [brak podpisu cyfrowego]
S3 HWiNFO32; \??\C:\Users\User\AppData\Local\Temp\HWiNFO64A.SYS [X]
S3 L1C; \SystemRoot\system32\DRIVERS\L1C63x64.sys [X]
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> www.aqovd.com?oem=sunadplv3&uid=JD1000CH20H0YJ_HGSTHTS541010A9E680&tm=1448823869
ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> www.aqovd.com?oem=sunadplv3&uid=JD1000CH20H0YJ_HGSTHTS541010A9E680&tm=1448823869
ShortcutWithArgument: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> www.aqovd.com?oem=sunadplv3&uid=JD1000CH20H0YJ_HGSTHTS541010A9E680&tm=1448823869
ShortcutWithArgument: C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> www.aqovd.com?oem=sunadplv3&uid=JD1000CH20H0YJ_HGSTHTS541010A9E680&tm=1448823869
ShortcutWithArgument: C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> www.aqovd.com?oem=sunadplv3&uid=JD1000CH20H0YJ_HGSTHTS541010A9E680&tm=1448823869
ShortcutWithArgument: C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> www.aqovd.com?oem=sunadplv3&uid=JD1000CH20H0YJ_HGSTHTS541010A9E680&tm=1448823869
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.oursurfing.com/?type=sc&ts=1448823137&z=73c55cc85e5fd47fd03e094g5zdzfb5b7o9cdgcoat&from=tt4u&uid=HGSTXHTS541010A9E680_JD1000CH20H0YJ20H0YJX
StartMenuInternet: Google Chrome - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe hxxp://www.oursurfing.com/?type=sc&ts=1448823137&z=73c55cc85e5fd47fd03e094g5zdzfb5b7o9cdgcoat&from=tt4u&uid=HGSTXHTS541010A9E680_JD1000CH20H0YJ20H0YJX
SearchScopes: HKU\S-1-5-21-381011488-45469353-525764923-1001 -> DefaultScope {F0566F6B-A283-4BFB-88BD-DEA0C882F4C8} URL =
SearchScopes: HKU\S-1-5-21-381011488-45469353-525764923-1001 -> {F0566F6B-A283-4BFB-88BD-DEA0C882F4C8} URL =
CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChromeSp.crx [2015-11-10]
Task: {1C08D9E7-2907-4D51-92E1-6B1D61332320} - System32\Tasks\APSnotifierPP1 => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe 
Task: {6239B3D5-760D-467B-BF2A-F38F14651112} - System32\Tasks\APSnotifierPP2 => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe 
Task: {839C2992-AD85-493D-B608-287AE4531B92} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program => C:\Program Files\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2013-02-12] (Lenovo)
Task: {AA4C3014-9690-452F-8536-0E0791BA818F} - System32\Tasks\APSnotifierPP3 => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe 
Task: C:\WINDOWS\Tasks\APSnotifierPP1.job => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe 
Task: C:\WINDOWS\Tasks\APSnotifierPP2.job => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe 
Task: C:\WINDOWS\Tasks\APSnotifierPP3.job => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe 
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""=""
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""=""
HKLM-x32\...\Run: [mcui_exe] => "C:\Program Files\McAfee.com\Agent\mcagent.exe" /runkey
HKLM-x32\...\Run: [gmsd_pl_005010161] => [X]
C:\Program Files (x86)\4A293868-1448785017-E311-A968-201A063026A5
C:\Program Files (x86)\Opera
C:\Program Files (x86)\SFK
C:\Program Files (x86)\Yahoo!
C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat
C:\ProgramData\WWMiniProW
C:\ProgramData\Microsoft\Windows\GameExplorer\{BBF63130-E765-4F26-922B-524C77F9C608}
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Assassins Creed III
C:\Users\User\AppData\Local\file__0.localstorage
C:\Users\User\AppData\Local\nsz342A.tmp
C:\Users\User\AppData\Local\4A293868-1448825004-E311-A968-201A063026A5
C:\Users\User\AppData\Local\4A293868-1448788659-E311-A968-201A063026A5
C:\Users\User\AppData\Local\Opera Software
C:\Users\User\AppData\Roaming\AnyProtectEx
C:\Users\User\AppData\Roaming\NetService
C:\Users\User\AppData\Roaming\Opera Software
C:\Users\User\AppData\Roaming\oursurfing
C:\Users\User\AppData\Roaming\RunDir
C:\Users\User\AppData\Roaming\shortCutStore
C:\Users\User\AppData\Roaming\VOPackage
C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Nero (32-bit)
C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\VOPackage
C:\Users\User\Downloads\url.htm
C:\WINDOWS\system32\Drivers\etc\hp.bak
C:\WINDOWS\SysWOW64\history.dat
Reg: reg delete HKLM\SOFTWARE\Mozilla /f
Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{7ADF667E-E14D-4D2C-827C-B0108F0D93BC} /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f
CMD: netsh advfirewall reset
CMD: type C:\ProgramData\Lenovo-1731.vbs
CMD: type C:\ProgramData\Lenovo-1747.vbs
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale bez Shortcut. Dołącz też plik fixlog.txt.

[SainT]

Wykonane logi:

FRST.txt

Addition.txt

Fixlog.txt

[picasso]

W międzyczasie zrobiłeś więcej niż podane, tzn. uruchomiłeś AdwCleaner i to starą wersję 4.111. Poprawki:

 

1. Otwórz Notatnik i wklej w nim:

 

HKLM-x32\...\Run: [gmsd_pl_005010162] => [X]
ShellIconOverlayIdentifiers: [sugarSyncBackedUp] -> {0C4A258A-3F3B-4FFF-80A7-9B3BEC139472} => C:\Program Files (x86)\SugarSync\SugarSyncShellExt_x64.dll Brak pliku
ShellIconOverlayIdentifiers: [sugarSyncPending] -> {62CCD8E3-9C21-41E1-B55E-1E26DFC68511} => C:\Program Files (x86)\SugarSync\SugarSyncShellExt_x64.dll Brak pliku
ShellIconOverlayIdentifiers: [sugarSyncRoot] -> {A759AFF6-5851-457D-A540-F4ECED148351} => C:\Program Files (x86)\SugarSync\SugarSyncShellExt_x64.dll Brak pliku
ShellIconOverlayIdentifiers: [sugarSyncShared] -> {1574C9EF-7D58-488F-B358-8B78C1538F51} => C:\Program Files (x86)\SugarSync\SugarSyncShellExt_x64.dll Brak pliku
RemoveDirectory: C:\AdwCleaner
RemoveDirectory: C:\FRST\Quarantine
RemoveDirectory: C:\ProgramData\FWMiniProF
RemoveDirectory: C:\Users\User\AppData\Local\Plugin Kingdom
CMD: del /q "C:\WINDOWS\SysWOW64\Number of results"
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. Nowe skany FRST nie są mi już potrzebne.

 

2. Uruchom najnowszą wersję AdwCleaner. Wybierz tyklko opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

[SainT]

Wykonane logi:

Fixlog.txt

AdwCleanerS4.txt

[picasso]

Ostatnia poprawka. Otwórz Notatnik i wklej w nim:

 

DeleteKey: HKCU\Software\TutoTag
DeleteKey: HKCU\Software\DAILYPCCLEAN
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Tutorials
DeleteKey: HKLM\SOFTWARE\Wow6432Node\oursurfingSoftware
DeleteKey: HKLM\SOFTWARE\Wow6432Node\WdsManPro
DeleteKey: HKLM\SOFTWARE\Wow6432Node\NtSvcHandler
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\VOPackage
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\WdsManPro
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\NetTcpHandler

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

[SainT]

Wykonane logi:

Fixlog.txt

[picasso]

Kończymy:

 

Skasuj folder C:\Users\User\Downloads\frst. Następnie zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

[SainT]

Dzięki za pomoc